防止個人信息“守門人”制度被濫用

劉曉春

中國個人信息保護的專門立法和制度設(shè)計正在緊鑼密鼓地進行中。備受關(guān)注的《個人信息保護法（草案二審稿）》（下稱“《個人信息保護法》二審稿”）亮點之一是：增加了大型基礎(chǔ)性平臺針對個人信息保護的“守門人”職責。

《個人信息保護法》二審稿第57條規(guī)定：“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者”需要履行個人信息保護特別義務，其中包括“對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者，停止提供服務”。這一規(guī)定被認為是強化基礎(chǔ)性服務平臺的個人信息保護責任、促進其積極展開基于個人信息保護治理的制度設(shè)置，并能一定程度上為公權(quán)力保護個人信息的實踐提供有益補充，屬于《個人信息保護法》立法實踐的一個創(chuàng)新性制度設(shè)計。

針對平臺設(shè)置管理和治理義務，要求平臺對于平臺內(nèi)相關(guān)主體的違法違規(guī)行為進行有效管理，并采取相應措施，即通過平臺的治理實踐，來實現(xiàn)相關(guān)法律義務履行的有效落地，是互聯(lián)網(wǎng)治理機制的重要組成部分，國內(nèi)外皆有豐富的實踐。

在個人信息保護領(lǐng)域，設(shè)立通過平臺實現(xiàn)治理的規(guī)則，即通常所說的“守門人”制度，一方面，這是法律對于平臺責任在個人信息保護領(lǐng)域的擴展;另一方面，也會構(gòu)成法律對于負有此等責任平臺的一種“賦權(quán)”，進一步擴大了大型基礎(chǔ)性平臺制定規(guī)則、展開治理、采取措施方面的實質(zhì)性“權(quán)力”，如若沒有相應的制約性配套制度，則有可能會造成平臺地位在個人信息保護領(lǐng)域的強化，并且?guī)怼盀E用”的可能性，這也正是目前國內(nèi)外針對平臺的“守門人”地位及其濫用行為對于競爭環(huán)境產(chǎn)生不良影響的擔憂焦點所在。

“守門人”制度可能被濫用

在個人信息保護領(lǐng)域建構(gòu)“守門人”制度，可能存在的問題有以下幾個方面。

首先，基礎(chǔ)性服務平臺是否具有能力對于平臺內(nèi)其他經(jīng)營者的個人信息合規(guī)情況展開審核，這存在很大的疑問。

從平臺治理的其他可類比領(lǐng)域來看，建立平臺審核和管理體系，需要平臺承擔巨大的治理成本，平臺審核的專業(yè)能力和承受能力，需要實質(zhì)性的投入，且是一個長期建設(shè)的過程。比如，無論是平臺內(nèi)容生態(tài)治理，還是電商平臺知識產(chǎn)權(quán)治理，由于治理內(nèi)容和信息海量，目前各主要平臺都需要投入大量人力物力，組建專門的管理、技術(shù)團隊，建立實體判斷標準、程序流程規(guī)則、爭議解決渠道、糾錯救濟機制等復雜的規(guī)則和執(zhí)行體系。從經(jīng)濟成本、專業(yè)能力、技術(shù)和管理、組織資源等方面，都會對平臺提出相當高的要求。

個人信息合規(guī)審核領(lǐng)域與內(nèi)容治理、知識產(chǎn)權(quán)治理等其他領(lǐng)域非常實質(zhì)性的區(qū)別在于，內(nèi)容發(fā)布和知識產(chǎn)權(quán)侵權(quán)發(fā)生在相應平臺上，可以被平臺直接監(jiān)測、發(fā)現(xiàn)并采取相關(guān)措施進行刪除、斷鏈或者預防。而平臺內(nèi)經(jīng)營者運作和使用過程中的個人信息收集和處理過程，并不一定能夠由基礎(chǔ)性服務平臺直接監(jiān)測和發(fā)現(xiàn)。

比如，就目前實踐中已經(jīng)一定程度上開始發(fā)揮“守門人”功能的移動應用分發(fā)平臺而言，它只是提供一個下載安裝的鏈接或者平臺，對于APP是否構(gòu)成個人信息合規(guī)，無法進行主動的調(diào)查、監(jiān)控、測評，在這樣的情況下，要求APP分發(fā)平臺對于APP展開管理和審核，缺乏可操作性，一方面給分發(fā)平臺增加了超出其能力的沉重負擔，另一方面也為錯誤判斷甚至平臺濫用提供了很大的可能性。

其次，就目前的《個人信息保護法》二審稿第57條規(guī)定來看，基礎(chǔ)性服務平臺針對可能存在問題的平臺內(nèi)經(jīng)營者，其處理措施過于簡單和極端，只規(guī)定了“停止提供服務”一項，實踐中的具體例子即為應用分發(fā)市場下架移動APP。對于這一較為極端的措施，涉及到的利益十分重大和基礎(chǔ)，但是目前沒有規(guī)定清晰、透明的程序要件，且有可能違反比例原則。

由于個人信息合規(guī)判斷的復雜性，情節(jié)輕重也呈現(xiàn)明顯的階梯性，在目前規(guī)定標準不夠清晰的情況下，如果只規(guī)定“停止提供服務”這一項措施進行治理，顯得過于嚴厲而又失之簡單。參照電子商務平臺知識產(chǎn)權(quán)治理的相關(guān)實踐，可以考慮采取“必要措施”這一更加具有彈性的措辭，將警告、限時整改等相對溫和的措施也包含進來，這樣更加符合平臺治理的慣例和現(xiàn)實需求。

最后，實際上也是最為重要的，基礎(chǔ)性服務平臺在承擔個人信息保護治理義務的同時，實際上也是獲得了巨大的授權(quán)，極有可能出現(xiàn)平臺利用個人信息治理機制，進行反競爭投機行為，從而損害平臺內(nèi)經(jīng)營者、特別是中小經(jīng)營者的利益，引發(fā)反壟斷法和反不正當競爭法上的關(guān)切和憂慮。

還是以應用市場領(lǐng)域為例。近年來，美國、歐盟等國家和地區(qū)，針對蘋果公司的APP Store、谷歌的Google Play等應用市場已經(jīng)展開多次反壟斷調(diào)查或者起訴。美國國會眾議院司法委員會于2020年10月發(fā)布的關(guān)于數(shù)字市場壟斷的調(diào)查報告，針對這兩家應用市場相關(guān)行為的反競爭效果進行了分析，其中就包括應用市場通過隱私政策的運用對于競爭性APP進行排除競爭、自我優(yōu)待等行為的質(zhì)疑。法國、歐盟等競爭法主管機關(guān)也針對蘋果應用市場的隱私政策對于競爭可能造成的影響進行過審查和評估。

就國內(nèi)產(chǎn)業(yè)現(xiàn)狀而言，目前國內(nèi)的應用商店經(jīng)營者都是全業(yè)態(tài)的，相關(guān)企業(yè)如華為、小米、騰訊等既是應用商店的管理角色，同時也在消費互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域和APP開發(fā)者之間形成競爭關(guān)系。有一些大的基礎(chǔ)性服務平臺不僅有APP的應用商店，還有小程序開發(fā)平臺，在涉及競爭對手小程序上架審核問題上，已經(jīng)有相關(guān)經(jīng)營者提出對其行為的公平性和反競爭效果多次提出質(zhì)疑和舉報。

由此，APP分發(fā)平臺的行為在競爭法上已經(jīng)引起了國內(nèi)外廣泛的關(guān)注，如果通過政府授權(quán)的方式，給予其審核個人信息合規(guī)的權(quán)力，這與目前強調(diào)限制平臺和資本影響力“無序擴張”，限制平臺“權(quán)力”，保障中小企業(yè)利益，促進良好的競爭秩序和營商環(huán)境的價值取向，存在不夠兼容之處，很有可能會因為平臺處理不當引發(fā)各種爭議和競爭失序，造成不良的后果與影響。

