張新寶
中華人民共和國(guó)個(gè)人信息保護(hù)法(以下簡(jiǎn)稱個(gè)人信息保護(hù)法)第58條為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)特別設(shè)置了行政法上的第三方義務(wù),規(guī)范了大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理活動(dòng),促進(jìn)了其在互聯(lián)網(wǎng)治理特別是個(gè)人信息保護(hù)方面發(fā)揮積極作用;以此抓住了互聯(lián)網(wǎng)生態(tài)處理個(gè)人信息的關(guān)鍵環(huán)節(jié),起到了提綱挈領(lǐng)、綱舉目張的效果;由此貫徹了“推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境”(個(gè)人信息保護(hù)法第11條)的個(gè)人信息保護(hù)與網(wǎng)絡(luò)治理思路,契合了習(xí)近平總書(shū)記在一系列重要講話中強(qiáng)調(diào)的系統(tǒng)治理理念、思想和方略。
個(gè)人信息保護(hù)法第58條貫徹了網(wǎng)絡(luò)治理特別是個(gè)人信息保護(hù)的全新理念,在強(qiáng)化大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)義務(wù)的大框架下規(guī)定了多項(xiàng)特別義務(wù),包括成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督、制定基于“三公原則”的平臺(tái)規(guī)則、違法違規(guī)產(chǎn)品和服務(wù)的下架義務(wù)、社會(huì)責(zé)任規(guī)則等。法律公布和施行以來(lái),學(xué)界和實(shí)務(wù)界積極研究和探索該條文的正確理解和適用,國(guó)家有關(guān)部門也在起草有關(guān)規(guī)范性文件和國(guó)家標(biāo)準(zhǔn)以實(shí)施這條法律。
就該條第1款第1項(xiàng)關(guān)于“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”而言,目前在理論與實(shí)踐上還有諸多爭(zhēng)議:第一,個(gè)人信息保護(hù)法第58條第1款第1項(xiàng)的規(guī)定適用于哪些個(gè)人信息處理者?法律條文作出了定性規(guī)定,即適用于“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”。但是,條文缺乏定量的標(biāo)準(zhǔn)。第二,個(gè)人信息保護(hù)法第58條第1款第1項(xiàng)規(guī)定的“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”具有何種法律性質(zhì),由哪些人員構(gòu)成?它是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的外部機(jī)構(gòu)還是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的內(nèi)部機(jī)構(gòu)?如果是內(nèi)部機(jī)構(gòu),其獨(dú)立性又如何得到保證?第三,在確定“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”的法律性質(zhì)前提下,此等機(jī)構(gòu)承擔(dān)哪些職責(zé)以及如何進(jìn)行運(yùn)作?本文將從個(gè)人信息保護(hù)法第58條的形成過(guò)程入手,重點(diǎn)研討上述三個(gè)方面的問(wèn)題,以期為該條款(尤其是第1款第1項(xiàng))的正確理解和實(shí)施提供一些可操作的意見(jiàn)和建議。
大型互聯(lián)網(wǎng)平臺(tái)企業(yè),是指控制著商業(yè)用戶(個(gè)人信息處理者)觸達(dá)終端用戶(個(gè)人信息主體)的主要渠道、用戶規(guī)模大、計(jì)算能力強(qiáng)且產(chǎn)業(yè)覆蓋面廣的互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者。在信息產(chǎn)業(yè)界,也將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)稱為互聯(lián)網(wǎng)“頭部企業(yè)”。治理大型互聯(lián)網(wǎng)平臺(tái)企業(yè)包括對(duì)其個(gè)人信息處理活動(dòng)的監(jiān)督,是互聯(lián)網(wǎng)治理的關(guān)鍵和核心環(huán)節(jié)。為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)施加個(gè)人信息保護(hù)特別義務(wù)是構(gòu)建治理主體多元、工具多樣的社會(huì)治理網(wǎng)絡(luò)的必然要求。政府從“守夜人”角色向管理和服務(wù)職能定位的轉(zhuǎn)型極大地?cái)U(kuò)張了國(guó)家任務(wù),但在因科技發(fā)展、金融創(chuàng)新而使得分工逐漸細(xì)化、內(nèi)容日趨復(fù)雜的行政事務(wù)領(lǐng)域,政府喪失了固有的信息、資源和能力優(yōu)勢(shì),于是不得不向私人主體尋求合作以克服政府失靈。在這種合作治理網(wǎng)絡(luò)中,多元主體通過(guò)共享、動(dòng)員和聚合分散的資源,協(xié)調(diào)利益和行動(dòng),實(shí)現(xiàn)行政任務(wù)。
個(gè)人信息處理的治理本屬行政機(jī)關(guān)的職責(zé)。但是,一則由于行政資源短缺,執(zhí)法活動(dòng)難以全面覆蓋數(shù)量龐大的全部個(gè)人信息處理者;二則由于評(píng)估指標(biāo)僵化,行政監(jiān)管無(wú)法應(yīng)對(duì)日新月異的技術(shù)發(fā)展與不斷變化的個(gè)人信息權(quán)益侵害方式;三則由于日常規(guī)制缺位,專項(xiàng)整治不宜成為常態(tài)化的規(guī)制工具。由此,行政機(jī)關(guān)亟需創(chuàng)新治理模式,在治理節(jié)點(diǎn)中引入新的主體,在治理方式中運(yùn)用新的工具。
互聯(lián)網(wǎng)生態(tài)系統(tǒng)中存在一些特殊的主體,它們要么定義著移動(dòng)App運(yùn)行時(shí)所需調(diào)用的各種系統(tǒng)權(quán)限,并為之提供特定技術(shù)資源,要么是移動(dòng)App的主要分發(fā)渠道,或作為觸達(dá)用戶的主要載體。相較于行政機(jī)關(guān),這些控制了技術(shù)環(huán)境和運(yùn)營(yíng)環(huán)境的“守門人”(也即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)或頭部企業(yè)),包括移動(dòng)終端操作系統(tǒng)、應(yīng)用程序分發(fā)平臺(tái)和平臺(tái)型App,更有技術(shù)能力規(guī)制中小型移動(dòng)App。例如,操作系統(tǒng)可以根據(jù)個(gè)人信息的不同風(fēng)險(xiǎn)等級(jí)設(shè)置默認(rèn)的移動(dòng)App可以獲取的操作系統(tǒng)權(quán)限,或在較高風(fēng)險(xiǎn)情況下給予用戶提示。
在新的治理工具上,可以采取如下措施:第一,賦予大型互聯(lián)網(wǎng)平臺(tái)企業(yè)行政法上的第三方義務(wù)。有關(guān)由私人主體承擔(dān)違法行為發(fā)現(xiàn)、阻止工作的法律規(guī)定,我國(guó)法律不乏其例。如根據(jù)民法典第1194條—第1197條,網(wǎng)絡(luò)服務(wù)提供者有權(quán)“采取刪除、屏蔽、斷開(kāi)鏈接等必要措施”阻止網(wǎng)絡(luò)用戶的侵權(quán)行為。這些私人主體通常在管理、技術(shù)方面處于更加優(yōu)越的地位(如前文所述),其管理行為更符合成本收益分析。與行政機(jī)關(guān)逐一審查、要求移動(dòng)App逐一整改同質(zhì)性問(wèn)題所付出的成本相比,監(jiān)管少數(shù)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)、要求其一次性解決更為經(jīng)濟(jì),由此行政機(jī)關(guān)更有時(shí)間與精力去攻克無(wú)法經(jīng)由大型互聯(lián)網(wǎng)平臺(tái)企業(yè)一體規(guī)制的異質(zhì)性難題。可見(jiàn),抓住互聯(lián)網(wǎng)生態(tài)個(gè)人信息處理的關(guān)鍵環(huán)節(jié),可以有效緩解有限的行政資源與多點(diǎn)爆發(fā)的違法行為之間的矛盾,起到事半功倍的效果。
