责无旁贷——探讨《个人信息保护法》下互联网平台处理者的特殊责任
引言
大型互联网平台企业借助网络效应精确匹配供需,极大缩短生产与消费的周期,为社会和商业机构创造了巨大的价值,也为产业结构的优化作出巨大贡献。与此同时,大型互联网平台由于积累了大量包括个人信息在内的产业资源,使得其一举一动都可能对产业市场造成深远影响,直接或间接关联到数字经济的市场经营健康。能力越大,责任越大,大型互联网平台实践中需要承担产业健康发展、数据安全等公共属性的社会责任。因此各国从国家经济安全和数据安全等多个角度都在尝试加强对大型互联网平台企业的监管措施。《中华人民共和国个人信息保护法》(以下简称“《个信法》”)第五十八条首次明确规定大型互联网平台的个人信息保护义务,从数据保护的角度回应了国家对大型互联网平台的监管需求。《个信法》的出台为大型互联网平台企业数据合规指明了基本原则与合规任务,势必为今后数字经济下互联网企业的发展带来深远影响。
作为“《个人信息保护法》解读”系列文章的第四篇,本文将以《个信法》第五十八条为核心,在阐明立法背景的基础上,为企业详细解读平台责任的内涵,以期协助企业在《个信法》正式实施前做好相应的准备,更好地以平台主体的身份参与市场交易。
一、立法背景:“守门人”规则与敏捷治理
1. 设置平台处理者责任的必要性——“守门人”规则的目的
在迅速发展的现代社会中,愈来愈多的商业活动与公共利益以及国家经济安全息息相关,逐步成为监管的重点。这些商业活动呈现出以下特点:第一,从经济角度看,管制对象缺乏竞争对手、无法被排除,具有进入壁垒高、规模报酬递增等特性。对于大型互联网平台而言,其独特叠加的规模经济、网络经济效应和生态竞争范式,不仅加速平台市场走向集中化,而且易导致用户产生路径依赖,被主导平台锁定,从而使得平台市场的集中度呈现出较强的稳定性和持久性,[1]最终从侧面反映大型互联网平台的市场进入壁垒不低。第二,从影响力度看,用户的经济和社会活动很大程度上依赖其产品或服务的提供,使得用户利益极易受到影响。在实践中,大型互联网平台企业作为服务提供商能够轻松地以单方和有害的方式,为商业用户和最终用户设置商业条件和条款。[2]基于上述两点,大型互联网平台无疑容易对市场造成重大冲击,从国家经济安全与公共利益出发,往往成为国家监管的中心。近年来,我国已在反垄断法的传统领域迈出了重要的一步,2021年2月7日发布的《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称“《反垄断指南》”)针对国内互联网平台反垄断诉讼频发的现状,在平台经济的相关市场界定、垄断协议、滥用市场支配地位和经营者集中等传统竞争法问题上作出明确规制。
但在互联网产业迅速发展的当下,互联网平台的影响力早已不仅局限于传统竞争法领域,而延展到数字经济的各方各面,其中数据安全保护问题尤为突出——平台势必将发挥其规模经济和网络经济效应的优势,利用其算法优势、巨量用户和完备的生态体系,将用户的个人信息进行高度集中处理,并广泛应用于数据挖掘、用户标签制定、自动化决策、个性化推荐等领域,使得个人用户难以充分理解和掌控其个人信息处理情况。可以想见,面对高度集中产业优势资源、具备完整生态而具有高度竞争优势的大型平台,个人用户授权平台收集、使用其个人信息的选择权往往是在受限制的条件下作出的。
为此,近年来针对大型互联网平台的合规审查逐渐成为国家个人信息保护监管的重点。2017年,工信部、国家网信办等四部门开展APP隐私政策条款评审工作;2019年上述部门继续联合开展APP违法违规收集使用个人信息专项治理行动;2020年监管主体与监管行动持续增加,公安部“净网行动”,工信部“APP侵犯用户权益专项整治行动”均与互联网平台的个人信息保护问题相关。根据工信部官方网站信息,2021年以来,我国已累计完成29万款APP技术检测,对其中1862款违规APP提出整改要求,并下架了107款拒不整改的APP。[3]由此可见,在《个信法》第五十八条生效之前,大型互联网平台企业的个人信息保护义务已通过各项监管行动初步显现。
然而,监管行动的迅速增加一方面显示出国家对于网络安全与个人信息保护的重视,另外一方面也表明互联网平台侵犯用户权益的现象普遍存在,并且仅靠执法监管治理成效有限,仍需立法进一步完善。具体来看,大型互联网平台借助网络效应吸引、聚集大量用户,其用户个人信息体量之大使得目前的监管治理难以做到全面覆盖。与此同时,广大用户也对部分互联网平台违法违规收集、使用个人信息的问题反映强烈。因此,主要依靠政府对互联网平台实行“单独评估与整改”的模式无法适应目前的客观情况,有必要重新调整监管责任在政府与企业之间的分配。与政府相比,大型互联网平台企业作为网络服务提供者,掌握着用户接入互联网处理个人信息的重要渠道,同时为用户提供必要的技术支持。若由其参与个人信息监管工作,势必可以更有针对性地规范个人信息处理活动,从而达到有效保护个人信息的目的。
综上所述,《个信法》第五十八条对大型互联网平台企业提出特殊的、更高的个人信息保护要求,是维护国家经济安全和公共利益、在数字经济发展的新格局下保障个人信息权益的必然要求。
2. 平台处理者责任是可行的敏捷治理手段
在新一代科技浪潮中,平台成为新经济引擎,不断驱动着技术和商业模式层面的创新。而新兴产业的发展与监管需要寻求治理模式上的突破。因此,各个国家都在寻求具有柔韧性、流动性、灵活性和适应性的敏捷治理方法[4],而《个信法》第五十八条就是我国在互联网平台敏捷治理层面的大胆尝试。首先,相较于传统的政府监管模式,第五十八条赋予了群众、第三方机构等一定程度的监督权,广泛的参与度有助于提升监管的有效性。同时,考虑到平台自身基于技术垄断而获取的专业性,第五十八条第三款还赋予了平台在审核层面的监管权限,能够有效弥补监管机构的信息盲点。
在法律层面,《个信法》第五十八条并非“开创性”规定,《民法典》第一千一百九十八条规定经营场所的经营者、公共场所的管理者以及群众性活动的组织者具有安全保障义务。大型互联网平台虽非传统意义上的经营场所,但其仍以营利为目的提供各种类型的网络服务,从而将原本分散、潜在的市场交易对象组织起来,形成更大规模的交易群落。[5]这一观点同样被制定《数字服务法(草案)》(the Digital Service Act,以下简称“《数字服务法案》”)的欧盟委员会所认可。因此,大型互联网平台企业应对自己控制的网络空间应负有相应的安全保障责任,个人信息保护自是应有之义。
其次,在经济层面,由大型互联网平台企业保护用户个人信息,比政府机关在各个分散的环节投入监管资源更具有经济合理性。事实上,部分关注个人信息保护的互联网企业已自发采取措施,如美国的苹果公司和国内的小米公司。同时,考虑到由法律给所有大型互联网平台设置必要的个人信息保护责任,虽然可能增加少量经营成本,但是同时也会将全行业置于相同的合规标准中,因此我们理解平台责任不会影响企业之间的公平竞争,[6]增加的成本亦可通过定价机制进行分配和转移。故而,无论是从监管方还是平台方的角度出发,设置平台责任具备经济层面的可行性。
最后,在技术层面,大型互联网平台提供了网络服务运行所需的技术环境和运营环境。相关平台企业借助技术上的强大控制力,有能力实现对用户个人信息处理活动的监管。大型互联网平台企业有能力发挥自身资源优势,优化交互流程,规范个人信息处理活动,提出对平台经济的特殊个人信息保护要求,有利于实现监管部门多元共治、敏捷治理,从而在数字经济发展的大背景下实现充分保障公共利益和个人信息权益的目的。
3. “守门人”规则符合全球的立法监管趋势
对于大型互联网平台处理者的个人信息合规保护要求,在全球已有不少国家的有先例可以参考。以欧盟为例 ,2020年12月15日,欧盟委员会提出《数字市场法(草案)》(the Digital Markets Act,以下简称“《数字市场法案》”)和《数字服务法案》。这是欧盟近20年来在数字领域的首次重大立法,旨在明确数字服务提供者的责任,加强对社交媒体、电商平台和其他大型互联网平台的监管。欧盟《数字市场法案》明确设立“守门人”制度,弥补反垄断事后监管应对数字平台垄断问题时的不足,丰富完善了其竞争规制体系,是对欧盟反垄断法的重构。
