姚志伟:大型平台的个人信息“守门人”义务
作者:姚志伟(广东财经大学 教授)
来源:《法律科学》2023年第2期
目次
一、《个人信息保护法》第58条仅规制大型平台的管理行为
二、《个人信息保护法》中“守门人”义务主体的界定
三、《个人信息保护法》中停止提供服务义务的履行
四、对平台内经营者的救济
五、大型平台违反《个人信息保护法》第58条法律责任的特殊性
结语
摘要:《个人信息保护法》第58条规定了大型平台的个人信息保护特别义务,即“守门人”义务,该条款也可以称为“守门人”条款。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性,《个人信息保护法》以规制个人信息处理者的个人信息处理行为为中心;但第58条规制对象是大型平台,大型平台在第58条语境下并非个人信息处理者,而是一种管理者的角色。第58条仅规制大型平台对平台内经营者的管理行为,而不规制其自身的个人信息处理行为。这种特殊性对第58条的解释产生了很大的影响,尤其体现在大型平台违反第58条的法律责任上。《个人信息保护法》的法律责任部分是针对个人信息处理行为进行设计的,大型平台违反第58条时,其法律责任的确定不能简单套用相关条文。
关键词:个人信息保护法;守门人;大型互联网平台经营者;停止提供服务
2021年8月20日,《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,这标志着中国的个人信息保护迈入了新纪元。《个人信息保护法》中一个较为突出的亮点是新增了“守门人”条款,即该法第58条的规定。该条为大型互联网平台经营者(下文简称为“大型平台”)设立了个人信息保护特别义务,这个义务也可称之为“守门人”义务。这里的“守门人”是指大型平台并非拥有法定职权的监管机关,也并非违法者,但由于其特殊地位和具有阻止违法行为的能力,法律为其设定了管理义务,即管理平台内经营者处理平台用户个人信息行为的义务。当法律生效后,相关研究应从立法论转向解释论。就解释论而言,“守门人”条款的两个特点,增加了解释该条款的难度:其一,“守门人”条款在《个人信息保护法》体系中具有明显的特殊性。《个人信息保护法》以规制个人信息处理行为作为中心,而“守门人”条款并不规制大型平台的个人信息处理行为,仅规制其管理行为。这种特殊性使得“守门人”条款与《个人信息保护法》其他条款的关系,特别是与法律责任条款的关系更加复杂。其二,“守门人”条款的创新性。为大型平台设立个人信息保护的“守门人”义务是我国《个人信息保护法》的创举,欧美日韩等国家或地区在个人信息保护领域并没有类似规定,我国立法极可能在世界范围也是首次规定。这种立法上的创新性使得在解释“守门人”条款时,往往缺乏成熟的域外经验可供参考。除上述两点外,解释论还需要考虑到“守门人”条款是《个人信息保护法》在二次审议时才引入,学界对其研究不多。《个人信息保护法》的生效时间尚不足一年,监管部门也没有发布“守门人”条款的具体实施细则。在上述背景下,有必要从解释论的角度,对“守门人”条款涉及的诸多问题进行研究。下文将探讨“守门人”条款的适用范围仅为大型平台的管理行为,还是既包括管理行为也包括个人信息处理行为?“守门人”义务的主体应如何界定?履行第3项义务“停止提供服务”是否应以收到有权机关命令为前提?平台内经营者的救济机制应如何设计?大型平台违反第58条的规定应如何承担法律责任等。
一、《个人信息保护法》第58条仅规制大型平台的管理行为
解释论的研究先必须确定条款的适用范围。就第58条而言,需要确定该条款是仅规制大型平台的管理行为,还是既规制管理行为也规制个人信息处理行为。就用户的个人信息,大型平台存在两种行为,一种是自行处理用户的个人信息。在这种情况下,用户个人信息往往是被大型平台有意识的收集、整理,以数据库的形式存在,这些数据也可以称之为“后端数据”。一种是大型平台不处理用户的个人信息,而是以“守门人”的身份管理平台内经营者的个人信息处理行为。从第58条的内容来看,第2、3项是比较清晰的,第2项要求大型平台制定平台规则,明确平台内经营者处理个人信息的规范和保护个人信息的义务;第3项要求大型平台对严重违法的平台内经营者,停止提供服务。从内容上看,这两项很明显是规制大型平台的管理行为。不清晰的是第1项和第4项,学者对其理解有分歧。第一种理解是第1项和第4项仅规制大型平台的管理行为,而不规制大型平台的个人信息处理行为,这也就使得第58条的适用范围仅限于大型平台的管理行为。这种理解的理由是:其一,从第58条的设计目的来看,该条款仅规制管理行为。《个人信息保护法》的权威释义对第58条的设计目的进行了解释:互联网平台为平台内经营者的个人信息处理行为提供了基础的技术服务,设定了处理规则,是个人信息保护的关键环节,大型平台更是对平台内的个人信息处理活动有着强大的控制力和支配力。