目次
一、问题的提出
二、我国法律关于大型网络平台守门人义务规定的独特之处
三、《个人信息保护法》第58条包含直接性义务与监管义务
四、大型网络平台违反直接性义务的民事责任
五、大型网络平台违反监管义务的民事责任
六、结语
摘要:我国《个人信息保护法》第58条规定了大型网络平台作为个人信息保护守门人的四项义务,它们不同于欧盟《数字市场法》规定的守门人义务。大型网络平台的守门人义务既包括针对其自身的个人信息处理活动施加的义务,也包括大型网络平台对平台内的产品或者服务提供者处理个人信息活动加以监督管理的义务。《个人信息保护法》第58条第1、4项并非保护性法律,违反该两项规定只产生行政法律责任,而不会使大型网络平台承担民事责任。大型网络平台违反《个人信息保护法》第58条第2项的行为原则上不发生民事责任,但是,如果违反该条第4项规定同时符合《民法典》第1195-1197条的规定,则个人信息权益遭受损害的被侵权人有权要求大型网络平台与平台内的产品或者服务提供者承担连带责任。
关键词:大型网络平台;守门人;监管义务;民事责任;个人信息保护法
一、问题的提出
我国法学界对《中华人民共和国个人信息保护法》(以下称《个人信息保护法》)第58条条确立的义务有不同的称呼,如“特殊的个人信息处理者的义务” “超大型互联网平台的个人信息保护义务” “大型互联网平台个人信息保护特别义务”或者“大型平台的个人信息守门人义务”。与欧盟《数字市场法》(Digital Markets Act)关于“守门人(gatekeeper)”的规定相比,一些学者也将第58条称为《个人信息保护法》的守门人条款。我国《个人信息保护法》之所以针对大型网络平台个人信息处理者规定这四项义务,主要考虑是网络经济与普通经济的不同之处在于网络平台起到主导作用。网络平台为商品买卖和服务交易提供技术支持、交易场所、信息发布和交易撮合等服务。在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,属于个人信息保护的关键环节。尤其是那些提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,对于平台内的交易和个人信息处理活动具有强大的控制力和支配力。所以,它们在个人信息保护方面应当承担更多的义务。在我国《个人信息保护法》的起草过程中,一些专家主张应借鉴欧盟《数字市场法草案》的规定和相关学说成果,将在互联网技术不断迭代发展的过程中所形成的对互联网生态具有极强控制力和影响力的大型网络平台作为有能力管控特定网络空间个人信息处理行为的“守门人”。无论是从互联网治理的世界潮流来看,还是基于法理基础与经济上的合理性,法律都应当给这些大型网络平台设置与其能力相适应的特别个人信息保护义务。鉴于“有的部门、专家建议,强化超大型互联网平台的个人信息保护义务,并加强监督”,全国人大宪法和法律委员会经研究后,建议在个人信息保护法草案中增加对大型平台个人信息保护特别义务的规定。《个人信息保护法》自2021年11月1日施行近两年来,理论界对于该法第58条的相关问题已有一些研究,不过主要是集中在如何认定大型网络平台、论证守门人义务的正当性以及讨论守门人义务的具体内容等,尚未见到对于大型网络平台违反《个人信息保护法》第58条的守门人义务是否需要承担民事责任的深入研究。当前,最高人民法院正在起草《个人信息保护法》司法解释,就大型网络平台违反守门人义务是否需要承担以及如何承担民事责任等问题存在不同的看法。一种观点认为,这些义务主要是基于监管的需要,违反这些义务产生的是行政处罚责任,不发生民事责任;另一种观点认为,违反《个人信息保护法》第58条并非当然不发生民事责任,需要区分不同的情形分别加以认定。有鉴于此,本文将对大型网络平台违反守门人义务的民事责任问题做系统研究。二、我国法律关于大型网络平台守门人义务规定的独特之处
我国在起草《个人信息保护法》时,恰值欧盟《数字市场法》草案颁布。故欧盟《数字市场法》草案关于守门人义务的规定对《个人信息保护法》第58条的内容产生了一定的影响。然而,对我国法律关于大型网络平台守门人义务的规定与正式实施的欧盟《数字市场法》第2条以下关于守门人义务的规定比较可知,二者在义务主体、性质和目的等方面有明显的不同。1.承担义务的主体不同。构成《个人信息保护法》第58条的守门人,有三个要件,即:“提供重要互联网平台服务、用户数量巨大、业务类型复杂”。但这三个要件都是用来限定个人信息处理者的。我国目前尚无法律和法规对于这三个要件作出具体规定,不过“用户数量巨大”这一要件往往也就意味着大型网络平台所处理的个人信息数量是巨大的。也就是说,我国法律始终是从处理个人信息的角度来认定何为守门人即大型网络平台的。然而,欧盟《数字市场法》并没有要求守门人必须是个人信息处理者。欧盟法是从在数字市场所占据地位的角度来认定守门人的。如果说《个人信息保护法》第58条中的大型网络平台是“个人信息保护的守门人”,那么,欧盟《数字市场法》中提供核心平台服务的经营者则是“数字市场的守门人”。正因如此,欧盟《数字市场法》在认定守门人时没有以单纯的用户数量作为标准,而是先提出三个抽象的标准,然后又以营业额、活跃用户数量来作为推定该平台满足该等标准的条件。该法第2条第2款将守门人界定为根据该法第3条提供核心平台服务的经营者。所谓“核心平台服务”是指以下九种服务中的任何一种:在线中介服务、在线搜索引擎、在线社交网络服务、视频共享平台服务、不依赖号码的人际通信服务、操作系统、网络浏览器、虚拟助理以及云计算服务。(1)该法第3条第1款规定,符合下列情况的企业将被认定为“守门人”:(a)对欧盟内部市场有重大影响;(b)提供的是核心平台服务,该服务是商业用户接触终端用户的重要渠道;(c)已经或即将在其业务领域享有稳固且持久的市场地位。第3条第2款规定,当企业满足下列条件时,应当被推定为满足本条第1款之要求:(a)如果企业最近三个财务年度的每年在欧盟的营业额至少达到75亿欧元或者其市值在最近一个财务年度至少达到750亿欧元,并且在至少三个欧盟成员国提供相同的核心平台服务,则该企业可以被推定为满足第1款中的第1项条件;(2)如果企业所提供的核心平台服务在上一个财务年度平均至少拥有位于欧盟的4500万月度活跃消费者以及10000个年度活跃商业用户,则该企业可以被推定为满足第1款第2项条件;(3)如果企业在过去三个财务年度均达到了上述第2个标准,则该企业被推定为满足第1款第3项条件。对于没有达成上述定量要件的,欧盟《数据市场法》还对是否构成守门人规定了评估和指定的程序。2.设置义务的目的不同。《个人信息保护法》第58条给大型网络平台施加四项特别义务的原因在于:这些平台处理的个人信息数量巨大且处理活动类型复杂,并且具有较强的技术能力,需要承担更大的个人信息保护责任。为了更好地实现对个人信息的保护,预防和制止非法处理个人信息的行为,立法机关决定在既有的个人信息处理者义务的基础上,给那些被认定为个人信息保护守门人的大型平台施加更多的义务。欧盟《数字市场法》建立守门人制度的根本目的并非只是个人信息保护,而是要确保数字经济的健康发展,防止那些在网络生态中占据强势地位的主体如超级平台滥用其地位形成垄断(如数据垄断),限制竞争,从而损害数字市场的良好运转,妨害创新,破坏网络生态环境的健康。欧盟《数字市场法》序言第3条对此有详细的说明:“核心平台服务提供商中的一小部分已经具有相当的规模和经济实力,有资格根据本法被指定为守门人。通常,他们的特点是能够通过其服务连接许多商业用户与消费者,这种能力反过来使得他们能够利用其优势,如访问大量数据,通过一个活动领域影响另一个领域。这些提供商中的一部分在数字经济中控制了整个平台生态系统,从而在结构上极难受到现有或新的市场经营者的挑战或竞争,无论这些市场经营者如何创新和高效。特别是由于存在非常高的进入或退出壁垒,包括在退出时不能或不容易收回的高投资成本以及缺乏或减少获得数字经济中的一些关键投入(如数据),竞争性降低。因此,这增加了底层市场无法很好运行或即将无法良好运行的可能性。” 3.义务的类型不同。欧盟《数字市场法》中施加给守门人的义务都是要求守门人自身必须履行的义务,而非要求守门人对他人加以监管的义务;该法第5条和第6条对于守门人予以详细规定,这些义务多与个人数据保护、禁止滥用市场支配地位、禁止实施限制竞争的行为、保护消费者等密切相关。但是,如下文所述,我国《个人信息保护法》第58条规定的义务则既包括针对大型网络平台自身处理个人信息所施加的义务,也包括大型网络平台对平台内用户处理个人信息进行监督管理的义务。三、《个人信息保护法》第58条包含直接性义务与监管义务
大型网络平台守门人义务中的直接性义务,是指大型网络平台作为守门人,其本身在处理个人信息时所负有的义务。与直接性义务相对应的是监管义务,也被称为第三方义务,它是指大型网络平台对于平台内产品或服务的提供者实施的个人信息处理活动进行监督管理的义务。明确《个人信息保护法》第58条规定的四项义务中哪些属于直接性义务,哪些属于监管义务,对于确定大型网络平台的法律责任十分重要。(一)学说上的争议多数观点认为,《个人信息保护法》第58条第2、3项规定的义务属于监管义务,即间接性义务。它们并不是对大型网络平台自身如何处理个人信息提出的要求,而是要求大型网络平台通过制定符合公开、公平、公正原则的平台规则来规范平台内产品或服务提供者的个人信息处理行为,并明确个人信息处理者所负有的保护个人信息的义务;同时,对于严重违反处理个人信息的平台用户,大型网络平台要停止为其提供服务。争议比较大的是第58条第1项和第4项规定的义务的性质。这两项义务究竟是针对大型网络平台自身处理个人信息时所施加的义务即直接性义务,还是仅要求大型网络平台对其平台内的用户处理个人信息的行为加以监督管理的义务,学者有不同的观点。一种观点认为,《个人信息保护法》第58条规定的四项守门人义务可以划分为直接义务和第三方义务两大类,其中该条第1、4项义务属于直接义务,即属于对大型网络平台自身遵守个人信息保护的规定。例如,个人信息保护合规制度体系就包括了个人信息风险评估,因为大型网络平台所处理的个人信息数量更为庞大且影响更为广泛,一旦出现个人信息泄露或者其他违法情形,更容易产生系统风险。因此,作为守门人的大型网络平台应当承担管理系统风险的义务。另一种观点认为,《个人信息保护法》第58条并不规制大型平台的个人信息处理行为,仅规制其管理行为。因为,从该条规定来看,第2、3项规定的是大型网络平台的管理义务,而这四项义务是并列的。从法条内部的同一性来看,应当将第1项和第4项义务理解为管理义务,否则就会造成类似主体之间的义务承担显著不平衡。即大型网络平台的个人信息处理行为被第58条第1、4项所规制,而同样数量巨大的非平台型个人信息处理者就不需要承担这两项规定的特别义务,这显然是不合理的。(二)本文的观点《个人信息保护法》第58条第1、4项规定的义务是针对大型网络平台的个人信息处理活动的义务,而非监督管理义务。理由如下:1.从文义解释的角度来看,依据第58条第1项,大型网络平台负有“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”的责任。简单地说,“合规”就是符合规定。个人信息保护合规就是个人信息处理行为以及个人信息保护义务履行行为符合国家法律法规、监管规定、行业准则、国际条约和规则,以及法人章程、相关规章制度等要求。按照国家规定建立健全个人信息保护合规制度体系,显然只能是指大型网络平台依据《个人信息保护法》《数据安全法》《网络安全法》等法律、法规、规章规定,建立起一整套用来确保其个人信息处理行为和个人信息保护义务的履行行为完全符合法律、法规、规章、条约以及监管部门的要求的内部规章制度和操作程序体系,并据此开展对个人信息保护的合规管理活动。具体包括:设置合规委员会和合规管理部门,建立合规管理制度和指南以及合规风险识别评估预警机制,进行合规培训,将合规审查纳入经营管理流程,发生合规风险时采取相应的应对措施并报告,建立违规问题整改机制、责任追究、考核评价机制等。显然,该义务主要就是针对作为个人信息处理者的大型网络平台而非平台内的产品或服务的提供者提出的要求。因为在第58条第2、3项已经就大型网络平台监督管理平台内的产品或服务的提供者的义务作出规定的情形下,立法者没有必要重复作出规定。至于《个人信息保护法》第58条第1项中的“由外部成员组成的独立机构对个人信息保护情况进行监督”,当然可以理解为既包括对于大型网络平台自身处理个人信息时对个人信息的保护情况进行监督,也包括监督大型网络平台恰当地履行监管平台内的产品或服务提供者的个人信息处理活动,从而更好地保护个人信息。《个人信息保护法》第58条第4项提出的“定期发布个人信息保护社会责任报告,接受社会监督”的义务,也主要是针对大型网络平台自身处理个人信息的行为和履行个人信息保护义务的情况。大型网络平台作为个人信息处理者,除了依照《个人信息保护法》和有关法律法规的规定,负有个人信息保护法定义务外,还应当在法定义务和标准的基础上为企业持续发展和社会公共利益不断提高个人信息保护水平,从而推动全社会共同努力营造个人信息保护的良好氛围。2.从体系解释的角度来看,《个人信息保护法》是在第五章“个人信息处理者的义务”中规定了大型网络平台的守门人义务,这本身就强调了该义务是个人信息处理者的义务,即自主决定个人信息处理目的和处理方式的组织或个人所负有的义务。如果不是个人信息处理者,则不负有此等义务。故此,第58条在规定履行该义务的主体时才特别强调是“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,重心仍然落在“个人信息处理者”之上。换言之,第58条所规定的义务既包括大型网络平台自身处理个人信息时应当遵循的义务,也包括大型网络平台监督管理平台内用户的个人信息处理行为的义务。尽管这两类义务性质不同,但都属于大型网络平台依法必须履行的以更好地实现个人信息保护为目的的义务,即个人信息保护义务。大型网络平台不论是违反《个人信息保护法》第58条中的直接性义务,还是违反监管义务,都属于未履行《个人信息保护法》规定的个人信息保护义务,应当依据该法第66条的规定接受相应的行政处罚。 3.从立法目的来看,立法机关之所以专门新增《个人信息保护法》第58条,从而给大型网络平台施加四项守门人义务,根本原因在于大型网络平台在个人信息保护中处于枢纽地位和关键环节。一方面,大型网络平台因为其技术能力、资金财务实力、掌握的用户规模数量大等因素,从而对于平台内的提供产品或服务的用户具有较强的支配力和控制力,所以,它们可以有效地履行监督管理利用平台提供产品或服务的用户处理个人信息的行为;另一方面,大型网络平台提供的是重要的互联平台服务且用户数量巨大,业务类型复杂,其本身也是海量个人信息的处理者。故此,《个人信息保护法》第58条并非仅仅是将大型网络平台作为监督管理者看待而给其施加几项监督管理义务而已,而是对大型网络平台自身的个人信息处理活动提出了更高的要求。申言之,大型网络平台除应履行《个人信息保护法》第51-57条规定的义务外,还必须按照第58条的要求履行针对其设立的、要求更高的个人信息保护义务,如按照国家规定建立健全个人信息保护合规制度体系,成立独立机构对个人信息保护情况进行监督,定期发布个人信息保护社会责任报告,接受社会监督。四、大型网络平台违反直接性义务的民事责任
(一)大型网络平台的直接性义务属于非指向性义务
如前所述,《个人信息保护法》第58条第1、4项施加给大型网络平台的义务是直接性义务。法律设定这两项义务的目的当然都是为了加强个人信息保护,但它们并不直接指向作为信息主体的个人。换言之,这两项义务并没有与个人信息权益中的某项权利相对应。因此,如果大型网络平台没有履行或者迟延履行上述义务,个人无权直接针对大型网络平台提出请求。我国《个人信息保护法》在第4章规定了个人在个人信息处理活动中的权利,赋予个人针对其个人信息处理享有查阅权、复制权、更正权、补充权、可携带权、删除权和解释说明权等权利(第45-48条),这些权利属于个人信息权益的具体内容即权能。它们在性质上都属于请求权,即个人信息权益主体有权向个人信息处理者提出相应的请求,而个人信息处理者负有相应的义务。如果个人信息处理者拒绝个人行使权利的请求,即个人信息处理者不履行上述义务,个人可以依法向人民法院提起诉讼(第50条第2款)。《个人信息保护法》第5章规定的“个人信息处理者的义务”具有一个共同点,那就是它们并不指向具体的个人,属于非指向性义务。非指向性义务的设定是为了实现立法者所追求的价值。就《个人信息保护法》而言,第5章施加给个人信息处理者的义务所追求的是保护个人信息权益的目标,而非为任何特定的个人设定权利。因此,当个人信息处理者不履行非指向性义务时,个人并没有相应的请求权,不得直接请求个人信息处理者履行该义务并在处理者不履行义务时向法院提起诉讼。例如,大型网络平台没有按照《个人信息保护法》第58条第1项的要求建立个人信息保护合规制度体系,也没有成立主要由外部成员组成的独立机构来监督其个人信息保护义务的履行,此时,个人不能向法院起诉该大型网络平台,要求法院判令该平台建立相应的合规制度体系和成立独立机构。同样,大型网络平台没有按照第58条第4项的要求定期发布个人信息保护社会责任报告的,个人也无权请求该平台加以发布。虽然个人没有权利请求大型网络平台履行上述义务,但是,建立个人信息保护合规制度体系,成立独立机构监督个人信息保护情况,定期发布个人信息保护社会责任报告,属于个人信息处理者应当开展的个人信息保护工作。故此,当个人信息处理者不履行上述义务时,履行个人信息保护职责的部门负有依法指导、监督个人信息处理者开展个人信息保护工作的职责(《个人信息保护法》第61条第1项),个人也可以就此向履行个人信息保护职责的部门举报;履行个人信息保护职责的部门可以依据《个人信息保护法》第66条对大型网络平台施加相应的行政处罚。
(二)大型网络平台违反直接性义务不产生民事责任
大型网络平台没有履行《个人信息保护法》第58条第1、4项规定的义务,是否需要承担民事责任?有学者认为,第58条的义务属于公法性义务而非民事义务,违反该义务并不会直接导致侵权责任,但是考虑到公法规范可以被认定为保护性规范,而第58条属于这样的保护性规范,故此,大型网络平台违反第58条也会产生侵权责任。不过,由于大型网络平台违反的义务是管理性义务而非作为个人信息处理者的直接义务,故此不能适用《个人信息保护法》第69条第1款规定的过错推定责任。笔者认为,该观点值得商榷。其一,《个人信息保护法》第58条的规范属于公法性规范,即所谓管制性规范,也称规制性规范或管理性规范。现代社会生活极为复杂,除了尊重意思自治,听任民事主体按照自己的意思设立、变更、终止民事法律关系外,立法者还通过大量的强行性法律规范明确民事主体应当做什么或不得做什么。行为人违反这些规范将遭受相应的行政处罚甚至被追究刑事责任,此类规范就是所谓的管制性规范。管制性规范广泛存在于调整社会生活各个领域的法律当中,如《道路交通安全法》设定的道路通行规则,《医师法》规定的诊疗规范,《证券法》规定的信息披露规则,《个人信息保护法》第2章“个人信息处理规则”和第5章“个人信息处理者的义务”的规定等。然而,并非行为人违反任何规制性规范的行为都会产生侵权责任,否则,侵权责任将漫无边际,对于人们的行为自由将构成严重的妨害。例如,当某个自然人张三的个人信息被A大型网络平台中的App(应用程序)提供者B公司所非法收集时,B公司侵害了张三的个人信息权益,当然要承担侵权责任。然而,由于A大型网络平台没有建立独立的机构来监督个人信息保护情况,如果据此就认为A平台因为违反了管制性规范即《个人信息保护法》第58条第1项故应承担侵权责任(无论是连带的、相应的还是补充的赔偿责任),显然就很不合理了。各国侵权法都认为,并非违反规制性规范的行为都会产生侵权责任,只有违反规制性规范中的“保护性规范”(也称“以保护他人为目的的法律”)才能产生侵权赔偿责任。从比较法上来看,认定规制性规范是否属于保护性规范的标准主要是主体与客体两个标准,即该规范保护的是特定主体的特定利益免受不法侵害。申言之,一方面,被违反的法律规范所保护的主体必须是特定的群体,受害人在该被保护群体的范围中;另一方面,受害人被侵害的利益属于该法律规范意图保护的法益或者避免的损失。依据这一标准,《个人信息保护法》第58条第1、4项只是单纯地保护广大信息主体即公众的法律规范,既非专门针对特定的个人提供保护,也没有在保护公众的同时着眼于对特定个体或群体的保护。因此,无法被视为可以产生侵权责任的保护性规范。其二,由于《个人信息保护法》第58条第1、4项针对的是作为个人信息处理者的大型网络平台的个人信息处理行为所规定的直接性义务,因此,个人如果认为个人信息处理者的信息处理行为侵害了其个人信息权益,要求处理者承担侵权责任,当然可依据《个人信息保护法》第69条第1款的规定主张权利。该款规定的侵权赔偿责任的构成要件包括:(1)存在处理个人信息的行为;(2)该处理行为侵害了个人信息权益;(3)造成损害;(4)个人信息处理者不能证明自己没有过错。受害人仅仅因为处理者违反《个人信息保护法》第58条第1项或第4项的行为而起诉时,充其量能够以个人信息处理者违反这两项义务来证明其存在一定的过错(事实上个人不需要证明处理者的过错),但几乎不可能证明该义务违反行为(即违反个人信息保护义务的行为)与个人信息权益被侵害之间的因果关系,至于个人信息权益被侵害与损害之间的因果关系更是无法证明。因此,个人无法要求大型网络平台仅就其违反第58条第1、4项的行为承担侵权责任。
五、大型网络平台违反监管义务的民事责任
(一)大型网络平台监管义务的内容与性质《个人信息保护法》第58条第2、3项给大型网络平台施加了监管义务:其一,遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;其二,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。1.大型平台在为平台内的用户提供互联网平台服务时,必须通过服务协议、平台规则等来明确相应的权利义务关系,这些关系包括平台、平台内产品或者服务的提供者、接受服务或购买产品的终端用户(尤其是消费者)等多类主体间的权利义务关系。平台规则相当于网络平台内的法律规则,具有民间软法的特征。诚如学者所言,虽然平台规则还没有达到多元权益保护和平衡的应有程度,但是它们毕竟不是旨在追求既定的、严格的规制秩序,而是意在寻求交易中各自的自由空间、权利边界以及多方利益的和谐与共享,因此,这种平台规则也就具有了国家“硬法”所难以达到的秩序构建的效果,并为社会治理法治化奠定了基础,提供了新的动力。在《个人信息保护法》颁布前,我国《电子商务法》第32条就已经明确要求“电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务”。《个人信息保护法》以保护个人信息权益,促进个人信息的合理利用为目的,故此,第58条第2项是从个人信息保护的角度对于大型平台提出的要求。之所以要求大型平台应当遵循公开、公平、公正原则制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,原因在于:一方面,基于权责对应的原则,大型平台因平台内产品或服务提供者的活动而获得相应的经济利益,应承担规范和控制平台内产品或者服务提供者处理个人信息的义务;另一方面,基于控制力理论,大型平台不仅对在其平台内产品或服务提供者处理个人信息的行为具有很强的控制能力,而且其自身也常常与平台内的产品或服务提供者存在共同处理个人信息、提供个人信息等情形。因此,要求大型平台遵循公开、公平和公正的原则制定平台规则,不仅可以有效规范平台内的产品或服务提供者的个人信息处理活动,监督它们履行个人信息保护义务,而且可以更加公正合理地调整平台与平台内产品或者服务提供者之间的利益关系,以免平台将个人信息处理的风险与责任全部转嫁给处于弱势地位的产品或者服务提供者。2.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,平台应当履行停止提供服务的义务。很明显,该义务要求大型平台发挥监督作用,去处置自己平台内的那些严重违法的个人信息处理者,而处置的措施就是停止提供服务。不少学者认为,该义务属于行政法上的义务,即行政法上的第三方义务,通过借助于大型网络平台这样的私人主体来及时发现和处置违法行为,从而缓解行政资源有限而无法全面实施法律的困境。该义务的内容和实施条件并不十分明确:(1)如何认定平台内的产品或者服务提供者存在严重违反法律、行政法规处理个人信息的行为?是否应当以法院或者履行个人信息保护职责的部门的认定为前提?《个人信息保护法》第58条并没有将履行个人信息保护职责的部门的要求或者人民法院发布的命令作为停止提供服务的前提,这意味着,大型平台在发现平台内的产品或服务提供者存在严重违反法律、行政法规处理个人信息的行为时,就有权自行决定停止提供服务。这是因为:停止提供服务是以平台内的产品或者服务提供者“严重违反法律、行政法规处理个人信息”为要件的,而我国一些法律、行政法规已经明确规定了网络运营者等主体在发现严重违法行为时,应当停止提供服务,无须主管部门的命令。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第5条规定:“网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告”。再如,《网络安全法》第48条规定:“任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”类似规定还包括《食品安全法》第62条、《药品管理法》第62条、《反有组织犯罪法》第16条、《反恐怖主义法》第19条、《互联网信息服务管理办法》第16条等。(2)对“停止提供服务”应当如何理解?从字面意思来看,既然大型平台必须是提供重要互联网平台服务的个人信息处理者,那么,所谓停止提供服务就是指停止提供互联网平台服务。当然,这种停止可以是暂时性的,也可以是永久性的,至于具体的措施,可因互联网平台服务的不同而有所差异。例如,对于手机应用程序商店而言,停止服务就是指将相应的App从商店下架;对于网络交易平台而言,应当立即停止提供网络交易平台服务,使相应的产品或服务提供者无法利用该网络交易平台销售产品、提供服务。《个人信息保护法》第58条第3项中的“停止提供服务”是以平台内的产品或者服务提供者严重违反法律、行政法规处理个人信息为前提的。但是,依据《个人信息保护法》第66条第1款,针对违法处理个人信息的应用程序,履行个人信息保护职责的部门责令平台暂停或者终止提供服务,只是违法行为情节不严重时的一种行政处罚。之所以存在这个差别,就是考虑到,大型平台虽然对于平台内的产品或服务提供者具有一定的控制力,可以履行一定的监管义务,但其毕竟不是执法机关,不可能要求大型平台逐一对于产品或者服务提供者的个人信息合规情况展开审查与核验,因为这是难以做到的。故此,《个人信息保护法》第58条第3项才要求,大型平台对“严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者”,停止提供服务。换句话说,对于大型平台而言,那些严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者并非是难以发现的(尤其是在已经建立了个人信息保护合规制度体系和独立机构之后)。因此,大型网络平台对于违法处理个人信息的行为当然不能无动于衷,而应当停止为平台内的产品或服务提供者提供服务。(二)违反监管义务与民事责任的承担1.在大型网络平台违反《个人信息保护法》第58条第2项,即没有制定平台规则(可能性很小)或者制定的平台规则不符合公平、公开、公正原则的要求时,除非是大型平台自身实施了侵害个人信息权益的行为,否则,在平台内产品或服务提供者侵害个人权益的案件中,不能仅以平台规则缺失或者平台规则违反“公开、公平、公正的原则”为由要求大型网络平台承担侵权责任。有一种观点认为,可以将安全保障义务作为实现公法和私法相互工具化的管道性条款,即以安全保障义务来对接公法体系中的安全保障要求。故此,《个人信息保护法》第58条第2项的规定可以理解为大型平台应当采取的安全保障措施,个人有权类推适用《民法典》第1198条要求大型网络平台承担相应的补充责任。但该观点难以成立。一方面,我国法律对于安全保障义务的适用范围有严格的限制。依据《民法典》第1198条,安全保障义务人限于“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所的经营者、管理者或者群众性活动的组织者”。即便是《电子商务法》第38条第2款扩展了安全保障义务的适用范围,也很明确地限定于“关系消费者生命健康的商品或者服务”。另一方面,即便将大型平台没有制定平台规则或者制定的平台规则不符合公开、公平、公正原则的行为认定为违反安全保障义务,充其量也只是证明大型平台存在过错而已,该行为与个人信息权益被侵害之间的因果关系明显是相当遥远的,二者之间根本就不满足相当因果关系的要求,侵权责任自然无从谈起。 2.大型网络平台违反《个人信息保护法》第58条第3项规定,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者没有停止提供服务,此时,该平台是否需要承担民事责任,应当考虑的是能否适用《民法典》第1195-1197条的规定。首先,可以明确的是,如果作为平台内产品或者服务提供者的个人信息处理者利用大型网络平台提供的互联网平台服务,实施了侵害个人信息权益的行为,那么该平台内产品或者服务提供者与大型网络平台就可以分别被界定为《民法典》第1195-1197条中的利用网络服务实施侵权行为的“网络用户”与提供网络服务的“网络服务提供者”。具体而言,一方面,当个人信息权益被侵害的个人通知大型网络平台采取删除、屏蔽、断开链接等必要措施,而大型网络平台未及时根据通知中构成侵权的初步证据和服务类型采取必要措施的,依据《民法典》第1195条第2款,该大型网络平台要就损害的扩大部分与该平台内的产品或服务的提供者承担连带责任;另一方面,如果大型网络平台知道或者应当知道平台内的产品或者服务提供者利用网络平台服务实施侵害他人个人信息权益的行为而没有采取删除、屏蔽、断开链接等必要措施的,那么依据《民法典》第1197条的规定,该大型网络平台应与平台内的产品或者服务的提供者承担连带责任。倘若大型网络平台虽然没有按照《个人信息保护法》第58条第3项的要求停止提供服务,但是,平台内的产品或者服务提供者严重违反法律、行政法规处理个人信息的行为并未侵害个人信息权益,或者虽然程序侵害了个人信息权益却没有造成其他实质损害,或者大型网络平台没有按照规定停止提供服务并未造成损害扩大的,则大型网络平台不需要依据《民法典》第1195-1197条承担连带责任。有观点认为,大型网络平台违反《个人信息保护法》第58条第3款的规定,不会产生对《民法典》第1195-1197条的适用问题。理由在于:其一,《民法典》中规定的网络服务提供者采取的必要措施包括删除、屏蔽、断开链接等,这些措施都是针对侵权信息的,鲜有直接停止网络用户接入网络(或平台)权限的,然而,《个人信息保护法》第58条第3项中要求大型平台采取的是“停止提供服务”。而“停止提供服务”不属于《民法典》第1195条规定的“必要措施”。因此,不应当将大型网络平台内的产品或者服务提供者认定为《民法典》第1195-1197条中的“网络用户”。其二,《民法典》第1195-1197条的通知删除规则所要解决的问题主要是受害人无法找到实施侵权行为的网络用户(行为人)的情形,但是《个人信息保护法》第58条第3项中不涉及这个问题,平台内提供产品或者服务的提供者是谁,对此受害人是可以查明的。上述看法存在问题。(1)我国《民法典》第1195条以下所确立的通知删除规则,可以适用于所有的网络侵权行为,无论直接利用网络服务实施侵害他人民事权益的网络用户(即所谓的“直接侵权人”)是否明确或者是否难以查明。也就是说,即便直接侵权人是明确的,也可以适用通知删除规则。因为,该规则的设定目的是为了做到既高效地保护广大民事主体的合法权益,又很好地维护网络服务提供者的合理自由,防止因为网络服务提供者花费大量的时间以及人力物力等去审查网络信息内容,从而极大地增加经营成本,妨碍信息的自由交流,降低信息传播的速度。正因如此,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第2条规定,原告依据《民法典》第1195、1197条的规定起诉网络用户或者网络服务提供者的,人民法院应予受理。原告仅起诉网络用户,网络用户请求追加涉嫌侵权的网络服务提供者为共同被告或者第三人的,人民法院应予准许。原告仅起诉网络服务提供者,网络服务提供者请求追加可以确定的网络用户为共同被告或者第三人的,人民法院应予准许。此外,该司法解释第3条还规定,原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。如果网络服务提供者无正当理由拒不提供的,人民法院可以依据《民事诉讼法》第114条的规定对网络服务提供者采取处罚等措施。原告根据网络服务提供者提供的信息请求追加网络用户为被告的,人民法院应予准许。(2)《民法典》第1195-1197条中的必要措施针对的并非是侵权信息而是利用网络服务实施的侵害他人民事权益的行为,该行为可能是侵权信息的行为,也可能是持续的侵权行为,如非法收集个人信息的行为。虽然《民法典》只是列举了“删除、屏蔽、断开链接”等三项措施,但“必要措施”显然不限于此。依据《民法典》第1195条第2款,网络服务提供者在接到通知后,要根据构成侵权的初步证据和服务类型及时采取删除、屏蔽、断开链接等必要措施。这主要是考虑到实践中网络服务提供者提供的网络服务类型不同,构成侵权的初步证据的证明力度高低不同而进行的区分处理。最终,“所取得的效果应当是在技术能够做到的范围内避免相关信息进一步传播”。因此,必要措施不应限于文本列举的三项,而应包括对于制止侵权行为是必要的其他措施,其中当然包括了《个人信息保护法》第58条第3项所规定的停止提供服务。(3)依据《个人信息保护法》第58条第3项,大型网络平台针对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者没有采取停止提供服务的行为,并不当然产生《民法典》第1195-1197条所规定的连带责任。只有在满足《民法典》第1195-1197条所规定的以下两项要件时,才能产生连带责任:①平台内的产品或者服务提供者利用大型网络平台所提供的互联网平台服务实施了侵害个人信息权益的行为。如果它们仅仅是实施了违反个人信息保护法的非法行为,并没有侵害个人信息权益,更未造成损害的,则大型网络平台不承担连带责任。②大型网络平台具有过错。其一,信息权益被侵害的个人向大型网络平台发出了符合法律要求的通知,而大型网络平台没有及时采取必要措施,该等措施未必就一定是《个人信息保护法》第58条第3项的“停止提供服务”;其二,大型网络平台知道或者应当知道平台内的产品或者服务提供者利用大型网络平台所提供的互联网平台服务实施侵害个人信息权益的行为而没有采取必要措施。因此,如果大型网络平台实施了违反《个人信息保护法》第58条第3项的行为,不能适用《民法典》第1195-1197条,则大型网络平台的这一违法行为就只能产生行政法律责任而非民事责任。六、结语
《个人信息保护法》第58条规定大型网络平台作为个人信息保护守门人所负有的四项义务,既有针对大型网络平台自身个人信息处理行为的义务,如建立个人信息保护合规制度体系等,也有要求大型网络平台对其平台内的产品或服务的提供者的监督管理义务。大型网络平台不履行这些义务产生的主要是行政法律责任,除非大型网络平台本身实施了侵害个人信息权益的侵权行为,或者符合《民法典》第1195-1197条的规定,否则仅仅是违反《个人信息保护法》第58条的规定,不会产生大型网络平台向个人所负担的民事责任。当前,要更好地发挥大型网络平台的个人信息保护守门人的作用,更迫切的任务是通过相关法律法规或规章等对大型网络平台的界定标准作出明确规定,同时,由依法履行个人信息保护职责的部门通过行政监管的方式确保大型网络平台切实履行《个人信息保护法》第58条规定的守门人义务。