第二,大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的自我規(guī)制義務(wù)。傳統(tǒng)命令—控制式的政府高權(quán)主義規(guī)制模式在個(gè)人信息治理上往往存在障礙。政府既無(wú)法為每個(gè)企業(yè)量體裁衣,確定精細(xì)的行為守則,也無(wú)法深入企業(yè)內(nèi)部實(shí)時(shí)監(jiān)督個(gè)人信息處理活動(dòng)。更加包容的手段為行政機(jī)關(guān)設(shè)定規(guī)制目標(biāo),企業(yè)自行設(shè)定規(guī)則、不斷調(diào)適并推進(jìn)內(nèi)部守法。在該規(guī)制理念之下,政府僅需就企業(yè)自我規(guī)制行為加以管制,從而達(dá)至集權(quán)與“放松規(guī)制”的折中。企業(yè)的自我規(guī)制意味著企業(yè)在作出決策時(shí)需適度考量利益相關(guān)者訴求,包括個(gè)人信息主體的個(gè)人信息權(quán)益受到保護(hù)的訴求和商業(yè)用戶受到公平、公正對(duì)待的訴求,由此推動(dòng)了公司社會(huì)責(zé)任與公司治理的進(jìn)一步融合。
對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)施加個(gè)人信息保護(hù)特別義務(wù),也是義務(wù)與風(fēng)險(xiǎn)相一致原則的體現(xiàn)。我國(guó)對(duì)個(gè)人信息保護(hù)所采取的“基于風(fēng)險(xiǎn)的進(jìn)路”理論源于歐盟1995年的數(shù)據(jù)保護(hù)指令,目的在于為不同的個(gè)人信息處理活動(dòng)依其風(fēng)險(xiǎn)程度配置不同的義務(wù)負(fù)擔(dān),以實(shí)現(xiàn)個(gè)人信息的動(dòng)態(tài)、多層次、可擴(kuò)展的保護(hù)。否則,統(tǒng)一的標(biāo)準(zhǔn)要么讓小型企業(yè)因合規(guī)成本高昂而對(duì)個(gè)人信息的利用望而卻步,要么無(wú)法完全約束大型企業(yè)的個(gè)人信息處理活動(dòng)而使得個(gè)人信息權(quán)益的保護(hù)不足。就比較法而言,《數(shù)字服務(wù)法(草案)》同樣為具有不同用戶規(guī)模的中介服務(wù)提供者設(shè)定不同的義務(wù)。
在個(gè)人信息類型上,處理敏感個(gè)人信息較一般個(gè)人信息需負(fù)有更高的告知、同意與安全防范管理標(biāo)準(zhǔn);在個(gè)人信息規(guī)模上,達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人;在個(gè)人信息處理方式上,利用個(gè)人信息進(jìn)行自動(dòng)化決策或?qū)嵤┢渌麑?duì)個(gè)人權(quán)益帶來(lái)更大風(fēng)險(xiǎn)的處理活動(dòng)時(shí),應(yīng)當(dāng)進(jìn)行強(qiáng)制性的事前個(gè)人信息保護(hù)影響評(píng)估。那么,對(duì)于大型平臺(tái),其用戶規(guī)模較大、數(shù)據(jù)類型豐富,容易成為人為惡意攻擊的對(duì)象;個(gè)人信息利用方式更為多元,海量數(shù)據(jù)的沉淀大大提升了數(shù)據(jù)挖掘的價(jià)值,二次利用、數(shù)據(jù)融合等現(xiàn)象明顯,而且非自用數(shù)據(jù)的交易、自用數(shù)據(jù)的API接口傳輸也會(huì)帶來(lái)第三方關(guān)聯(lián)風(fēng)險(xiǎn);個(gè)人信息處理技術(shù)更為前沿,技術(shù)風(fēng)險(xiǎn)的隱蔽性、應(yīng)用層的弱解釋性等問(wèn)題突出。故此,有必要向大型平臺(tái)施加與其處理活動(dòng)相稱的較重義務(wù)。
在個(gè)人信息保護(hù)法起草過(guò)程中,其一審稿草案并未包含大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)特別義務(wù)的條款。全國(guó)人大常委會(huì)就該一審稿草案廣泛征求社會(huì)意見(jiàn),有關(guān)部門、專家踴躍建言,指出應(yīng)當(dāng)強(qiáng)化超大型互聯(lián)網(wǎng)平臺(tái)的個(gè)人信息保護(hù)義務(wù),并加強(qiáng)監(jiān)督。