中国大型网络平台规制逻辑的规范分析与欧盟治理范式比较

来源:那一片数据星辰

文章摘要
摘要 中国《大型网络平台个人信息保护规定(征求意见稿)》的发布,标志着数字法治从通用合规向特定身份规制的转型。
摘要
中国《大型网络平台个人信息保护规定(征求意见稿)》的发布,标志着数字法治从通用合规向特定身份规制的转型。本文首先通过规范分析,厘清了大型网络平台与关键信息基础设施及重要数据处理者在法律构成上的独立性与交叉性,论证了《规定》系通过“义务叠加”的立法技术,将高阶安全义务移植至大型平台,以应对由数据规模量变引发的质变风险。其次,本文通过与欧盟《数字市场法》及《数字服务法》的深度比较,揭示了中欧分别遵循“数据安全与主权”逻辑与“市场公平与社会权利”逻辑的本质差异。最后,文章探讨了这两种治理范式“北京效应”与“布鲁塞尔效应”的趋势。
一、 法律身份的规范界定:边界厘清与风险同构
在探讨《大型网络平台个人信息保护规定(征求意见稿)》(以下简称《规定》)的规制逻辑之前,必须首先廓清“大型网络平台”在我国现行法律体系中的定位。
在《规定》中,明确了国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。对大型网络平台的认定,主要考虑以下因素:
(一)注册用户5000万以上或者月活跃用户1000万以上;
(二)提供重要网络服务或者经营范围涵盖多个类型业务;
(三)掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响;
(四)国家网信部门、国务院公安部门规定的其他情形。
虽然其规制手段呈现出显著的“基础设施化”倾向,但在法律实证主义视角下,其与“关键信息基础设施(CII)”及“重要数据处理者”并非等同关系,而是呈现出一种基于风险等级的“功能性同构”。
(一) 概念的法律边界:交叉而非重合
从构成要件(Constitutive Requirements)分析,三者分属不同的法律范畴,具有独立的认定程序与责任体系:
第一,关键信息基础设施(CII)遵循的是“功能主义”逻辑。依据《关键信息基础设施安全保护条例》,其认定标准在于业务功能一旦遭到破坏,是否会严重危害国家安全与国计民生。其认定权掌握在行业主管部门手中。现实中,虽有部分头部平台承载了类似公共通信的功能,但并非所有用户量巨大的平台都被行政确认为CII。
第二,重要数据处理者遵循的是“资产属性”逻辑。依据《数据安全法》及《网络数据安全管理条例》,其核心在于处理的数据内容是否属于“重要数据”。这一概念侧重于数据的性质(如地理测绘、基因数据、经济运行数据),而非单纯的用户规模。
第三,大型网络平台遵循的是“规模主义”逻辑。依据《规定》第三条,其认定标准是明确的量化指标(5000万注册用户或1000万月活)叠加定性指标(对国家安全具有重要影响)。
因此,法律上不能简单建立“大型网络平台 = CII = 重要数据处理者”的等式。三者在法律图谱上呈现为交叉关系:大型网络平台可能是CII,也可能不是;其处理的数据可能包含重要数据,也可能仅是海量个人信息的集合。
(二) 规制逻辑的升维:量的积累引发质的突变
尽管法律身份各异,但《规定》的立法逻辑揭示了一个核心判断:当个人信息汇聚达到特定量级(5000万),其风险属性将发生质变。
在大数据分析技术的加持下,海量个人信息的集合能够推算出人口迁徙轨迹、社会情绪走向及经济运行态势。这种“数据画像”能力使得大型网络平台在社会动员能力和情报价值上,实际上具备了与CII和重要数据同等的国家安全属性。因此,立法者虽然在名义上维持了其“商事主体”的法律地位,但在规制手段上,选择“移植”了原本属于CII和重要数据处理者的高阶义务。这种策略并非概念的混淆,而是基于风险防控需求的“监管手段平移”,旨在解决大型平台作为“准基础设施”的控制权与安全性问题。
