【条文主旨】
本条是关于特殊个人信息处理者的相关个人信息保护义务的规定。
【条文理解】
一、“守门人”规则的现实基础
本条也被称为互联网生态“守门人”义务。近年来,我国的互联网产业高速发展,根据第47次中国互联网络发展状况统计报告,截至2020年12月,我国网民规模达9.89亿人,互联网普及率达70.4%,网络零售连续八年成为全球第一,网络支付使用率达到86.4%,网络视频用户达9.27亿人,互联网上市企业市值再创新高,排名前十的互联网企业市值占总体比重达到86.9%。[1]伴随着产业高速发展,一方面,大型网络平台积累了海量用户,掌握海量用户信息,控制平台入口,相当程度上扮演着社会性场所管理人以及群众性活动组织者的角色;另一方面,网络平台数量巨大,业务范围广泛,仅由公权力机关监管,执法压力过大。为此,国家通过立法从各个环节加强对于个人信息处理者的规制,而对于“超级”互联网平台,即提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,不仅其本身的信息处理要符合法律规定,更要发挥其在互联网生态中的关键作用,为网络个人信息问题的治理起到了“守门人”的作用。
从国外立法来看,印度首先定义了与“守门人”相类似的“重要数据受托人”概念,依据处理个人数据的数量和敏感度、数据受托人的营业额,处理个人数据所造成伤害的风险,使用新技术等评价标准来界定该主体。尤其重视用户数量超过阈值,行为已经或可能对选举民主、国家安全、公共秩序或印度主权等产生重大影响的社交媒体中介。规定“重要数据受托人”需要履行特别义务,包括行政登记、任命数据保护官、执行数据保护影响评估、对数据处理活动进行记录等。2020年年末,欧盟在数据隐私与竞争法交叉领域新提出了《数字服务法(草案)》和《数字市场法(草案)》,《数字市场法(草案)》使用“守门人”概念定义大型、系统性的在线平台,规定“守门人”身份应满足三项累积标准:(1)对内部市场产生重大影响;(2)运营核心平台,核心平台是企业用户接触最终用户的重要门户且满足市值和用户数量阈值满三个财政年度;(3)在业务中享有牢固和持久的地位,或者可以预见将在不久享有这一地位。[2]“守门人”的义务非常详细,涉及市场竞争、数据保护、消费者权益保护等各方面,但未明晰系统性的数据保护义务。
二、“守门人”规则的法理基础
(一)控制人义务理论
控制人义务理论是我国立法中安全保障义务的理论来源,即指人对于自己控制的场所具有保障其安全的义务,这同样也符合权力、能力与责任相一致的原理。从2009年《侵权责任法》(已废止)第36条网络服务提供者的责任,第37条公共场所管理者和群众性活动组织者的安全保障义务,到《
民法典》第1198条,经营场所的经营者、公共场所的管理者以及群众性活动的组织者的安全保障义务,第1194~1197条具体的网络侵权责任,都体现了利益与风险一致性的原则,即任何主体对自己控制的空间应该负有相应的安全保障义务。[3]伴随着互联网产业的不断发展,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者在技术、资金、组织能力方面的优势不断增强,大型互联网平台的“公共性”特征更加突出。平台已经构成新的生产力组织者,海量关键生产要素的掌控者,有着新的盈利模式,如今的平台在相当程度上已不具备中立的工具性和非参与性。通过保护竞争、管制价格、监控质量、披露信息等方式,平台扮演着市场规制者的角色。[4]基于此,其应承担与其控制力和影响力相当的义务。
(二)第三方义务理论
这里主要指行政法上的第三方义务理论。第三方是相对于违法行为者(第一方)与受害人(第二方)而言的,第三方所提供的服务或者货物是违法行为得以存在的基础。第三方义务是指政府指定的私人主体既不是所监督行为的主要实施者,也不是违法行为的受益者,但其承担着必须将私人信息提供给行政机关或者由其本身采取阻止性措施防止有害行为发生(如拒绝提供服务或者货物、拒绝录用或者直接解雇)的义务。[5]
拥有技术或者经营、管理上优势的私人主体承担一定的第三方义务,能够更好地发现与阻却违法行为,缓解执法压力,也更符合经济成本的考虑。在个人信息保护领域,是否适用第三方义务,要从“守门人”的设置的合理性与可行性来分析。基于第三方义务理论,“守门人”作为第三方帮助政府来共同实现信息保护的目标具有合理性,另外,在“守门人”规则语境下的信息处理者具有重大的网络生态影响力,其在技术和管理优势上对于其他信息处理者具有约束力,在特殊义务的规范下承担部分行政责任,能够确立全新的行业底线与规范,亦能够即时发现和处理相应的违法行为。