从域外立法来看,欧盟的《数字服务法》(草案)和《数字市场法》(草案)也让大型平台以“守门人”身份承担更大责任。其二,从第58条的内在结构来看,该条款仅规制管理行为。第58条的四项规定分别为大型平台设定了四个方面的义务。这四项规定是并列的,从法条内部的统一性上来看,四项规定的规制对象应该是同一的。既然第2项和第3项的规制对象已经明确是管理行为,在第1项和第4项没有相反规定的情况下,也应被理解为管理行为。其三,如果第1项和第4项规制个人信息处理行为,会造成类似主体之间义务承担的显著不平衡。大型平台的个人信息处理行为被第1项和第4项所规制,这意味着其在个人信息处理方面要承担特别义务,那为何同样用户数量巨大的非平台型个人信息处理者在个人信息处理方面就不需要承担特别义务呢?由此,如果认为第1项和第4项也规制大型平台处理个人信息的行为,将导致同样用户数量巨大的大型平台与非平台型个人信息处理者的义务显著失衡。第二种理解是第1项和第4项既规制管理行为,也规制个人信息处理行为。理由是:其一,防范系统性风险的需要。大型平台用户数量庞大,处理的个人信息数量极为巨大,从而可能诱发“系统性风险”。欧盟委员会在《数字服务法》(草案)中提出,一旦某个平台用户人数达到一个较高的值(例如达到欧盟人口的百分之十),就可能诱发系统性风险,产生很大的负面影响。系统性风险可以定义为“在一个复杂系统中,单个组件的故障导致系统性连锁效应,从而导致整个系统的故障”。当大型平台处理庞大用户的个人信息时,就有可能发生这种系统性风险。一方面,庞大的用户数量意味着当大型平台违法处理个人信息,就会导致侵犯庞大用户的利益,并可能给国家安全带来严重风险。另一方面,大型平台处于关键性的控制地位,其服务往往是大众日常生活所需,很难绕过,是控制用户个人信息的“必经通道”。这意味着个体即使知道大型平台可能违法处理个人信息,其个人信息权可能受到侵害,但为了使用平台服务而不得不承受这种风险。其二,从成本角度考量,在大型平台的管理行为已被纳入第1项和第4项规制时,再将大型平台的个人信息处理行为纳入其中,对于大型平台的成本相对可控。第1项和第4项对于大型平台的要求主要是三个方面:建立合规制度、设立独立机构进行监督和定期发布社会责任报告。从建立合规制度来看,因为第51条已经要求个人信息处理者建立合规制度,因此要求大型平台就其个人信息处理行为建立合规制度,并不会加重其义务。要求大型平台在个人信息处理行为方面设立独立机构进行监督和定期发布社会责任报告,当然会带来大型平台成本的升高。但是,考虑到这两个义务在大型平台的管理行为中已经存在,将这两个义务的适用范围由管理行为扩展到个人信息处理行为,其成本增加是有限的。第一种理解注重于大型平台的“平台”特性,因此将第一、四项义务限于平台的管理行为;而第二种理解则注重于大型平台的“大型”特性,注重防范海量用户所引发的系统性风险,故而将第一、四项义务扩张至个人信息处理行为。从法教义学的角度出发,第一种理解更加符合第58条之设计目的,在法条内部逻辑上也更能自圆其说;而第二种理解则不可避免会造成大型平台与非平台型个人信息处理者之间义务的显著失衡。因此,采用第一种理解为宜。在采用第一种理解的基础上,可以得出“守门人”条款仅规制大型平台管理行为,而不规制大型平台个人信息处理行为的结论。
二、《个人信息保护法》中“守门人”义务主体的界定
第58条对“守门人”义务主体的描述是“个人信息处理者”,同时为义务主体的界定设定了三个条件,即“提供重要互联网平台服务”“用户数量巨大”和“业务类型复杂”。
(一)第58条规定的义务主体并非通常意义上的“个人信息处理者”
第58条对规制对象的描述是“个人信息处理者”,但从立法史和权威释义来看,第58条的规制对象是大型平台,而并非通常意义上的“个人信息处理者”。从立法史来看,“守门人”条款是在《个人信息保护法》(二次审议稿)中引入的,宪法与法律委员会就《个人信息保护法》(二次审议稿)在向全国人大常委会的报告中,阐述了“守门人”条款引入的原因:“有的部门、专家建议,强化超大型互联网平台的个人信息保护义务,并加强监督。宪法和法律委员会经研究,建议增加一条规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:……”从宪法与法律委员会的阐述来看,“守门人”条款的义务主体是“超大型互联网平台”。全国人大常委会法工委经济法室副主任杨合庆在《个人信息保护法》权威释义书中指出,第58条“是关于大型互联网平台个人信息特别保护义务的规定”。因此,从立法史和权威释义可以看出“守门人”条款的规制对象是大型平台。大型平台是不是个人信息处理者呢?