查看原文
其他

张新宝 | 个人信息保护立法:设置“守门人”义务

北大法宝 2021-10-27

The following article is from 教授加 Author 张新宝


⊙ 本文长约4400字,阅读需时11分钟  

本文来源:教授加原创栏目“新宝看法”

编者按:个人信息保护问题深受关注,《个人信息保护法》迫在眉睫。2020年12月,大量明星健康宝照片在代拍群中有偿交换;2021年1月,拼多多用户参与领红包活动被远程删除照片。手机、iPad、笔记本电脑等电子产品在提供生活便捷的同时,也存在侵害个人信息安全的隐患。个人信息保护立法应该从哪里入手?谁能保护我们的个人信息不受侵犯?听张新宝在线说法!


张新宝:中国人民大学教授、博士生导师;中国法学期刊研究会会长;教育部长江学者特聘教授;全国“十大杰出中青年法学家”。



与第一次审议稿的一个重要变化是增加了第57条的规定,给大型在线平台企业设置了个人信息保护方面的义务。以下讨论相关问题并提出完善该条的建议,回应立法部门征求修改意见的要求。

一、“守门人”的界定


二次审议稿第57条规定的“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”是指大型在线平台企业,在个人信息保护方面担当着“守门人”的角色,主要包括以下三类:一是应用程序分发平台。这些平台面向用户搜索并向用户推荐APP,提供APP的下载,如苹果、谷歌、华为、腾讯、百度分别都提供了自己的应用商店。二是操作系统。操作系统为APP提供运行所需的技术资源,特别是移动终端的操作系统提供了为数众多(如安卓系统设置的权限超过100个)的系统权限供APP调用,例如网络访问、通讯录、摄像头、麦克风、电话、公共区域读写等。常见的操作系统有苹果的IOS、谷歌的安卓,以及国内各手机厂商在安卓基础上定制开发的操作系统。三是大型平台APP。这些平台利用其从操作系统已获得的技术资源和自身的流量资源,搭载了大量的第三方小程序,省掉了用户下载、安装、注册、卸载APP的过程,实现了“即点即用”。平台APP向小程序提供部分个人信息,同时小程序还能调用平台APP已经获得的系统权限进行个人信息收集。目前这类平台在国内以微信、支付宝为代表,对于小程序来说,平台APP实际上同时控制了其技术环境和运营环境。

二、设置“守门人”义务的必要性与可能性


(一)我国监管实践所需要


自生效后,中央网信办、工信部、公安部、市场监管总局、人民银行等部委积极开展个人信息违法违规收集使用专项治理工作。治理工作的主要思路是围绕着APP或者经营企业本身,开展一系列检测评估、通报问题、督促整改、下架处罚等工作。

以2019年为例,各部委对外公开检测的APP数量共计不超过5万,通报的问题APP数量共计不超过3000个。上述治理工作取得一定的成效,一些违法违规的现象得到了遏制。但是,相关问题仍然很突出:APP没有隐私政策、未说明收集使用个人信息的规则;未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围;以默认选择同意隐私政策等非明示方式征求用户同意;要求用户一次性同意打开多个可收集个人信息的权限,不同意则无法使用等等。
当下公众对APP收集个人信息的各类问题仍然反应强烈,究其主要原因,一是APP数量众多且层出不穷,监管部门开展的针对APP的治理方式难以做到全覆盖,也间接出现了政府主导下的各部门“多头”治理,从而导致个人信息保护行业生态发展无所适从的尴尬局面;二是APP个人信息收集的行为和方式本身在不断地演变,经常出现评估覆盖的范围过窄或失效问题,导致无法从根本上消除产生个人信息保护问题的根源。此外,个人信息在使用、对外提供等都处于不透明的状态,用户的各项权利得不到保障,最终导致安全感缺失。
“一个一个去评估”“一个一个去整改”不适应目前海量APP收集、使用个人信息的客观情况,而应当强调从关键环节入手,产生“卡脖子”效应。