二、 义务叠加的规范构造:从“行为合规”到“身份管控”
基于上述风险判断,《规定》在《个人信息保护法》确立的通用义务基线之上,对大型网络平台实施了显著的“义务叠加”(Obligation Overlay)。这种叠加体现了从关注“行为合规”向关注“身份管控”与“生态治理”的范式转型。
(一)关键岗位(“人”的维度):从“职能”到“身份”
这是《规定》与《个保法》相比最显著的升级,体现了将数据主权“人格化”的思路。
维度 一般处理者 / 非大型平台 (《个保法》) 大型网络平台 (《规定》)
设立门槛 达到一定数量才需设立(通常参照100万用户量级)。 强制设立,且必须公开联系方式(第5条)。
层级要求 未明确规定层级。 必须由管理层成员担任(第5条)。
国籍与政治要求 无要求。 必须具有中国国籍,无境外永久居留权(第5条)。
权力边界 职责是监督和处理,无明确“否决权”。 对个人信息处理事项具有“一票否决权”(第5条)。
报告机制 向企业内部负责。 可直接向国家网信部门报告(第5条)。

(二)基础设施(“地”的维度):从“跨境管理”到“本地托管”
《个保法》关注的是数据“出不出得去”,而《规定》关注的是数据在境内“存不存得稳”。
维度 一般处理者 / 非大型平台 (《个保法》) 大型网络平台 (《规定》)
存储要求 仅CIIO(关键信息基础设施)或处理达到法定数量需本地存储(第40条)。 原则上必须存储在境内(第9条)。
数据中心管控 无特定要求。 数据中心负责人也必须是中国国籍、无境外永居(第10条)。
第三方托管 正常的委托处理关系。 若自身无能力保障安全,监管可强制要求其委托符合要求的第三方数据中心存储(第17条)。

(三) 权利响应(“权”的维度):从“原则性”到“参数化”
针对“个人信息转移权”(可携带权),《个保法》只给了原则,而《规定》给出了具体的SLA(服务等级协议)。
维度 一般处理者 / 非大型平台 (《个保法》) 大型网络平台 (《规定》)
响应时限 未规定具体天数,通常适用“及时响应”原则(参考国标通常为15个工作日)。 30个工作日,特殊情况可再延30个工作日(第14条)。
转移格式 “符合国家网信部门规定条件”的,提供转移途径。 明确要求“通用、机器可读”,鼓励API接口(第14条)。
收费权 未明确。 明确“重复转移”可收取必要费用(第14条)。

(四)监督与审计(“治”的维度):从“自律”到“他律”
结合《个人信息保护合规审计管理办法》,大型平台的“紧箍咒”明显更紧。
维度 一般处理者 / 非大型平台 (《个保法》/《审计办法》) 大型网络平台 (《规定》)
审计主体 主要是定期自行审计(《个保法》第54条)。 强调委托第三方专业机构,且优先选择认证机构(第15条)。
触发强制审计 监管发现高风险时可要求审计。 列出了具体触发红线:100万人以上泄露、多次违规出境等(第17条)。
审计机构义务 对委托方负责,报告给监管。 第三方机构发现重大风险可直接向网信/公安报告,涉嫌犯罪直接报案(第16条)。

(五)生态责任(“圈”的维度):从“独善其身”到“连带监管”
这是《个保法》第58条“制定平台规则”的具体化。
维度 一般处理者 / 非大型平台 (《个保法》) 大型网络平台 (《规定》)
对内责任 对自己处理的信息负责;对委托处理方进行监督。 监督平台内的产品/服务提供者(如小程序、商家)(第6条)。
社会责任报告 无强制要求。 每年编制并发布个人信息保护社会责任报告(第6条)。

三、 跨域对标欧盟的“双支柱”模型:市场公平与社会安全的双重保障
