大型互联网平台企业个人信息保护独立监督机构研究
作者:***
来源:《东方法学》2022年第04期
        关键词: 大型互联网平台企业独立监督机构个人信息保护个人信息保护法第三方义务合规体系
        个人信息保护法第58条贯彻了网络治理特别是个人信息保护的全新理念,在强化大型互联网平台企业个人信息保护义务的大框架下规定了多项特别义务,包括成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、制定基于“三公原则”的平台规则、违法违规产品和服务的下架义务、社会责任规则等。法律公布和施行以来,学界和实务界积极研究和探索该条文的正确理解和适用,国家有关部门也在起草有关规范性文件和国家标准以实施这条法律。〔5#〕就该条第1款第1项关于“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”
        而言,目前在理论与实践上还有诸多争议:第一,个人信息保护法第58条第1款第1项的
规定适用于哪些个人信息处理者? 法律条文作出了定性规定,即适用于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。但是,条文缺乏定量的标准。第二,个人信息保护法第58条第1款第1项规定的“主要由外部成员组成的独立机构”具有何种法律性质,〔6&〕由哪些人员构成? 〔7&〕它是大型互联网平台企业的外部机构还是大型互联网平台企业的内部机构? 如果是内部机构,其独立性又如何得到保证? 第三,在确定“主要由外部成员组成的独立机构”的法律性质前提下,此等机构承担哪些职责以及如何进行运作? 本文将从个人信息保护法第58条的形成过程入手,重点研讨上述三个方面的问题,以期为该条款(尤其是第1款第1项)的正确理解和实施提供一些可操作的意见和建议。
        一、理念与条文形成
        (一)设置大型互联网平台企业个人信息保护特别义务的理念
        大型互联网平台企业,是指控制着商业用户(个人信息处理者)触达终端用户(个人信息主体)的主要渠道、用户规模大、计算能力强且产业覆盖面广的互联网平台经营者。在信息产业界,也将大型互联网平台企业称为互联网“头部企业”。治理大型互联网平台企业
包括对其个人信息处理活动的监督,是互联网治理的關键和核心环节。为大型互联网平台企业施加个人信息保护特别义务是构建治理主体多元、工具多样的社会治理网络的必然要求。政府从“守夜人”角向管理和服务职能定位的转型极大地扩张了国家任务,但在因科技发展、金融创新而使得分工逐渐细化、内容日趋复杂的行政事务领域,政府丧失了固有的信息、资源和能力优势,于是不得不向私人主体寻求合作以克服政府失灵。在这种合作治理网络中,多元主体通过共享、动员和聚合分散的资源,协调利益和行动,实现行政任务。〔8&〕
        个人信息处理的治理本属行政机关的职责。但是,一则由于行政资源短缺,执法活动难以全面覆盖数量庞大的全部个人信息处理者;二则由于评估指标僵化,行政监管无法应对日新月异的技术发展与不断变化的个人信息权益侵害方式;三则由于日常规制缺位,专项整治不宜成为常态化的规制工具。由此,行政机关亟需创新治理模式,在治理节点中引入新的主体,在治理方式中运用新的工具。
        互联网生态系统中存在一些特殊的主体, 它们要么定义着移动App运行时所需调用的各种系统权限,并为之提供特定技术资源,要么是移动App的主要分发渠道,或作为触达
用户的主要载体。〔9#〕相较于行政机关, 这些控制了技术环境和运营环境的“守门人”(也即大型互联网平台企业或头部企业),包括移动终端操作系统、应用程序分发平台和平台型App,更有技术能力规制中小型移动App。例如,操作系统可以根据个人信息的不同风险等级设置默认的移动App可以获取的操作系统权限,或在较高风险情况下给予用户提示。
        在新的治理工具上,可以采取如下措施:第一,赋予大型互联网平台企业行政法上的第三方义务。有关由私人主体承担违法行为发现、阻止工作的法律规定,我国法律不乏其例。如根据民法典第1194条—第1197条,网络服务提供者有权“采取删除、屏蔽、断开链接等必要措施”阻止网络用户的侵权行为。〔10)〕这些私人主体通常在管理、技术方面处于更加优越的地位(如前文所述),〔11)〕其管理行为更符合成本收益分析。与行政机关逐一审查、要求移动App逐一整改同质性问题所付出的成本相比,监管少数大型互联网平台企业、要求其一次性解决更为经济,由此行政机关更有时间与精力去攻克无法经由大型互联网平台企业一体规制的异质性难题。可见,抓住互联网生态个人信息处理的关键环节,可以有效缓解有限的行政资源与多点爆发的违法行为之间的矛盾,起到事半功倍的效果。
