张新宝|大型互联网平台企业个人信息保护独立监督机构研究
张新宝
要目
一、理念与条文形成二、独立监督机构的适用对象三、独立监督机构的性质与人员构成四、独立机构的职责与运行结语
个人信息保护法第58条规定了大型互联网平台企业需承担的个人信息保护特别义务,该义务来源于行政法上的第三方义务,与“基于风险的进路”的个人信息保护理念相适应。大型互联网平台企业应当健全个人信息保护合规体系,设立独立监督机构。独立监督机构的具体适用对象即大型互联网平台企业,对应的是《互联网平台分类分级指南(征求意见稿)》中的超级平台经营者与大型平台经营者。外部独立监督机构既是大型互联网平台企业公司治理的一部分,又与公司内部机构保持相对独立性,其组成人员应满足一定的资质要求。在职责范围上,外部独立监督机构需要对大型互联网平台企业个人信息保护的合规情况,以及企业对商业用户的个人信息处理活动予以规范的合规情况进行监督、指导或提出建议和意见。
《中华人民共和国个人信息保护法》(以下简称个人信息保护法)第58条为大型互联网平台企业特别设置了行政法上的第三方义务,规范了大型互联网平台企业的个人信息处理活动,促进了其在互联网治理特别是个人信息保护方面发挥积极作用;以此抓住了互联网生态处理个人信息的关键环节,起到了提纲挈领、纲举目张的效果;由此贯彻了“推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”(个人信息保护法第11条)的个人信息保护与网络治理思路,契合了习近平总书记在一系列重要讲话中强调的系统治理理念、思想和方略。
个人信息保护法第58条贯彻了网络治理特别是个人信息保护的全新理念,在强化大型互联网平台企业个人信息保护义务的大框架下规定了多项特别义务,包括成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、制定基于“三公原则”的平台规则、违法违规产品和服务的下架义务、社会责任规则等。法律公布和施行以来,学界和实务界积极研究和探索该条文的正确理解和适用,国家有关部门也在起草有关规范性文件和国家标准以实施这条法律。
就该条第1款第1项关于“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”而言,目前在理论与实践上还有诸多争议:第一,个人信息保护法第58条第1款第1项的规定适用于哪些个人信息处理者?法律条文作出了定性规定,即适用于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。但是,条文缺乏定量的标准。第二,个人信息保护法第58条第1款第1项规定的“主要由外部成员组成的独立机构”具有何种法律性质,由哪些人员构成?它是大型互联网平台企业的外部机构还是大型互联网平台企业的内部机构?如果是内部机构,其独立性又如何得到保证?第三,在确定“主要由外部成员组成的独立机构”的法律性质前提下,此等机构承担哪些职责以及如何进行运作?本文将从个人信息保护法第58条的形成过程入手,重点研讨上述三个方面的问题,以期为该条款(尤其是第1款第1项)的正确理解和实施提供一些可操作的意见和建议。
一、理念与条文形成
大型互联网平台企业,是指控制着商业用户(个人信息处理者)触达终端用户(个人信息主体)的主要渠道、用户规模大、计算能力强且产业覆盖面广的互联网平台经营者。在信息产业界,也将大型互联网平台企业称为互联网“头部企业”。治理大型互联网平台企业包括对其个人信息处理活动的监督,是互联网治理的关键和核心环节。为大型互联网平台企业施加个人信息保护特别义务是构建治理主体多元、工具多样的社会治理网络的必然要求。政府从“守夜人”角色向管理和服务职能定位的转型极大地扩张了国家任务,但在因科技发展、金融创新而使得分工逐渐细化、内容日趋复杂的行政事务领域,政府丧失了固有的信息、资源和能力优势,于是不得不向私人主体寻求合作以克服政府失灵。在这种合作治理网络中,多元主体通过共享、动员和聚合分散的资源,协调利益和行动,实现行政任务。
个人信息处理的治理本属行政机关的职责。但是,一则由于行政资源短缺,执法活动难以全面覆盖数量庞大的全部个人信息处理者;二则由于评估指标僵化,行政监管无法应对日新月异的技术发展与不断变化的个人信息权益侵害方式;三则由于日常规制缺位,专项整治不宜成为常态化的规制工具。由此,行政机关亟需创新治理模式,在治理节点中引入新的主体,在治理方式中运用新的工具。
互联网生态系统中存在一些特殊的主体,它们要么定义着移动APP运行时所需调用的各种系统权限,并为之提供特定技术资源,要么是移动APP的主要分发渠道,或作为触达用户的主要载体。相较于行政机关,这些控制了技术环境和运营环境的“守门人”(也即大型互联网平台企业或头部企业),包括移动终端操作系统、应用程序分发平台和平台型APP,更有技术能力规制中小型移动APP。例如,操作系统可以根据个人信息的不同风险等级设置默认的移动APP可以获取的操作系统权限,或在较高风险情况下给予用户提示。
在新的治理工具上,可以采取如下措施:第一,赋予大型互联网平台企业行政法上的第三方义务。有关由私人主体承担违法行为发现、阻止工作的法律规定,我国法律不乏其例。如根据民法典第1194条-1197条,网络服务提供者有权“采取删除、屏蔽、断开链接等必要措施”阻止网络用户的侵权行为。这些私人主体通常在管理、技术方面处于更加优越的地位(如前文所述),其管理行为更符合成本收益分析。与行政机关逐一审查、要求移动APP逐一整改同质性问题所付出的成本相比,监管少数大型互联网平台企业、要求其一次性解决更为经济,由此行政机关更有时间与精力去攻克无法经由大型互联网平台企业一体规制的异质性难题。可见,抓住互联网生态个人信息处理的关键环节,可以有效缓解有限的行政资源与多点爆发的违法行为之间的矛盾,起到事半功倍的效果。
第二,大型互联网平台企业的自我规制义务。传统命令-控制式的政府高权主义规制模式在个人信息治理上往往存在障碍。政府既无法为每个企业量体裁衣,确定精细的行为守则,也无法深入企业内部实时监督个人信息处理活动。更加包容的手段为行政机关设定规制目标,企业自行设定规则、不断调适并推进内部守法。在该规制理念之下,政府仅需就企业自我规制行为加以管制,从而达至集权与“放松规制”的折中。企业的自我规制意味着企业在作出决策时需适度考量利益相关者诉求,包括个人信息主体的个人信息权益受到保护的诉求和商业用户受到公平、公正对待的诉求,由此推动了公司社会责任与公司治理的进一步融合。
对大型互联网平台企业施加个人信息保护特别义务,也是义务与风险相一致原则的体现。我国对个人信息保护所采取的“基于风险的进路”理论源于欧盟1995年的数据保护指令,目的在于为不同的个人信息处理活动依其风险程度配置不同的义务负担,以实现个人信息的动态、多层次、可扩展的保护。否则,统一的标准要么让小型企业因合规成本高昂而对个人信息的利用望而却步,要么无法完全约束大型企业的个人信息处理活动而使得个人信息权益的保护不足。就比较法而言,《数字服务法(草案)》同样为具有不同用户规模的中介服务提供者设定不同的义务。
在个人信息类型上,处理敏感个人信息较一般个人信息需负有更高的告知、同意与安全防范管理标准;在个人信息规模上,达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人;在个人信息处理方式上,利用个人信息进行自动化决策或实施其他对个人权益带来更大风险的处理活动时,应当进行强制性的事前个人信息保护影响评估。那么,对于大型平台,其用户规模较大、数据类型丰富,容易成为人为恶意攻击的对象;个人信息利用方式更为多元,海量数据的沉淀大大提升了数据挖掘的价值,二次利用、数据融合等现象明显,而且非自用数据的交易、自用数据的API接口传输也会带来第三方关联风险;个人信息处理技术更为前沿,技术风险的隐蔽性、应用层的弱解释性等问题突出。故此,有必要向大型平台施加与其处理活动相称的较重义务。
在个人信息保护法起草过程中,其一审稿草案并未包含大型互联网平台企业个人信息保护特别义务的条款。全国人大常委会就该一审稿草案广泛征求社会意见,有关部门、专家踊跃建言,指出应当强化超大型互联网平台的个人信息保护义务,并加强监督。笔者于2021年1月初积极向立法部门提出立法建议得到有关领导批示,并在《比较法研究》上发表《互联网生态“守门人”个人信息保护特别义务设置研究》一文,形成一定的学术影响力。全国人大宪法和法律委员会经研究,建议增加一条规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督。这一方案被《个人信息保护法(二次审议稿)》第57条采纳并被提交给全国人大常委会进行审议。
针对前述《个人信息保护法(二次审议稿)》第57条的内容,有的部门、专家提出,大型互联网企业制定有关个人信息保护的平台规则时,应当公平合理地对待平台内经营者。全国人大宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:增加规定,即大型互联网企业应当遵循公开、公平、公正的原则,制定有关个人信息保护的平台规则。如此,大型互联网平台企业不仅仅以协助行政机关完成行政任务的辅助性角色出现,如在商业用户严重违反法律、行政法律的情形下停止提供服务,还能发挥更加能动的作用,利用合同进行私人规制。可见,立法者巧妙通过合同、自我规制等多元治理工具之间的功能性耦合,来达到规制众多中小型个人信息处理者的目标。
在法律草案的讨论过程中,全国人大有的常委委员提出,应当要求大型互联网平台建立个人信息保护合规体系,加强内部合规管理。全国人大宪法和法律委员会经研究,建议在草案三次审议稿第58条(即二次审议稿的第57条)中增加规定,大型互联网平台应当“按照国家规定建立健全个人信息保护合规制度体系”。这有机结合了自我规制与由独立监督机构(相对独立与外部性)、社会监督和行政机关形成的外在约束。
从极具创新性与富有中国特色的个人信息保护法第58条的立法形成过程可以看出,有关个人信息保护立法工作的推进过程是国家就应当如何合理配置利益相关主体的权利和义务以实现“三方平衡”的认识不断深入的过程,也是国家立法就应当如何构建社会治理网络,选取合适的治理主体与治理工具的理解不断深入的过程。立法部门集思广益,积极借鉴了欧盟数字市场法(草案)与数字服务法(草案)的经验,将大型互联网平台企业作为规制的重点之一,贯彻了科学立法、民主立法的理念。
二、独立监督机构的适用对象
“独立监督机构”,是指根据个人信息保护法第58条的规定成立的主要由外部成员组成的独立机构,其职责是对相关个人信息处理者的个人信息保护情况进行监督。独立监督机构的适用对象,是指哪些个人信息处理者应当依法成立主要由外部成员组成的独立机构监督其个人信息保护情况。
依据个人信息保护法第58条第1款的规定,应当承担个人信息保护特别义务的个人信息处理者为提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”这样的个人信息处理者通常不是个人而是企业;通常不是一般规模的企业而是大型企业;通常不是传统企业,而是大型互联网平台企业因此,独立监督机构的适用对象,可以被界定为大型互联网平台企业以下是对这一结论的具体论证:
如何根据第58条的三个定性标准具体确定特殊义务主体的范围,除了通过实质论证向该类主体施加监管平台内的产品或者服务提供者(商业用户)个人信息处理活动的第三方义务和强化其内部合规、外部监督的合理性以外,缺乏其他可操作的定量标准。不过我国《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》)根据平台的用户规模、业务种类、经济体量和限制能力(平台具有的限制或阻碍商户接触消费者的能力)的差异,将互联网平台分为超级平台、大型平台和中小平台等三级。由此产生这样两个问题:第一,个人信息保护法第58条与《分类分级指南》对平台进行类型化区分的不同标准之间有何关系;第二,如何利用《分类分级指南》的具体规定来理解和实施个人信息保护法第58条的规定,确定独立监督机构的适用对象
《分类分级指南》的分级标准实则是个人信息保护法第58条的特别义务主体三要素之细化,其经济体量、用户规模和业务种类的量化指标为认定独立监督机构的适用对象指明了方向,有利于提高法律适用的确定性。
在判断标准中,两者均有用户规模与业务种类两项,仅就“提供重要互联网平台服务”和“经济体量”“限制能力”存在区别。但从法律解释的角度来看,“提供重要互联网平台服务”可与“经济体量”“限制能力”相对应。“提供重要互联网平台服务”在二审稿草案中的表述为“提供基础性互联网平台服务”。作此修改的原因在于:其一,互联网平台处于网络结构中的应用层和服务层,相较于网络基础服务提供商(如宽带服务),其对信息传输的控制力较弱,能否被视为提供了基础性服务有待商榷。其二,即便在互联网平台中,不同的平台有着不同的功能和服务类型,其中最重要、最基本的系统软件当属控制其他软件运行的技术环境的操作系统,但将特殊义务主体限缩至此未免过于狭隘。故在理解“提供重要互联网平台服务”时,应强调平台在连接终端用户和商业用户方面的关键地位,以及其在推动经济发展、保障民生、维护国家安全等方面的重要作用。如此界定与《分类分级指南》中的“经济体量”“限制能力”相印证。就该要件而言,“提供重要互联网平台服务”的主体至少可以囊括操作系统、控制软件被下载和分发的主要节点的应用商店、为终端用户和商业用户提供交互环境的小程序平台(如微信、支付宝等)和网络销售类、生活服务类等促成多边交易的中介平台(如淘宝、京东)。