欧盟通过《数字市场法》(Digital Markets Act, DMA)和《数字服务法》(Digital Services Act, DSA)构建了一个独特的“双支柱”监管框架。这一框架并非聚焦于数据要素的直接控制,而是分别针对大型平台日益增长的经济权力及其对社会造成的广泛影响。DMA旨在重塑市场竞争规则,确保数字经济的公平与开放;而DSA则致力于构建安全的网络环境,治理非法内容与系统性社会风险。二者相辅相成,共同体现了欧盟在数字治理上的双重目标:维护市场的公平竞争和保障安全的网络环境与公民的基本权利,其核心在于规制平台利用其规模和数据所产生的“行为”及其外部性。
(一)《数字市场法》(DMA):重塑数字市场的公平竞争规则
DMA的立法宗旨是实施事前(ex-ante)规制,其核心目标是确保数字市场的可竞争性(Contestability)公平性(Fairness)。这标志着对传统竞争法依赖事后(ex-post)执法的重大补充,旨在从源头上遏制不公平行为,而非仅仅在损害发生后进行惩罚。
该法案的核心是“守门人”(Gatekeeper)的认定。根据DMA第三条,认定标准是清晰的量化门槛,主要包括:企业在欧盟的年营业额达到或超过75亿欧元,或市值达到750亿欧元;并且其核心平台服务在欧盟拥有至少4500万月活跃终端用户和1万年活跃商业用户。
一旦被认定为“守门人”,平台必须遵守DMA第五条、第六条和第七条规定的一系列严格义务,旨在系统性地削弱其市场控制力:
数据处理限制
禁止数据合并:未经用户明确同意,禁止合并或交叉使用从其核心平台服务、其他服务以及第三方服务中收集的个人数据(第五条第二款)。这一规定是欧盟规制“行为外部性”理念的直接体现,旨在削弱“守门人”通过整合海量跨服务数据而形成的压倒性数据优势。
禁止利用商业用户数据竞争:禁止使用商业用户产生的非公开数据,与这些商业用户进行竞争(第六条第二款)。此举旨在防止平台利用其双重角色(既是平台又是竞争者)的不正当优势,保护平台上商家的创新和生存空间。
上述数据限制措施直接削弱了守门人的数据权力,旨在通过规制数据使用行为来恢复市场公平性。
反自我优待与公平条款
禁止自我优待:禁止在排名中给予自身服务或产品比第三方同类服务或产品更优惠的待遇(第六条第五款)。这项义务直接打击了“守门人”利用其平台流量入口为自身业务导流的核心手段,旨在为所有市场参与者创造一个公平的展示和竞争环境。
禁止“最惠国待遇”条款:禁止平台限制商业用户在其他渠道以更优惠的条件(包括价格)提供相同的产品或服务(第五条第三款)。这赋予了商家定价和渠道策略的自由,促进了平台间的价格竞争。
通过禁止自我优待和不公平条款,DMA旨在确保平台内的竞争是基于产品和服务的优劣,而非基于平台的所有权,从而直接促进了市场的公平性。
互操作性与开放性
允许应用侧载:必须允许用户安装和使用第三方应用或应用商店(第六条第四款)。
核心功能互操作:必须允许第三方服务和硬件与“守门人”的操作系统、硬件或软件功能实现有效互操作(第六条第七款)。
即时通讯服务互操作:要求即时通讯服务逐步实现与第三方服务在文本、音视频等基础功能上的互操作性(第七条)。这些规定旨在打破“守门人”精心构建的封闭生态系统,降低用户的转换成本。
最终,这些措施旨在拆除定义“守门人”权力的“围墙花园”,通过降低进入壁垒和减少用户锁定效应,直接促进市场的可竞争性。
商业自由与透明度
促进平台外交易:允许商业用户在平台之外向其用户推广和销售产品,并自由地与用户沟通和签订合同(第五条第四款)。
广告透明度:必须向广告主和发布商提供关于广告价格、费用和效果表现的详细信息(第五条第九、十款)。这些义务旨在增强商业用户的独立性和议价能力,削弱平台对商业关系的不透明控制。
通过增强商业自由和透明度,DMA赋予了商业用户更大的自主权,削弱了他们对守门人平台的依赖,从而有助于创造一个更具可竞争性的市场环境。
(二)《数字服务法》(DSA):构建安全的网络环境与社会风险治理
与DMA聚焦经济秩序不同,DSA的立法宗旨是统一欧盟内部规则,以应对非法内容的传播和平台带来的系统性社会风险。其核心目标是创造一个安全、可预测和值得信赖的网络环境,并在此过程中有力地保护用户的基本权利。
