【网信部门职责】

第六十二条 【网信部门职责】

【条文主旨】

本条规定了作为统筹协调机构的国家网信部门所应承担的具体职责。

【条文理解】

本条在第六十一条的基础上进一步明确规范了网信部门的职责，即网信部门除自身作为履行个人信息保护职责的部门外，还要负责统筹协调其他部门的个人信息保护工作。相较于草案二次审议稿，本条增加了第二项对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用制定专门的个人信息保护规则、标准的要求，第三项支持研究开发和推广应用安全、方便的电子身份认证技术并推进网络身份认证公共服务建设的要求，第五项完善个人信息保护投诉、举报工作机制的要求，以上增加内容主要涉及国家网信部门牵头对新技术、新应用的制度设定。

个人信息保护工作与互联网、人工智能、大数据等新技术、新业态的发展息息相关，而新技术与新业态的产生与发展往往瞬息万变，具有快速更新迭代的特征，对其所采取的规制措施就十分容易突破现有的行政监管格局，造成监管真空与重叠，从而导致新问题无人监管或者重复监管，因而由网信部门承担起统筹协调的职责将在一定程度上避免这类情况，有利于保障个人信息保护相关标准、制度的统一性和稳定性，提升执法效率，及时根据新技术新业态的产生与发展而作相应调整，缓解立法的滞后性，促进个人信息保护工作和产业的平稳健康发展。

一、在制定个人信息保护具体规则、标准方面

国家网信部门已牵头出台了《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》《儿童个人信息网络保护规定》等规则；由国家网信办、工信部、公安部、国家密码局以及国家市场监督管理总局等单位共同担任副主任委员或主任委员的全国信息安全标准化技术委员近年来也制定出台了《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南》以及《信息安全技术 个人信息去标识化指南》等标准，尤其针对人脸识别、人工智能等新技术制定了《信息安全技术 远程人脸识别系统技术要求》等规则和标准。

二、在网络身份认证方面

本条第三项与网络安全法第二十四条相衔接，重点关注个人信息对网络安全领域所产生的重要作用。网络安全法第二十四条规定：“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。”该条规定了实名制，提出了“国家实施网络可信身份战略”。(https://www.daowen.com)

追溯网络实名制制度，其作为一项网络服务提供者必须履行的义务主要开始于2012年全国人大常委会发布的《关于加强网络信息保护的决定》，该决定第六项在基础环节提出了实名制要求：“六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。”相较于《关于加强网络信息保护的决定》，网络安全法增加了应用环节的实名制要求。基础环节包括网络接入、域名注册服务，办理固定电话、移动电话等，应用环节包括提供信息发布、即时通信等。此后，国家网信办等相关部门先后制定了一系列规范性文件，包括《互联网用户账号名称管理规定》《即时通信工具公众信息服务发展管理暂行规定》《互联网新闻信息服务管理规定》《区块链信息服务管理规定》《网络音视频信息服务管理规定》《互联网直播服务管理规定》《微博客信息服务管理规定》《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》《互联网跟帖评论服务管理规定》等，在应用环节贯彻了实名制要求，明确提出互联网信息服务提供者应当按照“后台实名，前台自愿”的原则，进行真实信息认证，例如《互联网用户账号名称管理规定》第五条第一款规定：“互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。”

网络身份认证是指在网络空间中对各类主体的网络身份进行识别，在中央网信办、国家发改委等部委的支持和协调下，公安部于2013年启动了居民身份证的网上应用实施方案，目前已发布实施《居民身份网络认证 整体技术框架》等多项标准，推出由CTID平台（中国电子身份证认证平台）签发给个人的居民身份证网上功能凭证（电子身份证）。通过这一网络身份认证公共服务，用户在上网或使用App时，使用网络身份代替输入身份信息进行认证，企业不必再收集用户身份信息，向该系统直接确认用户身份即可，用户能够在不泄露身份信息的前提下实现在线身份认证，从而保护个人隐私，从根本上缓解过度收集和非法使用用户个人信息的问题。

网络身份认证涉及当前国家治理的各个方面，身份管理、经济发展、国家安全、舆论治理、全球反恐无不与之密切相关。2017年11月，公安部第一研究院牵头成立了中关村安信网络身份认证产业联盟（OIDAA），会员覆盖社会公共安全、电子政务、电子商务、金融、电信、终端设备、芯片等多个领域，包括三大运营商、阿里巴巴、腾讯、联想、蚂蚁金服等企业。其中，微信与支付宝已相继推出网络身份认证服务。

三、在个人信息保护评估、认证服务方面

本条第四项与网络安全法和数据安全法进行了衔接，力求建立全景式的数据保护评估与认证体系。网络安全法第十七条规定：“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”数据安全法第十八条规定：“国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”可以看出，能够实施个人信息保护评估和认证服务的机构不限于国家机关，行业组织、企业、教育和科研机构以及有关专业机构在取得相应资质或授权后皆能够开展相关工作。事实上，我国目前的个人信息保护评估和认证服务市场蓬勃发展，取得了良好的成绩，根据国家网络安全等级保护工作协调小组办公室发布的《全国网络安全等级保护测评机构推荐目录》，全国各地多家测评机构已获得推荐证书。

【适用指南】

2019年9月27日，工信部发布《关于促进网络安全产业发展的指导意见（征求意见稿）》，提出到2025年培育形成一批年营收超过20亿元的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过2000亿元。同时提出，加强5G、下一代互联网、工业互联网、物联网、车联网等新兴领域网络安全威胁和风险分析，大力推动相关场景下的网络安全技术产品研发；支持云计算、大数据、人工智能、量子计算等技术在网络安全领域的应用，着力提升威胁情报分析、智能监测预警、加密通信等网络安全防御能力；重点围绕工业互联网、车联网、物联网新型应用场景，建设网络安全测试验证、培训演练、设备安全检测等共性基础平台，支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系。

随着互联网的发展，尤其是商务类应用的快速发展，网络安全问题日益严峻，互联网信息安全急需加强。此外，移动支付的兴起，令移动信息安全问题也随之凸显。个人信息保护工作的有效开展，离不开各方主体的共同参与，需要构建完善合理的综合治理格局。本条所规定的工作职责，虽然是由网信部门统筹协调各主管部门进行，但企业、科研机构、行业组织等机构仍可参与到部分工作中来，例如相关规则和标准的制定、网络身份认证服务的场景化落地实施、个人信息保护评估与认证等，企业在保障自身合规的基础上，可以在符合相关条件和标准后开展业务，助力国家个人信息保护体系的构建和有效实施。

【相关规定】

《关于加强网络信息保护的决定》；《中华人民共和国网络安全法》第十七条、第二十四条；《中华人民共和国数据安全法》第十八条；《常见类型移动互联网应用程序必要个人信息范围规定》；《App违法违规收集使用个人信息行为认定方法》；《个人信息出境安全评估办法（征求意见稿）；《儿童个人信息网络保护规定》；《互联网用户账号名称管理规定》；《互联网新闻信息服务管理规定》；《区块链信息服务管理规定》；《网络音视频信息服务管理规定》；《互联网直播服务管理规定》；《微博客信息服务管理规定》；《互联网用户公众账号信息服务管理规定》；《互联网群组信息服务管理规定》；《互联网跟帖评论服务管理规定》；《即时通信工具公众信息服务发展管理暂行规定》。