2022年7月28日,中共中央政治局召开会议指出,要以改革开放为经济发展增动力。要推动平台经济规范健康持续发展,完成平台经济专项整改,对平台经济实施常态化监管,集中推出一批“绿灯”投资案例[1]。近两年来,互联网平台已经成为行业治理和政策监管的热点话题,国家相继出台了各类法律法规并形成专门整治乱象的监管部门,加强对互联网平台侵害用户权益、威胁数据安全等行为进行集中整治:
2022年1月,国家发改委等九部门联合印发《关于推动平台经济规范健康持续发展的若干意见》,明确坚持发展和规范并重;2022年4月29日,中央政治局召开会议,分析研究了当前经济形势和经济工作,强调要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管,出台支持平台经济规范健康发展的具体措施,为平台经济的发展定下基调和方向;2022年5月17日,全国政协召开“推动数字经济持续健康发展”专题协商会,指出要支持平台经济、民营经济持续健康发展。
随着《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《中华人民共和国数据安全法(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的相继实施,我国数据合规领域的基本立法已经日趋完善,执法行动也在不断加强,数据合规治理工作已经成为了企业,特别是互联网企业合规工作的重要领域之一。
平台企业作为特殊类型的互联网信息服务提供者,因其复杂的业务类型和多变的应用场景,相较于一般的网络运营主体,由于主体类型的不同和所处理数据场景和类型的不同,涉及更多不同维度的数据处理关系,包括数据互联互通、数据汇聚融合,甚至有可能造成数据垄断的风险,在为数字化运营带来高效便利的同时,也存在对市场和用户造成不良影响甚至损害消费者权益的隐患。特别是新的《反垄断法》已于2022年8月1日开始实施,也将对互联网平台的治理提出新的要求和挑战。
为了强化对大型互联网平台服务的义务,明晰平台所承担的责任,配置与其影响力和控制力相匹配的数据保护义务,需要形成一个普遍共识和基本公式。我国《个人信息保护法》借鉴欧盟等国家和地区的立法实践,针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,要求其履行建立健全个人信息保护合规制度体系、制定平台规则、管理规范平台内经营者和接受社会监督的义务。
一、“守门人处理者”是什么
(一)“守门人处理者”概念引入
1.欧盟《数字市场法》
欧盟《数字市场法》对“守门人”的典型特点归纳为:1.对内部市场有重大影响,有能力创造和塑造新的市场,挑战传统市场,并在收集、处理和编辑大量数据的基础上组织新的参与形式或开展业务;或者通过挑战传统市场,构造全新的市场环境,从而影响市场上下游;2.经营一项核心的平台服务,成为一个或多个终端用户与企业用户间的重要通道,而且有非常根深蒂固的持久的市场地位,从量化的推定标准来说,主要包括以下三条:
第一,过去三个财年在欧洲经济区(EuropeanEconomicArea,EEA)的每年营业额达到或超过75亿欧元(相当于约519亿元人民币),或上一年平均市值达750亿欧元;且在至少三个欧盟成员国提供核心平台服务,具有跨市场的影响力,能够比较持久地促进商业投资、创造新的战略依赖、获得重大价值和数据积累,在这些方面能够发挥较大作用。
第二,任何一项核心平台服务月活跃终端用户超过4,500万,并且在欧盟建立的年活跃企业用户超过1万,需要具有极大的用户粘性。
第三,过去两个财年内每一年度均达到第二条标准。
2.欧盟《数字服务法》
《数字服务法》主要的规制对象为针对欧盟境内主体的在线中介服务提供者,不仅包括小微企业在在线平台,也包括超大在线平台。在对“超大在线平台”定性的角度上与《数字市场法》基本一致,要求在欧盟境内的平均月活用户超过4,500万。
不同于欧盟《数字市场法》和《数字服务法》,我国法律法规对于“守门人处理者”并没有类似的明确界定。以下,我们将从我国法律法规对于平台经营者的定义和分级分类要求出发,探讨我国法律法规对于特殊平台经营者——“守门人处理者”定义的划分标准和内在逻辑。
1.2021年2月7日生效的《关于平台经济领域的反垄断指南》(以下简称“《反垄断指南》”)主要从商业性质角度对平台、平台经营者、平台内经营者等进行定义。