筆者于2021年1月初積極向立法部門提出立法建議得到有關(guān)領(lǐng)導(dǎo)批示,并在《比較法研究》上發(fā)表《互聯(lián)網(wǎng)生態(tài)“守門人”個(gè)人信息保護(hù)特別義務(wù)設(shè)置研究》一文,形成一定的學(xué)術(shù)影響力。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究,建議增加一條規(guī)定:提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)履行下列義務(wù):(一)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu),對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督;(二)對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);(三)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,接受社會(huì)監(jiān)督。這一方案被《個(gè)人信息保護(hù)法(二次審議稿)》第57條采納并被提交給全國(guó)人大常委會(huì)進(jìn)行審議。
針對(duì)前述《個(gè)人信息保護(hù)法(二次審議稿)》第57條的內(nèi)容,有的部門、專家提出,大型互聯(lián)網(wǎng)企業(yè)制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則時(shí),應(yīng)當(dāng)公平合理地對(duì)待平臺(tái)內(nèi)經(jīng)營(yíng)者。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究,建議對(duì)草案二次審議稿作以下修改:增加規(guī)定,即大型互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)遵循公開(kāi)、公平、公正的原則,制定有關(guān)個(gè)人信息保護(hù)的平臺(tái)規(guī)則。如此,大型互聯(lián)網(wǎng)平臺(tái)企業(yè)不僅僅以協(xié)助行政機(jī)關(guān)完成行政任務(wù)的輔助性角色出現(xiàn),如在商業(yè)用戶嚴(yán)重違反法律、行政法律的情形下停止提供服務(wù),還能發(fā)揮更加能動(dòng)的作用,利用合同進(jìn)行私人規(guī)制。可見(jiàn),立法者巧妙通過(guò)合同、自我規(guī)制等多元治理工具之間的功能性耦合,來(lái)達(dá)到規(guī)制眾多中小型個(gè)人信息處理者的目標(biāo)。
在法律草案的討論過(guò)程中,全國(guó)人大有的常委委員提出,應(yīng)當(dāng)要求大型互聯(lián)網(wǎng)平臺(tái)建立個(gè)人信息保護(hù)合規(guī)體系,加強(qiáng)內(nèi)部合規(guī)管理。全國(guó)人大憲法和法律委員會(huì)經(jīng)研究,建議在草案三次審議稿第58條(即二次審議稿的第57條)中增加規(guī)定,大型互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)“按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系”。這有機(jī)結(jié)合了自我規(guī)制與由獨(dú)立監(jiān)督機(jī)構(gòu)(相對(duì)獨(dú)立與外部性)、社會(huì)監(jiān)督和行政機(jī)關(guān)形成的外在約束。
從極具創(chuàng)新性與富有中國(guó)特色的個(gè)人信息保護(hù)法第58條的立法形成過(guò)程可以看出,有關(guān)個(gè)人信息保護(hù)立法工作的推進(jìn)過(guò)程是國(guó)家就應(yīng)當(dāng)如何合理配置利益相關(guān)主體的權(quán)利和義務(wù)以實(shí)現(xiàn)“三方平衡”的認(rèn)識(shí)不斷深入的過(guò)程,也是國(guó)家立法就應(yīng)當(dāng)如何構(gòu)建社會(huì)治理網(wǎng)絡(luò),選取合適的治理主體與治理工具的理解不斷深入的過(guò)程。立法部門集思廣益,積極借鑒了歐盟數(shù)字市場(chǎng)法(草案)與數(shù)字服務(wù)法(草案)的經(jīng)驗(yàn),將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)作為規(guī)制的重點(diǎn)之一,貫徹了科學(xué)立法、民主立法的理念。