DSA引入了“超大型在线平台”(VLOP)和“超大型在线搜索引擎”(VLOSE)的概念,其认定标准非常简洁:根据DSA第三十三条,任何在欧盟境内月平均活跃用户数达到4500万的平台即符合标准。
被认定的VLOPs和VLOSEs必须履行DSA第三章第五节规定的一系列旨在管理社会风险的特殊义务:
系统性风险评估:根据第三十四条,平台必须每年对其服务进行全面的风险评估。评估范围不仅包括非法内容的传播,还必须涵盖其服务对基本权利(如言论自由、隐私权)、公共健康、公共安全、公民话语和民主进程等方面的实际或可预见的负面影响。这标志着平台责任从单纯的事后内容移除,转变为对整个系统设计和运营模式进行事前风险预防的战略转变。
风险缓释措施:根据第三十五条,平台必须采取合理、相称且有效的措施来应对已识别的系统性风险。这些措施可能包括调整内容审核流程、优化推荐算法以减少有害内容的放大、改进广告系统以防止其被滥用,或增强内部流程的稳健性,其战略意义在于迫使平台对其服务的社会外部性负责。
独立审计与合规:根据第三十七条和第四十一条,平台必须每年接受一次独立的外部审计,以评估其是否遵守DSA的各项义务。同时,平台必须设立一个独立的合规职能部门,直接向管理层汇报。这些措施旨在通过外部监督和内部问责相结合的方式,确保风险管理框架的有效落实。
透明度义务:根据第三十八条和第三十九条,平台必须清晰地解释其推荐系统的主要参数,并向用户提供至少一个不基于个人画像的推荐选项。此外,平台还必须建立一个公开、可搜索的广告库,详细记录其平台上展示的广告信息。这些规定旨在通过增强公共监督能力和用户的自主选择权,来制衡平台的算法权力。
危机应对机制:第三十六条赋予欧盟委员会一项特殊权力:在发生危机(如公共卫生危机、武装冲突等)时,可以要求平台采取紧急、临时的应对措施,以限制危机相关风险的传播。这为应对大规模、突发性的网络风险提供了一个快速反应框架,凸显了平台在现代社会治理中的关键作用。
总而言之,欧盟的“双支柱”模式展现了其精细化且以价值为导向的监管哲学:DMA通过一系列严格的行为准则,聚焦于经济层面的权力制衡与市场开放;而DSA则通过风险评估、缓释和透明度义务,着眼于社会层面的责任履行与安全保障。二者共同构成了一个对大型数字平台进行全方位规制的综合体系。
(三)框架对比:监管逻辑的同与异
尽管中国和欧盟都深刻认识到大型网络平台的特殊性,并一致地采取了超越通用法规的分级监管模式,但两者在具体的监管目标、规则设计和底层逻辑上却展现出显著的差异。本章将通过系统性的梳理和对比,直观地揭示这两种范式的同与异。
对比维度 中国 欧盟
核心监管目标 以数据安全与国家主权为中心。监管的核心在于确保个人信息处理全过程的合规性,并强调对关键数据资源的国家控制力。 以市场公平(DMA)和社会安全/基本权利(DSA)为双中心。监管目标多元化,既要维护数字市场的公平竞争,又要治理非法内容、保护用户基本权利和应对系统性社会风险。
“大型平台”认定标准 分层级的、多维度。包括基于用户数量、用途、可能的影响。 多维度的、基于经济与社会影响力。DMA基于经济规模(营业额/市值)与用户规模(4500万终端用户和1万商业用户)的双重门槛认定“守门人”。DSA则以月活跃用户数(4500万)为单一门槛认定“超大型在线平台”。
核心义务领域 聚焦于个人信息处理的全生命周期合规,涵盖内部治理、数据存储、出境管理、合规审计等。 领域更为宽泛,DMA规制市场竞争行为(如反自我优待、互操作性),DSA规制社会性风险管理(如系统性风险评估、非法内容治理、算法透明度)。
数据治理模式 强调“控制与安全”:强制性的数据本地化存储和严格的数据中心要求。 DMA强调“行为规制与流动促进”:禁止滥用数据(如禁止跨服务合并数据、禁止利用商家数据竞争),同时促进数据流动(如数据可携权、互操作性要求)。