事实上,以第三方义务为基础的“守门人”制度在诸多行政管理领域已经在运行。例如,《金融机构大额交易和可疑交易报告管理办法》第15条规定的保险公司在发现投保人异常行为时对相关政府报告义务;《上海市公共场所控制吸烟条例》第9条、第18条规定的商业、超市等禁止吸烟场所对违法吸烟者应该采取有效措施阻止其吸烟以及劝其离开其场所;以及规定会计师和律师行业的“看门人”义务,其本质在于义务主体在其控制空间内对于发现和处理违法的可能性和成本综合效益高于执法机关,能够促进问题解决效率的提升和质量的提高。
三、“守门人”义务的实践基础
在互联网治理领域,“平台治理”本就是一项重要专题。扩大到信息或数据治理领域,“避风港”原则在信息网络传播领域及侵权责任中的确认,成为平台责任制度体系不断发展的框架基础。随着互联网平台的不断发展,技术能力和信息控制能力不断加强,立法及司法实践中都不断强化平台的主体责任。近年来,国家网络信息办公室连续发布了有关网络直播、网络信息内容生态等规定,不断压实平台责任。《
数据安全法》的出台,更进一步明确了数据处理者的数据安全保护义务。有学者认为,平台数据安全保障义务有三个维度,包括建立数据安全管理制度,保护个人信息权利以及配合监管的义务。[6]
到《个人信息保护法》,法律在整体上强化各类信息处理者保护个人信息的基础上,规定特殊主体的特殊义务,就是平台责任不断强化在个人信息保护领域的集中体现。
【条文适用】
一、“守门人”规则的适用主体
《个人信息保护法》发布前,依据国外实践,有学者认为“守门人”应当是在互联网生态系统中的特定领域具有主导地位乃至控制权的,同时具有极大的经济规模和极强的网络效应的组织。[7]《个人信息保护法(草案二次审议稿)》曾表述为“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,最终修改为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。
对于“重要互联网平台服务”的理解,存在两种观点:一是根据互联网平台所涉领域,从用户数量、信息敏感度和风险性出发进行认定,即印度模式,对个别行业的互联网平台服务特别关注;二是根据平台服务内容进行评价,即欧盟模式,认定超过一定数量且掌握重要互联网通道的在线服务平台履行“守门人”规制。“用户数量巨大”可能既指平台用户数量巨大,也包括平台内处理的个人信息涉及人数巨大。“业务类型复杂”通常可理解为同时涉及多个类别的服务,如网络社交平台同时涉及内容服务、电子支付等;电子支付平台同时包括多类型本地生活服务等。
具体的主体认定标准还需要进一步细化规范,可以参考《欧盟数字市场法(草案)》的方式,由主管部门根据平台规模、业务、用户数量等设定阈值,业务类型可以规定为移动终端操作系统、应用分发平台、平台型的超级App,甚至市场规模或占有率达到一定程度的网络社交、电商、内容平台等。同时,主管部门还可以根据情况定期进行标准的审查及动态调整,甚至直接公布“守门人”名单。
二、“守门人”的义务
一是按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。这一条款中,“按照国家规定建立健全个人信息保护合规体系”为《个人信息保护法(草案)》第三次审议时新增规范,体现了国家对特殊互联网平台建立健全个人信息保护制度体系的特别强调。可以说,近年来大型平台的个人信息保护不断加强,合规制度体系日益完善。但是,仍不乏大型平台出现严重违法违规收集个人信息的问题。随着《个人信息保护法》的实施,有关同意规则、合理使用、个人信息跨境提供、个人权利,包括本条的“守门人”义务等都有新规定需要及时落实,个人信息处理者、特别是符合本条规范的平台亟须系统梳理现有个人信息保护制度,做好制度建立健全工作及技术、业务流程上的准备。个人信息保护制度应涵盖个人信息的风险评估、安全保障、合规审查、争议处理、考核评价及责任追究等各方面工作,纳入管理制度、人事制度、技术安全制度等体系或单独构建制度体系,成为企业制度体系的重要组成部分。