值得注意的是,欧盟委员会认为:随着大型互联网平台的规模及其在日常生活中越来越多存在,它们有时可以被比作表达和经济交易的公共空间,是促进互联网上信息交流和行使言论自由的关键行为者,带来了最高的社会和经济风险。[7]因此,《数字服务法案》针对大型互联网平台规定了一系列具体责任,包括:打击网上非法商品或服务,采取科学算法增强内部数据运营透明度以及对其风险管理系统进行独立审查等。可以说,欧盟的《数字服务法案》建立了网络平台问责框架,使平台方明确了“必须做”或“不得做”的业务界限,在强化在线平台内部运营透明度的同时,通过责任平衡机制进一步协调平台方与用户之间的关系。[8]
与此相应,美国《终止平台垄断法案》(Ending Platform Monopolies Act)对大型互联网平台的界定采取了同欧盟相一致的立场。此外,美国联邦贸易委员会(FTC)也在《移动手机隐私披露——通过透明度建立信任》的报告中明确指出,诸如微软、谷歌等大型互联网平台企业,在改善移动设备隐私披露方面拥有极大影响力,建议平台通过及时披露、隐私控制面板等方式实现对用户的充分告知,向用户传达关键术语和概念,并呼吁利益相关方开发适用于移动设备的禁止追踪机制。[9]我们理解,未来全球主要互联网空间的治理规范都将逐步落实大型互联网平台企业的监管责任,尤其是在个人信息保护领域的特殊义务。
二、首要难题:如何界定“平台”?
第五十八条规定的义务主体是“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”(即本文所称的“平台处理者”),但目前在法律法规层面并未对上述平台处理者的范围作具体界定。我们结合境外立法、学界讨论与近期行业实践,探讨第五十八条规定的“平台”、“重要服务”、“巨大数量”和“复杂业务”概念:
1. “平台”概念的提出
《个信法》虽然没有对“平台”这一概念进行明确解读,但根据《反垄断指南》,我们理解,此处的“互联网平台”是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。《反垄断指南》对平台的定义是从市场竞争的角度归纳总结平台特质。类似地,美国众议院发布的《终止平台垄断法案》对其规制的平台范围作出了明确界定,即:(1)市值超过 6000 亿美元;(2)在美国境内月活跃达到特定规模(五千万/在线平台;10万/传统平台);(3)被视为“关键贸易伙伴”(critical trading partner)的企业。与《反垄断指南》中的定义类似,美国立法者在划定“平台”的范围时,主要考察互联网平台对市场的支配程度、扭曲市场的能力,因此其考量因素包括平台企业的市值、用户规模,以及业务的重要性等。然而,在数据保护领域,对平台的定义可能更加强调其在通讯管道支撑服务与数据应用服务层面的作用。
基于欧盟在数字服务领域的立法实践,我们或许可以管窥我国《个信法》“平台”的范围。前文提到的欧盟《数字服务法案》第三章第三节专门规定了适用于在线平台(online platforms)的附加条款。在线平台是指信息托管服务的提供者,此类在线平台应用户的要求,存储并向公众传播信息。但上述“在线平台”存在一种例外:如果某平台满足(1)提供纯粹的辅助活动,即其他产品或服务失去其提供的技术支持就无法使用;且(2)将该服务纳入平台功能并不是为了逃避监管,则该平台就不是《数字服务法案》所规制的“在线平台”。此外,《数字服务法案》还强调第三章第三节之规定不适用于小微企业。考虑到《数字服务法案》的立法思路与第五十八条具有一定的相似性,我们理解“在线平台”与第五十八条的“平台”在性质上可能具有一定的相似性,但其范围应该更大。我们理解,《数字服务法案》第三章第四节规定的“超大型在线平台”(very large online platforms)可能与《个信法》中的“平台”概念更为相似,但欧盟认定“超大型在线平台”的主要考量因素是用户数量(我们将在“用户数量”部分详述具体的认定逻辑与认定思路),而我国还将从平台提供服务的重要性、业务的复杂程度进行综合性考察认定。
2. “重要服务”:维护国家与公共安全的本意?