这个问题可以从两个层面来回答:其一,大型平台通常都是个人信息处理者,因为大型平台通常情况下,都会自行处理平台用户的个人信息,从而成为个人信息处理者。其二,在第58条语境下,大型平台扮演“守门人”的角色,大型平台并非个人信息处理者。第58条规制的是大型平台的管理行为,即以“守门人”身份管理平台内经营者处理个人信息的行为,而非其自身的个人信息处理行为。在这种情况下,大型平台通常并没有参与平台内经营者处理用户个人信息的过程,更无法决定平台内经营者处理个人信息之目的、方式,这些都是由平台内经营者自主决定的。因此,在第58条语境下,大型平台扮演“守门人”角色,其并非个人信息处理者。结合上述论证可知,第58条在描述规制对象时,实际上是在第一个层面即宽泛意义上,使用了“个人信息处理者”的概念:并非是指大型平台扮演“守门人”角色,其仍是个人信息处理者。值得思考的是,立法者为什么不采用更加准确的“大型互联网平台经营者”而是用并不十分精准的“个人信息处理者”来描述第58条的义务主体?这与“守门人”条款在《个人信息保护法》中的特殊性有关。整部《个人信息保护法》是以规制个人信息处理者的个人信息处理行为作为中心,而“守门人”条款规制的则是大型平台的管理行为而非个人信息处理行为。从结构上而言,除第1章总则和第8章附则外,《个人信息保护法》第2章和第3章是关于个人信息处理规则及跨境提供规则,第4章是个人在个人信息处理活动中的权利,第5章是个人信息处理者的义务,第6章是履行个人信息保护职能的部门,第7章是法律责任。在上述各章的标题下,如果以“大型互联网平台经营者”作为“守门人”条款的义务主体,则将第58条放到上述任何一章都是不合适的。相反,用“个人信息处理者”作为义务主体,则可以将“守门人”条款置于第5章,这也正是现行立法所采用的方案。但必须要指出的是,“守门人”条款为大型平台设立的义务与第5章其他条款为个人信息处理者设立的义务具有明显的不同,因此权威释义将大型平台的义务称之为“个人信息保护的特别义务”,即用“特别”两字区分大型平台的义务和第五章其他个人信息处理者的义务。
(二)“提供重要互联网平台服务”的界定
“提供重要互联网平台服务”意指平台服务应该是基础性的,对于社会生产生活十分重要,往往是人民群众日常生活所必须、很难绕过的,是控制用户个人信息的“必经通道”。该条件是义务主体界定中“质”的因素:其一,从这个条件的发展源流来看,“重要互联网平台服务”指的是基础性的、关键性的互联网平台服务。《个人信息保护法》(二次审议稿)的表述为“提供基础性互联网平台服务”,最终通过的《个人信息保护法》的表述为“提供重要互联网平台服务”。有学者认为,之所以这样修改,是因为基础性互联网平台服务的提法,很容易与关键信息基础设施相混淆,故将“基础”改为了“重要”。因此,虽然表述有所不同,但含义并无变化,重要互联网平台服务的含义仍然意指基础性的、关键的互联网平台服务。其二,“重要互联网平台服务”的认定标准。核心标准应该至少有两个:一是不可或缺性。即该服务是人民群众日常生活所必须,很难绕过,这决定了提供该项服务的平台经营者处于用户个人信息的“必经通道”上,具有发挥关键影响的可能性。二是具有控制力。这里的控制力是指互联网平台经营者应当对平台内经营者处理用户个人信息的行为具有控制力,能够防止平台内经营者侵害用户个人信息权益。控制力中尤为重要的是能够采取针对特定平台内经营者措施的能力,即可以精确地针对严重违法的平台内经营者采取停止提供服务措施,而同时又不“伤及无辜”。例如基础电信运营商获知某个移动应用经营者严重违法,但是该移动应用运营于某个公用云上,基础电信运营商如果要停止提供服务,只能断开整个公有云的网络连接,此举势必导致该公有云上的其他移动应用也被“断网”,伤及无辜的经营者。因此,基础电信运营商往往不具有控制力。从这个意义上讲,基础电信服务通常情况下不应被认定为提供“重要互联网平台服务”。其三,“重要互联网平台服务”的具体认定。从立法程序上而言,具体认定哪些平台服务属于“重要互联网平台服务”,有赖于监管部门出台配套性的实施细则予以确定。在这方面,可以参考国内已有的相关实践。如,移动应用商店经营者已经被工业与信息化部等部门要求履行个人信息领域的“守门人”义务,因此,移动应用商店服务属于“重要互联网平台服务”应无太大争议。
(三)“用户数量巨大”的界定
