查看原文
其他

刘颖:《个人信息保护法》中的“守门人”条款 | 北方法学202106

【作者】刘颖(深圳大学法学院访问教授;暨南大学法学院教授、博士生导师,法学博士)
【来源】北大法宝法学期刊库《北方法学》2021年第6期(文末附本期期刊目录)。因篇幅较长,已略去原文注释。


内容提要:大型平台是数字经济的关键构成要素,在终端用户与商业用户的交易中发挥着中介作用,承担着二者之间守门人的角色。我国《个人信息保护法》借鉴了欧盟《数字市场法提案》和《数字服务法提案》,设专条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的“守门人”进行了规范,要求其建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,制定平台规则明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。“主要由外部成员组成的独立机构”存在争议,且与“个人信息保护负责人”存在职能重叠,其关系有待厘清。定期的风险评估应成为个人信息保护合规的重要内容。在实践中应对“提供重要互联网平台服务、用户数量巨大、业务类型复杂”进行限制解释,以更好地促进数字经济的发展。

关键词:个人信息保护法;守门人条款;大型平台;数字经济

目次

引言

一、欧盟法制中的超大型在线平台与守门人

二、我国“守门人”对个人信息保护进行监督的独立机构

三、我国“守门人”个人信息保护合规制度体系中的风险评估

结语


引言


  大型平台伴随着强大的网络效应而出现,深深嵌入自己的平台生态系统中。这些平台是数字经济的关键构成要素,在终端用户与商业用户的交易中发挥中介作用,承担着二者之间守门人的角色。对于商业用户而言,大型平台可能利用其信息优势地位构建市场准入壁垒,影响电子商务的竞争秩序;对于终端用户而言,大型平台可能凭借其信息优势地位侵害终端用户的权益。为了强化大型平台在个人信息保护中的责任,我国《个人信息保护法》第58条规定:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(4)定期发布个人信息保护社会责任报告,接受社会监督。”该规定借鉴了欧盟《数字服务法提案》(Proposal for Digital Services Act,以下简称DSA)以及《数字市场法提案》(Proposal for Digital Markets Act,以下简称DMA)的成果,规定了重要互联网平台作为特殊的个人信息处理者应承担的特殊义务。


  互联网平台,在我国相关立法中也称为电子商务平台或第三方平台,是指在网络交易活动中为交易双方或者多方提供网页空间、虚拟经营场所、交易规则、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的信息网络系统。《个人信息保护法》第58条要求,重要互联网平台作为特殊的个人信息处理者应将个人信息保护问题与环境保护等问题一样作为履行企业社会责任的重要内容,定期发布个人信息保护社会责任报告,接受社会监督,并对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。《个人信息保护法》第58条还要求,重要互联网平台作为特殊的个人信息处理者应当履行以下义务:第一,按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;第二,遵循公开、公平、公正的原则制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。前者是对重要互联网平台自身的要求,后者是要求重要互联网平台制定平台规则以约束平台内产品或者服务提供者。对“基础互联网平台”的单独规范是在《个人信息保护法(草案二次审议稿)》中加入的,当时引起了较大的争议。有学者认为,该条款属于宣誓性质,有关规则不够明确亦缺乏可操作性。本文结合DSA、 DMA及《欧盟一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)阐述《个人信息保护法》第58条要求的对个人信息保护情况进行监督的“独立机构”问题、风险评估纳入“个人信息保护合规制度体系”问题及对约束平台内产品或者服务提供者的“平台规则”的主要内容问题。


欧盟法制中的超大型在线平台与守门人

  