        第二,大型互联网平台企业的自我规制义务。传统命令—控制式的政府高权主义规制模式在个人信息治理上往往存在障碍。政府既无法为每个企业量体裁衣,确定精细的行为守则,也无法深入企业内部实时监督个人信息处理活动。更加包容的手段为行政机关设定规制目标,企业自行设定规则、不断调适并推进内部守法。〔13)〕在该规制理念之下,政府仅需就企业自我规制行为加以管制,从而达至集权与“放松规制”的折中。〔14)〕企业的自我规制意味着企业在作出决策时需适度考量利益相关者诉求,包括个人信息主体的个人信息权益受到保护的诉求和商业用户受到公平、公正对待的诉求,由此推动了公司社会责任与公司治理的进一步融合。
        对大型互联网平台企业施加个人信息保护特别义务,也是义务与风险相一致原则的体现。我国对个人信息保护所采取的“基于风险的进路”理论源于欧盟1995年的数据保护指令,目的在于为不同的个人信息处理活动依其风险程度配置不同的义务负担,〔16)〕以实现个人信息的动态、多层次、可扩展的保护。〔17)〕否则,统一的标准要么让小型企业因合规成本高昂而对个人信息的利用望而却步,要么无法完全约束大型企业的个人信息处理活动而使得个人信息权益的保护不足。就比较法而言,《数字服务法(草案)》同样为具有不同用户规模的中介服务提供者设定不同的义务。
        在个人信息类型上,处理敏感个人信息较一般个人信息需负有更高的告知、同意与安全防范管理标准;在个人信息规模上,达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人;在个人信息处理方式上,利用个人信息进行自动化决策或实施其他对个人权益带来更大风险的处理活动时,应当进行强制性的事前个人信息保护影响评估。那么,对于大型平台,其用户规模较大、数据类型丰富,容易成为人为恶意攻击的对象;个人信息利用方式更为多元,海量数据的沉淀大大提升了数据挖掘的价值,二次利用、数据融合等现象明显,而且非自用数据的交易、自用数据的API接口传输也会带来第三方关联风险;个人信息处理技术更为前沿,技术风险的隐蔽性、应用层的弱解释性等问题突出。故此,有必要向大型平台施加与其处理活动相称的较重义务。
        (二)个人信息保护法第58条的形成
        在个人信息保护法起草过程中,其一审稿草案并未包含大型互联网平台企业个人信息保护特别义务的条款。全国人大常委会就该一审稿草案广泛征求社会意见,有关部门、专家踊跃建言,指出应当强化超大型互联网平台的个人信息保护义务,并加强监督。笔者于2021年1月初积极向立法部门提出立法建议得到有关领导批示,并在《比较法研究》上发
表《互联网生态“守门人”个人信息保护特别义务设置研究》一文,〔18*〕形成一定的学术影响力。全国人大宪法和法律委员会经研究,建议增加一条规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;(二)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(三)定期发布个人信息保护社会责任报告,接受社会监督。〔19*〕这一方案被《个人信息保护法(二次审议稿)》第57条采纳并被提交给全国人大常委会进行审议。
        针对前述《个人信息保护法(二次审议稿)》第57条的内容,有的部门、专家提出,大型互联网企业制定有关个人信息保护的平台规则时,应当公平合理地对待平台内经营者。全国人大宪法和法律委员会经研究,建议对草案二次审议稿作以下修改:增加规定,即大型互联网企业应当遵循公开、公平、公正的原则,制定有关个人信息保护的平台规则。〔20*〕如此,大型互联网平台企业不仅仅以协助行政机关完成行政任务的辅助性角出现,如在商业用户严重违反法律、行政法律的情形下停止提供服务,还能发挥更加能动的作用,利用合同进行私人规制。可见,立法者巧妙通过合同、自我规制等多元治理工具之间的功能性耦合,来达到规制众多中小型个人信息处理者的目标。〔21*〕在法律草案的