将用户规模与业务种类纳入平台分级与个人信息保护义务强度的区分标准同样具备充分的理据。首先,在用户规模方面,当平台直接处理个人信息时,个人信息处理活动所带来的系统性风险、对社会公共利益产生的可能影响往往与用户规模呈正相关关系。一方面,算法歧视、个人信息泄露极易侵害个人基本权利和民事权利,进而引发群体性事件,减损公众对互联网公司的社会信任;另一方面,不当使用类型丰富、数量巨大、主体多元的数据集会对社会利益和国家安全造成威胁。例如,脸书公司将用户的个人信息与剑桥公司共享,对用户进行政治画像,干涉、操控大选走势。
当商业用户处理个人信息时,根据平台与商业用户之间的不同关系,可将平台分为两类:第一类为小程序平台如微信、电商平台如淘宝,此时商业用户所处理的个人信息主要来源于平台的共享。比如,小程序在接口调用、权限获取和管理、消息推送等方面皆受限于小程序平台,小程序只能获取小程序平台已经从手机系统获取的权限。无论是处理用户信息、设备信息还是地理位置信息,小程序需要向平台申请,而平台则有权对相关接口进行保护。又如,《淘宝网隐私政策》(2022年4月2日版)第3条指出:“我们不会与淘宝网服务提供者以外的公司、组织和个人共享您的信息,但以下情况除外:……3、为订立、履行您作为一方当事人的合同所必需的情况下的共享...…”并在个人信息共享清单中列举了与店铺商家共享的个人信息类型和提供方式。可见,平台是否允许商业用户访问数据、允许商业用户访问哪些数据,是平台基于自主决策进行的个人信息共享活动,该层次的控制和管理本质上属于平台对终端用户履行本位的个人信息保护义务,而非第三方义务,于是用户规模在平台分级中的作用便与上段无异。第二类平台如操作系统和应用商城,与商业用户并没有数据来源上的从属关系,但存在技术上的钳制关系(小程序平台和电商平台同样具有该特性)。这些平台所具有的终端用户和商业用户规模越大,行政机关监管平台的成本与平台通过代码、技术研发规制商业用户的成本之和相较于行政机关逐一监管商业用户的成本越低,经济效益越显著,故而越具有由其履行行政法上第三方义务的经济合理性。
其次,在业务种类方面,具有全行业赋能效应的平台之公共性通常比仅具有单一行业赋能效应的平台的公共性更强,更应承担公共管理职能并受到更严格的管制。
综上所述,认定个人信息保护法第58条的适用对象即大型互联网平台企业时,可以参考《分类分级指南》关于平台分级的标准,包括其中的超级平台经营者、大型平台经营者。
个人信息保护法第58条的适用对象即大型互联网平台企业应当对标《分类分级指南》中的超级平台经营者与大型平台经营者。
第一,个人信息保护法第58条的适用对象包括超级平台经营者与大型平台经营者,而不仅仅是超级平台经营者,符合我国市场的实际情况。《分类分级指南》指出超级平台经营者的上年底市值(估值)不低于10000亿人民币,大型平台经营者的上年底市值(估值)不低于1000亿人民币。根据中国信通院发布的《2021年四季度我国互联网上市企业运行情况》,2021年度仅腾讯控股(35885.3亿人民币)、阿里巴巴(21082.8亿人民币)和美团-W(11306.5亿人民币)三家互联网企业的市值为万亿级,数量极少。如若个人信息保护法第58条以超级平台经营者为规制对象,行政机关通过指派专员的方式进行重点监管即可,而无需借助具有普遍约束力的法律,在公司治理中引入外部监督机构。基于尽可能有效规制众多中小型个人信息处理者的考量,有必要适当放低经济体量门槛,容纳更多的互联网平台企业。
第二,将个人信息保护法第58条中的大型互联网平台企业解释为超级平台经营者、大型平台经营者与《互联网平台落实主体责任指南(征求意见稿)》(以下简称《主体责任指南》)规制的主体范围相契合。需指出的是,该指南统合消费者权益保护、反不正当竞争、反垄断、个人信息保护、网络用户和内容监管、知识产权保护等多方位规则,将各种意旨相异的义务规定在一起,并对用户规模、业务种类、经济体量和限制能力在不同义务划定中的权重和分量进行了模糊处理,可能会产生仅在个人信息保护领域承担特别义务的主体与在多个领域承担特别义务的主体在实质范围上是否相同的疑虑。比如,解决商业用户和消费者对超级平台与大型平台高度依赖之后的不公平行为问题时,经济体量和用户规模指标更为重要。《主体责任指南》第1条到第3条要求超级平台与大型平台经营者公平竞争、平等治理、开放生态,借鉴了欧盟数字市场法的“守门人”规定。这类主体受到规制的原因在于他们在整个平台生态系统中行使控制权,在结构上极难受到现有或新的市场参与者的挑战或竞争,容易采取不公平竞争的行动。