从避风港到守门人:平台治理范式的变迁与观察
肖梦黎华东理工大学法学院讲师、上海交通大学中国法与社会研究院兼职研究员
摘要:2022年度,互联网平台一方面经历着直播平台、短视频平台等新业态的蓬勃发展,另一方面滴滴天价罚单事件彰显出平台正接受着越来越强的政府监管。不被约束的平台权力是新时代的“利维坦”,平台权力与政府权力呈现出复杂互动的关系。传统的治理范式亟待更新,个人信息保护、网络安全、数据安全审查等机制成为平台治理的重要抓手。监管理念方面需要平衡数据安全与自由流动的价值冲突、借助比例原则均衡公共利益、个人利益、与商业利益的潜在矛盾。规范适用领域存在着解释不能的情况,某些新型平台并不符合现有的标准定义,需要对互联网平台的概念范围进行补充解释。平台治理领域呈现出逐步加责的趋势,守门人理论正替代避风港原则成为新的基础规范,我国关于平台主体责任的阐释给这一领域提供了新的镜鉴。
关键词:平台;平台治理;守门人;主体责任;数据安全
信息技术的高速发展和经济模式的转型升级,催生了为交易双方提供虚拟经营场所和交易撮合等服务的第三方电子商务平台。在信息资源高度资产化的时代,平台实际为“产销消费者”与互联网商家搭建了一个快速交易通道。大型互联网平台凭借规模效应逐渐获得了主导性地位,控制着信息传播和交互的枢纽地位,使得网络空间进一步再中心化。平台也从单一的交易通道逐渐发展为一个系统的自我规制体系,包括前置的基础信息环境建设、中期的平台运营、后期的用户数据处理集成一体的完整“生态系统”。囿于法律具有一定的滞后性以及平台“触角”探索的迅速性,不断膨胀的平台出现了主体间的利益冲突以及侵权行为,不断试探政府提供的高权监管领域,从而引发了国家权力包括型塑与收编等在内的诸多回应。
互联网平台正经历着迅速崛起与超速发展,以席卷之势侵入每个个体的日常生活场景。平台企业具有用直接网络效应与间接网络效应来吸引交易量、以高效的搜索匹配能力降低交易成本,以及兼具企业与市场双重属性等特点。互联网平台是平台企业演进过程的最新阶段,既具有平台企业的共同属性,也有互联网环境下的新特点。一方面,互联网平台不受物理疆域的限制并具有技术上的架构优势,给传统意义上政府主导的规制带来了巨大难题。另一方面,互联网平台自我建构了一个规范闭环,对于进入平台交易的主体均有规制效力。平台企业的自我规制意味着“被规制主体自己设计规制规则,并且自己执行这些规则”。在法律真空或市场需要的情况下,自我规制是一种“执行私人权威的手段,一种自我设计并执行规则的努力”。平台企业的自我规制可能产生技术与系统风险、算法操控风险以及权力外溢风险。这时对平台企业自我规制的规制就显得尤为重要,需要择机进行政府的适时监管与司法介入。
一、平台被处天价罚单背后的治理逻辑
(一)滴滴被处天价罚款始末
不被约束的平台权力是新时代的“利维坦”。纵观2022年一整年,互联网平台领域最吸睛的一定是滴滴被处罚80.26亿元罚款、并涉及国家安全审查的案件。这既展现出“平台--数据--算法”三驾马车的深度勾连与密不可分,更呈现出平台数据不仅会体现用户行为,也会体现平台摄入的深度,直至影响国家安全。习近平总书记指出:“网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。”
滴滴的处罚结果及处罚事由
国家网信办正式宣布:对滴滴公司处以80.26亿人民币罚款,同时对滴滴董事长程维、总裁柳青各罚100万人民币。
滴滴存在16项违法事实,主要涉及以下八大方面:
1.违法收集用户手机相册中的截图信息1196.39万条;