顾名思义,“用户数量巨大”是对义务主体用户数量的要求,是义务主体界定中“量”的因素:其一,“用户数量”的衡量指标。从文义上说,用户数量是指使用平台服务的用户总数。但是,用户总数包含不活跃用户、重复用户,因此并不能有效说明相应互联网平台服务的规模和价值。国家市场监督管理总局起草的《互联网平台落实主体责任指南(征求意见稿)》在界定“超大型平台”时,使用的衡量指标是“年活跃用户”。从域外经验来看,欧盟的《数字服务法》(草案)和《数字市场法》(草案)(以下简称“欧盟两个草案”)也为“超大型在线平台”和“守门人”设定了特别义务,虽然这个义务并非个人信息保护方面的特别义务,但是中国《个人信息保护法》引入“守门人”条款时很大程度上参考了欧盟两个草案的设计。因此,欧盟两个草案对“超大型在线平台”和“守门人”的界定我们可以借鉴。在衡量用户规模是否达到“超大型在线平台”或“守门人”门槛时,欧盟两个草案使用的用户概念是“月活跃用户”。因此,可以考虑使用“年活跃用户”或者“月活跃用户”作为“用户数量”的衡量指标。此外,还要考虑的问题是,不同的年份或者月份,“活跃用户”的数量是不同的,《互联网平台落实主体责任指南(征求意见稿)》要求的是上一个年度的“年活跃用户”。欧盟的《数字市场法》(草案)是采用一个财政年度大部分时间“月活跃用户”数量的平均值。监管部门在出台实施细则,确定“用户数量”的衡量指标时,可以考虑参考上述方法。其二,多少数量可以称为“巨大”。正如有学者指出的,具体多少数量能够达到巨大的要求,必然有赖于监管部门来明确。在这方面,我们也可以参考相关监管部门制定的立法文本草案。例如国家市场监督管理总局在《互联网平台落实主体责任指南(征求意见稿)》中将承担特别义务的“超大型平台”之用户数量界定为不低于5000万。国家网信办在《网络数据安全管理条例(征求意见稿)》中,也是用超过5000万用户来界定承担特别义务的“大型互联网平台运营者”。从域外经验来看,欧盟两个草案所设定的数量门槛是4500万,即欧盟人口的百分之十。按照人口百分比作为衡量数量巨大的指标,也是一个可以考虑的方法。其三,定期评估。互联网平台经营者的用户数量会经常变动,这种变动使得特定的互联网平台经营者会动态地达到(达不到)法定的数量门槛。因此,监管部门有必要对互联网平台的用户数量进行定期评估,以决定是否要求其承担“守门人”义务。《互联网平台落实主体责任指南(征求意见稿)》对用户数量的衡量指标是“上一个年度”的年活跃用户数,这在一定程度上可以解读为以年为单位进行定期评估。从域外经验来看,欧盟《数字服务法》(草案)要求至少每半年进行一次评估,看互联网平台经营者的用户数量是否等于或者高于法定数量的要求,以决定是否将其认定为“超大型在线平台”进行管理。
(四)“业务类型复杂”的界定
业务类型复杂是指大型平台提供的平台服务中,交易业务的架构是多样且复杂的。例如大型电子商务平台提供的业务,往往既有提供虚拟经营场所、进行交易撮合等业务,也涉及物流、支付等业务环节。当然,业务类型复杂还可能是大型平台提供两种以上不同类型的平台服务。参照《互联网平台分类分级指南》(征求意见稿),不同类型的平台服务包括:网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类。需要指出的是,“业务类型复杂”是否与前两个条件一样,成为界定义务主体的实质性条件,存在不同意见。第一种观点认为,虽然从文义解释的角度,三个条件是并列关系,需要同时满足,但“业务类型复杂”不应完全与前两个条件并列,而应被理解为辅助性、形式化的条件,实质性的条件仅为前两个条件。第二种观点认为,必须同时满足上述三个条件才能被界定为“守门人”,这也就意味着“业务类型复杂”同样是实质性条件。笔者认同前一种观点,即“业务类型复杂”应是辅助性、形式化的条件。理由是:其一,“业务类型复杂”与“守门人”界定之间关系不明晰,严格按照“业务类型复杂”条件进行界定,会使得实质上符合条件的互联网平台经营者逃脱“守门人”义务。“守门人”概念强调其对平台内个人信息保护活动具有很强的控制力和支配力,处于个人信息保护的关键环节。这个关键环节可以从“质”和“量”两个方面来考虑。“质”的方面强调的是平台服务应该是基础性的,是用户与平台内经营者之间的“重要通道”。“量”是对服务所覆盖用户规模的要求。三个条件中的“提供重要互联网平台服务”和“用户数量巨大”分别对应了“守门人”界定中“质”和“量”的要求。但是,第三个条件“业务类型复杂”与“守门人”界定之间的关系并不明晰。业务类型复杂为何会使得相应的互联网平台经营者处于个人信息保护的“关键环节”呢?反过来说,业务类型单一的互联网平台经营者就不能处于个人信息保护的“关键环节”吗?至少从逻辑上来看,并不是这样。例如,一个仅经营移动应用商店业务的互联网平台经营者,其用户数量巨大,对于用户个人信息无疑有着强大的控制力和支配力,完全可以认为其属于个人信息保护的“关键环节”。如果仅因为该经营者不满足“业务类型复杂”的条件,而不将其界定为“守门人”,则无疑会使“守门人”条款的适用出现明显的漏洞。其二,如果将“业务类型复杂”视为与前两个条件并行的实质性条件,将会极大增加监管难度和成本。