而经济体量指标可以反映出他们的货币化能力和门户地位,以及利用资本巩固地位的能力。用户规模指标则反映该平台是商业用户接触终端用户的主要媒介且具有强大的影响力。再比如,解决超级平台与大型平台对商业用户的违法行为进行治理及其侵害用户权益的问题时,限制能力和用户规模指标更为重要。这是因为超级平台与大型平台在促进商品交易、传播信息、观点和思想上地位关键,信息、商品和服务的潜在接收者越多、权益影响范围波及越大,越容易产生系统性风险。故而,超级平台与大型平台企业应当承担与其社会影响力相称的高标准义务。在比较法上,欧盟的数字服务法为在线中介服务提供者设定监管义务的程度时仅以服务对象的数量为变量。
大型互联网平台经营者与《主体责任指南》中的超级与大型互联网平台经营者在义务内容上仍有共性。其一,《主体责任指南》第13条之“动态建立审核词库和管控机制,建立平台审核机制和日常巡查机制”、第21条之“加大对平台内经营者违法违规广告的事先预警和事后处理”、第28条之“针对平台内经营者发布的商品和服务,应当建立内部监督检查制度,督促平台内经营者提供符合保障人身、财产安全要求的产品及服务”等条款均为平台施加了监管义务,这意味着超级平台与大型平台经营者所具有的规模、资金和技术等优势成为其负担第三方义务的重要理据。其二,与大型互联网平台经营者应当定期发布个人信息保护社会责任报告类似,《主体责任指南》要求超级平台与大型平台经营者履行保护劳动者(第30条)、特殊群体(第31条)、环境(第32条)的义务等社会责任。
由此可见,个人信息保护法第58条中承担个人信息保护特别义务、需要设置主要由外部人员组成的独立监督机构的大型互联网平台企业,可对应《分类分级指南》《主体责任指南》中的超级平台经营者和大型平台经营者。
三、独立监督机构的性质与人员构成
个人信息保护法第58条规定了大型互联网平台企业设立独立机构监督其个人信息保护的义务,创新性地在组织机构方面对企业提出了要求。此后,国家互联网信息办公室发布的《未成年人网络保护条例(征求意见稿)》规定,未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者应当“成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督”。
关于独立监督机构的独立性,目前有几种不同的认识:一是与大型互联网平台企业独立,作为行使社会监督权力的独立机构;二是与大型互联网平台企业独立,作为国家监管部门行使监管权力的独立机构;三是内设于大型互联网平台企业,与企业的日常经营管理部门隔离,独立进行个人信息保护监督的机构。本文支持第三种观点,理由如下:
第一,从法律条文的体系解释角度判断。第58条是规定于个人信息保护法第6章“个人信息处理者的义务”这一章的,该章规定个人信息处理者包括处理个人信息的大型互联网平台企业的个人信息处理义务,而不规定个人信息保护的社会监督,也不规定国家监管部门的职责。该法是在第7章专门规定保护个人信息的国家机关及其职责。因此,第58条所规定的“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”就只能理解为个人信息处理者包括处理个人信息的大型互联网平台企业的义务,而不能理解为“社会监督”或者国家监管方面的独立机构。
第二,从独立监督机构的人员构成角度判断。第58条规定的“成立主要由外部成员组成的独立机构”表明,独立机构的组成人员大部分是外部成员,少部分为内部成员。有内部成员参与的“独立监督机构”,其完全独立于企业是不可能做到的。
第三,从国家机构设置的程序与政策判断。新的国家机构的设置以及已有国家机构职能的增减,都需要经过严格的法定程序,精简国家机构、促进国家机关高效率运行是建设服务政府、法治政府的必然要求。在这样的国家治理大背景下,不可能设置专门监督大型互联网平台个人信息保护活动的国家机构,也不可能设置“主要由外部成员组成”的具有国家公权性质的受委托的独立机构,对大型互联网平台企业的个人信息保护进行监督。
第四,从“独立监督机构”的职能判断。虽然“独立监督机构”应当具有较高程度的“独立性”,但本质上是服务于企业的个人信息保护合规要求的,其存在的目的在于企业的依法合规经营,确保企业在个人信息保护方面达到法律、法规和规范性文件要求的保护水平和落实相关的保护措施,避免企业因个人信息保护达不到合规要求而受到处罚。“独立监督机构”职能的“利己”性(服务于企业)决定了“独立监督机构”只能是企业的内设机构而不应该是独立的社会监督机构或者国家机关。