内部治理要求 强硬性、指令性要求。对个人信息保护负责人的国籍、经验和否决权有明确规定,体现了自上而下的强控制逻辑。 功能性、独立性要求。DSA要求设立独立的合规职能部门,确保内部监督的独立性和有效性,但对具体人员的背景无硬性规定。
透明度与问责 要求发布年度“个人信息保护社会责任报告”。 要求更为深入和具体,包括系统性风险评估报告、广告库、关于推荐系统参数的说明,以及独立的年度合规审计报告,对算法和系统性风险的透明度要求远超中国。

四、 深度透视:监管差异背后的哲学动因与未来展望
从更宏观的角度来看,一个根本性的差异浮出水面:中国的监管侧重于对“数据”这一核心生产要素的直接控制和安全保障,其逻辑起点是数据作为国家战略资产的属性。而欧盟的监管侧重于规制平台利用其规模和数据所产生的“行为”,其逻辑起点是平台的市场权力和社会责任。
(一)产业格局与地缘政治的映射
中国的监管环境是在其国内已然崛起一批强大的本土科技巨头的背景下形成的。因此,其监管的主要对象是这些国内平台。这些规定在规范国内市场秩序、保护消费者权益的同时,也服务于塑造一个更加可控且符合国家战略发展方向的国内数字生态系统。监管的目标既是“规范”,也是“引导”,确保数字经济的脉搏与国家发展的节奏同频共振。
欧盟的产业现实则截然不同:其数字市场在很大程度上由非欧盟(尤其是美国)的科技巨头所主导。在这种背景下,DMA和DSA在很大程度上成为欧盟利用其庞大的统一市场规模作为战略杠杆,对外来科技巨头施加自身规则和价值观影响的关键工具。这便是广为人知的“布鲁塞尔效应”(Brussels Effect)。通过为全球最大的消费市场之一立法,欧盟不仅意在规制其境内的市场行为,更旨在夺回全球数字领域的规则制定权,将欧洲的价值观(如隐私保护、市场公平)输出为全球标准。
(二)“风险”定义的差异化视角
中欧在定义大型平台带来的核心“风险”时,也展现了截然不同的视角,这直接决定了监管措施的侧重点。
在中国监管框架下,核心风险被清晰地定义为个人信息泄露、数据滥用,以及由此可能升级引发的数据安全和国家安全风险。其风险识别逻辑是自下而上的:从单个用户的个人信息合规与安全出发,汇聚成对海量数据的安全担忧,最终上升至国家层面的宏观安全。因此,监管措施也紧紧围绕数据处理的全生命周期展开,如数据存储、出境、审计等。
而在欧盟的监管框架下,“风险”的定义则更为宽泛、多元和系统化。DMA所应对的风险主要是经济性风险,如市场封锁(market foreclosure)、创新受阻(stifled innovation)和竞争失灵。DSA所应对的风险则是社会性风险,涵盖了非法内容传播、虚假信息泛滥、对民主进程的威胁、对公共健康的负面影响以及对基本权利的系统性侵蚀。其风险识别逻辑是自上而下的:从平台行为对整个市场结构和社会生态造成的广泛影响出发,进行系统性的风险评估和治理。这种视角将平台视为一个复杂的社会-技术系统,其风险不仅在于数据泄露,更在于其系统设计、算法逻辑和商业模式对社会造成的深远外部性。
(三) 未来展望:全球数字治理的“双轨制”
展望未来,这种基于不同诊断而形成的两种治理范式,大概率不会随着全球数字经济的融合而趋同,而是会形成两大泾渭分明的监管势力范围:
1.“布鲁塞尔效应”的延续: 欧盟将继续致力于将其基于开放市场、公平竞争和人权保护的监管标准输出为全球规范,影响那些更关注市场活力与消费者权益的司法辖区。
2.“北京效应”的崛起: 中国将继续强化将大型平台视为“准关键基础设施”的治理思路,探索一套以数据治理、产业安全和社会稳定为核心的治理模式。这种模式对于重视国家安全与数字主权的新兴经济体可能具有极强的吸引力。
对于在全球运营的大型科技公司而言,必须适应并运行两套截然不同的操作系统:在欧洲,它们需要展示系统的“开放性”与“互操作性”;在中国,它们必须证明系统的“可控性”与“本地化”。这种监管逻辑的分野,将深刻重塑未来十年全球数字经济的版图与规则。
技术驱动法律,专业成就未来