防止个人信息“守门人”制度被滥用

来源:《财经》杂志 2021-12-03 14:33:10

中国个人信息保护的专门立法和制度设计正在紧锣密鼓地进行中。备受关注的《个人信息保护法(草案二审稿)》(下称“《个人信息保护法》二审稿”)亮点之一是:增加了大型基础性平台针对个人信息保护的“守门人”职责。

《个人信息保护法》二审稿第57条规定:“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”需要履行个人信息保护特别义务,其中包括“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。这一规定被认为是强化基础性服务平台的个人信息保护责任、促进其积极展开基于个人信息保护治理的制度设置,并能一定程度上为公权力保护个人信息的实践提供有益补充,属于《个人信息保护法》立法实践的一个创新性制度设计。

针对平台设置管理和治理义务,要求平台对于平台内相关主体的违法违规行为进行有效管理,并采取相应措施,即通过平台的治理实践,来实现相关法律义务履行的有效落地,是互联网治理机制的重要组成部分,国内外皆有丰富的实践。

在个人信息保护领域,设立通过平台实现治理的规则,即通常所说的“守门人”制度,一方面,这是法律对于平台责任在个人信息保护领域的扩展;另一方面,也会构成法律对于负有此等责任平台的一种“赋权”,进一步扩大了大型基础性平台制定规则、展开治理、采取措施方面的实质性“权力”,如若没有相应的制约性配套制度,则有可能会造成平台地位在个人信息保护领域的强化,并且带来“滥用”的可能性,这也正是目前国内外针对平台的“守门人”地位及其滥用行为对于竞争环境产生不良影响的担忧焦点所在。

“守门人”制度可能被滥用

在个人信息保护领域建构“守门人”制度,可能存在的问题有以下几个方面。

首先,基础性服务平台是否具有能力对于平台内其他经营者的个人信息合规情况展开审核,这存在很大的疑问。

从平台治理的其他可类比领域来看,建立平台审核和管理体系,需要平台承担巨大的治理成本,平台审核的专业能力和承受能力,需要实质性的投入,且是一个长期建设的过程。比如,无论是平台内容生态治理,还是电商平台知识产权治理,由于治理内容和信息海量,目前各主要平台都需要投入大量人力物力,组建专门的管理、技术团队,建立实体判断标准、程序流程规则、争议解决渠道、纠错救济机制等复杂的规则和执行体系。从经济成本、专业能力、技术和管理、组织资源等方面,都会对平台提出相当高的要求。

个人信息合规审核领域与内容治理、知识产权治理等其他领域非常实质性的区别在于,内容发布和知识产权侵权发生在相应平台上,可以被平台直接监测、发现并采取相关措施进行删除、断链或者预防。而平台内经营者运作和使用过程中的个人信息收集和处理过程,并不一定能够由基础性服务平台直接监测和发现。

比如,就目前实践中已经一定程度上开始发挥“守门人”功能的移动应用分发平台而言,它只是提供一个下载安装的链接或者平台,对于APP是否构成个人信息合规,无法进行主动的调查、监控、测评,在这样的情况下,要求APP分发平台对于APP展开管理和审核,缺乏可操作性,一方面给分发平台增加了超出其能力的沉重负担,另一方面也为错误判断甚至平台滥用提供了很大的可能性。

其次,就目前的《个人信息保护法》二审稿第57条规定来看,基础性服务平台针对可能存在问题的平台内经营者,其处理措施过于简单和极端,只规定了“停止提供服务”一项,实践中的具体例子即为应用分发市场下架移动APP。对于这一较为极端的措施,涉及到的利益十分重大和基础,但是目前没有规定清晰、透明的程序要件,且有可能违反比例原则。

由于个人信息合规判断的复杂性,情节轻重也呈现明显的阶梯性,在目前规定标准不够清晰的情况下,如果只规定“停止提供服务”这一项措施进行治理,显得过于严厉而又失之简单。参照电子商务平台知识产权治理的相关实践,可以考虑采取“必要措施”这一更加具有弹性的措辞,将警告、限时整改等相对温和的措施也包含进来,这样更加符合平台治理的惯例和现实需求。

最后,实际上也是最为重要的,基础性服务平台在承担个人信息保护治理义务的同时,实际上也是获得了巨大的授权,极有可能出现平台利用个人信息治理机制,进行反竞争投机行为,从而损害平台内经营者、特别是中小经营者的利益,引发反垄断法和反不正当竞争法上的关切和忧虑。