作为企业内设机构的“独立监督机构”,主要是指独立于企业的日常经营管理机构(如总经理)、产品或者服务研发推广机构等业务部门。因为这些机构和部门往往会以利润导向进行管理和经营而忽视个人信息保护。独立机构独立于这些机构和部门监督企业的个人信息保护情况。“独立监督机构”是大型互联网企业公司治理的重要组成部分,是一个创新的制度,主要是通过引入外部成员对企业的个人信息保护情况进行监督,确保企业在个人信息保护方面合规运行。
有些探讨将独立机构的性质与外部独立的审计机构(如会计师事务所)和内部的独立董事进行类比,无疑是具有一定启发性的。“独立监督机构”作为企业内设的机构,其独立性主要是体现为与日常经营管理机构和产品服务研发经营部门等的独立,而不同于作为与企业仅有合同关系的审计机构。独立机构与企业独立董事的性质有相同的地方也有较大差异。相同之处在于独立性。不同之处在于独立董事对企业的诸多事项行使决策权,而独立机构仅对个人信息保护活动进行监督没有决策权。独立董事在董事会机制下行使权力,独立机构则是向董事会或者股东会提出监督建议和意见。
法律规定“主要由外部成员组成的独立机构”对大型互联网平台企业的个人信息保护进行监督。
就独立机构的人员构成而言,需要从以下三个方面细化第58条第1款第1项的规定:一是独立机构组成人员的数量;二是外部成员与内部成员的比例;三是外部成员的资质要求与内部成员的职务要求。
将大型互联网平台企业和超级互联网平台企业均纳入第58条适用对象,要求其成立主要由外部成员组成的独立机构对个人信息保护活动进行监督。这两类企业在规模上有较大差别,个人信息保护的复杂程度和工作量等也不尽相同。因此,大型互联网平台企业与超级互联网平台企业监督个人信息保护活动的独立机构之组成人员的数量应有所区别。
有的超级与大型互联网平台企业积极探索独立机构的建设,初步提出了15人的组成人员设想,这是比较符合企业实际情况的。本文的建议是:大型互联网平台企业的独立机构由9-15人组成。
法律规定独立机构主要由外部人员组成,“主要”的文义是指绝对多数。考虑到在投票等方面的技术要求,本文建议这里的“主要由外部成员组成”应当理解为外部成员不少于全体成员的2/3。比如,在全体成员为9人的情况下,外部成员为6人或者多于6人,但是不能超过8人。在全体成员为15人的情况下,外部成员为10人或者多于10人,但是不能超过14人。
首先,作为独立机构组成人员的外部人员。外部人员是指不属于企业,与企业不存在劳动人事关系和其他重要利害关系的自然人。这里的“重大利害关系”包括股东关系、债权债务关系,以及与企业董事、监事等高级管理人员有近亲属关系等。作为独立机构组成人员的外部人员,应当政治上合格、业务上的精通个人信息保护法治与实践操作。具体任职条件由国家履行个人信息保护职能的部门(如国家网信办)通过颁布规范性文件确定。有资质担任独立机构组成人员的相关法律专家等可以成立个人信息保护独立专业人员协会,受国家履行个人信息保护职能的部门指导和监督。
独立机构组成人员特别是外部成员的个体独立性与专业性是保障其行使职能的必要前提。为了确保机构的独立性,需关注以下四个方面:其一,独立机构的外部成员不得与企业具有人事、经济上的利害关系。其二,独立机构外部成员的名单需上报外部专家协会进行独立性和专业性审查,向社会公众公布,并由国家网信部门备案。其三,外部成员的津贴报酬需要有统一的标准且与企业相区隔。为保证独立监督机构成员不被大型互联网企业俘获,形成经济依附关系,外部成员不得被给付过高的薪酬。其四,在委员履职期间,一旦出现利益冲突或者其他不能履职的情况,应当主动向企业与外部专家协会申请,辞去职务。
外部监督机构成员还应有专业性要求,否则无法有效地履行监督职责。比如,委员需为个人信息保护领域公认的专家,具备高级以上专业技术职称;熟悉有关个人信息法律法规、信息技术等相关理论及实践经验。值得注意的是,委员应当有足够时间和精力参与企业的监督活动,已在3个及以上其他大型互联网企业中担任外部监督机构成员的,不得再在其他企业担任。
其次,作为独立监督机构组成人员的内部人员。处于“少数派”的内部人员参与独立监督机构,有利于独立监督机构与企业的沟通以行使个人信息保护监督职能。作为独立监督机构组成人员的内部人员,应当包括企业主管法务和合规的高层管理人员以及具体负责企业个人信息保护的负责人(个人信息保护法第52条)。
四、独立机构的职责与运行