“獨(dú)立監(jiān)督機(jī)構(gòu)”,是指根據(jù)個(gè)人信息保護(hù)法第58條的規(guī)定成立的主要由外部成員組成的獨(dú)立機(jī)構(gòu),其職責(zé)是對(duì)相關(guān)個(gè)人信息處理者的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象,是指哪些個(gè)人信息處理者應(yīng)當(dāng)依法成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)監(jiān)督其個(gè)人信息保護(hù)情況。
依據(jù)個(gè)人信息保護(hù)法第58條第1款的規(guī)定,應(yīng)當(dāng)承擔(dān)個(gè)人信息保護(hù)特別義務(wù)的個(gè)人信息處理者為“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”。這樣的個(gè)人信息處理者通常不是個(gè)人而是企業(yè);通常不是一般規(guī)模的企業(yè)而是大型企業(yè);通常不是傳統(tǒng)企業(yè),而是大型互聯(lián)網(wǎng)平臺(tái)企業(yè)。因此,獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象,可以被界定為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)。以下是對(duì)這一結(jié)論的具體論證:
如何根據(jù)第58條的三個(gè)定性標(biāo)準(zhǔn)具體確定特殊義務(wù)主體的范圍,除了通過(guò)實(shí)質(zhì)論證向該類主體施加監(jiān)管平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者(商業(yè)用戶)個(gè)人信息處理活動(dòng)的第三方義務(wù)和強(qiáng)化其內(nèi)部合規(guī)、外部監(jiān)督的合理性以外,缺乏其他可操作的定量標(biāo)準(zhǔn)。不過(guò)我國(guó)《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《分類分級(jí)指南》)根據(jù)平臺(tái)的用戶規(guī)模、業(yè)務(wù)種類、經(jīng)濟(jì)體量和限制能力(平臺(tái)具有的限制或阻礙商戶接觸消費(fèi)者的能力)的差異,將互聯(lián)網(wǎng)平臺(tái)分為超級(jí)平臺(tái)、大型平臺(tái)和中小平臺(tái)等三級(jí)。由此產(chǎn)生這樣兩個(gè)問(wèn)題:第一,個(gè)人信息保護(hù)法第58條與《分類分級(jí)指南》對(duì)平臺(tái)進(jìn)行類型化區(qū)分的不同標(biāo)準(zhǔn)之間有何關(guān)系;第二,如何利用《分類分級(jí)指南》的具體規(guī)定來(lái)理解和實(shí)施個(gè)人信息保護(hù)法第58條的規(guī)定,確定獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象。
《分類分級(jí)指南》的分級(jí)標(biāo)準(zhǔn)實(shí)則是個(gè)人信息保護(hù)法第58條的特別義務(wù)主體三要素之細(xì)化,其經(jīng)濟(jì)體量、用戶規(guī)模和業(yè)務(wù)種類的量化指標(biāo)為認(rèn)定獨(dú)立監(jiān)督機(jī)構(gòu)的適用對(duì)象指明了方向,有利于提高法律適用的確定性。
在判斷標(biāo)準(zhǔn)中,兩者均有用戶規(guī)模與業(yè)務(wù)種類兩項(xiàng),僅就“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”和“經(jīng)濟(jì)體量”“限制能力”存在區(qū)別。但從法律解釋的角度來(lái)看,“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”可與“經(jīng)濟(jì)體量”“限制能力”相對(duì)應(yīng)?!疤峁┲匾ヂ?lián)網(wǎng)平臺(tái)服務(wù)”在二審稿草案中的表述為“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)”。