原标题：国家机关如何管好个人信息法律不能回避 

专家建议进一步明确国家机关共享个人信息规则 

伴随全球进入大数据管理时代，网络化、电子化政府开始出现，国家机关处理个人信息的行为在世界各国已成为常态。可以说，国家机关已成为目前最主要、最重要的个人信息处理者。

不久前提请审议的个人信息保护法草案在第二章第三节设立专节，专门对国家机关如何处理个人信息进行了规定。草案第三十五条规定，国家机关为履行法定职责处理个人信息，应当依照本法规定向个人告知并取得同意。第三十六条规定，国家机关不得公开或者向他人提供其处理的个人信息，法律、行政法规另有规定或者取得个人同意的除外。

把国家机关纳入个人信息保护法的调整范围，被视为草案的亮点之一。一些业内专家在接受《法治日报》记者采访时指出，对国家机关进行专门规定十分必要，也具有很强的现实意义，值得充分肯定。但目前草案的相关规定仍比较原则，尤其是缺少国家机关之间共享个人信息的具体规定，建议进一步细化、明确，予以必要的制约和限制。

应设立专门管理制度及负责人员

“国家机关是个人信息最大的处理者和持有者，只有规范好了国家机关的个人信息处理行为和保障其安全，才能真正保护好个人信息。”中国人民大学法学院教授张新宝认为，草案专门对国家机关作出规定十分有必要。

张新宝同时指出，针对国家机关收集利用个人信息，除了要对与其他非国家机关处理者相同的问题进行研究之外，还需要对国家机关在个人信息处理和利用各个环节特殊的问题进行考量，比如，出于公共利益目的依法收集的个人信息的范围、安全制度等。“因此，在国家机关处理个人信息这一问题上，需要有专门的管理制度、专门的负责人员。”张新宝说。

值得注意的是，为了社会管理需要，一些国家机关共享了很多个人信息。应当看到，这种共享行为既有利于信息资源整合，又可以提高行政效率，方便当事人办事。但与此同时也引发是否为政府机关履行法定职责所必须、是否符合个人信息的收集和使用规则的质疑和担心。

鉴于此，张新宝认为，草案有必要进一步明确国家机关之间涉及个人信息的信息共享规则。这些规则既包括同级共享的规则，也包括上下级共享的规则，还应包括异地共享等规则。

“总之，国家机关在处理个人信息的时候，应严格遵守法律原则和制度，立法也需要制定更具体的规定，来保证政府机关正确履行职责和保护个人信息，实现个人权益保护与国家依法履行职权之间的平衡。”张新宝说。

应明确国家机关侵犯个人信息法律责任

“从目前的草案看，个人信息保护法的基本原则也适用于国家机关。换言之，国家机关作为个人信息处理者也要遵守相关法律规定。对此首先要予以充分肯定。但草案目前的规定还略显单薄。”北京大学法学院教授王锡锌认为，怎么处理好公共利益、公共安全和保护个人信息的关系，是国家机关处理个人信息的关键问题。

在王锡锌看来，草案目前的一个短板就是没有规定相应的国家机关侵犯个人信息的法律责任。“目前的处理方式只能由上级机关对相关责任人进行处分。但这种处理方式并不是法律责任，而是单位的内部决定。这就意味着，即便个人信息受侵害的自然人对该处分不满意也无法提起诉讼寻求救济。”

鉴于此，王锡锌建议，立法中应增加一些基本的原则性的法律责任方面的规定，为今后制定专门的实施细则提供上位法依据，避免出现制定细则时随意的情况发生。

“国家机关跟非国家机关作为个人信息处理者，有很大的不同。国家机关处理信息本身是履行职责，为了公共安全，服务于公共利益甚至国家利益，因此，立法时必须要把国家利益、公共利益作为很重要的变量进行考虑，但是同时也要注意平衡对个人信息权益的保护。”王锡锌说。

此外，还有一个需要关注的难点是，国家机关处理个人信息的时候，如果跟个人之间发生争议，是属于行政争议还是民事争议？是通过行政程序处理还是民事程序处理，也是较为复杂的问题，王锡锌认为立法时也应该有规定。而国家机关处理信息如果侵权的话，到底适用民事侵权责任还是行政国家赔偿责任，立法也要进行明确。

建议明确具体监管机构及其职责

除了进一步细化国家机关处理个人信息的规则，有关国家机关的监管职责也是此次个人信息保护立法各方予以关注的话题。关于个人信息保护的监管部门及其职责问题也是立法焦点。

在实践中经常会有一种现象，很多用户在个人信息权益受侵害时并不清楚究竟要到哪个部门去投诉，存在着很多部门好像都在管、但是出了事之后又不知道该找谁的现象。

“之所以出现这种现象，与目前监管部门的法定职责不是特别清晰不无关系。”北京大学法学院教授薛军认为，监管部门及其职责问题必须要明确。只有明确了具体监管部门，公民在个人权益受侵害的时候才会知道究竟是哪个部门来管、可以向哪个机构投诉、哪个机关有义务来反馈等等。“目前欧盟在此问题上实行了‘一站式’监管，职权高度清晰，整个体制非常有执行力。我们可以适当地对这种监管体制进行借鉴。”薛军认为。

草案第五十八条规定，国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准，推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。

“要防止认证、评估等服务变成某些部门变相敛财收费的工具。比如，指定必须去一些关系密切的第三方机构做认证才可以，这样就会给企业带来很重的负担。”除了要明确监管机构职责，薛军认为还要特别警惕所谓的变相监管套利的问题。

薛军建议，立法时应明确不得以检查、认证等为借口乱收费、重复收费。特别是要禁止指定特定的机构或部门进行认证的行为。同时，还要给企业相应的救济权利。比如，企业因相关活动必须要进行相关评估，但却遭到拒绝不予认证，此时应当赋予企业申请复议等权利。“草案目前这方面的规定还不是很够，应予以进一步明确。”薛军说。（朱宁宁）