(二)强化平台治理逐步形成全球共识

欧盟制定的《数字服务法(草案)》《数字市场法(草案)》,反映了这一立法趋势。
《数字服务法(草案)》规定了为商品、服务和信息内容提供中介服务的数字服务商应承担的义务,对这些平台创设了强有力的透明度要求和问责机制,从而构建更加公平、开放的欧洲数字市场。《数字服务法(草案)》针对具有重大社会和经济影响的超大型在线平台(在欧盟至少有4500万用户,占总人口的10%)专门提出了增强的安全要求,最显著的是超大型在线平台有义务采取风险管理措施,包括对风险管理措施进行独立审计,来防止系统滥用于非法内容和虚假宣传活动(例如竞选操纵、犯罪活动、恐怖主义和虚假新闻)。
《数字市场法(草案)》更是牢牢抓住关键环节。其条文仅适用于根据法案中的客观标准被认定为“守门人”的大型在线企业。欧盟认为“守门人”通常控制着至少一种核心平台服务(如搜索引擎、社交网络服务、某些信息服务、操作系统和在线中介服务等),充当着企业用户连接消费者的重要门户,拥有持久、庞大的用户基础,在欧洲数字市场占据或预期占据稳固而持久的地位,因而在事实上拥有规则制定的权力。通过加强对守门人平台的规制与监管,防止科技巨头对企业和消费者施加不公平条件,《数字市场法(草案)》旨在促进欧洲数字市场的创新、增长和竞争,帮助中小企业和初创企业发展和扩张,从而确保重要数字服务市场的公平性和开放性。

(三)企业的有益实践经验

苹果公司同时提供手机操作系统和应用程序分发两项服务。近年来苹果公司从这两项服务入手,推出了个人信息保护的有利举措。最新的iOS 14操作系统新增了个人信息保护功能:

一是在麦克风或摄像头被占用的时候,会发现右上角出现“圆点”,提示用户有APP占用麦克风或摄像头,并支持用户通过点击“圆点”以了解正在调用权限的APP。这个功能可有效应对APP涉嫌偷听用户对话,进而推送商品广告的问题。二是当某个应用读取剪贴板时,iOS 14会弹出通知,说明是哪个应用访问了剪贴板。这个通知不仅提醒用户仔细检查,以确保没有被收集到关键数据,而且还缓解了人们对数据未经同意被采集的担忧。三是允许用户可以选择只向应用授权相册中的部分照片。如允许APP访问的权限设置为“选中的照片”时,便无法通过应用读取或发送相册中的其他图片,如权限设置为“仅添加照片”时,则只能新增照片,不能访问相册。近期发生的“拼多多APP远程删除照片事件”,说明当APP获取“存储”等权限时,具备随时读增删改手机中文件的能力。苹果的权限设计能够有效避免此类权限滥用的现象。四是用户可以自由选择授予APP以自身的“精确位置”或“大致位置”,即让APP访问你在约26平方千米范围内的大致位置。这个功能配合“定位服务”中的紫色箭头显示,可以使用户非常方便地获知自己的位置信息最近被哪些APP获取,并及时做出应对和调整。五是苹果开始强制要求所有APP在收集广告ID用于广告追踪前单独弹窗告知用户,征求用户对于广告追踪的许可,用户可以允许或拒绝不同APP对广告ID的收集。征求跟踪许可的措施将原本隐藏于后台的广告追踪设置推到了前台,不仅让更多用户了解广告追踪的存在,也让用户全面掌握了这一权限的“生杀大权”,相当于阻断了原来“默认开启”的追踪功能。该项功能可有效降低用户经常抱怨的跨站、跨APP、跨平台推送广告的现象。在应用程序分发方面,自2020年12月开始,APP Store产品页面新增了一个隐私处理说明版块,提供开发者自行报告的摘要,以简洁易读的格式帮助用户了解开发者如何收集和使用个人信息,如位置、浏览历史和联系人等信息。用户可以了解这款APP可能收集的一些信息类型,以及这些信息是否用于与用户关联或追踪目的。此举既为了提高数据透明度,也为让用户对数据有更好的掌控。