  DSA、 DMA是欧盟近20年来数字经济领域的重要立法提案。早在2000年,欧盟就制定了《电子商务指令》(Directive on Electronic Commerce),以实现其“确保成员国之间信息社会服务的自由流动来促成统一内部市场的有效运行”的目标。《电子商务指令》规定了以下主要内容:(1)商业通讯规则;(2)电子合同规则;(3)纯粹管道传输服务(mere conduit)、缓存服务(caching)、宿主服务(hosting)等中间服务提供者(intermediary service providers)的责任;(4)电子商务环境下的消费者保护;(5)庭外争端解决机制。《电子商务指令》为欧盟各国提供数字服务确立了横向法律框架(horizontal legal frame work),成为调整欧洲单一市场数字服务的基石。在过去的20年间,在线平台为消费者和社会创新创造了巨大的利益,促进了欧盟内外的跨境贸易。但与此同时,在线平台也被滥用于传播非法内容、在线销售非法商品或服务。一些超大型平台已经成为信息共享和在线贸易的准公共空间,对用户权利、信息流动和公众参与产生特别的风险。因此,数字服务的规则需要更新和完善。2020年,欧盟委员会提出的DSA以《电子商务指令》的规则为基础,调整在联结消费者与货物、服务及内容时充当中介角色的数字服务,聚焦在线中介(online intermediary)产生的特殊问题,如非法内容传播、平台透明度低、缺乏有效保护平台用户的规则以及超大型在线平台(verylarge online platform)利用优势地位侵害平台用户权利等问题。针对上述问题,DSA主要规定了以下方面的内容:(1)打击包括商品和服务在内的在线非法内容措施;(2)在线市场中商业用户可追溯性(traceability)的规则;(3)有效保障用户权利的规则;(4)广泛的在线平台透明度措施;(5)超大型在线平台的额外义务,如风险评估(risk assessment)、设立合规官(compliance officer)、独立审计(independent audit)等;(6)研究人员获取关键平台(key platform)数据的规则;(7)处理在线空间复杂性的监督结构等。


  鉴于中介服务提供者将消费者与商品、服务和内容连接起来,DSA规定了中介服务提供者的相关义务。DSA吸收《电子商务指令》有关中介服务的规定,将中介服务(intermediary service)区分为纯粹管道传输服务、缓存服务及宿主服务。其中宿主服务包括储存由服务接受者提供的信息或应服务接受者要求储存的信息。DSA将在线平台(online platforms)定义为一种宿主服务提供者(providers of a hosting service),根据服务接受者的请求储存信息以及向公众提供传播信息的服务。但是,当该活动仅是另一项服务的次要和纯粹辅助性服务,且由于客观和技术原因,没有该另一项服务就不能使用时,服务提供者提供的服务就不是宿主服务。在DSA中,在线平台是宿主服务的一个子类别,包括社交网络(social networks)、内容分享平台(content-sharing platforms)、应用商店(app stores)、在线市场(online marketplaces)、打车服务(ride hailing services)、在线旅游(online travel)和住宿(accommodation)平台等。DSA将每月在欧盟的活跃服务接受者数量至少有4500万,占欧盟总人口10%的在线平台界定为超大型在线平台。作为中介服务提供者中宿主服务提供者的一种,超大型在线平台在数字经济中发挥着重要作用,但其可能产生的系统风险(systemic risk)也将会对数字经济产生严重的负面影响。


  DSA第3章规定了中介服务提供者负有保证在线环境透明、安全的勤勉尽责义务。其中第1节规定了所有中介服务提供者应承担的一般义务,如设立联系人(第10条)、在其服务条款中说明对服务接受者使用其提供的信息可能施加的任何限制(第12条)以及在删除和禁用被认为是非法内容或违反中介服务提供者条款的透明度报告(第13条)。第2节针对中介服务提供者中的宿主服务提供者规定了以下义务:建立允许个人或实体通知非法内容存在的机制(第14条);如果决定删除或禁止访问服务接受者提供的特定信息,则有义务通知该服务接受者并说明理由(第15条)。第3节进一步对宿主服务提供者中的在线平台规定了以下特殊义务:第一,就声称与其条款不符的非法内容或信息作出的决定向服务接受者提供有效的内部投诉处理系统(internal complaint-handling system),使得投诉可以电子方式提出并不收取费用(第17条)。第二,第17条所述决定涉及的服务接受者,有权选择经认证的庭外争端解决机构,以解决与该决定有关的争议(第18条)。第三,如果在线平台允许消费者与经营者签订远程合同(distance contract),在线平台应事先获得经营者的姓名、地址、身份证件复印件、银行账户等信息,存储、尽合理努力评估经营者的可靠性并发布经营者的有关特定信息,以保证经营者的可追溯性(第22条)。第四,在提交庭外争端解决的争议数量、自动化内容审核方面提交透明度报告(第23条)。第五,在线广告的透明度,即发布广告的在线平台服务接受者能够识别展示的信息是广告,以及展示的广告所代表的自然人或法人(第24条)。