《个信法》二审稿中使用了“提供基础性互联网平台服务”来定义平台处理者,而在《个信法》正式稿中,该术语变为“提供重要互联网平台服务”。此前曾有学者提出,平台处理者主要指三类平台,即应用程序的分发平台、移动终端操作系统、搭载小程序的“超级App平台”。上述三类平台的共同特征是能够提供第三方移动App的接入(包括分发、下载、更新等),或向第三方移动App运营提供技术资源和信息收集渠道,以及提供市场和用户触达的中介服务。[10] 换言之,此处的“基础性”主要指为第三方移动互联网服务提供基础性或支持性服务,起到一个“通道”的作用,该等平台往往坐拥大量用户与流量,接入或合作的第三方也多种多样。
从“基础”到“重要”的转向,也便于与《数据安全法》中的“重要数据”相衔接。《数据安全管理办法》(征求意见稿)将“重要数据”定义为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”。因此,此处的“重要服务”也不排除与国家安全、经济安全、社会稳定、公共健康和安全等因素有关。因此,我们理解,“重要服务”的范围可能较之于二审稿提出的“基础服务”更加注重业务自身的重要性。如果某平台提供的服务并不属于基础性或支持性服务,但其收集、处理的个人信息具有较高重要性和敏感性(如收集大量个人敏感信息或个人生物识别信息),则其依然可能被认定为提供“重要互联网平台服务”。
3. “用户数量”:需要动态关注的门槛
《个信法》下的平台需满足“用户数量巨大”这一要求,但暂未说明具体需达到何种量级。《信息安全技术 个人信息安全规范》第11.1条要求处理超过100万人的个人信息或超过10万个人敏感信息的企业设置专门的个人信息保护负责人和个人信息保护工作机构。我们理解,个人信息保护负责人义务主要针对处理数据达到国家网信部门规定数量的个人信息处理者,具有一定普遍性;而第五十八条规定的义务主要针对国内大型互联网平台,因此二者并不相同。此外,无论用户数量的认定标准如何,广泛适用第五十八条都可能不符合比例原则,高昂的合规成本甚至可能在一定程度上扼杀创新。学者研究显示,我国国内常用的应用分发平台不超过10个,移动终端操作系统不超过10种,搭载小程序的“超级App”平台目前不超过8个。[11]
美国和欧盟在与平台竞争相关的法律草案中对大型平台的用户数量标准进行了明确的界定。欧盟《数字市场法案》认定守门人的标准包括该平台是否“控制了经营者和终端用户之间的重要通道”。具体而言,在To C端层面,该法案下使用核心平台服务的月活跃终端用户数应当超过4500万,此处的用户既包括本土用户,也包括暂居于欧盟境内的用户;在To B端层面,该法案将上一财政年度内拥有注册于欧盟境内的商业用户超过10000家的平台视为守门人。而美国《终止平台垄断法案》同样要求平台在美国境内月活跃达到特定规模,即5000万/在线平台或10万/传统平台。由此可见,无论是《数字市场法案》还是《终止平台垄断法案》,其用户数量标准都是从市场竞争的角度出发,基于平台对平台内经营者或用户的支配程度制定的。
