刘金瑞|合理设定网络平台对第三方应用的数据安全管理责任
点击标题下「网络法前哨」可快速关注
前哨按语
5月28日,网信办公布《数据安全管理办法(征求意见稿)》,向社会公开征求意见。其中第30条规定了网络平台经营者对第三方应用负有数据安全管理责任。以下是对该条规定的完善建设,欢迎各界朋友指正。
合理设定网络平台经营者对第三方应用的数据安全管理责任
——关于《数据安全管理办法(征求意见稿)》第30条的修改完善建议
刘金瑞
2019年5月,国家互联网信息办公室对外发布《数据安全管理办法(征求意见稿)》(以下简称“征求意见稿”),面向社会公开征求意见。其中,征求意见稿第30条规定:“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”该条实际上规定了网络平台经营者(以下简称“网络平台”)对接入其平台的第三方应用负有数据安全管理责任。
近年来随着网络平台开放业态的发展,海量的平台第三方应用不断涌现,已经成为互联网平台经济发展的重要增长点。但随之出现了第三方应用过度收集或滥用用户数据等问题,第三方应用造成的数据泄露安全事件也频繁发生,2018年3月曝出的Facebook数据泄露事件就是典型例证。这些问题暴露了目前网络平台对第三方应用收集和利用用户数据的管控较为薄弱甚至存在一定的缺位,对网络平台第三方应用加强规范和管理已经刻不容缓。征求意见稿第30条第1句规定“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理”,正是针对用户数据安全面临严峻挑战所及时作出的积极回应。
笔者认为面对网络平台第三方应用对用户数据保护带来的严峻挑战,网络平台经营者作为第三方应用的接入方,规定其承担一定的责任确有必要,但责任设定方案应该坚持安全与发展并重的原则,合理划定网络平台和第三方应用各自的责任边界,如此才可以真正平衡好保护数据利用和规制数据滥用的关系,切实保障互联网平台经济的健康有序发展。
一、征求意见稿第30条第2句规定并未处理好安全与发展的关系
随着互联网产业的融合创新发展,互联网市场的竞争已经从单一产品业务竞争转向整个产品业务体系的综合竞争。“开放共赢”理念成为业界的基本共识,开放核心业务数据,构建平台化业务生态体系,已经成为互联网企业新的增长点。腾讯、新浪、阿里等国内企业紧随Facebook等国外巨头的步伐纷纷推出了自己的开放平台,近几年实现了迅猛增长。众多第三方开发者的涌入,一方面丰富了平台的应用种类和服务内容,另一方面也给用户信息保护、网络安全、内容管理等带来了巨大的挑战,比如Facebook用户数据泄露事件。
网络开放平台对于确保第三方应用不滥用个人信息应该承担何种责任,应该与网络平台开放业态相适应。在互联网平台开放业态中,平台既是通过用户授权获得数据的数据聚合者,又是授权第三方应用使用数据的数据分发者。因此,互联网平台理应对第三方应用利用用户数据承担一定的监督和管理责任,确保个人信息不被滥用。但这种责任不是无限责任,要有一定的边界,不应对平台开放业态发展造成严重阻碍。
Facebook用户数据泄露事件曝出后,有不少观点开始主张要严格监管Facebook这类平台,网络平台应该对所有平台个人数据泄露承担直接责任。这不得不令人担忧网络开放平台业态的发展和前景。笔者认为,应该在澄清基本事实的基础上,坚持征求意见稿第3条提到的“数据安全与发展并重”的原则,客观认识开放平台第三方应用对用户数据安全带来的挑战,审慎确定开放平台的责任边界,如此才可以切实保障互联网平台经济的健康有序发展。
征求意见稿第30条第2句规定:“第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”这实际规定网络平台对于第三方应用造成的数据安全事件要承担过错推定的法律责任。笔者认为,这一规定是对网络平台苛以过重的法律责任,并不利于互联网开放业态的发展。主要理由在于:
一是,采用过错推定的规则,网络平台要证明自己无过错,就需要查清造成数据安全事件的主体和原因,而大部分数据安全事件的追查归因都比较困难,有时是不是因为第三方应用造成的数据安全事件都很难查明,这实际上会造成只要第三方应用发生数据泄露等安全事件,网络平台基本就需要承担法律责任。
二是,从我国《侵权责任法》《消费者保护法》《电子商务法》的相关规定来看,网络平台对于他人利用网络平台实施的侵权行为是否承担法律责任,是要遵循过错责任原则,也即只有网络平台经营者知道或者应当知道这种侵权行为发生时才与侵权人承担连带责任。征求意见稿并未明确平台的“过错”所在,与上位法规定不符。
三是,该规定过于侧重事后损害的承担,强调数据安全事件发生之后的责任追究,但实践中一旦发生数据泄露等安全事件,对于用户的损害往往无法挽回。应该规定网络平台对第三方应用的事前和事中管理义务以预防和避免数据安全事件发生,网络平台违反这些义务应承担相应责任,这些义务恰恰可以划定网络平台的责任边界。
四是,“部分或全部责任”的用语并不符合我国法律的规范表述。根据我国《侵权责任法》的规定,构成共同侵权或无意思联络数人侵权,根据具体情形会承担连带责任或者按份责任,网络平台只有对第三方应用侵权承担连带责任时才会承担全部责任,应该对网络平台承担法律责任的性质作出规定。