其次,何为“平台经营者”。根据《反垄断指南》,平台经营者指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。平台经营者不仅要提供经营场所(包括虚拟的平台载体),而且也要发挥作为平台经营者的作用,比如建立平台经营规则等。同时为了达到共同的商业价值形态的目标,不仅需要进行交易撮合,还要提供一些网络信息技术以及交流工具,除此之外可能还需要搭建一些能够互相交流合作的机制和商业规则。
再次,何为“平台内经营者”。根据《反垄断指南》,平台内经营者指在互联网平台内提供商品或者服务的经营者。在互联网平台中,除了平台经营者自己,还需要提供商品或者服务的主体参与平台活动,即平台内经营者。
对于整个所谓的平台经济领域的经营者来讲,包含了平台经营者自己(搭建平台、制定规则、提供交易撮合规则等)、平台内经营者和其他平台经营者,就构成了所谓的多边或者双边的平台参与主体。总的来说,平台经营者+平台内经营者+其他参与平台经济的经营者=平台经济领域经营者。
2.2021年的10月29日发布的《互联网平台落实主体责任指南(征求意见稿)》(以下简称“《主体责任指南》”)在从商业性质角度对平台、平台经营者、平台内经营者等进行定义的同时,对超大型平台也进行了量化规定。
《主体责任指南》与《反垄断指南》关于平台和平台经营者的概念相同。区别在于平台内经营者和超大型平台的概念。
首先,针对平台内经营者,《主体责任指南》进一步明确了平台经营者在运营平台的同时,也可以直接通过该平台提供商品或者服务,即平台经营者也可以直接向用户提供商品或者服务。所以平台经营者在获取部分用户个人信息时,不仅限于获取用户的注册信息类型的数据。
3.2021年10月29日发布的《关于互联网平台分类分级指南(征求意见稿)》(以下简称“《分级指南》”)主要从量化角度对平台进行了划分。
关于平台分级的主要指标包括:用户规模、业务种类、经济体量、限制能力等。针对超级平台,首先,用户规模年活跃用户不低于5亿;其次,业务种类非常广泛,核心业务至少涉及两类平台业务。在大型平台上,至少有一类突出的平台主营业务,而对于超级平台来讲,这个突出表现的核心业务至少涉及两类;再次,上一年度的净市值要不低于10,000亿元人民币;同时需要具有超强的限制商户接触消费者的能力。
4.2021年11月1日生效的《个人信息保护法》主要从定性角度进行了规定;2021年11月14日《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)从量化角度进行了规定,同时也强调了大型互联网平台经营者的社会属性(社会动员能力)。
(1)关于特殊个人信息处理者,《个人信息保护法》第五十八条有三个主要的认定维度和标准:
第二,用户数量巨大。可参考《分级指南》和《主体责任指南》。
第三,业务类型复杂。如前所述,从《主体责任指南》来讲,有一类以上主要的核心业务即可,但是从《分级指南》来讲,超级平台需要拥有两类以上核心业务。有主营业务,还有非主营业务,因此不同平台内的经营者构成了较大的生态池,形成了整体的平台生态。
需要特别说明的是,虽然业界对《个人信息保护法》中个人信息处理者三个定语“提供重要互联网平台服务”“用户数量巨大”“业务类型复杂”认为相互间是“或”的关系,即选择关系,满足其一即构成“守门人处理者”,但我们比较倾向于认为此处的三个条件是并列关系(and),需要同时满足时方才构成“守门人处理者”。否则门槛太低,导致企业的合规义务太重也不利于互联网经济的蓬勃发展,反而也没有起到对真正巨大型平台的规制作用。
(2)《数安条例》
(三)“守门人处理者”的考量因素
1.提供重要互联网平台服务
参考《数安条例》第七十三条第十款对于“大型互联网平台运营者”的定义,即用户超过5,000万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
部分经营者,通过在平台上的交易行为,使用户对平台已逐渐地形成一种依赖关系。这种情况下,一些大型平台由于财力雄厚、拥有海量数据、算法精准,并且不断跨界,甚至可能向其他市场传导其优势,进而形成赢者通吃或强者愈强的局面。此时,此种大型平台也需要遵守“守门人处理者”的义务。
2.用户数量巨大
可参考《分级指南》和《主体责任指南》。
3.业务类型复杂
从这个角度上可以思考,涉及到平台分类分级指南里列举的六大平台,包括网络销售类、生活服务类、社交娱乐类、信息咨询类、金融服务类、计算机信息运用类,以及其他更多的子平台,这里涉及到至少有主营的一些业务平台,或者还有涉及到要有两类以上的主营业务平台,这种情况则属于业务类型复杂的情形。另外,有一些平台所涉及的业务范围比较广,比如既有电商、又有文娱、营销,物流、金融、出行、社交、健康,而且每一个平台的规模都较大时,则可能要思考一下是否属于业务类型复杂。
