张新宝丨互联网生态“守门人”个人信息保护特别义务设置研究
摘 要
近年来,虽然有关部门对移动APP处理个人信息进行了持续治理,取得了一些成效,但总体来看效果不彰,原因在于移动APP数量巨大,逐一治理不仅困难且不具有现实可行性;同时,移动APP上线的变化和发展过快,行政执法能力和资源跟不上其发展变化。因此,需要考虑更有效的治理手段和方法,即从源头入手,抓住关键环节,通过设置“守门人”的义务,发挥其对一般移动APP的管控能力,实现对移动APP处理个人信息的有效治理。
作者:张新宝
中国人民大学法学院教授、中国人民大学网络信息法中心主任
摘自
《比较法研究》2021年第3期
本文载
《社会科学文摘》2021年第8期
问题的提出
随着个人信息处理方式的数字化转变,如何构建与数字时代相适应的个人信息保护路径,不仅是数据安全保护领域的国际形势所趋,也是我国个人信息保护法律体系需要解决的核心问题。个人信息保护立法的关键在于借助立法的利益衡量实现对利益关系的“三方平衡”,即个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益之间的平衡。这一过程的重要环节之一是为信息业者收集、存储、处理、利用和传输个人信息活动设定正当性守则,维护信息业者之间的正当公平竞争,避免不当竞争造成劣币驱逐良币的不良效应。因此,如何为信息业者配置合理的权利和义务,是实现信息主体的核心利益和国家在个人信息保护秩序中的公共管理利益的核心环节。
移动互联网时代,个人信息处理者处理个人信息最常见的技术和商业模式是利用互联网移动终端形形色色的互联网应用程序(以下简称“移动APP”)收集个人信息。因此,规范移动APP运营者的个人信息处理行为应当成为个人信息保护的主战场之一。
近年来,虽然有关部门对移动APP处理个人信息进行了持续治理,取得了一些成效,但总体来看效果不彰,原因在于移动APP数量巨大,逐一治理不仅困难且不具有现实可行性;同时,移动APP上线的变化和发展过快,行政执法能力和资源跟不上其发展变化。因此,需要考虑更有效的治理手段和方法,即从源头入手,抓住关键环节,通过设置“守门人”的义务,发挥其对一般移动APP的管控能力,实现对移动APP处理个人信息的有效治理。目前,我国个人信息保护法正在制定过程中(编者按:《中华人民共和国个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,自2021年11月1日起施行),该法草案第五章虽然对个人信息处理者的义务作出了规定,但草案没有对“守门人”扼守的关键环节设置必要的个人信息保护义务。
移动互联网生态关键环节和“守门人”的界定
(一)守门人的地位:控制了移动互联网生态的关键环节
一个移动APP无法独立于技术环境和运营环境而单独存在,因此这两个环境决定或制约了移动APP接入互联网和处理个人信息的能力。移动APP需要在智能终端设备中运行,操作系统便成为制约移动APP的底层技术环境。在操作系统的设计框架下,移动APP需要调用移动终端及操作系统所定义和提供的各种系统权限,才能获取运行所需的特定技术资源。无论是传统的移动APP,还是新兴的小程序,技术环境和运营环境构成了APP运行的关键环节。可以说,在移动互联网生态系统中,控制了技术环境和运营环境的“守门人”,扼守了APP运行的关键环节,其对APP个人信息保护的技术设置和具体行为具有决定性作用。
(二)移动互联网生态中“守门人”的类型
本文认为,“守门人”是指控制移动互联网生态关键环节(技术环境和运营环境)、有资源或有能力影响其他个人信息处理者处理个人信息能力的互联网营运者。结合当下移动互联网生态的现实环境来看,“守门人”主要包括以下三类:一是应用程序分发平台,通过提供应用分发服务影响移动APP触达海量用户进而进行个人信息处理活动的能力;二是移动终端操作系统,通过为移动APP提供可调用的系统权限等,影响移动APP的个人信息处理能力;三是平台型APP,平台型APP能够在技术资源、运营环境等两个方面显著便利和提升第三方小程序等移动APP的个人信息处理能力。