2.过度收集用户剪切板信息、应用列表信息83.23亿条;
3.过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
5.过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
6.在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
8.未准确、清晰说明用户设备信息等19项个人信息处理目的。
接下来,国家监管部门重拳出击,对滴滴进行了一系列的快速审查举措。7月2日,网络安全审查办公室依据《国家安全法》和《网络安全法》对滴滴实施网络安全审查,为防范风险扩大,暂停新用户注册;7月4日,国家网信办再发通报:审查结果为,“滴滴出行”APP存在严重违法违规收集使用个人信息问题,要求下架“滴滴出行”APP;7月9日,国家网信办要求下架“滴滴企业版”等25款APP,滴滴旗下软件一锅端;7月10日,国家网信办就修订的《网络安全审查办法》,向社会公开征求意见。要求掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查;7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总部,7部门联合进驻滴滴出行科技公司,开展网络安全审查。
(二)滴滴事件中的权力图景
滴滴的这一赴美光速上市的行为自然与其经营情况必不可分,也显示出平台权力与国家权力间的微妙关系,甚至是不同国家争取数据主权与平台发展间的角力。滴滴2018/2019/2020年这3年的净利润分别为:-105亿、-97亿、-106亿。不论是港股还是A股,都不可能给它开出上市的“通行证”。而自2012年起,美国证券交易委员会(SEC)要求四大会计事务所提交所有在美上市的中国公司的审计底稿(包括所有用户数据、所有员工情况、所有会议记录、所有通讯和邮件记录,以及所有程序表格等)。与此相对应,我国证监会强势回击:决不允许SEC拿走任何一家中国企业的任何一份审计底稿。
通过抽丝剥茧可以发现,滴滴赴美上市事件中存在着多重权力角逐。首先是平台自我规制权力与政府正式监管权力间的冲突。一般认为,上市选择是平台自治的范畴,而数据监管也在平台日常的管理领域内。平台的自我规制可以对知识与控制权的分散进行高效回应,实现自组织下的低成本治理。就像德里达所说:当今社会的问题,更多地反映为一种“毛细管权力”的现象,其产生依赖于科学技术的发展,弥散在社会机体之中。针对这种权力系统可能的过度扩张以致失控,存在着由国家直接进行干预或是使之内部宪治化两种截然不同的回应方法。但正如滴滴事件展示的那样,平台企业的自我规制还可能触犯或者抵达传统的政府规制领域,引发新的治理风险。滴滴执意进行赴美上市可能潜在暴露了自己的审计底稿而非单纯的审计结论,从而引发国家安全问题。这时平台行使自治权力的行为可能对基础法律和规制框架的稳定性造成破坏。
平台企业的二维权力形成了一幅明暗交汇的图景:如果说平台规则的处罚权是平台企业权力表达的一种“显学”,那么“数据权”就更像是一种柔性的“隐微术”。这种建构出的新型“数据权力”多数时候并不表现为一种传统意义上的“压制”与“审查”。平台企业的数据权力既是控制,也是影响;既是诱导,也是激发。在此可以回顾那五个关于民主的小问题:“你拥有什么权力?你从哪里获得了这些权力?你出于谁的权益在行使这些权力?你需要向谁负责?我们如何摆脱你的影响?”
平台运营商推动并观察着用户们的互动,从中提供信息服务,以帮助一方用户匹配另一方用户。在这一过程中,平台企业逐渐具备了数据的搜集、使用与控制的平台优势。就像福柯所说,重要之处在于“权力是在什么形式下,通过什么渠道、顺着什么话语最终渗透到最微妙和最个体化的行为中去,它沿着什么道路直达罕见的或几乎觉察不到的欲望形式,还有,它又怎样穿透和控制日常的快感”。互联网的初始设计是基于分散开放的结构以及匿名的互动活动。然而随着科技的进步,平台企业已经可以在消费者不了解或者没有明确同意的基础上追踪各个网站上数以十亿计用户的行为,并将这些行为关联起来。
平台私权力可能与国家公权力产生冲突,这一点在数据跨境的权力冲突中较为常见。一方面,平台私权力与国家公权力有多种共存方式:可能出现平台权力对政府传统权力作用范围的侵蚀、也可能出现政府权力对平台权力的妥协与主动寻求嵌入、还可能出现国家权力对平台权力的收编等类型。另一方面,网络空间的虚拟性再造了主权国家的概念,数据主权应运而生。有学者认为可将其划分为硬数据主权与软数据主权,前者涉及传统主权独立权、平等权与管辖权的范畴;后者则涉及技术标准、数据控制与多边协商治理权。滴滴一案中也可以看到CSRC(中国证监会)与SEC(美国证券交易委员会)之间的角力。
(三)天价罚款背后与平台数据安全的勾连
数据跨境是数据安全中异常重要的一环,学理上主要涉及数据无国界、数据主权、数据自由贸易与数据跨境的人权保护四种学说。但在实践中这四种学说各有软肋,网络无国界不能推出数据无国界,“绝对化的数据无国界被证明并不现实,附着在数据上的个人权益保护、财产属性与国家安全,不可避免会引发各国的监管”。绝对化的数据主权面临数据特殊性时也不可能实现,数据有天然的流动性和非竞争性。数据自由贸易的理论有其合理性,但必然受到主权国家及其人民的法律约束。因此,有学者主张在数据主权理论存在争议的基础上,以数字安全主权作为替代理论,以风险规制路径为依归15,以平衡原则为指引。
(四)更多平台身陷数据安全审查
网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我重大项目、重要科技成果和关键技术动态等敏感信息。
《“十四五”国家信息化规划》(以下简称《信息化规划》)专门设置“加快数字化发展建设数字中国”章节,并对加快建设数字经济、数字社会、数字政府,营造良好数字生态作出明确部署。习近平总书记指出:“网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。”《信息化规划》强调强化平台治理体系,包括“完善违法内容举报与处理披露机制,引导平台企业及时主动公开违法违规内容自查处置情况,及时预警排查重大风险隐患”,这为平台企业超前排查风险隐患提供了指南。
习近平总书记指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”我国一方面不断发展新型网络安全防护技术,持续加强网络安全保障体系建设;另一方面积极开展网络安全法律法规和规章制度建设,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等多项网络安全领域法律法规已陆续出台。为进一步加强网络安全保障,《信息化规划》提出“加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,建立安全可控的网络安全软硬件防护体系”。
二、平台责任的范式变更与传统规制之不敷
(一)直播平台、短视频等新样态平台的治理困局
(二)新型平台治理与电子商务平台治理的归并与兼容
这时需要考虑是采用功能等同还是个案裁决的方式来审视平台责任的变迁。比如根据《网络交易监督管理办法》第7条第2款的表述,主管部门采取了“功能等同”的认定思路,即同时满足《电子商务法》中明确的四个要素,即可以认为提供了实质上的电商平台服务。
小视频平台的重复侵权如何认定“通知—删除”原则?
杭州互联网法院公开开庭审理并宣判原告北京字节跳动网络技术有限公司(以下简称“字节跳动公司”)、原告浙江今日头条科技有限公司(以下简称“今日头条公司”)与被告某技术服务公司侵害作品信息网络传播权纠纷一案。
法院经审理认为,被告运营的某视频平台(以下简称“A平台”),在应知用户利用其所提供信息存储空间,实施侵害两原告视听作品信息网络传播权行为的情况下,虽然采取了“通知—删除”措施,但未能“有效制止侵权”,应对A平台用户提供38条被控侵权视频的行为承担立即停止侵权、赔偿经济损失及维权合理开支共计30万元的民事责任。
案情概览
两原告诉称:
2021年7月以来,两原告持续向被告发函40余次,要求被告删除侵权视频,并采取“能够有效制止侵权”的必要措施以制止持续侵权行为。但被告既未及时删除侵权视频,也未采取任何必要措施,导致侵权账号仍在持续发布侵权视频。
被告长期、持续地实施上述侵权行为,严重影响短视频收益及流量,给两原告造成巨大的经济损失,侵害了两原告对其视听作品所享有的信息网络传播权。
被告辩称:
一是涉案视频内容系视听作品还是录音录像制品尚不能明确;
二是被告系网络服务提供商,仅提供信息存储空间服务,对网络用户上传被诉侵权作品的行为不存在过错,不构成侵权,且已及时采取“通知—删除”的必要措施,无需承担赔偿责任。
裁判要点
一、不同类型作品以及同一作品类型中各个分类作品之间均可能存在不同的独创性判断角度,应从对素材的选择、拍摄、画面编排等方面考虑纪实类视听作品的独创性。
二、判断网络服务提供者是否需要承担间接侵权责任,关键在于对客观侵权事实的主观认知。关于网络服务提供者主观上是否明知或应知,可根据“明显感知”标准和“重复侵权”标准两个层次进行判断。
三、必要措施最终需达到“能够有效制止侵权”的实际效果。
四、针对不同侵权形式,应当根据侵权行为程度从“轻—重”逐步递进。对于单一侵权行为,可能采取“通知+删除”的必要措施就能够有效制止侵权。但是对于重复侵权,网络服务提供者负有更高的注意义务,应当采取预防性措施。
上述短视频平台重复侵权案件有一定典型意义,有助于厘清短视频平台对“重复侵权”之注意义务的边界,以类型化方式明确短视频平台“明知或应知”的主观过错的范围,同时对“必要措施”的内涵进行解释。
(三)避风港原则过时了吗?
(四)平台责任的范式变迁与内在动力
从避风港到守门人的规制转变则意味着对平台角色、平台责任的认定发生了迭代。看门人或守门人(gatekeeper)一词初见于信息传播学,1947年,美国社会心理学家库尔特·卢因首提“信息传播的顺利与否取决于看门人的意见”,互联网时代的守门人则意味着网络服务提供商具有网络空间“看门人”的角色。“看门人”被界定为“在国家能力有限的情况下有能力修正他人行为的非国家机构,其通过流通渠道控制和内容审查等形式防止或尽量减少非法信息的传播”。平台企业成为了新的看门人,不仅拥有对上下游用户的行为进行有效监管的权力,还能通过流通渠道及时控制并消除非法行为产生的社会负面效应。
欧盟首次在《数字市场法案》中提出守门人的理念,这一理念被美国、法国、德国等多国采纳。平台企业一旦被认定为守门人,则承担较多义务,尤其是特别事前规制义务。该法案一是以清单方式明确列出“核心平台服务类别”,从市场影响力、重要门户、市场地位三个定性标准,结合年营业额、市值、活跃用户数量、市场范围等因素对数字守门人进行认定,明确市场预期。二是对守门人滥用行为进行了事前限制。例如,从预装软件管理、操作系统使用、服务切换、数据可移植性等方面要求守门人不得进行生态封闭,从数据整合和使用、服务比较等方面要求守门人不得进行自我优待,还规定了数字守门人不得实施独占交易、干预定价、捆绑产品和服务等限制、排除市场竞争的滥用行为。三是强化了经营者集中通知要求。要求数字守门人进行的并购行为均需通知欧盟委员会。
无独有偶,美国也开始对反托拉斯法和数字市场的深层改革,率先提出大型互联网平台综合性治理方案。2022年7月19日,众议院司法委员会正式发布了《数字市场竞争状况调查报告》(InvestigationofCompetitioninDigitalMarkets),指出了美国数字市场竞争中存在的一些问题,并重点对四大科技巨头滥用市场势力,利用排他性协议、自我优待等手段排除、限制竞争的问题进行了分析。
与之相对应,也有学者提出应该将平台企业视为新公用事业,从而施加相应的责任。公用事业一般指具有基础性和公共性、正的网络外部性和规模经济等特征的事业。政府对此类行业采取较为严格的价格和准入限制。由于平台控制了信息,而信息社会中公共品的提供依赖于信息这一媒介,平台的服务对用户的正常生活具有必要性。这恰恰符合公用事业产品“对用户具有必要性,用户极易被利用”的特性。如果将平台企业视为新公用事业,则首先应该符合非歧视(禁止自我优待)与消费者保护的原则,建立“防火墙”(使平台的基础设施类业务与其他业务相隔离),对外贯彻开放互联的要求、建立数据互联的规范。但也有学者持相反意见,认为公用事业的规制逻辑无法应用到平台经济,新公用事业理论主张的举措自然也无法直接应用。
三、平台治理的中国模式:平台主体责任的逻辑与展望
(一)从穿透式监管到不对称监管
我国的平台治理范式也在探索中不断前行。既然平台责任确有强化的必要,平台功能和角色的转变必然导致平台责任的变革,也催生了新的治理原则。首先,平台的“企业-市场二重说”有较大市场,如何通过公权力处理平台这类新型机构显然需要创新规制。比如张凌寒等学者由互联网金融监管的理念出发逐渐延伸至穿透式监管的学说。穿透式监管说有两层内涵:监管理念上,追求实质重于形式,穿透互联网商业模式直指互联网实际功能;监管手段上,侵入性进行过程监管、要素监管与算法监管。也有学者认为在处理互联网世界的再中心化时,应该采取强监管的治理范式。开放式互联网阶段,主导话语是限制政府干涉、支持创新和发展;平台化互联网阶段,主导话语是网络的负外部性影响;强监管互联网时代,主导话语是作为传统权威的国家在互联网治理中的角色回归。与此同时,也可以考虑将不对称规制的方案延续到平台治理中,也就是说对不同类型的平台施加不同的规制强度。核心是“锄强扶弱”:限制主导企业的竞争行为,使非主导企业能够茁壮成长。
其次,平台企业的双重属性也决定了自我规制与合作治理的重要性。从平台内部商业逻辑出发,有学者提出非中性定价机制、产品质量控制机制、惩戒机制、声誉机制等自我规制机制。立足平台内部运行逻辑,有学者提出“平台公正”原则,主张平台公正地提供差异化服务、符合公共伦理规范的平台服务、受正当程序约束。
(二)主体责任的内涵与逻辑
(三)数字市场反垄断中的主体责任
平台企业自身存在的张力导致垄断认定存在较大问题。平台既是企业,又是匹配供需的市场。随着讨论的深入,“私权力和公共性属性说”出现。刘权指出,网络平台兼具私权力属性和公共性属性,平台塑造有组织的私人秩序,并且承担着维护网络市场秩序、保障用户权益的公共职能。在刘权之前,曾有学者主张平台是传统市场组织。随着讨论的深入,“私权力和公共性属性说”和“市场-企业二重说”成为通说。在此基础上,赵鹏从“网络中立”原则得到启示,进一步主张平台自身的张力表现为一对矛盾:去中心化的服务和集中化的管理。一方面,平台需要保证各类用户都能平等接入平台并展开交互;另一方面,平台需要进行某种程度的集中化管理,达到维护公共利益和进行高效供需分配的目的。
知网被处罚案件
2022年7月10日,国家市场监管总局对28起未依法申报违法实施经营者集中案件作出行政处罚决定,多数涉及VIE架构的数字平台企业。
(四)元规制理念下的责任梯度
在元规制的理念和制度设计下,企业为符合法律规范,围绕其内部规范系统和自身活动设定更具有针对性和操作性的规制。相较于外部监管部门而言,平台掌握更多的内部信息和专业知识,更容易发现企业合规中存在的问题。就平台企业自身而言,法律应当明确平台在各个方面的主体责任:比如责任治理、公平运营、守法合规、消费者责任、员工责任等,还需要构建风险评估机制、数据全周期保护机制。这种治理是有梯度、类型化的。对于不同类型的平台企业,其规制程度是大相径庭的。在治理平台时,需要采取阶梯式规制强度的原则,综合考虑平台类型、提供商品与服务的类型、技术架构的类型及控制力强弱、以及涉及的公共性强弱等因素。在平台企业的自我规制失灵后,政府规制的强度叠加司法介入的强度大致为一个恒定的指标。如果政府对某种平台企业的规制处于较强的水平,那么司法机关应该保持谦抑,进行有限度的介入;而如果政府出于一些原因尚未对某种平台企业实施规制,那么就需要由司法机关提供更强的救济。
《电子商务法》第38条第2款规定的“相应的责任”,从责任性质上分析应当属于侵权法调整的范畴,但是由于平台经营者相比《民法典》侵权责任编第1198条第2款规定的场所管理人等承担更高的安全保障义务,因此不应直接类推适用。在具体归责时,“相应的责任”应当适用过错推定责任,即由平台经营者对尽职履行义务、不存在过错承担举证责任。