依据第58条的规定,独立监督机构的职责是监督大型互联网平台企业的个人信息保护。在企业内,其所担当的职责是监督,而非决策和执行。其所监督的事项仅限于个人信息保护,而不涉及企业生产经营和管理的其他事项。相较于企业的合规部门,独立监督机构仅能行使有限的监督权。将该机构与企业内部予以隔离保障,既有利于独立机构在履职时进行独立、客观和公平判断,又有利于数据安全和企业商业秘密的维护。以个人信息存储与传输的技术管理为例,企业所采取的加密处理措施和方法被知悉的主体越多,数据安全越容易受到威胁。因此,独立机构的职责主要是对企业的个人信息保护合规情况进行监督。
大型互联网企业不仅需要对自己的个人信息处理活动负责,还需履行规范商业用户(如淘宝网上的网店)个人信息处理活动的义务。就此而言,独立监督机构的职责又可分为如下两大类型:
其一,监督大型互联网平台企业自身的个人信息保护合规情况。个人信息保护合规体系分为个人信息合规政策和个人信息合规流程,前者立足于个人信息主体的权益,后者则为实体权益之落实提供组织和程序保障。但实践中,两者之间的界分并非泾渭分明。个人信息主体权益的范围与边界需结合特定场景进行具体划定,场景要素在实体权益与操作规则之间构建起桥梁,于是在监督个人信息合规流程中的人员组织合规情况时,对操作规程的监督不可避免地会涉及个人信息主体的实体权益。以中兴通讯公司建立的合规制度为例,该企业建立了“政策、手册、原则性规范、场景化指引”的规则框架,其中原则性规范既包括了实体性的《合法性基础判断规范》,又包括了管理性与程序性的《数据影响保护评估规范》。故而对独立监督机构职责的梳理不可过分僵化。
在个人信息合规政策方面,独立监督机构可格外注意与个人信息主体发生交互的合规情况,即大型互联网企业制定的平台规则和隐私政策,例如通过自动化决策方式向个人进行信息推送、商业营销时,是否同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
在个人信息合规流程方面,独立监督机构则可从制度合规、技术合规和组织合规三个角度着手,对大型互联网企业的事前防范、事中规制和事后处置的合规情况进行监督。事前环节的监督包括:(1)个人信息保护负责人的设立;(2)组建统筹协调、制定规则、监督执行的个人信息保护合规部门,并制定内部管理制度;(3)在对个人权益有重大影响的处理活动前进行个人信息保护影响评估;(4)制定操作规程;(5)定期对从业人员进行安全教育和培训;(6)个人信息跨境时的安全评估、个人信息保护认证或制定标准合同;(7)制定并组织实施个人信息安全事件应急预案。事中环节的监督包括:(1)对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施;(2)合理确定个人信息处理的操作权限;(3)操作规程的遵守与内容审查;(4)合规审计;(5)定期发布个人信息保护社会责任报告。事后环节的监督包括:(1)个人信息安全事件的补救和通知;(2)为个人信息主体的权利行使建立了便捷的受理和处理机制。
其二,监督大型互联网企业对商业用户的个人信息处理活动予以规范的合规情况。大型互联网企业对商业用户进行个人信息处理活动所需尽到的监管义务不尽一致。尽管操作系统平台与应用商店都能对商业用户采取技术控制措施,但操作系统是制约其他应用软件的底层技术环境,而应用商店仅能部分阻却其他应用软件被获取的通道,显然前者的监管义务更高。至于小程序平台和电商平台,它们除了在与商业用户共享个人信息方面起决定性作用,还能控制商业用户的市场准入,具备数据与技术的双重钳制关系。由此,独立监督机构在不同类型的互联网企业中监督的项目内容有所区别。
对于操作系统平台,监督范围包括:(1)是否采取技术措施将应用软件调取的系统权限限制在必要范围之内;(2)是否按照系统权限对个人信息带来的风险差异采取不同强度的保护措施,如申请麦克风、照相机、地理位置等权限时的单独授权;(3)是否在系统权限被调用之后对用户进行提示;(4)是否用合理的方式向用户呈现应用软件调取系统权限的状态并允许用户自由变动。
对于应用商店,监督范围包括:(1)平台规则是否公平、公正、公开;(2)是否对应用软件公示隐私规则作出合理的要求与审查;(3)是否对违法应用软件采取事前禁止准入和事后下架的控制。
对于小程序平台和电商平台,监督范围包括:(1)企业是否采取技术措施将小程序从小程序平台获取的个人信息限制在必要范围之内;(2)在小程序申请调取敏感个人信息时,是否采取强化保护措施;(3)是否以合同的方式对小程序采集、存储、使用、共享个人信息的活动作出约束;(4)平台规则是否公平、公正、公开;(5)是否对违法商业用户采取事前禁止准入和事后下架、断开连接的控制;(6)是否为个人信息主体举报违法处理个人信息的商业用户建立便捷的渠道。