也许有观点会认为,对上述监管漏洞,担扰是不必要的,因为在中国,互联网平台经营者经营多种互联网业务是常态,几乎很难找到仅经营单一业务的互联网平台。因此,“业务类型复杂”的条件极容易满足,不会造成适用上的漏洞。笔者认为这种观点有一定道理,但也忽视了一个问题,即互联网平台经营者会使用不同的法律主体去运营不同的互联网业务,单个法律主体运营单一的互联网业务实属正常。在实际执法过程中,监管者的执法动作必然针对具体的法律主体,而具体的法律主体就可能只运营单一而非复杂的互联网业务类型。这时,为实现监管目标,监管者需要进行“穿透式监管”,将运营多个互联网业务的关联公司联系起来,进行整体认定,但这无疑极大地增加了监管的难度和成本。其三,从比较法的角度来看,“守门人”条款所借鉴的欧盟两个草案中对“超大型在线平台”和“守门人”的界定,并未有“业务类型复杂”的条件。“提供重要平台服务”和“用户规模巨大”两个条件,在欧盟两个草案中都有所体现,但是“业务类型复杂”的条件,则是欧盟两个草案中所未有的。综上,“业务类型复杂”不是与前两个条件并列的实质性条件,而仅是辅助性的、形式化的条件。在实际执法过程中,监管部门对此应尽量保持宽松的认定标准。
三、《个人信息保护法》中停止提供服务义务的履行
《个人信息保护法》第58条第3项规定了大型平台在特定条件下的停止提供服务义务,该义务可以被认为是第58条中的“牙齿”所在,因为该义务的履行可以阻止平台内经营者处理用户个人信息的严重违法行为,有效达到保护用户个人信息之目的。第3项中的停止提供服务意指大型平台停止向平台内经营者提供平台服务。这里需要明确的是,停止提供服务所针对的是平台内经营者本身,而非平台内经营者某个产品或服务的具体链接。因此,停止提供服务意味着平台内经营者在平台内的相应业务被平台中止。例如一款移动应用被移动应用商店经营者判定为严重违法,并停止提供服务,这意味着该款移动应用被移动应用商店下架,平台用户无法再通过该移动应用商店下载该款移动应用程序。所以,停止提供服务对于平台内经营者而言是一项非常严厉的措施。
(一)履行停止提供服务义务的前提
履行停止提供服务义务的前提是指,在满足怎样的条件下,大型平台需要履行停止提供服务的义务。对这个问题,也存在争议。有观点认为,必须以大型平台收到有权机关的命令为前提;也有观点对此表示反对,认为前提仅是平台内经营者严重违法处理用户的个人信息。笔者赞同后一种观点,大型平台履行停止提供服务义务,不以收到有权机关的命令为前提,理由如下:其一,从文义解释的角度,第3项的规定中,停止提供服务义务设定的前提仅是平台内经营者严重违法,并没有以收到有权机关命令为前提的表述。并且,将履行停止提供服务义务的前提设定为收到有权机关的命令,这使得该义务就成为一项协助有权机关执法(司法)行为的义务。协助义务是每一个法律主体的当然义务,大型平台也不例外,没必要在第58条再规定一次协助义务。从这个逻辑来看,第3项规定的并不是协助义务。其二,其他法律规定了与第3项义务类似的义务,这些义务的履行都不以收到有权机关的命令为前提。在中国法上,对互联网平台经营者课以“守门人”义务,并非《个人信息保护法》所独有。公法上,《网络安全法》《互联网信息服务管理办法》都规定互联网平台经营者在发现平台上的信息属于违法信息时,需要立即采取停止传输等措施。私法上,《民法典》规定了互联网平台经营者在接到书面通知时,有采取必要措施的义务。《电子商务法》规定的必要措施中包含“终止交易与服务”,该措施与第3项规定的停止提供服务具有高度相似性。上述义务,无论是公法规定的义务,还是私法规定的义务,都未要求以互联网平台经营者收到有权机关的命令为前提;相反,这些义务模式实际上都要求互联网平台经营者自主判断平台内经营者发布的信息是否违法。其三,在移动应用商店领域,移动应用商店经营者在没有收到有权机关命令的情形下,根据自己的判断对侵害用户个人信息或隐私的移动应用采取下架措施已经是常态。如2019年,苹果应用商店以侵害隐私为名,下架了多款家长控制类移动应用。小米应用商店在2021年7月开展了“违规收集与使用个人信息等侵害用户权益问题的自查”专项活动,其在相关公告中明确告诉平台内经营者,对发现存在问题并拒不整改的平台内经营者,将采取移动应用下架、账号封禁等措施。欧珀(OPPO)应用商店在专项活动中,也对侵犯用户个人信息风险程度高的移动应用采取了下架措施。
(二)监管部门的指引