关于“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”,强调“外部”“独立”及“监督”,通过引入外部监督力量,促进个人信息保护法律义务的不断落实。个人信息保护与企业的短期经济利益可能存在冲突。对于不断加大用户个人信息的开发利用,企业往往有着天然的动力。因此,在行政监管之外,通过成立独立的机构监督大型平台的个人信息保护,有利于构建更加完善的个人信息保护监督体系。这其中,“外部成员”与个人信息处理者的关系和资质、独立机构的组织形式、权力责任及监督方式等,还需要进一步细化规范。这里还需要注意的是,《个人信息保护法(草案二次审议稿)》对这一规范表述为“对个人信息处理情况进行监督”,最终规定为“对个人信息保护情况进行监督”,体现了外部机构不应过度介入个人信息处理活动、应重点针对个人信息保护工作进行监督的导向。个人信息处理活动往往伴随着如人工智能、算法、隐私计算等新技术应用,同时涉及用户人格权益,因此,独立外部机构可以重点吸纳科技、合规类成员,前瞻性地开展个人信息保护监督工作。更有学者提出,独立机构应加强对科技伦理方面的审查。[8]
二是遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。这是关于平台通过内部治理强化个人信息保护的典型条款。如前所述,平台内部治理已经成为互联网治理的重要方式,平台普遍通过制定平台规则来规范平台内产品或服务提供者的行为,以落实法定义务,维护平台运行。平台通过制定、修改平台规则,事实上行使了平台生态系统内的“准立法权”。如《
电子商务法》第32条规定:“电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。”《个人信息保护法》本条的规范与《电子商务法》第32条一脉相承,强调的是符合本条规范条件的个人信息处理者,必须针对个人信息保护制定平台规则。即符合本条规范的特殊平台,一方面要依据法律,通过完善制度体系、技术体系、管理体系规范自身的个人信息处理行为,是被管理的对象;另一方面要通过建立平台规则规范平台内产品和服务提供者的个人信息处理行为,也是管理主体。平台内的产品和服务提供者,既要遵守法律、行政法规等对个人保护的规范,也要遵守其所处的平台关于个人信息保护的规则。这样便构建起了更为充分、立体的个人信息保护体系。
三是对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。如果说制定平台规则是赋予了特殊平台的“准立法权”,则本条可以理解为“准执法权”。平台对于发生在平台内的违法行为可以进行处理,在《民法典》《侵权责任法》《
网络安全法》等法律中均有规定,主要内容均为针对平台内违法或侵权信息的处理权,本条规定与此类规定原理一致。当然,个人信息处理行为与内容发布有明显的区别,内容发布发生在平台上,可以被平台直接监测、发现并采取相关措施进行删除、断链或者预防。而平台内经营者运作和使用过程中的个人信息处理过程,并不一定能够由基础性服务平台直接监测和发现。[9]特别是对于移动终端操作系统、应用分发平台等平台,其平台内产品或服务提供者也可能是符合本条要求的特殊性平台,涉及利益重大,用户众多,一方面判断平台内个人信息处理者违法行为的标准需要进一步明确,另一方面处理程序、方式也需要细化,以免违背比例原则。
四是定期发布个人信息保护社会责任报告,接受社会监督。特殊平台发布个人信息社会责任报告,是特殊平台履行社会责任的体现。2010年,国际标准化组织IS026000《社会责任指南》对社会责任的定义为:通过透明和道德行为,组织为其决策和活动为社会和环境带来的影响承担的责任,有助于可持续发展。近年来,部分大型互联网平台企业受益于数字经发展和社会进步,积累了大量的财富、技术和人才,理应承担更多社会责任。部分互联网企业近年频频发布社会责任报告,内容涉及如用户权益保护、员工发展、青少年保护、网络内容建设等公众关心的话题,以及如环境保护、中小企业扶植、社会治安、医疗健康、乡村振兴等社会公益内容。用户个人信息保护显然是近年公众普遍关心的问题。《个人信息保护法》的发布并实施,我国的个人信息保护法律体系基本建立,个人信息处理者落实个人信息保护的各项法律规范,就是承担法律责任。同时,不断加强个人信息保护,也是企业承担社会责任的体现。对于符合本条规定的特殊平台,发布社会责任报告已经上升为法律义务。个人信息保护社会责任报告,一般应该包括其个人信息保护的基本情况,对敏感信息处理、信息与数据安全等重点方面的工作成效,促进个人信息保护制度体系建设、对平台内产品和服务提供者个人信息保护情况进行合理有效管理的情况,对重大或公众关心的个人信息安全事件处理情况,围绕个人信息保护和数据安全的技术创新情况,还可以包括通过发挥平台优势,促进相关行业个人信息保护水平提升或规范的情况。社会责任报告应向主管部门呈报,并公开发布接受社会监督。