二、“守门人处理者”有哪些基本场景
(一)多发业态场景
以下,我们将通过典型案例进行具体说明。
【案例一电商平台】
【案例二医疗平台】
在医疗大数据的环境中,医院也可能搭建互联互通的电子病历系统,用于医生的科学诊断、治疗、安全用药,以及让患者在医院内部不同部门之间能够调阅病历记录、出入院记录、化验报告、医学影像等检查报告,实现医院之间信息化平台的打通。其中会涉及其他合作方,比如信息服务提供方、制作电子病历的技术支撑方。前述服务商可能要对数据库进行结构化,甚至对医院医生用药的情况进行监测或优化,提供绩效考核,甚至如化验、血检等也需要第三方来进行支持,可能会联合药企或者医疗器械等机构,共同合作定制研发或开发相应卫生信息的数据库。
在此过程中,如何确保一些限制性数据,如个人信息、隐私等不能直接传输至第三方;如何获得用户同意;以及涉及到医院或者某些设施/技术服务的提供方,如何确保自己的知识产权以及商业秘密等。
【案例三金融平台】
【案例四智能网联汽车】
【案例五大数据】
(二)风险和挑战
1.数据权属
与此同时,也会存在很多风险与挑战,如数据权属,即到底如何确权,以及在整个平台体系中,哪些数据属于企业自身,由此可能会带来数据权属不清的挑战。会不会涉及到数据过分集中、无序而导致竞争秩序更加混乱,或者相当于消除了竞争对手,表面上是针对竞争对手,实际损害了消费者的权益。另外,从个人信息保护角度,由于数据在整个平台内进行了打通,用户是否知情?是基于哪些目的进行的打通?在数据打通的时候,使用目的有没有进行限定,有没有在最小范围内进行平台数据的融合?作为个人,是否可以对融合提出限制或者否定的权利?数据打通有没有做到透明化处理,是否让用户知情或者有拒绝,甚至删除、转移数据的权利?通过互联互通的数据,用户是否会成为“透明人”,让用户陷入大数据杀熟的竞争中去?这些都是要考虑的问题。市场支配地位越大,越有可能对用户实施差别待遇。实践中,大数据杀熟是非常隐蔽的,证明算法是如何具体运作是非常困难的,所以《个人信息保护法》中也提出了对自动化决策进行限定,甚至要求相应的平台能够说明算法的机制,要求算法要有透明性,要有相应的可解释权、可解释性。
此外,国家、政府对重要数据、核心数据等是否有所有权?某些情况,数据本身只是一般的非个人信息,但由于数据量非常的大,以及包括一些衍生的信息,或经加工以后的统计性数据,就可能会演变成重要数据,这是一个动态过程。此外,还有两个企业之间同一数据是否会产生权属竞合?企业何时丧失数据权利等问题也值得留意。
2.数据汇集、开发&数据传输、存储安全风险
3.用户信息
针对用户信息层面,如没有告知自动化决策会损害到用户的权益,以及对用户进行二选一的限制,还有过度推送,导致用户不停被打扰被骚扰。在某些情况下,由于平台级别越来越高、规模越来越大,安全措施和能力没有及时跟上,甚至没有进行数据隔离或单独存储,如果把所有平台的数据都进行打通,并且没有权限设置,还有可能被第三方通过外部侵入或攻击、密码被盗用、里应外合窃取等方式进行恶意或错误访问,而造成用户的人身财产损失。
4.损害公平竞争秩序
当企业获得一定数据资源的时候,可能会设置壁垒去阻碍其他经营者收集同样或者类似的数据,而且还会通过一些排他的手段去导致用户无法选择其他的产品或者服务。如果由于数据导致某些平台构成关键性基础设施,还会涉及到对隐私保护、对商业秘密的侵犯等。
三、“守门人处理者”有哪些合规义务
《个人信息保护法》下的守门人处理者的合规义务可以分为以下三大层次。
在对内的管理要求上,建立信息发布、审核等平台内的管理规范,比如涉及舆论动员能力工作的,要进行相应的实名制认证审核,对第三方的评估认证,对平台的发布内容的审查,将数据在不同的平台进行传输时,包括平台内经营者之间进行传输时,要对接口进行权限设置。进一步提高算法透明度,需要平台发布算法审核规则,进行必要评估监测,甚至要对算法的可解释性进行相应说明,定期审查模型机理和数额数据以及应用结果是否符合合规要求;健全识别违法不良信息的特征库,完善入库的流程综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响、引发争议纠纷;同时还应当保障用户的投诉和举报渠道。
第二,对平台内经营者的管理义务。不同数据的分层问题也需要进一步思考,通过赋予用户更多的控制权,以对内部管理进行一些控制。
四、“守门人处理者”的数据合规体系建设
在整体的合规建议角度上来讲,希望给予企业从我们平时所观察到的合规建议,包括: