大型基础性互联网平台服务提供者个人信息保护义务之惑 ——《个人信息保护法(草案)》(二次审议稿)第五十七条解读

来源:大数据法律研究

文章摘要
2021年4月29日,《个人信息保护法(草案)》(二次审议稿)(以下简称“《二审草案》”)在中国人大网公布并向社会公开征求意见。

2021年4月29日,《个人信息保护法(草案)》(二次审议稿)(以下简称“《二审草案》”)在中国人大网公布并向社会公开征求意见。相较2020年10月21日公布的《个人信息保护法(草案)》,《二审草案》在其基础上,对合法性基础、受托方义务、同意撤回、个人信息删除、个人信息处理者责任承担等方面进行完善,并明确国家网信部门制定的标准合同在个人信息跨境提供中的应用、自然人死亡后的相关权利行使以及履行个人信息保护职责的具体部门等内容。
其中,《二审草案》第五十七条对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置了额外要求。张新宝教授认为,对于互联网头部企业的监管,在全世界几乎取得了共识。“他们有技术能力、人力资源来审核,可以为个人信息保护树立起一道闸门。”[1]近年来,对于平台服务提供者的监管日益趋严,但相关平台治理制度仍有待完善。《二审草案》第五十七条回应了社会对于加强互联网平台服务提供者的数据合规约束的需求,但这一条文仍有很多问题尚待厘清。
一、企业如何判断自身是否适用《二审草案》第五十七条?
《二审草案》对第五十七条的适用主体提出了三项标准:“提供基础性互联网平台服务”“用户数量巨大”与“业务类型复杂”,然而,这些标准并不明晰。
(一)如何定义“基础性互联网平台服务”?
《关于平台经济领域的反垄断指南》将互联网平台定义为通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。而平台经营者则指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。我国《电子商务法》《网络交易监督管理办法》《云计算服务安全评估办法》《区块链信息服务管理规定》《网络信息内容生态治理规定》对电子商务平台经营者、网络交易平台经营者、云平台管理运营者、区块链信息服务提供者与网络信息内容服务平台等不同类型平台服务提供者进行专门规定,正在征求意见的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》亦对App分发平台与移动智能终端生产企业提出了额外的个人信息保护要求。
《二审草案》第五十七条中的“基础性互联网平台服务”可参照上述条文进行理解,但需注意,《二审草案》增加了“基础性”这一条件,这意味着并非所有的互联网平台企业均落入第五十七条的适用范围,“基础性互联网平台服务”提供者的法律定位依旧模糊。
(二)如何理解“用户数量巨大”与“业务类型复杂”?
用户数量和业务类型关系着个人信息处理者可控制和处理的个人信息数量与类型,用户数量愈庞大,业务类型愈复杂的个人信息处理者可掌握的个人信息的数量级与丰富程度是单一业务的中小型企业所无法比拟的。然而,在计算用户数量时应以注册用户、日活用户抑或以月活用户为依据?要达到多少数量才符合“巨大”标准?同时,业务类型应以何依据划分,又如何判断业务类型是否复杂?《二审草案》尚未明确以上问题,对五十七条在实践中的应用带来障碍。
2020年12月15日,欧盟委员会公布《数字服务法(提案)》(Digital Services Act)。该提案虽未完全针对个人信息保护,但其中关于“超大型在线平台”的相关规定值得借鉴。《数据服务法(提案)》的第二十五条第一款将“超大型在线平台”定义为向欧盟内的服务对象提供服务,且月均活跃服务对象的数量等于或大于4500万的在线平台。同时,随着欧盟人口的增减变化,欧盟委员会将进行相应调整,使得第一款中的数量与该调整年份的欧盟人口的10%相符。可见,在《数字服务法(提案)》中,在线平台的月均活跃服务对象的数量是判断是否属于超大型在线平台的重要指标。立法部门可参考《数字服务法(提案)》的计算标准,结合我国人口和互联网经济发展特点,对第五十七条的适用主体范围制定更具可操作性的规则。
二、如何落实《二审草案》第五十七条的相关义务?
平台服务提供者是平台规则的制定者和平台服务提供的主导者,其拥有着控制和处理包含用户个人信息在内的大数据优势,平台服务提供者、平台内经营者以及平台用户间存在利益失衡的风险。为了协调平台内各主体间的利益冲突,相关法律制度的完善、部门监管与地域监管的协同、社会多方主体力量的发挥必不可少。
《二审草案》第五十七条对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”即从引入社会多方力量,提升内部透明度等角度设置了三项义务:
(1)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;
(2)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(3)定期发布个人信息保护社会责任报告,接受社会监督。
但上述要求如何在实践中落实还存在一定困惑。比如成立主要由外部成员组成的独立机构,这一制度引入了社会多方主体力量的监督,但外部成员的数量、是否需具备一定的专业资质、个人信息处理活动进行监督的具体工作方式等等问题还有待明确。有观点指出,可引入长期从事个人信息保护研究的法学专家、技术测评专家、律师等人员参考公司的独立董事制度构建《个人信息保护法》中的独立机构制度。
而针对“个人信息保护社会责任报告”,报告的内容、发布的时间、方式、对象、渠道等事项亦需进一步明确。个人信息安全影响评估报告的制作和发布的相关规定或可成为构建个人信息保护社会责任报告制度的参考。
平台服务提供者可通过制定平台规则实现自我管理,亦可采取一定的措施排除或限制对平台生态系统造成负面影响的平台内其他主体。《二审草案》赋予了提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止提供服务的权力和义务。《二审草案》第六十二条、第六十三条在履行个人信息保护职责的部门在履行职责中可采取的措施进行了详细规定,将平台自我管理与监管部门外部监管进行结合,以维护平台可持续运营的健康生态。
三、结语
外部力量的加强需与平台内部治理相结合,对提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定一定限制性措施,有利于加强平台内部运营的透明度与公平性,化解非对称风险,构建内外部协同的平台生态治理体系。同时,提出额外要求亦需与此类个人信息处理者的合规能力相匹配。《二审草案》第五十七条的增加回应了社会需求,但仍需对该条文的适用范围和制度落实进行细化,或在实践中进一步探索以出台更具操作性的配套制度。
[1] 王俊:《个人信息保护法提速|张新宝教授建议头部平台承担“守门人”责任》.2021-04-06.https://mp.weixin.qq.com/s/DhFgJu6PmG707eedg80F_A.

技术驱动法律,专业成就未来