需要进一步说明的是:第一,独立监督机构就职责范围内的事项所享有的权力不限于监督权,还可就其提出建议、意见并进行指导。第二,由于独立监督机构由董事会领导,故其还享有对大型互联网企业个人信息保护相关的董事会议案提出建议和意见、对大型互联网企业个人信息保护相关工作提交董事会议案,并列席与个人信息保护有关的董事会会议,但涉及商业秘密的,独立监督机构成员应当保密。第三,独立监督机构通常是以整体的形式履行职责,但独立监督机构成员也可单独行使部分职责,如对大型互联网企业个人信息保护相关问题提供意见和建议、对内部从业人员进行个人信息保护培训、对个人信息保护相关工作向个人信息保护负责人提交独立意见。
由于独立监督机构的成员大部分为兼职参与公司治理,为确保其顺利履行职责,大型互联网企业,一则需要尽到必要信息提供义务,以消除信息不对称,满足独立监督机构成员的知情需求,如介绍情况、提供材料等,定期通报个人信息保护相关工作情况;二则应当畅通信息沟通与交流渠道,指定专人负责与独立监督机构及成员的日常联系,及时响应独立监督机构及成员的意见和建议;三则为独立监督机构成员提供履行职责所必需的工作条件并承担相应的费用,如独立监督机构聘请第三方审计机构进行审计合规的支出。
独立监督机构行使诸如进行监督和指导、提出建议和意见的权力,以及形成决议皆采取召开会议的形式,这也是独立监督机构行使集体权力的主要方式。独立监督机构成员会议与公司股东会议、董事会议类似,分为常规会议和临时会议。为激励积极履行职责,有关管理规定可以对会议召开作出具体要求,比如例行的年度会议、半年会议乃至季度会议等定期会议的强制出席要求。独立监督机构的会议由个人信息保护监督机构主席召集和主持。
定期会议在灵活性方面有所欠缺,当面临突发事件或其他重大事件时,往往需要召开临时会议。由此可以参照股东临时会议和董事临时会议。一方面,三分之一以上的独立监督机构成员机构成员可提议召开,个人信息保护监督机构主席收到提议后十日内召集和主持会议;另一方面,当发生特殊情形时,必须召开临时会议,比如个人信息泄露、篡改、丢失,大型互联网企业因违法处理个人信息而被提起民事公益诉讼、给予行政处罚、进入刑事调查程序等。定期会议和临时会议的决议、建议应当按照章程规定的流程及时提交给企业的权力机构或者企业的其他机构和部门。
尽管大型互联网平台企业设置的个人信息保护独立监督机构属于企业的内部机构,但是其引入了外部成员而且担负法律规定的特殊职责,因此其设立、运行等应受到国家个人信息保护部门的指导和监督。具体而言,国家个人信息保护部门宜出台规范性文件规范独立监督机构成员的任职条件、独立监督机构的运行程序包括发布供参照执行的“模范章程”。国家网络安全标准委员会可以制定相应的国家标准,指导和规范独立监督委员会的工作。
成立大型互联网平台企业个人信息保护独立监督机构成员协会,研究和协调各独立监督机构的工作,培训和考核独立监督机构的成员,制定外部成员的报酬标准,是十分必要的。独立监督机构对企业个人信息保护事项作出的决定或者提出的鉴定意见,原则上将得到国家个人信息保护部门的认可。在发现企业在个人信息保护方面存在重大隐患或者严重违法情形时,独立监督机构应当及时向企业的权力机构提出意见和建议。企业权力机构拒绝接受的,经独立监督机构多数成员表决同意,应将相关情况报告国家个人信息保护部门。
结语
本文结合社会治理理念、个人信息保护基本法理和中国社会实际情况,就我国个人信息保护独立监督机构的设立提出如下建议:第一,负有设立义务的大型互联网平台企业可对应于《分类分级指南》《主体责任指南》中的超级平台经营者和大型平台经营者;第二,该独立机构主要由外部成员构成,内设于大型互联网平台企业,与企业的日常经营管理部门隔离,独立对个人信息保护情况进行监督。独立机构组成人员包括少数内部人员与多数外部人员,均有履职的资质要求;第三,独立监督机构的职责定位主要是对大型互联网平台企业的个人信息处理行为进行自我规制的再监督。个人信息保护法不少条文要求设置新的规章制度和执行机制。无论是本文所论及的独立监督机构,还是强制性一般合规义务中的组织合规、制度合规、技术合规,均有待网信部门制定相关规范性文件和标准化管理委员会出台技术标准,将相对抽象和原则的条文转化为具体、可操作的行为规则,以进一步落实和实施个人信息保护法的规定。
往期精彩回顾
上海市法学会官网
http://www.sls.org.cn