作此修改的原因在于:其一,互聯(lián)網(wǎng)平臺(tái)處于網(wǎng)絡(luò)結(jié)構(gòu)中的應(yīng)用層和服務(wù)層,相較于網(wǎng)絡(luò)基礎(chǔ)服務(wù)提供商(如寬帶服務(wù)),其對(duì)信息傳輸?shù)目刂屏^弱,能否被視為提供了基礎(chǔ)性服務(wù)有待商榷。其二,即便在互聯(lián)網(wǎng)平臺(tái)中,不同的平臺(tái)有著不同的功能和服務(wù)類型,其中最重要、最基本的系統(tǒng)軟件當(dāng)屬控制其他軟件運(yùn)行的技術(shù)環(huán)境的操作系統(tǒng),但將特殊義務(wù)主體限縮至此未免過(guò)于狹隘。故在理解“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”時(shí),應(yīng)強(qiáng)調(diào)平臺(tái)在連接終端用戶和商業(yè)用戶方面的關(guān)鍵地位,以及其在推動(dòng)經(jīng)濟(jì)發(fā)展、保障民生、維護(hù)國(guó)家安全等方面的重要作用。如此界定與《分類分級(jí)指南》中的“經(jīng)濟(jì)體量”“限制能力”相印證。就該要件而言,“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)”的主體至少可以囊括操作系統(tǒng),控制軟件被下載和分發(fā)的主要節(jié)點(diǎn)的應(yīng)用商店,為終端用戶和商業(yè)用戶提供交互環(huán)境的小程序平臺(tái)(如微信、支付寶等)和網(wǎng)絡(luò)銷售類、生活服務(wù)類等促成多邊交易的中介平臺(tái)(如淘寶、京東)。
將用戶規(guī)模與業(yè)務(wù)種類納入平臺(tái)分級(jí)與個(gè)人信息保護(hù)義務(wù)強(qiáng)度的區(qū)分標(biāo)準(zhǔn)同樣具備充分的理?yè)?jù)。首先,在用戶規(guī)模方面,當(dāng)平臺(tái)直接處理個(gè)人信息時(shí),個(gè)人信息處理活動(dòng)所帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)、對(duì)社會(huì)公共利益產(chǎn)生的可能影響往往與用戶規(guī)模呈正相關(guān)關(guān)系。一方面,算法歧視、個(gè)人信息泄露極易侵害個(gè)人基本權(quán)利和民事權(quán)利,進(jìn)而引發(fā)群體性事件,減損公眾對(duì)互聯(lián)網(wǎng)公司的社會(huì)信任;另一方面,不當(dāng)使用類型豐富、數(shù)量巨大、主體多元的數(shù)據(jù)集會(huì)對(duì)社會(huì)利益和國(guó)家安全造成威脅。例如,臉書(shū)公司將用戶的個(gè)人信息與劍橋公司共享,對(duì)用戶進(jìn)行政治畫像,干涉、操控大選走勢(shì)。
當(dāng)商業(yè)用戶處理個(gè)人信息時(shí),根據(jù)平臺(tái)與商業(yè)用戶之間的不同關(guān)系,可將平臺(tái)分為兩類:第一類為小程序平臺(tái)如微信、電商平臺(tái)如淘寶,此時(shí)商業(yè)用戶所處理的個(gè)人信息主要來(lái)源于平臺(tái)的共享。比如,小程序在接口調(diào)用、權(quán)限獲取和管理、消息推送等方面皆受限于小程序平臺(tái),小程序只能獲取小程序平臺(tái)已經(jīng)從手機(jī)系統(tǒng)獲取的權(quán)限。無(wú)論是處理用戶信息、設(shè)備信息還是地理位置信息,小程序需要向平臺(tái)申請(qǐng),而平臺(tái)則有權(quán)對(duì)相關(guān)接口進(jìn)行保護(hù)。又如,《淘寶網(wǎng)隱私政策》(2022年4月2日版)第3條指出:“我們不會(huì)與淘寶網(wǎng)服務(wù)提供者以外的公司、組織和個(gè)人共享您的信息,但以下情況除外:……3、為訂立、履行您作為一方當(dāng)事人的合同所必需的情況下的共享……”并在個(gè)人信息共享清單中列舉了與店鋪商家共享的個(gè)人信息類型和提供方式??梢?jiàn),平臺(tái)是否允許商業(yè)用戶訪問(wèn)數(shù)據(jù)、允許商業(yè)用戶訪問(wèn)哪些數(shù)據(jù),是平臺(tái)基于自主決策進(jìn)行的個(gè)人信息共享活動(dòng),該層次的控制和管理本質(zhì)上屬于平臺(tái)對(duì)終端用戶履行本位的個(gè)人信息保護(hù)義務(wù),而非第三方義務(wù),于是用戶規(guī)模在平臺(tái)分級(jí)中的作用便與上段無(wú)異。