三、设置“守门人”义务的合理性


(一)场所(路径)控制理论

法治的一般原理认为,任何人对自己控制的场所(路径)负有相应的安全保障义务与责任。即使是在网络空间,“守门人”承担与技术发展水平相适应且在经济上具有合理性的适当安全保障义务也是必要的。既然操作系统、应用程序分发平台、大型平台APP为第三方APP或小程序提供了运行所需的技术环境和运营环境,即应当对借助其所提供的环境开展运营的APP进行合理的监督,包括个人信息保护方面的合理监督,以保护公众的个人信息。

(二)经济上的合理性

在关键环节的资源投入比在无数分散环节和场景投入资源保护个人信息更具有经济合理性。面对百万级的APP运营者,关键环节的守门人数量有限。我国国内常用的应用分发平台不超过8个;移动终端操作系统不超过10种;具搭载小程序的大型APP平台目前不超过5个。与其面对海量的APP一个个进行监管,为提升效率更好的做法是将部分的监管责任前移到关键环节的守门人身上,他们有技术能力、有人力资源来审核希望借助其技术和运营环境的海量APP,为个人信息保护树立起一道闸门。全行业的义务设置不影响“守门人”之间的公平竞争。关注个人信息保护的守门人已经采取了一些自发的措施,如美国的苹果公司和国内的小米公司。但面对立场和取向不同的守门人,出于竞争的考量,其推动个人信息保护的力度和创新程度会有所延缓或小心翼翼。通过对所有的守门人设定统一的个人信息保护义务,有利于树立行业取向,以及拉平合规底线。

四、对二次审议稿第57条的具体修改意见


二次审议稿第57条,向着设置“守门人”个人信息保护特别义务迈出了正确的一步:第五十七条 提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督。结合以上论述,我认为这个条文可以进一步做如下修改:第57条(修改建议稿·“守门人”的个人信息保护义务)控制个人信息处理的关键环节,为其他个人信息处理者处理个人信息提供通道、空间、技术等资源的互联网营运者,应当履行下列义务:(一)制定符合国家法律法规等规定要求的个人信息保护标准的准入规范,拒绝不达标的个人信息处理者使用其所管控的通道、空间和其所提供的服务。(二)利用必要的技术手段,对使用其所管控的通道、空间和使用其所提供的技术服务的个人信息处理者的日常个人信息处理行为进行监管,于必要时提出警告和整改意见。(三)建立相关的投诉受理和处置机制,处理用户投诉。(四)配合国家个人信息保护机构对违反个人信息保护法律法规的个人信息处理者的调查处理。(五)下架违法违规处理个人信息的互联网应用程序和产品,停止相关服务。(六)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。(七)定期发布个人信息保护社会责任报告,接受社会监督。本条所称“控制个人信息处理的关键环节,为其他个人信息处理者处理个人信息提供通道、空间、技术等资源的互联网营运者”,由履行个人信息保护职责的部门依其所制定的标准进行认定并定期发布名录。


-END-


编辑排版丨王梦雨

审核人员丨张轶辰、孙静、蒋秋怡

本文声明丨本文章仅为交流之目的,不代表北大法宝和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。 


▼往期精彩回顾▼


国家法律法规数据库重磅上线!北大法宝还有用吗?

重磅,中国三孩生育政策来了

浙大刑法分论神考题再现 | 试管婴儿引发的血案

女博士帮丈夫落户北京,约定“离婚要赔1000万”,法院怎么判?

官方版正式亮相,刑法典还会远吗?

建议收藏 | 77种非法证据清单(2021年版)



点击下方相应图片识别二维码

获取更多信息

北大法宝

北大法律信息网

  法宝学堂

北大法宝智慧

法务研究院


: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存