然而,《个信法》在用户数量层面可能更加关注平台掌握大量个人信息后,因系统入侵、数据保护不周,或数据滥用等原因导致个人信息主体权益受到侵害的风险。在这一方面,《个信法》的逻辑与《数字服务法案》更类似。欧盟立法者认为,大型在线平台可能造成的社会风险在范围和影响程度方面都远超小平台,一旦某平台的用户数量达到一定程度,其造成的系统性风险就可能对欧盟产生不成比例的负面影响。欧盟立法者将这一平台用户数量门槛定位欧盟总人口的10%,即4500万。同时,鉴于上网人数并非一成不变,因此在10%的标准上,欧盟将不定期基于人口数量对用户数量门槛进行调整。然而,考虑到我国的人口基数、经济水平、信息产业发展程度等均与欧盟存在较大差异,因此在用户数量标准问题上,《个信法》可能与《数字服务法案》有所不同,随着人口和数据经济水平的发展,用户数量标准也建议设立动态的检验标准。
4. “业务类型”:结合多方面现实因素综合考量
除服务内容、用户数量外,《个信法》还要求平台具有复杂的业务类型。考虑到平台数据来源的多样性、数据处理的透明度、可解释性等多方面因素,将业务类型纳入界定平台范围的考量因素具有合理性。从当前业务实践来看,我们理解,有以下几类业务模式可能被认定为“业务类型复杂”:
(1) “超级App+小程序”:在该场景下,超级App作为内容分发平台可能对接各种第三方小程序,可能存在大量个人信息收集、共享、处理活动。[12]
(2)内嵌多种业务功能的单一App:例如,在某生活点评类App中,可能同时提供外卖服务、在线旅行社、移动出行、社区团购,以及金融服务等多种业务功能。
(3)通过多种渠道提供在线服务:考虑到互联网平台出于差异化打法、开展新业务等需求,可能同时通过不同的渠道提供多种在线服务,而不同服务之间可能出现交互,从而构成一种体系性的复杂业务网络。
此外,美国《终止平台垄断法案》提到的“关键贸易伙伴”这一概念也对业务类型作出了一定要求。“关键贸易伙伴”是指有能力限制或阻碍业务用户访问其用户或客户的实体,或限制或阻碍业务用户访问其有效为用户或客户服务所需的工具或服务的实体。我们理解,关键贸易伙伴的认定主要旨在强调平台对用户的支配力,即是否可能限制或阻碍用户实现其自由访问的权利,而《个信法》的要求则重点关注业务类型的复杂程度,因此二者存在一定差别。我们理解,判断业务类型的复杂程度可能需要结合平台运营主体及其关联公司开展的业务、平台对接的第三方业务、平台内部的数据交互程度等多方面因素进行综合考量。
三、平台处理者的四大义务
第五十八条对平台个人信息处理者提出了四大个人信息保护的特殊义务,其中不乏在个人信息保护领域具有开创意义的保护要求。
1. 健全个人信息保护合规制度体系,建立外部独立监督机构
《个信法》第五十八条首先要求企业建立健全个人信息合规制度体系,并成立主要由外部成员组成的独立机构对平台进行规制。“个人信息合规制度体系”是《个信法》相对于此前《个信法》二审稿新增的内容,首次从个人信息保护角度在法律层面对平台处理者提出了明确的制度体系要求。此前,《网络安全法》第二十一条仅对网络运营者从网络安全等级保护角度提出了“制定内部安全管理制度和操作规程”的一般性要求,这导致了从法律层面《网络安全法》可能仅被理解为要求企业建立信息安全属性的制度文本,如信息安全管理总则、信息安全组织机构制度、信息安全人员管理制度、系统建设管理制度、系统运维管理制度等,而未能将制度要求细化到个人信息保护层面。《个人信息安全规范》第11.1条虽然也要求个人信息控制者组织制定、落实和更新个人信息保护工作计划、政策、内部制度和相关规程,但《个人信息安全规范》仅属于推荐性国家标准,不具有强制执行力。
但更值得关注的,是成立个人信息保护独立监督机构的要求。这是《个信法》独创的个人信息保护领域的独立监督机构机制。目前,第五十八条没有规定独立机构的任免程序、成员门槛、报酬、负责机制等,但反垄断领域经营者集中的监督受托人机制对理解该制度有较大的参考价值。