如何防止濫用？

如何防止“守門人”機制在個人信息保護領(lǐng)域被濫用？可以從以下幾個方面加以完善并建立相應配套措施。

首先，在認定是否存在“嚴重”違法行為的主體和權(quán)力行使上，仍應以政府部門為主，對于平臺內(nèi)經(jīng)營者的個人信息合規(guī)情況，即使要求基礎(chǔ)性服務平臺進行管理和審核，也應當限于形式審核，不要求平臺進行實質(zhì)上的調(diào)查和審核，針對個人信息合規(guī)情況的執(zhí)法權(quán)還是應該主要由政府相關(guān)部門來行使，可以輔之以政府委托的第三方測評機構(gòu)，按照法定程序展開。

其次，事先明確個人信息審核的具體標準和規(guī)范，經(jīng)營者可以自行對照防范，尤其在不同執(zhí)法部門、不同執(zhí)法行動之間，應當盡量進行標準的統(tǒng)一、明確，公布檢測具體標準、合格的第三方測評機構(gòu)名單，給經(jīng)營者創(chuàng)造具有確定性的自我測評機會。針對個人信息合規(guī)義務的管理和執(zhí)法，主要目標在于防范違法違規(guī)行為，而非只是為了處罰。因此，應當盡量增強規(guī)則的確定性，規(guī)則和結(jié)果不確定性本身就會增加巨大的社會成本，影響到數(shù)字經(jīng)濟營商環(huán)境的建設(shè)。

再次，對于個人信息合規(guī)情況的審查和采取措施，應當以事后審查為主，不應采取過嚴的事先審查和過濾機制。對確實存在問題的經(jīng)營者，采取措施應當根據(jù)具體情節(jié)嚴重情況進行區(qū)別化處理，更多給出更正和整改的空間，不應動輒下架APP甚至斷開接入，需要遵循明確的實體要件和程序規(guī)則，在APP存在明顯故意等嚴重情形，且在具體處理過程中，接到執(zhí)法機關(guān)通知更正的要求在合理期間仍不作為的情況，才有必要采用停止提供服務（如下架）這一較為嚴厲的處理措施。

最后，需要規(guī)定“守門人”平臺的保密義務和責任。一旦“守門人”機制開始運作，作為“守門人”的平臺通常會比平臺內(nèi)經(jīng)營者更早知悉執(zhí)法情況，而執(zhí)法行動會對經(jīng)營者構(gòu)成重要影響，這意味著平臺掌握APP開發(fā)者的商業(yè)秘密，特別是這類信息往往是非公開的。因此，需要強調(diào)平臺的保密義務和責任，否則可能會出現(xiàn)影響證券交易秩序（如上市公司重大非公開信息泄露）、企業(yè)商業(yè)秘密安全等問題，引發(fā)市場秩序的不穩(wěn)定。

一項新制度的設(shè)立，需要充分考慮其運行的可行性，特別是可能帶來的相應后果。從強調(diào)個人信息保護出發(fā)而設(shè)立的統(tǒng)一規(guī)則，很可能會造成在其他領(lǐng)域的連鎖反應和復雜效果，產(chǎn)生重要的經(jīng)濟、社會乃至政治影響，因此十分必要進行充分的論證和周全的考察，尤其是在借鑒其他領(lǐng)域相關(guān)實踐和規(guī)則設(shè)計的基礎(chǔ)上，針對制度可能帶來的消極影響進行評估和預判，建構(gòu)防范風險、降低成本的配套措施，將個人信息保護“守門人”制度可能帶來的競爭法等方面顧慮和風險盡量降到最低。

（編輯：魯偉）