设置移动互联网生态“守门人”个人信息处理特别义务的理由
如前所述,从个人信息保护的角度来看,移动互联网生态中确实存在“守门人”的特殊主体类型,他们有能力决定普通移动APP(包括小程序)触达用户的范围,以及收集使用用户个人信息的渠道和范围。以下将着重讨论针对此类特殊主体施加个人信息处理特别义务的必要性、合理性以及可能性。
(一)对“守门人”施加特别义务的必要性及技术上的可能性
随着移动APP的广泛应用,移动APP强制授权、过度索权、超范围收集个人信息的问题也为监管部门所重视。经过持续的治理行动,移动APP没有隐私政策、未说明收集使用个人信息的规则、以默认同意隐私政策等非明示方式征求用户同意、要求用户一次性同意打开多个可收集个人信息的权限等违法违规收集使用个人信息的问题得到遏制。但整体来看,仅仅依靠执法监管的APP治理成效难谓显著。
一方面,APP体量之大使得仅仅依靠执法监管的APP治理难以做到全面覆盖。另一方面,移动APP收集使用个人信息的方式本身也在不断地演变,仅仅依靠政府主导的执法监管往往不能及时发现APP收集使用个人信息行为的最新问题,并且在回应APP违法违规收集使用个人信息行为时存在一定的滞后性。因此,更有效的监管路径应该是从前文所述的,控制着一般移动APP技术和运营环境的“守门人”。通过对移动互联网生态中的“守门人”施加额外的义务,就能够对移动APP收集、使用个人信息的行为产生“卡脖子”效应,起到事半功倍的效果。从苹果公司隐私保护的最新实践可以发现,对“守门人”设置特别义务在技术上是可能实现的。
(二)设置特别义务的法理与经济合理性
1. 法理:控制者义务理论
法治的一般原理认为,任何人对自己控制的场所等负有相应的安全保障义务。在物理世界,不动产的所有人(或者作为保有人的实际控制人)对不动产负有适度的安全保证义务,避免损害的发生;于动产,所有人或者使用人对动物、机动车等负有适度的管控义务,避免造成损害。我国2009年《中华人民共和国侵权责任法》第37条规定了公共场所管理者和群众性活动组织者的安全保障义务。《中华人民共和国民法典》侵权责任编规定了经营场所的经营者、公共场所的管理者以及群众性活动的组织者的安全保障义务(第1198条),还规定了较为全面具体的网络侵权责任(第1194—1197条),体现了网络服务提供者对其管控的网络空间负有适度管控和注意义务的理念。控制者义务理论的内核在于遵循收益与风险相一致以及危险控制理念。一方面,控制者作为利益享有者,其面向社会提供产品或服务,从事以获利为目的的营利性活动,从危险源中获取经济利益者也经常会被视为是具有制止危险义务的人;另一方面,控制者作为管理者,具有专业知识、能力、技术,能够预见可能发生的危险和损害,更有可能采取必要的措施防止损害的发生或减轻损害,“监督者控制潜在危险的义务通常来源于他对危险源的控制能力”。
同理,对移动互联网生态具有强大控制力和影响力的“守门人”承担与技术发展水平相适应且在经济上具有合理性的适当安全保障义务也是必要的。具有“守门人”地位的操作系统、应用程序分发平台、大型平台APP为第三方APP或小程序提供了运行所需的技术环境和运营环境,借助技术和管理优势在互联网生态系统中具有强大控制力,在权力结构上具有“公”的属性。因此,赋予“守门人”特殊的安全保障义务,要求此类主体对其支配的个人信息进行特殊保护和管理,是应对信息风险社会行之有效的治理路径。此外,要求“守门人”对借助其所提供的环境开展运营的移动APP进行合理的监督,包括个人信息保护方面的合理监督、审查、处理和救济,可以避免治理力量分散导致的效率低下,实现个人信息保护治理效果的最优。
2. 经济上的合理性
一方面,在“守门人”上的监管资源投入,比在无数分散环节和场景投入资源保护个人信息更具有经济合理性,“在多数情况下,使用第三方义务主体去监督、发现为数众多的违法行为,远比由行政机关来监督、发现为数众多的违法行为更符合成本收益分析”。与对海量的APP一个个进行监管相比,提升效率更好的做法是将部分的监管责任前移到关键环节的守门人身上。他们有技术能力、有人力资源来审核希望借助其技术和运营环境的海量APP,以较低成本、高效率地为个人信息保护构筑起一道闸门。
另一方面,全行业的义务设置不影响“守门人”之间的公平竞争。部分关注个人信息保护的“守门人”已经采取了一些自发的措施,如美国的苹果公司和国内的小米公司。但面对立场和取向不同的“守门人”,出于竞争的考量,其推动个人信息保护的力度和创新程度会有所延缓或小心翼翼。通过对所有的“守门人”设定统一的个人信息保护义务,有利于树立行业取向,以及拉平合规底线。由法律给所有“守门人”设置特定的和必要的个人信息保护义务,虽然可能增加少量经营成本,但是将全行业置于同样起跑线的竞争环境,不会影响企业之间的公平竞争。而增加的此等经营成本是可以通过定价机制精选分配和转移的。
(三)对欧美实践经验的考察
1. 欧美有关移动互联网生态治理的观察
针对移动互联网生态治理问题,虽然未在欧美的立法中予以明确规定不同的法律责任,但欧美相关数据保护机构一直以来保持对“守门人”的密切观察。
2013年,欧盟第29条工作组发布《关于智能设备应用程序的意见》在考虑智能设备应用程序的数据保护风险时,便已深入APP可能涉及的各方主体,包括应用程序开发人员、应用程序所有者、应用商店、设备及操作系统制造商,以及其他参与数据处理的第三方。
美国联邦贸易委员会(FTC)作为消费者保护机构也在2013年发布了《移动手机隐私披露——通过透明度建立信任》的报告,以改善“收集生态系统”的隐私披露为目标,向参与手机生态系统的主要参与方提出针对性建议。对于诸如苹果、谷歌、微软、黑莓等平台,FTC明确指出其作为APP市场的看门人,在改善移动设备隐私披露方面拥有最大的变革能力,认为平台有能力向APP开发商提出要求,甚至能够拒绝未满足相应要求的应用程序。
2. 欧盟就“守门人”的最新立法动向
事实上,除了在移动互联网生态的个人信息保护领域存在“守门人”的角色,在整个舆论公共空间乃至数字经济中,也存在类似的“守门人”角色,并且引起了立法和监管的特别关注。2020年12月,欧盟最新提出的《数字服务法(草案)》《数字市场法(草案)》,即反映了这一立法趋势。
《数字服务法(草案)》旨在为数字中介服务提供者建立非法信息内容的明确、全面的程序性确定义务规则,在数字中介服务提供者的义务时,欧盟特别关注到了超大型在线平台。欧盟认为“超大型在线平台在放大或塑造网络信息流方面发挥着系统性的作用”。鉴于超大型在线平台的关键作用,《数字服务法(草案)》不仅规定了适用于所有提供商品、服务和信息中介服务的数字服务商的一般性义务,而且针对具有重大社会和经济影响的超大型在线平台(在欧盟至少有4500万用户,占总人口的10%)专门提出了增强的管理系统性风险的安全义务,对这些平台创设了强有力的透明度要求和问责机制。
《数字市场法(草案)》更是牢牢抓住关键环节,其条文仅适用于根据法案中的客观标准被认定为“守门人”的大型在线平台,即成为连接消费者和其他企业的主要通道并提供服务,同时利用作为主要通道的角色进一步巩固和扩大自己的主导地位的在线平台企业。欧盟在《数字市场法(草案)》中进一步提出,如果被证实核心平台服务的提供者对内部市场有重大影响,经营一个或多个重要消费者通道,享有或预期获得根深蒂固和持久的经营地位,则构成《数字市场法(草案)》中的守门人。为了确保数据市场的公平性和开放性,《数字市场法(草案)》为被认定为守门人的平台施加了一系列额外的具体义务,既包括守门人在日常运营过程中实施某些行为的积极义务,也包括避免从事某些不公平行为的禁止性义务。
作为立法建议的具体法律条文设计
(一)“守门人”的界定标准
直观地说,“守门人”应当是在整个生态系统中的特定领域具有主导地位乃至控制权的,同时具有极大的经济规模和极强的网络效应的组织。如前文所述,移动互联网生态中个人信息保护领域的守门人,现阶段较为突出的是移动终端操作系统、应用分发平台、平台型的超级APP。
欧盟《数字市场法(草案)》和《数字服务法(草案)》为我国在未来评估和审查移动互联网生态中个人信息保护领域的“守门人”提供了有益借鉴。但是对于我国而言,对于“守门人”地位的具体界定方法不宜大幅出现在个人信息保护法中,但是可以通过行业标准、其他规范性文件或其他形式作出。在这一过程中,适宜通过有关专家论证会,综合考虑促进数字领域创新、数字产品和服务的质量、公平竞争以及数字经济发展等因素。
(二)“守门人”的具体义务设计
如前文所述,当前移动终端操作系统、应用分发平台、平台型的超级APP等守门人企业,管控着一般的移动APP处理个人信息的技术和运营环境。考虑到将来随着技术和业态的持续演进,很可能会出现新兴类型的守门人。因此,笔者建议将技术和运营环境,抽象成“通道、空间、技术等资源”,并从事前、事中、事后等三个方面,完整地设计守门人在个人信息保护方面的特殊义务。具体来说,建议在《个人信息保护法》“第五章个人信息处理者的义务”第51条之后增加如下条文,规定“守门人”保护个人信息的特别义务:
第五十一条A(“守门人”的特别义务)
控制个人信息处理的关键环节,为其他个人信息处理者处理个人信息提供通道、空间、技术等资源的网络运营者,除遵循本法和其他法律的相关规定特别是本法第五十条和第五十一条的规定外,对个人信息保护承担以下特别义务:
(一)制定符合国家法律法规等规定要求的个人信息保护标准的准入规范,不得为不达标的个人信息处理者使用其所管控的通道、空间和其所提供的技术服务;
(二)利用必要的技术手段,对使用其所管控的通道、空间和使用其所提供的技术服务的个人信息处理者的日常个人信息处理行为进行监管,于必要时提出警告和整改意见;
(三)建立相关的投诉受理和处置机制;
(四)配合国家个人信息保护机构对违反个人信息保护法律法规的个人信息处理者的调查处理;
(五)下架违法违规处理个人信息的互联网应用程序。
(三)“守门人”义务的性质讨论
1. 与国家互联网管理相对应的行政法上的义务
“守门人”作为政府指定的私人主体,承担采取阻止性措施防止有害行为发生或者将有害行为相关信息提供给政府的义务,这种由提供服务、产品的私人主体或雇主承担帮助行政机关发现或阻止违法行为的义务,属于行政法上的“第三方义务”。借助于私人主体发现违法行为的帮助,能够缓解行政资源有限而无法全面实施法律的困境。这种“代理式”监管思路在我国整个互联网监管历史上并不陌生,我国在引入互联网监管时,针对海量信息传输带来的内容监管问题,便确立了代理式监管思路,由企业来承担对传播信息的审查责任,如对于网络运营者而言,《网络安全法》等法律法规明确要求其应当加强对用户发布的信息的管理,发现有法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处罚措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