监督受托人机制在欧盟与美国实施已久,在中国近年来也已成为了经营者集中的一大监管利器。根据2020年12月1日施行的《经营者集中审查暂行规定》的第四章,对于附加限制性条件批准的经营者集中,市场监管总局可以通过监督受托人对义务人履行限制性条件的行为进行监督检查。经营者集中监督受托人由义务人委托并支付报酬,对义务人进行督查,但该监督受托人的指派需经市场监管总局评估确定,且受托人对市场监管总局负责。根据第四章要求,受托人应当独立于义务人和剥离业务的买方、具有具备所需专业知识技能的专业团队、具有可行的工作方案、能符合市场监管总局提出的其他要求等,而实践中往往由律师事务所、会计师事务所等外部专业机构承担。从外部成员、机构独立性等构成要件来看,《个信法》第五十八条规定的个人信息独立监督机构与经营者集中的监督受托人有较大的相似性,我国在经营者集中领域已积累的成熟的监督受托人制度应用经验[13]势必将为《个信法》第五十八条第(一)款的实施提供宝贵的实践支持。不过,该制度如何具体落地执行仍有较多地方待后续的配套制度文件进行展开,例如:“主要由外部成员组成”,则非外部成员可以占比多少,可以多大程度参与监督?外部成员的准入资质如何确定,如何参考《经营者集中审查暂行规定》的监督受托人资质要求?如何确保平台处理者承担成本的同时,保证独立机构向网信部门等监管机构负责,特别是确保机构人员履行监督责任?如何具体开展监督,机构具体有哪些监督权限?等等。
2. 制定公开、公平、公正的平台规则
《个信法》出台前,个人信息处理者的规则公开义务主要限于对个人信息处理规则的披露,如隐私政策。但考虑到大型平台运营机制以及个人信息处理情况的复杂性,仅公开隐私政策可能难以使用户及监管部门完整了解个人信息的处理情况与目的。例如,用户标签是大型互联网平台最重要且用途最广泛的个人信息,其处理往往与平台复杂的功能与机制挂钩,仅通过隐私政策中的自动化决策等条款披露标签数据的处理方式和目的,可能存在披露内容流于形式的问题,使得用户无法全面了解自身标签的实际应用场景和算法机制对用户造成的影响。为此,第五十八条第(二)款要求平台处理者“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”。考虑到平台运行机制的复杂性,该条显然并不意在重申第五十一条制定对内的管理制度与操作规程要求;另一方面,该要求也可能并不是简单重复第七条关于公开隐私政策等个人信息处理规则的要求,而可能进一步指向包括了披露个人信息运作相关的平台运作机制,例如平台介绍、网络安全保护机制、SDK具体应用机制、标签应用场景、自动化决策的算法、常见问题等。考虑当前对第五十八条具体适用仍有待细化,“平台规则”的外延和内涵有待后续补充,但当前不少头部互联网平台都设有法律规则汇总页面以及开发者平台的规则中心,这些实践可以在当下为平台处理者制定《个信法》下的公开规则提供一定的参考价值;此外,平台处理者还可以参考电子商务平台根据《电子商务法》第三十二条制定公开平台交易规则的具体实践,来落实在《个信法》下的平台规则公开方式方法。
3. 对严重违法违规的平台内产品或服务停止提供服务