必须承认的是,大型平台作为私主体,并非专业的司法或者执法机构,在违法判定方面必然存在困难,更何况第3项要求判定的还不仅是违法,而是严重违法。因此,为使大型平台能够有效地履行义务,监管部门有必要给出更为具体、明确和具有可操作性的指引。类似的做法在个人信息保护领域已经存在。例如,《网络安全法》已经对个人信息的保护进行了初步规范,但是法律规定的抽象性与企业合规要求的明确性之间仍存在不小的差距。在这样的情况下,相关监管部门发布了推荐性的国家标准《信息安全技术个人信息安全规范》。该标准将法律规定具体化、可操作化,为相关企业提供了较为清晰的合规指引。有学者认为,该标准更重要的意义在于,如果企业的合规措施达到《信息安全技术个人信息安全规范》的要求,可被认为遵守了《网络安全法》关于个人信息保护的规定。欧盟的《数字服务法》(草案)中也明确,应该在联盟层面制定细化的行为准则(codes of conduct),为“超大型在线平台”等主体阻止非法内容和管理系统性风险提供指引。事实上,《个人信息保护法》第62条已经规定了由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准。根据该条,国家网信部门可以统筹协调,制定大型平台履行停止提供服务义务的指引。其一,指引的形式是多种多样的,可考虑先采用不具有强制力的推荐性国家标准或者行业性规范的形式。在法律刚生效时,对于如何有效履行停止提供服务义务,监管部门和大型平台都缺乏确定标准。为避免出台不适当的刚性规范给大型平台履行义务造成混乱,可以考虑先出台推荐性国家标准或者行业性规范。这两种指引都没有法律上的强制力,大型平台可以自由选择是否遵从。为增加这两种指引的有效性,监管部门可以作一定的背书,在实际监管过程中发现大型平台遵守了指引,可以视为已履行了义务。其二,指引需要回应“获知”的标准问题,这里的“获知”是指大型平台得知平台内经营者实施了“严重违法”行为。从逻辑上而言,大型平台只有获知了平台内经营者“严重违法”,才能履行义务。反过来说,如果大型平台获知了平台内经营者“严重违法”,而未停止提供服务,可以认定其未履行法定义务,需要承担法律责任。因此,判定大型平台是否“获知”的标准十分重要。不能简单因为大型平台得到关于平台内经营者可能“严重违法”的信息,就直接认定其“获知”,从而需要履行停止提供服务义务。例如,用户向大型平台投诉平台内经营者“严重违法”,当然可能使大型平台获知平台内经营者“严重违法”。但是,大型平台往往收到数量巨大的用户投诉,其中很多投诉可能是恶意的、虚假的或者模糊不清、指向不明的,大型平台面临着如何根据这些投诉去准确判定被投诉的平台内经营者“严重违法”的问题。为此,国内外的相关法律规定中,都为互联网平台经营者的“获知”设定了一定的门槛。欧盟《数字服务法》(草案)规定,要认定用户投诉使得超大型在线平台对非法内容有实际了解或认识,这个用户投诉应该满足四个方面的要求,包括:对内容非法理由的说明、明确指出承载该内容信息的电子位置、投诉人的名字和电子邮箱、一份关于确认投诉真实性、准确性和善意的声明。因此,指引应参照上述规则,为大型平台的“获知”设置合理的门槛。其三,指引应明确严重违法的判定标准。大型平台获知平台内经营者违法的信息后,还要判断平台内经营者是否构成“严重违法”,这一判断属于法律判断。从理论上而言,承担“守门人”义务的企业相比监管机构的优势在于更了解被执法者的信息。但是,判定是否违法及其程度并非企业的优势所在,而是监管部门的优势。具体到停止提供服务义务,大型平台需要判定平台内经营者“严重违反法律、行政法规处理个人信息”,而《个人信息保护法》和相关法律法规并未给出严重违法的清晰界定。因此,监管部门有必要在指引中对严重违法给出较为详细、清晰的界定和指引。
四、对平台内经营者的救济
大型平台对平台内经营者采取停止提供服务措施后,往往会使平台内经营者的利益受到损失。考虑到大型平台的决定也有可能是错误的,即对未构成严重违法的平台内经营者采取了停止提供服务的措施,因此有必要考虑对平台内经营者的救济问题。这里的救济渠道主要包括大型平台的内部救济和外部的司法救济。
(一)大型平台的内部救济
内部救济是指大型平台在对平台内经营者采取停止提供服务措施后,可给予相应的平台内经营者提出异议、进行申诉的机会。通过申诉,平台内经营者可以申辩自己并未严重违法,大型平台采取的措施错误。大型平台应该对平台内经营者的申诉进行认真审查,并在一定期限内给出申诉是否成立的明确答复。如果大型平台认为申诉成立,应及时终止停止提供服务措施。需要指出的是,这种内部救济机制在大型平台内是普遍存在的。大型平台在执行平台规则时,会对违反平台规则的平台内经营者予以处罚,在处罚的同时通常会给平台内经营者以申诉的权利。相比司法渠道而言,这种内部申诉机制能够更为快速地提供救济,这对于平台内经营者尤为重要。鉴于停止提供服务对于平台内经营者是极为严重的措施,对其利益可能产生重大不利,因此,大型平台应有较为严格的程序来保证平台内经营者得到救济。首先,应告知对其采取措施的原因。大型平台在采取停止提供服务措施时,应书面告知平台内经营者,因其严重违法,大型平台按照《个人信息保护法》第58条第3项,对其采取停止提供服务的措施。并且,对于判定平台内经营者严重违法的依据,大型平台也应作适度说明。其次是救济权利的告知。平台决定采取停止提供服务措施,并将该决定通知平台内经营者时,应该告知其有申诉的权利,同时告知申诉所需的材料清单、申诉渠道和申诉期限。最后,应有合理的期限限制。即大型平台在收到平台内经营者的申诉材料后,应在合理的期限内作出申诉是否成立的决定,如果申诉成立,则及时终止停止提供服务措施。