还是以应用市场领域为例。近年来,美国、欧盟等国家和地区,针对苹果公司的APP Store、谷歌的Google Play等应用市场已经展开多次反垄断调查或者起诉。美国国会众议院司法委员会于2020年10月发布的关于数字市场垄断的调查报告,针对这两家应用市场相关行为的反竞争效果进行了分析,其中就包括应用市场通过隐私政策的运用对于竞争性APP进行排除竞争、自我优待等行为的质疑。法国、欧盟等竞争法主管机关也针对苹果应用市场的隐私政策对于竞争可能造成的影响进行过审查和评估。

就国内产业现状而言,目前国内的应用商店经营者都是全业态的,相关企业如华为、小米、腾讯等既是应用商店的管理角色,同时也在消费互联网、工业互联网等领域和APP开发者之间形成竞争关系。有一些大的基础性服务平台不仅有APP的应用商店,还有小程序开发平台,在涉及竞争对手小程序上架审核问题上,已经有相关经营者提出对其行为的公平性和反竞争效果多次提出质疑和举报。

由此,APP分发平台的行为在竞争法上已经引起了国内外广泛的关注,如果通过政府授权的方式,给予其审核个人信息合规的权力,这与目前强调限制平台和资本影响力“无序扩张”,限制平台“权力”,保障中小企业利益,促进良好的竞争秩序和营商环境的价值取向,存在不够兼容之处,很有可能会因为平台处理不当引发各种争议和竞争失序,造成不良的后果与影响。

如何防止滥用?

如何防止“守门人”机制在个人信息保护领域被滥用?可以从以下几个方面加以完善并建立相应配套措施。

首先,在认定是否存在“严重”违法行为的主体和权力行使上,仍应以政府部门为主,对于平台内经营者的个人信息合规情况,即使要求基础性服务平台进行管理和审核,也应当限于形式审核,不要求平台进行实质上的调查和审核,针对个人信息合规情况的执法权还是应该主要由政府相关部门来行使,可以辅之以政府委托的第三方测评机构,按照法定程序展开。

其次,事先明确个人信息审核的具体标准和规范,经营者可以自行对照防范,尤其在不同执法部门、不同执法行动之间,应当尽量进行标准的统一、明确,公布检测具体标准、合格的第三方测评机构名单,给经营者创造具有确定性的自我测评机会。针对个人信息合规义务的管理和执法,主要目标在于防范违法违规行为,而非只是为了处罚。因此,应当尽量增强规则的确定性,规则和结果不确定性本身就会增加巨大的社会成本,影响到数字经济营商环境的建设。

再次,对于个人信息合规情况的审查和采取措施,应当以事后审查为主,不应采取过严的事先审查和过滤机制。对确实存在问题的经营者,采取措施应当根据具体情节严重情况进行区别化处理,更多给出更正和整改的空间,不应动辄下架APP甚至断开接入,需要遵循明确的实体要件和程序规则,在APP存在明显故意等严重情形,且在具体处理过程中,接到执法机关通知更正的要求在合理期间仍不作为的情况,才有必要采用停止提供服务(如下架)这一较为严厉的处理措施。

最后,需要规定“守门人”平台的保密义务和责任。一旦“守门人”机制开始运作,作为“守门人”的平台通常会比平台内经营者更早知悉执法情况,而执法行动会对经营者构成重要影响,这意味着平台掌握APP开发者的商业秘密,特别是这类信息往往是非公开的。因此,需要强调平台的保密义务和责任,否则可能会出现影响证券交易秩序(如上市公司重大非公开信息泄露)、企业商业秘密安全等问题,引发市场秩序的不稳定。

一项新制度的设立,需要充分考虑其运行的可行性,特别是可能带来的相应后果。从强调个人信息保护出发而设立的统一规则,很可能会造成在其他领域的连锁反应和复杂效果,产生重要的经济、社会乃至政治影响,因此十分必要进行充分的论证和周全的考察,尤其是在借鉴其他领域相关实践和规则设计的基础上,针对制度可能带来的消极影响进行评估和预判,建构防范风险、降低成本的配套措施,将个人信息保护“守门人”制度可能带来的竞争法等方面顾虑和风险尽量降到最低。

(作者为中国社会科学院大学互联网法治研究中心执行主任;编辑:鲁伟)

刘晓春/文