记者 王俊 见习记者 钟雨欣 北京报道
编者按:作为中国首部专门个人信息保护的专门性法律,个人信息保护法千呼万唤始出来。颁布一年后,个人信息保护法给企业运营、社会公众带来了哪些影响,仍有哪些地方需要完善改进?-南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。在个保法即将实施一周年之际,抛出备受关注的关键话题,以期能引来更多的探讨,推动这部法律的实施。
(资料图片)
每天,有1/3的人类线上行为都要受到Meta平台政策的约束。
2022年一季度,Meta旗下的社交软件Facebook、Instagram、Messenger、WhatsApp等每日平均活跃人数(DAU)为28.7亿人,超过世界人口的1/3;其中,仅Facebook的DAU就高达19.6亿人。
这或是数字经济时代的一种“等价交换”——作为买方的用户通过让渡部分“自由”来与平台交换“便利”。
卖方的“Meta”们,掌握着海量用户数据支配权以及平台规则制定权,因此被要求承担“守门人”的义务。
在大洋彼岸如此,在中国也是如此。
2021年8月,中国《个人信息保护法》创设性提出了“守门人”条款。但一年过去,中国的“守门人”制度似乎仍呈现一定程度的“水土不服”。
谁来“守门”?
“数字守门人”,常被解释为看门人、关守、网守、守望者等,在互联网领域,泛指守卫网络入口的人和控制访问的人。
坐拥庞大用户数量以及绝对技术与数据优势的平台巨头,掌管着人们进入互联网世界的信息入口,形塑公众的行为习惯,也改变着数字经济社会秩序,逐渐构建起自身的数字王国。
素来警觉的欧洲大陆,对于平台巨头的支配力量日渐敏感,就此掀起对监管风暴,并经数年探讨将“数字守门人”引入立法。
2021年8月20日,中国《个人信息保护法》颁布,创设性提出了“守门人”条款,在58条以4个款项200余字,规定了“守门人”平台需承担的义务与责任,以期抓住个人信息保护的关键和核心环节。
不过,欧盟的数字守门人是基于竞争法或者管制角度设计,移植到个人信息保护领域是否能发挥其作用?在个人信息保护领域,哪些平台企业会被纳入“守门人”,他们将如何在实践中践行法律规定?原则性条款如何落地?个人信息保护与反垄断在数字经济领域的竞合关系日趋明显,该如何平衡,怎么避免“责任”的滥用?
这一系列的问题决定着“守门人”制度能否在实践中展现自身的生命力。
个人信息是数字时代的原材料,其叠加累积形成的大数据,是平台企业竞争的关键,可以帮助企业预测、营销、决策、发展、竞争。所谓的流量争夺,背后是用户以及用户个人信息的争夺之战。
有争夺便会有损害,违法违规或过度收集个人信息、滥用个人信息情况伴生。中国社会科学院法学研究所副所长、中国法学会网络与信息法学研究会负责人周汉华表示,互联网平台对于促进数字经济发展发挥着重要作用,但随着互联网平台企业的壮大,逐渐出现了一些超级平台利用数据优势阻碍竞争、侵害用户权益等现象,加强对互联网平台特别是超级平台的治理已经成为全球共识。这种情况下,《个人信息保护法》加入“守门人”条款是有必要的。
中国人民大学法学院教授张新宝主张强化大型互联网平台的个人信息保护义务,抓住互联网治理的关键和核心环节,就此引入“守门人”概念,被纳入《个人信息保护法》。《个人信息保护法》第五十八条对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”课以特别义务。
然而,谁来“守门”?目前仍缺乏“考量”标准,“用户数量巨大”、“业务类型复杂”该如何理解?