(二)司法救济
如果平台内经营者不能、不愿通过大型平台的内部渠道得到救济或者通过大型平台内部渠道未能得到救济,还可以诉诸司法渠道,以诉讼的方式进行救济。通常情况下,诉讼的形式应为民事诉讼而非行政诉讼。虽然“守门人”义务对于大型平台而言是一种行政法上的义务,但是大型平台在履行该义务时并非是以行政主体的身份在承担行政职责,而是以私主体的身份通过与平台内经营者之间的合同进行的管理行为。正如有学者所指出的:“公法规范为平台经营者划分私人干预义务的范围后,而后的义务履行过程显然就属于民法的调整范围了。”因此,义务履行所产生的救济问题应该在民法的框架下解决,所提起的诉讼应该是民事诉讼而非行政诉讼。在案由的选择上,平台内经营者可以根据案件的具体情况选择违约之诉或侵权之诉。在紧急且必要的情况下,还可以考虑采取行为保全的方式为平台内经营者提供快速的救济。例如,在“双11”大促之前的11月1日,一款电子商务类的移动应用被某应用商店经营者以严重违法为由下架,该移动应用经营者认为其并未严重违法,不应被下架,因此向应用商店经营者进行申诉,但并未成功。一旦错过“双11”大促销,则该移动应用经营者会错过一年中最佳的销售机会,极可能受到难以弥补的损失。这种情况下,可以考虑以行为保全的方式为其提供快速的救济。类似的机制在电子商务知识产权领域已经存在。最高人民法院《关于审理涉电子商务平台知识产权民事案件的指导意见》第9条已经明确规定,在紧急情况下,如不立即恢复商品链接会造成其合法利益受到难以弥补损失的,平台内经营者可以向法院申请行为保全。电子商务领域已经存在的快速救济机制,可以移植到个人信息保护领域。
五、大型平台违反《个人信息保护法》第58条法律责任的特殊性
在《个人信息保护法》的法律责任体系中,大型平台违反第58条的法律责任具有特殊性,这是由第58条在《个人信息保护法》中的特殊性所决定的。具体而言,《个人信息保护法》的法律责任是针对个人信息处理行为进行设计的,但大型平台在第58条语境下并没有个人信息处理行为,而仅有管理行为。因此,当大型平台违反第58条时,《个人信息保护法》的法律责任条款难以简单套用于大型平台。在此背景下,本文讨论大型平台违反第58条的法律责任问题,主要是行政责任和民事责任,分别讨论如下:
(一)行政责任:第66条需要扩张解释
关于行政责任,《个人信息保护法》的核心规定是第66条。那么,大型平台违反第58条的规定,是否可以按照第66条追究其行政责任呢?严格从文义解释来看,第66条不能成为大型平台违反第58条的行政责任罚则。从条文上看,第66条所针对的行为是“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务”,指向的都是个人信息处理行为。正如上文所言,第58条并不规制大型平台的个人信息处理行为。因此,按照严格的文义解释,第66条不能成为大型平台违反第58条的行政责任罚则。《个人信息保护法》中有关行政责任的核心条款就是第66条,如果其不能成为大型平台违反第58条的行政责任罚则,那就会出现空有义务而无罚则的尴尬局面。为解决这个问题,有必要超越文义解释,从立法者意图出发,对第66条进行扩大解释。“守门人”条款是《个人信息保护法》的重要亮点,立法者肯定不打算仅设计义务条款,而不规定罚则。立法者关于行政责任规定的核心条款就是第66条,并将其置于法律责任部分的第一条。除了第66条外,法律责任部分没有独立的、针对除国家机关外的个人信息处理者之行政责任条款。立法者并没有将违反第58条的行政责任排除在第66条适用范围之外的意图。从立法者意图出发,第66条应是违反第58条的行政责任罚则。因而有必要对第66条进行扩大解释,将大型平台违反第58条的行为纳入第66条的适用范围。虽然通过扩大解释后,第66条可以成为违反第58条的罚则,但仍需注意的是,大型平台管理平台内经营者处理个人信息的行为与一般的个人信息处理者处理个人信息的行为始终不同,因此在行政责任上,仍然有必要区分两种情形。监管部门在出台《个人信息保护法》配套法规时,应在第66条的框架之下,为大型平台违反第58条设计有针对性的行政责任条款。
(二)民事责任:大型平台的过错认定不适用过错推定原则