  由于服务接受者的数量众多,且在欧盟境内有重大经济影响,超大型在线平台在促进公众辩论、经济交易,传播信息、观点和思想以及影响接受者如何在线获取和交流信息方面具有重要意义,其产生的系统风险可能会对欧盟产生严重的负面影响。因此,有必要使此类平台承担与其社会影响相称的最高标准的尽职义务(due diligence obligations)。DSA第3章第4节规定了超大型在线平台管理系统风险的义务。超大型在线平台必须对由其服务的功能和使用引起的或与之相关的系统风险进行风险评估(第26条),并采取合理有效的措施以减轻这些风险(第27条),还应当接受外部和独立审计(第28条)。此外,该节规定了超大型在线平台向所在地数字服务协调员或欧盟委员会和经过审查的研究人员提供数据访问的条件(第31条),以及任命一名或多名合规官以确保遵守该条例所规定义务(第32条)和特定的额外透明性报告义务(第33条)。


  虽然DMA中所涉及的一些重要数字服务包含在DSA之中,但DMA规制的重点与DSA不同。DSA侧重于为在线平台和其他中介服务建立明确的责任,以保护中介服务用户免受中介服务所带来的风险。而DMA侧重于通过规制被认定为守门人的大型平台以保持市场良好的竞争秩序。此类大型平台虽然数量不多,但依靠强大的网络效应,通过其服务将大量的商业用户与终端用户连接起来,从其活动中访问大量数据,并在数字经济中享有稳固而持久的地位。此类大型平台创建了商业集团生态系统,对整个平台生态系统进行控制,从而强化了现有的市场进入壁垒。无论现有的或新的市场运营服务提供者多么具有创新性和高效率,在结构上都极难挑战该类大型平台的地位,导致市场竞争力降低,潜在市场不能有效运作的可能性增加。不公平的做法和缺乏竞争性导致数字行业的价格较高、质量较低以及选择和创新较少的低效率结果,损害了欧盟消费者的利益。因此,欧盟需要一部规制此类大型平台的法案,以维护市场良性的竞争秩序。与DSA的调整对象有所不同,DMA所规制的对象为核心平台服务(core platform services),包括在线中介服务(online intermediationservices)、在线搜索引擎(online search engines)、在线社交网络服务(online socialnetworking services)、视频分享平台服务(video-sharing platform services)、操作系统(operating systems)、云计算服务(cloud computing services)等。在DMA中,在线中介服务只是核心平台服务的一种。DMA将运营一项商业用户到达终端用户的重要门户的核心平台服务,且在运营中具有稳固和持久的地位或者在不久的将来能够拥有该等地位的核心平台服务提供者界定为守门人,并重点对守门人进行了规范。守门人须控制着至少一项“核心平台服务”,且在欧盟多个国家拥有持久和庞大的用户基础。DMA关注经济不平衡问题、守门人的不公平商业行为以及负面后果,例如平台市场的竞争力减弱等。具体来说,成为守门人需要同时具备以下三个主要条件:(1)影响内部市场的规模。如果该公司于过去三个财政年度中在欧洲经济区(European Economic Area, EEA)的每年营业额达到或超过65亿欧元,或者该公司的平均市值(average market capitalisation)或等值公允市场价值(fair market value)在上一个财政年度至少达到650亿欧元,并至少在三个成员国提供核心平台服务。(2)作为控制商业用户接触终端用户的重要门户。如果公司运营的核心平台服务具有每月4500万设立或位于欧盟境内的活跃终端用户,并且上一个财政年度当年有1万以上在欧盟设立的活跃商业用户。(3)牢固和持久的地位或者预期拥有该等地位。如果公司在最近三个财政年度中均达到第(2)项要求,则可以推定存在牢固和持久的地位或预期拥有该等地位。即使该提供核心平台服务的公司提交充分证实的理由(sufficiently substantiated arguments)证明其为非守门人,欧盟委员会也可以根据市场调查评估该公司的具体情况,并根据评估结果将其认定为守门人。


  守门人将承担额外的特殊责任,以遵守DMA中规定的特定义务,确保企业和消费者能在公平和开放的在线环境中受益,并激发数字经济的创新性。根据DMA,被确定为守门人的公司将需要积极实施某些行为,并且必须避免进行不公平的行为。当一家公司尚未享有稳固和持久的地位但可以预见其将在不久的将来会拥有该地位时,该公司应承担一部分守门人义务,以确保该公司不会在其运营过程中实施不公平的行为。守门人的义务包括:(1)在某些特定情况下应允许第三方与守门人自己的服务进行互操作;(2)向在守门人平台上做广告的公司提供访问权限,使其能访问守门人绩效测量工具(performance measuring tools),并能访问对广告商和出版商在守门人处存储的(hosted)广告进行独立核查所需的信息;(3)允许其商业用户在守门人平台之外推广产品并与客户签订合同;(4)为其商业用户提供访问其在守门人平台上活动所生成的数据的权限;(5)不得阻止用户卸载任何预装软件或应用程序;(6)不得使用从其商业用户处获得的数据与这些商业用户竞争;(7)不得限制其用户在守门人平台之外获得服务。