大型互联网平台自身即是生态圈,其中的产品和服务不仅由平台运营者自身提供,还可能由进驻的第三方商家以及用户提供。对于大型平台而言,第三方产品和服务可能良莠不齐,若管理不善则可能广泛存在对个人信息的侵权行为。在《个信法》生效前,《网络安全法》《民法典》仅笼统地规定了个人信息处理者保护个人信息的义务,停止违法违规处理个人信息行为的义务往往仅限于个人信息主体提出权利请求,或处理者发现违法违规事项后,但并没有明确采取积极制止措施的义务。而《网络信息内容生态治理规定》虽然规定了网络信息内容服务平台的管理主体责任,要求平台方建立完善的账号管理、信息审核、实时巡查等积极的生态治理机制,但该主动审查义务仅限于对色情、暴力、恐怖等违法违规的信息内容,并未延伸到违法违规处理个人信息。
为此,第五十八条第(三)款要求平台处理者“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”,对平台施加了个人信息保护的监督义务。然而,该条款仅规定了停止提供服务的要求,但并没有就平台是否以及如何采取措施发现严重违反法律法规的处理行为进行细化,也未明确平台处理者是否以及如何建立相应的主动监管机制。该条在后续的实施中,平台将被多大程度施加积极的个人信息处理管理责任与审核义务,有待后续观察。当前情况下,平台可以参照《网络信息内容生态治理规定》的平台方内容监管实践以及《电子商务法》下电子商务经营者对产品质量、消费者权益、知识产权、网络安全与个人信息保护等方面的保障与监督实践,制定相应的平台个人信息主动管理机制。
4. 个人信息保护社会责任报告
发布企业社会责任(CSR)报告是平台自律的重要表现形式之一。传统的企业社会责任主要包括经济责任、文化责任、教育责任、环境责任等,其关注点也往往聚焦在可持续发展、公益活动、劳工权益等方面。而信息技术和互联网的发展为企业社会责任议程增加了新的课题,如网络安全、数据管理、个人信息保护和网络平台责任等。互联网具有“技术工具”和“信息平台”的双重属性,在其边界不断扩大的同时,大规模的市场将影响成千上万的个人信息主体,有必要将个人信息纳入企业社会责任的考量范围。因此,许多企业都逐渐开始在其企业社会责任报告中披露个人信息保护的具体情况。例如,腾讯提出了“科技向善,数据有度”的隐私保护理念,并强调“把个人信息和数据安全放在优先地位”。[14]
然而,互联网平台往往只在其集团年度社会责任报告中设置某一小节披露个人信息保护情况,篇幅较短,内容也不甚充分,且部分互联网平台甚至未在其企业社会责任报告中披露与个人信息保护有关的内容;此外,考虑到此前并无强制的法律法规要求,部分互联网平台并非每年发布都会发布企业社会责任报告。《个信法》将定期发布个人信息保护社会责任报告作为互联网平台的法定义务,能够有效提升企业合规意识,促进平台自律。
当前互联网平台在其企业社会责任报告中披露的个人信息保护相关内容包括但不限于隐私保护方法、合规管理体系、数据保障措施等。例如,在数据安全保障方面,部分互联网平台会在其企业社会责任报告中声明其已实施网络安全等级保护评级与备案,且获得ISO等隐私信息管理体系认证;在用户权利实现方面,某些平台还会在报告中披露其响应数据主体请求的次数。然而,鉴于《个信法》并未详细说明个人信息保护社会责任报告应当包含的内容、发布报告的频率、社会监督的方式等问题,具体的实施方式仍需法律法规进一步释明。
四、企业宜如何应对平台处理者特殊监管要求?
《个信法》即将在11月1日正式生效,留给互联网平台落地各项合规举措的时间已不足两个月。在《个信法》体系下的法规、指南、标准均未出台的情况下,互联网平台应当如何履行《个信法》第五十八条规定的平台义务?
在平台主体认定层面,企业首先应当基于《个信法》第五十八条之规定,从服务的重要程度、用户数量、业务类型等方面综合评判自身是否落入“平台”的范围内。在法规未进行细化的情况下,企业可适当参考境外立法以及其他领域立法。同时,企业应当自行或通过行业协会与监管部门积极沟通,明确“平台”的认定标准等问题。比如在《数据安全法》生效前,工信部就曾委托中国互联网协会召开头部平台座谈会,召集12家互联网企业参加,并就强化平台数据管理责任,明确数据安全责任人,加强重要数据安全评估和出境管理等问题作出指示。[15]
在合规义务层面,在考虑到信息的第三方审计、隐私保护社会责任报告等行业最佳实践于企业而言同时也是十分有效的宣传媒介,因此如企业认为自身可能被认定为“平台”,应当尽可能贯彻落实第五十八条之义务,一方面能规避合规风险,另一方面可提升正面形象。考虑到当前监管尚未出台第五十八条的实施细则,企业在贯彻落实平台特殊义务时,可以如本文第三章所述,比照参考此前其他领域的法律法规相关制度,从严解释第五十八条以推动合规方案的落地,如参考《经营者集中审查暂行规定》设置独立监督机构、参考《电子商务法》和产业实践制定公开的平台规则、参考《网络信息内容生态治理规定》与《电子商务法》建立积极的个人信息审查与治理机制等。
五、结语
《个信法》第五十八条的平台处理者特殊义务,不仅体现了数字经济时代下对用户个人以及其他市场参与者的特殊保护,更是从国家安全与公共利益出发,面对平台经济为市场带来的巨大机遇与冲击而充实监管工具库、实现敏捷监管治理的必然要求。将大型互联网平台的“守门人”规则从竞争法延伸至个人信息保护领域,体现了我国对互联网经济的敏锐观察与强化数据保护的决心,也揭示了我国平台企业的数据合规之路任重而道远。我们将持续关注平台处理者义务后续实施细则的出台与行业实践动态,与大家共同探讨我国平台经济繁荣发展大背景下平台数据治理与保护新路径。
向下滑动阅览
脚注:
[1] 王磊:《加快推进互联网平台竞争监管现代化》,载《现代研究》2020年第11期。
[2] 高薇:《平台监管的新公用事业理论》,载《法学研究》,2021年第3期。
[3] 《我国已完成29万款APP技术检测对1862款违规APP提出整改要求》,网址:http://www.gov.cn/xinwen/2021-04/22/content_5601266.htm,最后访问日期:2021年9月21日。
[4] 参见薛澜,赵静:《走向敏捷治理:新兴产业发展与监管模式探究》,载《中国行政管理》2019年第8期。
[5] 参见 张守文:《数字经济与经济法的理论拓展》,载《地方立法研究》2021年第1期。
[6] 参见 张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第3期。
[7] COMMISSION STAFF WORKING DOCUMENT IMPACT ASSESSMENT Accompanying the document PROPOSAL FOR A REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC.
[8] 吴沈括、胡然:《数字平台监管的欧盟新方案与中国镜鉴——围绕<数字服务法案>、<数字市场法案>提案的探析》,载《电子政务》2021年第2期。
[9] Mobile Privacy Disclosures Building Trust through Transparency, https://www.ftc.gov/reports/mobile-privacy-disclosures-buildingtrust-through-transparency-federal-trade-commission, 转引自同注释6。
[10] 同注释6。
[11] 同注释6。
[12] 同注释6。
[13] 例如,《关于附加限制性条件批准丸红公司收购高鸿公司100%股权经营者集中反垄断审查决定的公告》,商务部公告2013年第22号。
[14]《2019腾讯社会责任报告:向善力》,网址:https://static.www.tencent.com/uploads/2020/11/20/080fa12557087ba52b7ac4bef6504359.pdf ,最后访问日期:2021年9月22日。
[15] 《工信部召集12家互联网平台开会 要求落实<数据安全法>》,载自财新网,网址:https://www.caixin.com/2021-07-30/101748909.html ,最后访问日期:2021年9月22日。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
林云汉
律师
合规业务部
屈尘
律师助理
合规业务部
感谢实习生王璐瑶对本文的贡献。
责任编辑:魏雪婷
编辑:刘斯然
网络安全、数据合规与治理团队专题人工智能:
积跬步,至千里——算法治理之互联网信息服务算法推荐管理 2021-08
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
知我者,当谓我心忧:个人信息自动化决策的法律规制与合规要求 2021-09
斯人已逝,生者如斯—浅析死者个人信息权利 2021-09
数中有术、术中有数——数据权益理论与司法实践探析(下篇)2021-08
数中有术、术中有数——数据权益理论与司法实践探析(上篇)2021-07
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
新起点、新征程:《数据安全法》时代下的数据安全与发展 2021-09
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