讨论过程中,全国人大有的常委委员提出,应当要求大型互联网平台建立个人信息保护合规体系,加强内部合规管理。全国人大宪法和法律委员会经研究,建议在草案三次审议稿第58条(即二次审议稿的第57条)中增加规定,大型互联网平台应当“按照国家规定建立健全个人信息保护合规制度体系”。〔22*〕这有机结合了自我规制与由独立监督机构(相对独立与外部性)、社会监督和行政机关形成的外在約束。
        从极具创新性与富有中国特的个人信息保护法第58条的立法形成过程可以看出,有关个人信息保护立法工作的推进过程是国家就应当如何合理配置利益相关主体的权利和义务以实现“三方平衡”的认识不断深入的过程,〔23*〕也是国家立法就应当如何构建社会治理网络,选取合适的治理主体与治理工具的理解不断深入的过程。立法部门集思广益,积极借鉴了欧盟数字市场法(草案)与数字服务法(草案)的经验,将大型互联网平台企业作为规制的重点之一,贯彻了科学立法、民主立法的理念。小程序平台有哪些
        二、独立监督机构的适用对象
        “独立监督机构”,是指根据个人信息保护法第58条的规定成立的主要由外部成员组成的独立机构,其职责是对相关个人信息处理者的个人信息保护情况进行监督。独立监督机
构的适用对象,是指哪些个人信息处理者应当依法成立主要由外部成员组成的独立机构监督其个人信息保护情况。
        依据个人信息保护法第58条第1款的规定, 应当承担个人信息保护特别义务的个人信息处理者为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。这样的个人信息处理者通常不是个人而是企业;通常不是一般规模的企业而是大型企业;通常不是传统企业,而是大型互联网平台企业。因此,独立监督机构的适用对象,可以被界定为大型互联网平台企业。以下是对这一结论的具体论证:
        如何根据第58条的三个定性标准具体确定特殊义务主体的范围,除了通过实质论证向该类主体施加监管平台内的产品或者服务提供者(商业用户)个人信息处理活动的第三方义务和强化其内部合规、外部监督的合理性以外,缺乏其他可操作的定量标准。不过我国《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》)〔24&〕根据平台的用户规模、业务种类、经济体量和限制能力(平台具有的限制或阻碍商户接触消费者的能力)的差异,将互联网平台分为超级平台、大型平台和中小平台等三级。由此产生这样两个问题:第一,个人信息保护法第58条与《分类分级指南》对平台进行类型化区
分的不同标准之间有何关系;第二,如何利用《分类分级指南》的具体规定来理解和实施个人信息保护法第58条的规定,确定独立监督机构的适用对象。
        1.细化“大型互联网平台企业”的认定标准
        《分类分级指南》的分级标准实则是个人信息保护法第58条的特别义务主体三要素之细化,其经济体量、用户规模和业务种类的量化指标为认定独立监督机构的适用对象指明了方向,有利于提高法律适用的确定性。
        在判断标准中,两者均有用户规模与业务种类两项,仅就“提供重要互联网平台服务”和“经济体量”“限制能力”存在区别。但从法律解释的角度来看,“提供重要互联网平台服务”可与“经济体量”“限制能力”相对应。“提供重要互联网平台服务”在二审稿草案中的表述为“提供基础性互联网平台服务”。作此修改的原因在于:其一,互联网平台处于网络结构中的应用层和服务层,相较于网络基础服务提供商(如宽带服务),其对信息传输的控制力较弱,〔25&〕能否被视为提供了基础性服务有待商榷。其二,即便在互联网平台中,不同的平台有着不同的功能和服务类型,其中最重要、最基本的系统软件当属控制其他软件运行的技术环境的操作系统,但将特殊义务主体限缩至此未免过于狭隘。故在理解“提供重
要互联网平台服务”时,应强调平台在连接终端用户和商业用户方面的关键地位,以及其在推动经济发展、保障民生、维护国家安全等方面的重要作用。如此界定与《分类分级指南》中的“经济体量”“限制能力”相印证。就该要件而言,“提供重要互联网平台服务”的主体至少可以囊括操作系统,控制软件被下载和分发的主要节点的应用商店,〔26+〕为终端用户和商业用户提供交互环境的小程序平台(如、支付宝等)和网络销售类、生活服务类等促成多边交易的中介平台(如淘宝、京东)。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。