民事责任的核心问题是大型平台是否会因为违反第58条的规定而承担侵权责任。《个人信息保护法》第58条为大型平设定的义务是行政法上的义务,而非民事义务,因此违反该义务并不会直接导致侵权责任。但是,违反行政法上的义务,同样可能导致民法上的侵权责任。一个公法规范如果被认定为“保护性规范”,则违反该规范可被推定为具有私法上的过错。“保护性规范”意味着受害人是被违反的规范意图保护的人;被侵害的法益是其意图保护的法益。根据《个人信息保护法》第1条,该法保护的是自然人的个人信息权益,第58条当然也是如此。当用户的个人信息权益被侵害时,被害人正好是第58条所要保护的人,被侵害的法益也正是第58条要保护的法益。因此,对于用户的个人信息权益而言,第58条是“保护性规范”。大型平台违反第58条致使用户个人信息权益受损,可被认为有过错。与大型平台过错相关的还有另一个问题,即第69条第1款是否适用于大型平台,从而导致大型平台对平台内用户的侵权赔偿责任可以适用过错推定原则。第69条第1款是《个人信息保护法》中唯一的民事责任条款。其内容为:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”该款规定的个人信息处理者承担侵权赔偿责任的归责原则是过错推定原则。如果将第69条第1款适用于大型平台的管理行为,意味着在平台内经营者侵害用户个人信息权益产生赔偿责任时,如果大型平台不能证明自己没有过错,应当承担侵权责任。笔者认为,这个推论是错误的,第69条第1款不应适用于第58条语境下大型平台的管理行为。理由主要有两个方面:首先,这是文义解释的必然结果。第69条第1款强调的是“处理个人信息侵害个人信息权益造成损害”,正如上文所言,大型平台在第58条语境下仅有管理行为,而没有个人信息处理行为,所以第69条第1款不应适用于大型平台的管理行为。其次,根据举轻以明重的法律解释方法,第69条第1款也不应适用。相较于大型平台对平台上用户发布侵权信息的规制,其对于平台内经营者处理个人信息侵权更难以规制。因为侵权信息至少在平台上是显现的,对平台是可见的;而平台内经营者处理个人信息的行为很多情况下并不外显,并不摆在大型平台的“眼皮底下”,所以大型平台对其更难以规制。因此,从逻辑上来说,大型平台因平台内经营者处理个人信息行为承担的责任,要轻于因平台用户发布侵权信息承担的责任。网络服务提供者利用网络平台服务进行的侵权行为,属于一般侵权行为,应适用过错责任原则。因此,由于平台上用户发布信息侵权,大型平台承担侵权责任的归责原则是过错责任原则。所以,大型平台因平台内经营者处理个人信息行为承担侵权责任时没有理由适用比过错责任原则更重的过错推定原则。综上,第69条第1款的过错推定原则仅适用于一般的个人信息处理者,而不适用于大型平台的管理行为。在大型平台的侵权过错认定上,需要考虑的应该是其是否违反第58条的规定,而不是直接适用第69条第1款规定的过错推定原则。
结语
《个人信息保护法》第58条规定了大型平台的“守门人”义务,即由其承担对用户个人信息保护的特别义务。《个人信息保护法》由此确立个人信息保护领域的“守门人”制度,这也是中国在个人信息保护领域的一大创举。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性。《个人信息保护法》是以规制个人信息处理者的个人信息处理行为中心的,而“守门人”条款并不规制大型平台的个人信息处理行为,而是规制其管理行为。这种特殊性使得“守门人”条款与《个人信息保护法》其他条款的关系,特别是法律责任条款的关系更加复杂。具体到条款本身,在“守门人”义务主体的界定上,第58条设置了三个并列的条件。为避免出现监管漏洞,对第三个条件“业务类型复杂”应理解为辅助性、形式化的条件,监管部门应从宽掌握。“停止提供服务”是大型平台的“核心”义务,该义务的履行不应以有权机关的命令为前提。为指引大型平台履行该义务,监管部门应当制定推荐性国家标准等指引性规范。当然,大型平台履行该义务可能会出现错误,给平台内经营者造成损害,因此需要为平台内经营者提供以下两种救济渠道:一是大型平台的内部救济渠道;二是司法渠道。司法救济中,在紧急且必要的情况下,可以考虑让平台内经营者以行为保全的方式实现救济,以实现平台服务的迅速恢复。最后,在行政责任方面,对第66条不应作严格的文义解释,而是要进行扩大解释,使第66条成为违反第58条的行政责任罚则,从而避免出现“有义务而无罚则”的情况。在民事责任方面,大型平台违反第58条的规定,可以被认为有侵权法上的过错。第69条第1款规定的过错推定原则不适用于第58条规定的大型平台管理行为。
(本文责任编辑 杨建军 肖新喜)
因篇幅限制,略去原文注释及参考文献。
编辑:寇 蓉 孙禹杰 刘晨曦
审核:马治选
签发:杨建军