张新宝认为,大型互联网平台企业是指控制着商业用户(个人信息处理者)触达终端用户(个人信息主体)的主要渠道、用户规模大、计算能力强且产业覆盖面广的互联网平台经营者。
在他看来,“守门人”应包括移动终端操作系统、应用程序分发平台和平台型App。他特别指出,“守门人”条款规定的是平台而不是公司,不是以法人独立的单位划分的,而是以平台划分的。大型互联网平台企业可能是几家独立的公司,但只要处于一个平台就属于规定范畴内。
参考《互联网平台分类分级指南(征求意见稿)》对平台的划分方式,张新宝表示,《个人信息保护法》第58条“大型互联网平台企业”应对标超级平台经营者与大型平台经营者。“因为超大平台只有几个,只规制超大平台,那法律条文便失去意义。《指南》里提到的大型平台也应属于第58条的规定范畴。接下来可以再继续制定实施细则,或者通过法院的案件审判来明确具体裁量标准。”
不过,个人信息保护领域中的“守门人”如何与竞争法视角下的“守门人”融合、平衡,侧重点是否应有不同?如何划定范围?目前来看,“守门人”制度的第一关,“谁来守门”仍未确切定论。
“守门人”难当
执行难是制度落地的第二个关卡。
首先的考验来自标新立异的法律规定。《个人信息保护法》第58条第一款规定,“守门人”平台应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
这个规定让不少互联网平台望而却步。面对全新的事物,除腾讯、携程发布了相关招募启事外,大型平台企业都保持沉默。
南方财经合规科技研究院院长虞伟曾指出,国内相关法律法规中尚未出现过类似提法,甚至在隐私保护最为严格的欧洲,都未有过针对企业个人信息保护设立外部独立监督机构的先例。
携程方面向记者表示,组建外部监督专家团是希望能通过引入第三方独立机构监督和评估产品或服务,提出意见建议,从而进一步完善个人信息保护工作,保障用户权益。
携程相关负责人介绍,通过公开发布“个人信息保护外部监督专家团”招募公告,公司对报名情况进行汇总和遴选,最终确定了9位专家监督员,包括资深的旅游行业专家、法学教授、律师、媒体代表等,不排除今后根据实际情况补充成员的可能性。
“我们建立了专家团专项工作群,该工作群由公司个人信息保护负责人、法务负责人与各位专家组成,以便专家能够随时对携程个人信息保护的相关工作提出指导意见和建议。在收到意见建议后,我们会立即安排相关工作人员进行调查,并第一时间反馈调查结果或解决方案。同时,携程根据实际情况,不定期向专家团汇报个人信息保护方面的工作进展。专家团还会结合热点案件分享专业经验,帮助携程进一步完善个保工作。”携程相关负责人表示。
虽然已有企业率先“破题”,但个人信息保护法颁布一年后,大部分互联网平台企业仍“按兵不动”,尚未公布设立“独立机构”监督个人信息保护情况的相关消息。
有观点认为,出现上述现象的一个原因在于企业对于法条的理解有难度。张新宝认为,“独立监督机构”应内设于大型互联网平台企业,与企业的日常经营管理部门隔离,独立进行个人信息保护监督,而不应该是独立的社会监督机构或国家机关。
“独立监督机构是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。”张新宝告诉记者。
作为一个仍在探索中的制度,还有诸多问题亟待解决:外部监督机构能否实现真正“独立”?如何保障监督效果?企业如何把握向外部监督机构披露信息的尺度?
虽然,目前相关部门正在起草“大型互联网企业个人信息保护监督机构”相关国家标准,配套的细化规则落地后,相关企业开展合规工作将有更清晰的依据和指引。
但距离中国的互联网企业都能进入“守门人”角色,似乎仍有一段长路要走。
“守门人”权力滥用的迷思
即便互联网企业能快速进入“守门人”角色,又伴生出另外一个风险——“守门人”权利滥用。
“守门人”条款规定了相关平台企业应履行的四项义务,在“能力越大,责任越大”的立法逻辑之下,不少声音担忧责任被异化。
大型平台不仅仅是一个经营个体,更具备管理者的身份,这种身份是否会借个人信息保护的名义被滥用,是立法时争议最大的。
对此,个人信息保护法草案二审稿时增加了“守门人”第二项要求,即相关平台应“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”,回应了“制度滥用”争议。
张新宝告诉记者,二审稿中新增该项规定有两项理由:一是《电子商务法》第32条作出了类似规定,“电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。”二是决策者认为要在公平、公开、公正的基础上来制定平台规则,平台规则不能成为企业自身实施不正当竞争、强化垄断的工具。
张新宝认为,大型平台制定平台规则之后,国家需要审查相关规则是否达到了公平、公正、公开的要求,是否贯彻了个人信息保护法的原则和精神。
“守门人”条款第三项也提及,相关大型平台应“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。企业作为民事主体,这种“执法”应当是谨慎的,尤其是做处罚决定时,如果在判断标准不明的情况下停止提供服务可能会引发争议。
中国社科院大学竞争法研究中心执行主任韩伟从反垄断的视角提出看法,新修订的《反垄断法》也强调了经营者不得利用平台规则从事该法禁止的垄断行为,与《个人信息保护法》“守门人”相关条款构成衔接关系。值得注意的是,个人信息保护与反垄断在数字经济领域的竞合关系日趋明显,且呈现出统一与冲突的复杂关系,个人信息“弱保护”与“强保护”近年在国际上均出现反垄断案例。反垄断法律制度在个人信息保护方面整体处于辅助角色,且应遵循竞争机理,即关注企业之间围绕个人信息保护的竞争水平维系。
他认为,就《个人信息保护法》的“守门人”制度而言,由于该制度运行效果仍待实践检验,建议该法实施初期不宜将“守门人”范围覆盖过宽。独立监督机构这一规则的推进过程中,还需警惕不同主体的“经济人”逐利性以及被“俘获”的可能性,避免制度效果变异。
周汉华建议,在配套政策制定层面,期待国家网信办出台大型平台的具体认定机制和标准,动态发布被认定为大型平台的名单,并就大型平台社会责任报告提供具体指引目录。此外,还可以结合实践中相关平台企业发布社会责任报告的情况,适时选出最佳实践予以引导和推广。
被寄予厚望的中国“守门人”制度如何发挥其在个人信息保护领域的效用,看起来道阻且长,考验监管智慧,也考验守门人平台的决心。