具体来说,国家通过立法明确“守门人”负有发现并阻止违法行为的义务,表现为“守门人”与个人信息处理者、用户以及监管机关之间的多维关系。首先,“守门人”基于法律法规的规定,在为个人信息处理者提供通道、空间、技术等资源时,负有对个人信息处理者的审查义务,确保个人信息处理者收集、使用个人信息行为符合合法、正当、必要的要求,不得为存在非法收集、使用个人信息行为的个人信息处理者提供相应的服务,发现个人信息处理者存在违法违规收集、使用个人信息行为时基于“守门人”对通道、空间、技术等资源的优势控制力,可警告存在违法违规收集、使用个人信息行为的个人信息处理者,并要求其作出整改。其次,“守门人”还应当对监管机构开展个人信息保护相关的执法行动予以配合和协助,在知道或应当知道移动APP已被监管机构确认存在违法违规收集、使用个人信息行为的,应当及时下架相应的移动APP。最后,“守门人”作为移动APP触达用户的重要途径,也应当为用户投诉和反馈移动APP违法违规收集、使用个人信息线索提供渠道,进而能够及时、动态地发现相应违法违规收集、使用个人信息的行为。
2. 与自然人个人信息保护权益相对应的义务
我国民法典从民事基本法的高度确认自然人个人信息保护的民事权利(权益),并将个人信息确立为自然人的人身非财产性质的人格权(权益)且具有支配性特征,明确义务主体负有相应的作为和不作为义务,包括应当合法取得和确保信息安全的作为义务,以及不得非法收集、使用、加工、传输、买卖、提供或者公开他人信息的不作为义务。同时,我国民法典在人格权编第1034—1039条明确了个人信息的概念、处理个人信息的条件、免责事由等事项,从义务主体行为规范的角度明确了自然人个人信息受法律保护的具体内容。
从保障自然人个人信息民事权益的角度而言,“守门人”自身也是个人信息民事权益的义务主体,需要为用户提供符合个人信息保护要求的产品或服务环境。与此相对,“守门人”所负有的特别义务则主要与防范、制止移动APP等第三方对用户个人信息的侵害行为有关,属于法定的积极作为义务。一方面,“守门人”所负有的特别义务以法定义务为原则。由以个人信息保护法为核心的个人信息保护相关法律、行政法规、规章等对“守门人”特别义务的具体内容和认定标准作出规定,构成判断“守门人”法定个人信息保护义务的主要依据和基本要求,“守门人”不能通过隐私政策等格式条款排除特别义务的适用。另一方面,“守门人”所负有的义务以积极作为义务为原则。“守门人”需要为积极的作为行为,保障用户的个人信息,如进行必要的提示和说明等,消极不作为往往构成对特别义务的违反,如“守门人”没有尽到对APP的审核义务等。“守门人”一旦违反特别义务的规定,其所面临的民事赔偿责任主要是指“守门人”没有防范、制止移动APP侵害用户个人信息的行为而承担的侵权责任。
3. 个人信息保护法的“领域性”决定了其所归档的权利(权益)和义务的跨部门性
随着信息社会的高速发展和社会关系的日益复杂,个人信息保护问题所具有的整合性、交叉性、复杂性,决定了个人信息保护问题构成典型的“问题领域”。相应地,个人信息保护法与环境法、财税法等类似,属于典型的“领域法”,具有跨越传统法律部门、多元特征混合、公私法融合的特点,单一部门法的制度工具、责任机制无法单独解决个人信息保护问题。由是观之,个人信息保护法规定的信息主体各项权利以及个人信息处理者的各项义务,也具有跨部门性的特点,应当从跨部门性的现实特点出发,构建综合性的法律保护框架和责任机制。具体说来,个人信息保护法作为个人信息保护领域的基础性法律,由其明确个人信息处理的基本原则、信息主体各项权利边界、个人信息处理者各项义务内容、保障机制等基本事项。同时,由民法、行政法、刑法进行相应的衔接,借助综合法律框架,共同制裁相应的违法行为。就“守门人”的特别义务而言,“守门人”违反特别义务,可能导致各类法律责任,既包括民法框架下对用户的侵权责任,也包括违反特别义务的合规要求导致的行政责任乃至刑事责任。此外,从多元法律责任机制的协同视角观察,考虑到民事侵权损害赔偿制度难以获得有效救济以及刑罚的“最后手段性”,应着重考虑“守门人”特别义务的行政责任。
往期推荐