  综上,DSA中的超大型在线平台与DMA中的守门人存在以下相同之处:(1)超大型在线平台提供的服务类型与守门人提供的核心平台服务中的在线中介服务的类型基本相同;(2)超大型在线平台的服务接收者数量要求与守门人的终端用户数量要求相同。因此,不论是DSA中的超大型在线平台规则还是DMA中守门人规则都对规范我国“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”具有重要的参考价值。“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”是个人信息保护中的“守门人”,《个人信息保护法》第58条对个人信息保护中的“守门人”进行了特别规定,是我国的“守门人”条款。有学者认为,我国的“守门人”主要包括以下三类:一是应用程序分发平台,通过提供应用分发服务影响移动APP触达海量用户进而进行个人信息处理活动的能力;二是移动终端操作系统,通过为移动APP提供可调用的系统权限等,影响移动APP的个人信息处理能力;三是平台型APP,能够在技术资源、运营环境两个方面显著便利和提升第三方小程序等移动APP的个人信息处理能力。我国《个人信息保护法》规定“守门人”条款,具有技术上的可行性和经济上的合理性。


我国“守门人”对个人信息保护进行监督的独立机构

  

  我国《个人信息保护法》第58规定,“守门人”应当成立主要由外部成员组成的独立机构,对个人信息保护情况进行监督。在《个人信息保护法(草案二次审议稿)》加入“独立机构”的规定时,其独立性成为争议的焦点。有学者质疑,个人信息处理者成立的监督机构其独立性将如何保障?“主要由外部成员组成的”独立机构能够在多大程度上保持独立?有学者认为,在机构运行中的资金保障问题等方面,独立性的表现是不充分的。只有独立机构不受到企业本身的制约,才能发挥其监督作用。


  有关内设监督机构,DSA第32条规定超大型在线平台应当任命一名或多名合规官,以确保遵守其所规定的义务。该条还明确超大型在线平台指定的合规官应拥有完成该任务所必需的专业资质、知识、经验和能力,并指出合规官可以是该超大型在线平台的工作人员,也可以是基于合同完成这些任务的非平台工作人员。根据GDPR第37条第1段,控制者和处理者在以下情况需要设立数据保护官(data protection officer,以下简称DPO):其一,公权力机关处理个人数据时需要设立DPO,但法院为行使司法职权处理个人数据则无需设立DPO。其二,处理个人数据的核心活动是对数据主体进行系统性的监测,如组织内部人力资源部门收集大量的雇员信息,或者平台为了持续提供数据服务而对平台用户进行的持续性监测。其三,个人数据处理的核心活动与GDPR第9条特殊类型的个人数据以及第10条所述涉及刑事定罪和违法的个人数据相关,特殊类型的个人数据与种族、宗教信仰、生物特征、性取向等数据相关。第37条第5、6段规定,控制者和处理者应基于专业资质指定DPO,该专业资质特别包括具备有关数据保护法律的专业知识以及完成GDPR第39条的任务所需的经验和能力。通过以上对合规官和DPO任职条件分析,DSA和GDPR均不认为合规官或DPO由内部人员担任会影响其履行职责。因此,由外部人员履行内设监督机构的职责仅是促进其履职过程保持独立性的一个方面,对内设监督机构的履职人员需具备相应专业资质的要求也同样重要。


  根据DSA第35条第3款规定,合规官应承担如下职责:(1)为本条例项下的目的,与所在地的数字服务协调员和欧盟委员会合作;(2)组织和监督超大型在线平台在第28条规定的独立审计中的相关活动;(3)向超大型在线平台的管理层和员工告知本条例规定的义务,并提出建议;(4)监督超大型在线平台遵守本条例规定的义务。根据GDPR第39条的规定,DPO的任务应至少包括:(1)向控制者或处理者以及履行处理义务的雇员进行告知,并提出建议;(2)监督遵守本条例、欧盟或成员国其他数据保护规定、控制者或处理者有关个人数据保护政策及相关审计活动;(3)当数据保护影响评估要求根据第35条提出建议时,提出建议并监督其履行;(4)与监管机构合作;(5)作为监管机构与处理活动的联系人。由此可以看出,合规官的任务和DPO的任务存在重叠部分:(1)通知和建议;(2)与有关的监督机构合作;(3)监督相关审计活动的合规性;(4)监督超大型在线平台或控制者(或处理者)履行义务的情况。


  在数据成为重要生产要素的今天,超大型在线平台的业务必然涉及对个人数据的处理,且要么由于其核心活动涉及对数据主体进行系统性的监测,要么由于其核心活动与敏感个人数据有关,超大型在线平台需要指定DPO。在处理个人数据时对数据主体进行系统的大规模监控是更好地提供某些服务的需要。在此合规官与DPO并存的情况下,由于合规官的监督职责不限于数据业务,其职责范围广于DPO。


  我国《个人信息保护法》第52条第1款规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”指定“个人信息保护负责人”的条件仅为处理个人信息达到国家网信部门规定数量。但是第52条第2款要求“个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。且当存在严重违反《个人信息保护法》的行为时,第66条第2款将“个人信息保护负责人”与董事、监事、高级管理人员并列为禁止在一定期限内任职的人员。据此,“个人信息保护负责人”似乎与GDPR中的DPO具有同样的地位。


  因此,根据我国《个人信息保护法》的规定,当“守门人”处理个人信息达到国家网信部门规定的数量时,既要指定“个人信息保护负责人”负责对个人信息处理活动以及采取的保护措施等进行监督,也要成立“独立机构”对个人信息保护情况进行监督。两者的职能存在重叠,两者的关系有待厘清。数字经济中的不公平行为、商业用户的准入壁垒将导致价格提高、创新减少,最终损害消费者的利益。在数字经济中规范大型平台应该成为世界共识,将来我国的数字经济法制中也将会出现监督不限于个人信息合规的“合规官”,“独立机构”与“合规官”的关系也许更是需要未雨绸缪的问题。


  至于独立机构主要由外部成员组成,有学者以公司独立董事制度作类比,认为实践中很少有独立董事能够真正独立行使职权。当企业与外部独立机构的利益一致时,该外部机构可以独立行使职权;双方利益不一致时,尤其是个人信息保护工作影响到受监督企业的盈利能力时,独立机构便很难独立活动。有学者认为,在实践中公司独立董事因为薪酬低、专业性不够很难实际履行职责。有数据显示,独立董事针对公司内部事项提出针对性意见少,提出反对意见更少。此外从经验上看,仅强调独立性难以充分发挥监督作用,在独立性之外应该有专业性的要求。在比较法上,DSA明确合规官可以是该超大型在线平台的工作人员,也可以是非平台工作人员,但在第32条第4款要求超大型在线平台应采取必要措施保证合规官以独立的方式履行职责。我国《个人信息保护法》第58条中规定的“主要由外部成员组成的独立机构”将来如何设立与运作,并在实践中如何发挥作用,都有待进一步的观察。


我国“守门人”个人信息保护合规制度体系中的风险评估

  

  我国《个人信息保护法》第58条规定,“守门人”应当按照国家规定建立健全个人信息保护合规制度体系。“合规”是一种以适应外在要求为目的、以有效改善内部控制和自我约束能力为核心的企业自律行为。如果将合规风险界定为企业因不遵守法律、法规和准则而可能遭受法律制裁、监管处罚、重大经济损失和声誉损失的风险,那么合规就是为了避免企业自身的合规风险而建立起来的治理体系。我国《个人信息保护法》第58条中的“个人信息保护合规制度体系”即为为了避免“守门人”可能存在违反保护个人信息的法律法规风险而应建立的治理体系。前述“主要由外部成员组成的独立机构”也应该是此“个人信息保护合规制度体系”的组成部分。企业合规是为保护企业利益而设置的风险防控机制,主要防范因违法违规而受到行政监管处罚、刑事追究的风险。从德国的有关实践看,数据保护是合规的重要内容之一。


  由于合规本身蕴含着风险控制的职能,风险评估制度应为合规制度体系的重要组成部分。个人信息的风险评估制度成为第58条规定的“个人信息保护合规制度体系”的重要内容,能有效防范“守门人”在个人信息保护方面的系统风险。


  数字化转型和对在线平台服务的使用给个人用户和整个社会带来了新的风险和挑战,此种风险包括处理个人数据的风险。DSA第26条规定的系统风险包括传播非法内容的风险。根据DSA第2条(g)项,“非法内容”是指其本身或其所涉及的活动,包括销售产品或提供服务,不符合欧盟法律或成员国法律的任何信息。因此,不符合GDPR规定处理的个人数据有可能属于“非法内容”。即超大型在线平台对于通过其服务传播个人数据,且未经过数据主体同意或者其他不符合GDPR的规定,在此场景下的个人数据即为“非法内容”。超大型在线平台应该对此情形进行风险评估。


  风险评估在个人信息保护中具有重要意义。GDPR规定有数据保护影响评估制度(Data Protection Impact Assessment,以下简称DPIA)。DPIA指描述个人数据处理、评估其必要性和相称性,帮助管理处理个人数据产生的对自然人权利和自由的风险的过程。根据GDPR第35条第1段,当某种涉及个人数据处理的新的项目,特别是使用新技术进行个人数据处理,考虑到处理的性质、范围、场景和目的“可能对自然人的权利和自由带来高风险”时,应当就预期的处理操作对个人数据保护的影响进行评估。根据GDPR所体现的基于风险的方法(risk-based approach),实施DPIA并非对每项个人数据处理操作的强制要求。只有在个人数据处理可能对自然人的权利和自由带来高风险时,GDPR才要求对其进行评估。GDPR第14条第1段要求,考虑到处理的性质、范围、场景和目的以及对自然人的权利和自由所带来的可能性和严重性不断变化的风险,控制者应当实施适当的技术和组织措施,以确保并能证明所进行的个人数据处理符合GDPR的规定。控制者在特定情况下实施DPIA的义务应理解为其适当管理处理个人数据产生风险的义务的一部分。数据保护影响评估的实质是对个人数据处理的风险评估。通过识别与新的商业模式、新的产品及新的服务相关的风险,DPIA能够帮助机构更安全地开展业务。


  GDPR第35条第3段规定了处理操作“可能对自然人的权利和自由带来高风险”且特别需要DPIA的三种情况:第一,对自然人的个人情况所进行的系统的和广泛的评价(systematic and extensive evaluation),该评价是基于自动处理(包括数据画像),且基于该评价作出的决定对自然人产生法律效力或对自然人产生类似重大影响。“评价”涉及数据主体的诸多方面,包括工作表现、经济状况、健康、个人偏好或兴趣、可靠性(reliability)或行为习惯(behavior)、位置或行踪等。“系统”是指根据一个系统产生的数据处理,或预先安排的、有组织的数据处理,或作为整体数据收集计划一部分而发生的数据处理,或作为一项战略的一部分而实施的数据处理。“广泛”是指涉及地域广阔的数据处理,或涉及诸多种类数据的数据处理,或涉及数量众多的个人的数据处理。如果基于自动处理作出的决定导致排除特定个人或对个人差别待遇,则属于对自然人产生法律效力或对自然人产生类似重大影响。第二,第9条第1段所述的有关民族、生物特征、健康等特殊类型数据的“大规模”处理或者第10条所述的关于刑事定罪和违反相关个人信息的处理。在确定是否属于“大规模”时,可以考虑涉及的个人的数量、数据的数量和种类、处理数据的时间及处理的地理范围等因素。银行对客户数据的处理、医院对患者数据的处理、移动电话APP对用户地理位置的处理均为“大规模”处理的情形。第三,对公众可访问区域进行的大规模系统性监测。广场、购物中心、街道、火车站、公共图书馆均为“公众可访问区域”。在此类公共场所收集数据时,数据主体可能并不知晓谁在收集数据及数据的用途,甚至也无法避免其个人数据被收集及处理。


  我国《个人信息保护法》也对需要进行个人信息保护影响评估的个人信息处理活动进行规范。第55条规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人权益有重大影响的个人信息处理活动。”


  作为第58条“个人信息保护合规制度体系”重要组成部分的“风险评估制度”,应有别于DPIA。DPIA属于事前评估,“风险评估制度”则属于定期评估。相对于一般的互联网平台,我国《个人信息保护法》中“守门人”控制的个人信息数量更为庞大、影响更为广泛,如果出现个人信息泄露或其他违反《个人信息保护法》的情形,则更易产生系统风险。因此,“守门人”应承担管理系统风险的义务,而进行系统风险评估是防范系统风险的有效途径。“守门人”当然需要遵守《个人信息保护法》第55条规定的义务,即对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等进行事前风险评估。不仅如此,“守门人”还应至少每年对个人信息处理状况进行风险评估,其主要目的是预防出现系统风险。


我国“守门人”平台规则的主要内容

  

  为维护网络秩序,发挥平台治理的积极作用,对于平台经营者通过协议方式以自律规范约束己方与用户、用户与用户之间的交易行为,应当得到法律的确认。平台规则由平台单方制定,对平台内产品或者服务提供者产生拘束力,对其施加义务与责任,违反平台规则就会面临相应的平台制裁。此类平台规则超越了合同关系的相对性而具有一定的公共性。我国《电子商务法》第32条要求:“电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。”《个人信息保护法》第58条更是要求,重要互联网平台作为特殊的个人信息处理者应当遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。


  在实践中,平台规则少有明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,例如淘宝网的《隐私权政策》。又如,在《京东企业用户注册协议》第12条中也仅提及,企业用户应遵守不得制作、传输或发表侵害他人名誉、隐私和其他合法权益的违法信息资料的义务,不得发布任何侵犯他人个人信息、著作权、商标权等知识产权或合法权利的内容。在《京东隐私政策》中就与京东相关联的合作伙伴设置了严格的访问权限控制和监控机制,并要求所有相关人员履行保密义务。笼统的平台内产品或者服务提供者个人信息保护义务规则没有发挥“守门人”的监督作用,也没有在平台内产品或者服务提供者层面落实个人信息保护的义务。笔者认为,“守门人”的平台规则应至少规定以下内容:


  第一,平台内产品或者服务提供者收集终端用户的个人信息,或使用其服务过程中收集的个人信息,或平台经过用户同意分享的个人信息必须符合我国《个人信息保护法》的规定。第二,平台内产品或者服务提供者应主动删除和禁用未经合规处理的个人信息,并及时公示相关处理结果。第三,平台内产品或者服务提供者未经终端用户同意或未满足我国《个人信息保护法》规定的其他条件,不得将其在提供产品或者服务过程中收集的终端用户的个人信息与从其他渠道获取的个人信息进行混合。第四,平台内产品或者服务提供者应为符合《个人信息保护法》条件的终端用户提供行使数据携带权的便捷渠道,“守门人”同时为平台内产品或者服务提供者提供数据携带的渠道。《个人信息保护法》在第三次审议时加入了数据携带权,第45条第3款规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”虽然对设立数据携带权的利弊存在争议,但是对“守门人”而言,数据携带权使公民能够在不同的网站与设备上自由地转移个人数据,从保护个人信息权利的维度看,个人对数据的控制能力将达到前所未有的高度。从竞争法维度看,数据携带权可以打破用户锁定效应,促进数据的流通与利用。数据携带权的创设并非只是为了保护个人的人格利益,而更会促进个人数据流通到其他供应商。从这个意义上讲,数据携带权是应对当前数据市场垄断,促进数据市场自由竞争的重要手段。“守门人”的平台规则应要求平台内产品或者服务提供者为终端用户行使数据携带权提供便捷渠道,同时自身也为平台内产品或者服务提供者提供数据携带的渠道,这样既增强了终端用户对个人信息的控制,也有利于数字经济的健康发展。第五,平台内产品或者服务提供者能够获得与终端用户在守门人的在线搜索引擎上生成的免费和付费搜索有关的排名、查询、点击和查看的数据,但构成个人数据的查询、点击和查看的数据必须匿名。我国《个人信息保护法》将匿名化处理后的信息排除在个人信息之外,明确平台内产品或者服务提供者可以使用匿名信息有利于发挥数据的资产价值,促进数字经济的发展。第六,平台内产品或者服务提供者可以建立允许个人或实体通知存在违规处理个人信息的机制。平台内产品或者服务提供者如果决定删除或禁止访问个人提供的特定信息,则有义务通知个人并说明理由。


结语


  近年来,包括平台垄断在内的大型平台问题逐渐受到了各国的重视。我国国务院反垄断委员会于2021年2月7日发布了《国务院反垄断委员会关于平台经济领域的反垄断指南》,对平台可能存在的滥用市场经济地位问题进行规制。我国《个人信息保护法》借鉴欧盟超大型在线平台和守门人的概念及规则,结合中国实际,创制了个人信息保护的“守门人”条款,开对平台进行分级规范之先河。“守门人”条款要求大型个人信息处理者承担更多保护义务,体现了对公民的人格尊严与人身自由的尊重,在处理个人信息保护与利用的关系时更倾向于对个人信息的保护。“守门人”在其个人信息保护合规制度体系中应定期进行风险评估,并将动态评估与事前评估结合,同时能独立地、专业地对个人信息保护情况进行监督,以更好地承担“守门人”在个人信息处理活动中的责任。


  欧盟对超大型在线平台和守门人的规范均不限于平台处理个人信息的行为。因此,我国《个人信息保护法》中的“守门人”条款在立法中存在争议。虽然在平台反垄断和防止资本无序扩张的大背景下增加“守门人条款”有其必然性,但“个人信息保护负责人”和“独立机构”的职能存在重叠,碎片化的立法增加了法律体系内部协调的困难,也增加了平台的合规成本。在欧盟,不论是对超大型平台的界定还是对守门人的界定,都有明确的定量标准。我国学者也建议将“守门人”限制在应用程序分发平台等少数领域。因此我国《个人信息保护法》实施后,应对“提供重要互联网平台服务、用户数量巨大、业务类型复杂”进行限制解释。从长远来看,应当修改我国《电子商务法》平台部分或制定《数字经济法》,对平台进行分类规范。全面地而不是仅仅从个人信息保护角度去规范守门人。如此才能更好地为数字市场建立公平和开放的竞争秩序,保护数字领域创新,使终端用户和商业用户都能在数字经济发展中受益,促进数字经济健康发展。


推荐阅读- 向上滑动,查看完整目录 -

《北方法学》2021年第6期目录

【民事诉讼法修改专题研究】1.书证提出命令的理论革新与路径优化——以商业秘密侵权诉讼为切入点潘剑锋、牛正浩(5)2.小额诉讼程序的分流困境及其破解石春雷(19)3.民事执行中参与分配的主体资格研究刘颖(32)【部门法专论】4.行使抵押权与主债权诉讼时效之关联——以《民法典》第419条和司法解释新规定为视角杨巍(44)5.《民法典》中债权表见让与的解释空间及其构成要件潘运华(60)6.我国《个人信息保护法》中的“守门人”条款刘颖(73)7.著作权制度基础的重塑:以正当性理论与法实践的互动为视角梁九业(84)8.单位犯罪刑事归责中数据合规师的作为义务敬力嘉(97)9.“高空抛物罪”立法评析与适用难题研究周杰(109)10.新过失论之提倡——兼论后疫情时代妨害传染病防治罪的主观责任刘彦辉、马浩予(117)11.逮捕社会危险性量化评估研究——以自动化决策与算法规制为视角高通(131)【博士生论坛】12.论发票给付义务的民法规制魏昀天(145)




《北方法学》杂志是经国家新闻出版总署批准,面向国内外公开出版发行的专业法学学术期刊,双月刊,逢单月15日出版。《北方法学》由黑龙江大学主管主办,禀持开放办刊之理念,邀请国内外著名法学专家及资深教授组成编委会,打造国内一流法学期刊。国家新闻出版总署批复《北方法学》的办刊宗旨为:“繁荣法学研究,服务法制建设,加强学术交流,培养法律人才”。《北方法学》杂志目前设置的主要栏目有:理论法前沿、部门法专论、专题研究、外国法研究、中外法史研究、实践论坛、名家讲坛、博士生论坛、学术综述、译评文丛、学术问题争鸣、比较法论坛等。


-END-

责任编辑 | 陈楠

审核人员 | 梁学曾 张文硕

本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。

往期精彩回顾

《北方法学》2021年第6期要目

刘颖 谷佳琪:个人信息去身份化及其制度构建

刘颖:后TRIPS时代国际知识产权法律制度的“碎片化” | 法宝推荐

刘颖教授专著《电子银行风险法律问题研究》在“北大法宝”专题参考库上线!| 法宝推荐

刘颖 何天翔:著作权法修订中的“用户创造内容”问题——以中国内地与香港的比较为视角 | 法宝推荐

刘颖:我国电子商务法调整的社会关系范围 | 法宝推荐



关注下方公众号,获取更多法律信息

点击「在看」,就是鼓励

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存