二、关于网络平台对第三方应用的数据安全管理责任的完善建议
对于网络平台经营者对第三方应用的数据安全管理责任,建议从事前审核和事中管理的角度予以修改完善,笔者认为应该包括以下几个方面:
首先,应明确接入平台时的登记和审查义务。很多不合法不合规的第三方应用之所以能上线,就是因为网络平台没有予以应有的审查。建议立法明确网络平台在第三方应用接入平台时应履行登记和审查义务。登记义务主要是记录应用开发主体的真实信息和联系方式,便于在出现数据安全事件时追查责任人。审查义务一方面是审查主体的资质,比如应用开发者是否具备法定的数据处理资质,这种审查有时需要政府向平台开放行政许可数据才能实现;另一方面是审查第三方应用的数据使用协议是否符合平台规则,比如平台有可能禁止第三方应用将获取的用户数据再次移转。需要指出的是,平台规则必须包括最低的法定要求,如果平台允许违反此类规则的应用上线,那么有可能构成共同侵权和共同犯罪。当然,平台出于市场竞争的考虑,也可以提出比法定要求更高的数据保护规则,排除一些数据保护不规范、能力相对较弱的应用开发者。
其次,要坚持“平台+用户”双重授权原则。强化平台授权的理由在于:一是有利于让平台审查第三方应用通过数据接口获取和利用数据是否合法、是否符合平台规则,平台可以拒绝授权那些经评估可能对个人信息保护造成重大威胁的应用;二是用户往往对第三方应用提供的格式条款缺乏理性判断,平台的加入有助于保护用户的合法权益;三是有利于维护平台的数据资产,阻断第三方应用通过突破数据接口来获取平台数据的不正当竞争行为。在2016年新浪诉脉脉非法抓取微博用户数据案中,法院判决认为,“网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利”,并确立了第三方应用通过开放平台获取用户信息时应坚持“用户授权+平台授权+用户授权”的三重授权原则。
再次,应规定违法行为的报告和处置义务。鉴于互联网平台对于违法行为有一定的管控能力,在出现违法行为时,为防止危害和影响的扩大化,参照《网络安全法》可以规定平台承担一定的处置义务,如视情况采取警告、限制应用访问、停止平台服务等。因为平台的手段和能力有限,平台在对违法行为进行力所能及的应急性处置后,应保存有关记录,尽快报告监管部门,由监管部门来调查和处理违法行为。此外,平台还应及时受理并处理用户关于个人信息滥用的投诉和举报。在Facebook数据泄露事件中,Facebook获知数据遭滥用后,曾要求第三方应用开发者和剑桥分析删除全部不当获取的数据。这种要求删除数据的行为其实应该由监管部门实施,因为只有监管部门才可以通过公权力核查数据滥用者是否已经删除数据。
最后,应确立数据泄露的报告和通知义务。在Facebook数据泄露事件中,Facebook并没有将用户数据泄露、被滥用报告给监管部门和通知用户。实际上直到扎克伯格去美国国会作证的前一天,Facebook才开始通知数据泄露受到影响的用户。有必要规定互联网平台就数据泄露负有报告主管部门和通知有关用户的义务。对于数据泄露报告和通知义务,美国、欧盟、澳大利亚等国家通过立法作出了具体规定,如果违法该义务要承担相应的法律责任。以美国为例,美国各州的规定有所不同,有些州的罚款按照损害人数计算,有些州按照泄露次数统计,有些州按照泄露未通知的时间计算,Facebook可能就违反报告和通知义务承担高额罚款。我国网络安全法第42条第2款也就数据泄露的报告和通知义务作出了原则性规定,建议对此作进一步细化,明确规定数据泄露通知义务的通知对象、通知时间、通知程序、通知内容等,及时遏制数据泄露所造成的危害进一步扩大,切实维护网络用户的合法权益。
鉴于征求意见稿第35条已经对数据泄露的报告和通知作出了规定,借鉴《网络安全法》《侵权责任法》《消费者保护法》《食品安全法》《电子商务法》的相关规定,针对征求意见稿第30条,笔者提出如下修改完善建议:
网络平台经营者应当对接入其平台的第三方应用运营者进行实名登记,明确其数据安全管理责任,依法应当取得许可证的,还应当审查其许可证;网络平台经营者发现第三方应用运营者从事违法行为的,应当及时制止并立即报告相应的监管部门,发现严重违法行为的,应当立即停止提供网络平台服务。
违反本办法规定,网络平台经营者未对接入其平台的第三方应用运营者进行实名登记、审查许可证,或者未履行报告、停止提供网络平台服务等义务的,第三方应用发生数据安全事件对用户造成损害的,网络平台经营者应当与第三方应用运营者承担连带责任。
第三方应用运营者从网络平台经营者获取用户个人信息前,应当取得网络平台的授权,并征得用户同意。第三方应用发生数据安全事件对用户造成损害的,用户可以向第三方应用运营者要求赔偿。网络平台经营者不能提供第三方应用运营者的真实名称、地址和有效联系方式的,由网络平台经营者赔偿。网络平台经营者赔偿后,有权向第三方应用运营者追偿。网络平台经营者作出更有利于用户承诺的,应当履行其承诺。
本文部分内容将发表于《中国信息安全》2019年第6期
网络法前哨 ∣网络法前沿的侦察兵
感兴趣可长按关注前哨君
相关热点文章