第二類平臺(tái)如操作系統(tǒng)和應(yīng)用商城,與商業(yè)用戶并沒(méi)有數(shù)據(jù)來(lái)源上的從屬關(guān)系,但存在技術(shù)上的鉗制關(guān)系(小程序平臺(tái)和電商平臺(tái)同樣具有該特性)。這些平臺(tái)所具有的終端用戶和商業(yè)用戶規(guī)模越大,行政機(jī)關(guān)監(jiān)管平臺(tái)的成本與平臺(tái)通過(guò)代碼、技術(shù)研發(fā)規(guī)制商業(yè)用戶的成本之和相較于行政機(jī)關(guān)逐一監(jiān)管商業(yè)用戶的成本越低,經(jīng)濟(jì)效益越顯著,故而越具有由其履行行政法上第三方義務(wù)的經(jīng)濟(jì)合理性。
其次,在業(yè)務(wù)種類方面,具有全行業(yè)賦能效應(yīng)的平臺(tái)之公共性通常比僅具有單一行業(yè)賦能效應(yīng)的平臺(tái)的公共性更強(qiáng),更應(yīng)承擔(dān)公共管理職能并受到更嚴(yán)格的管制。
綜上所述,認(rèn)定個(gè)人信息保護(hù)法第58條的適用對(duì)象即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)時(shí),可以參考《分類分級(jí)指南》關(guān)于平臺(tái)分級(jí)的標(biāo)準(zhǔn),包括其中的超級(jí)平臺(tái)經(jīng)營(yíng)者、大型平臺(tái)經(jīng)營(yíng)者。
個(gè)人信息保護(hù)法第58條的適用對(duì)象即大型互聯(lián)網(wǎng)平臺(tái)企業(yè)應(yīng)當(dāng)對(duì)標(biāo)《分類分級(jí)指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者與大型平臺(tái)經(jīng)營(yíng)者。
第一,個(gè)人信息保護(hù)法第58條的適用對(duì)象包括超級(jí)平臺(tái)經(jīng)營(yíng)者與大型平臺(tái)經(jīng)營(yíng)者,而不僅僅是超級(jí)平臺(tái)經(jīng)營(yíng)者,符合我國(guó)市場(chǎng)的實(shí)際情況。《分類分級(jí)指南》指出超級(jí)平臺(tái)經(jīng)營(yíng)者的上年底市值(估值)不低于10000億元人民幣,大型平臺(tái)經(jīng)營(yíng)者的上年底市值(估值)不低于1000億元人民幣。根據(jù)中國(guó)信通院發(fā)布的《2021年四季度我國(guó)互聯(lián)網(wǎng)上市企業(yè)運(yùn)行情況》,2021年度僅騰訊控股(35885.3億元人民幣)、阿里巴巴(21082.8億元人民幣)和美團(tuán)-W (11306.5億元人民幣)三家互聯(lián)網(wǎng)企業(yè)的市值為萬(wàn)億元級(jí),數(shù)量極少。如若個(gè)人信息保護(hù)法第58條以超級(jí)平臺(tái)經(jīng)營(yíng)者為規(guī)制對(duì)象,行政機(jī)關(guān)通過(guò)指派專員的方式進(jìn)行重點(diǎn)監(jiān)管即可,而無(wú)需借助具有普遍約束力的法律,在公司治理中引入外部監(jiān)督機(jī)構(gòu)?;诒M可能有效規(guī)制眾多中小型個(gè)人信息處理者的考量,有必要適當(dāng)放低經(jīng)濟(jì)體量門檻,容納更多的互聯(lián)網(wǎng)平臺(tái)企業(yè)。
第二,將個(gè)人信息保護(hù)法第58條中的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)解釋為超級(jí)平臺(tái)經(jīng)營(yíng)者、大型平臺(tái)經(jīng)營(yíng)者與《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《主體責(zé)任指南》)規(guī)制的主體范圍相契合。需指出的是,該指南統(tǒng)合消費(fèi)者權(quán)益保護(hù)、反不正當(dāng)競(jìng)爭(zhēng)、反壟斷、個(gè)人信息保護(hù)、網(wǎng)絡(luò)用戶和內(nèi)容監(jiān)管、知識(shí)產(chǎn)權(quán)保護(hù)等多方位規(guī)則,將各種意旨相異的義務(wù)規(guī)定在一起,并對(duì)用戶規(guī)模、業(yè)務(wù)種類、經(jīng)濟(jì)體量和限制能力在不同義務(wù)劃定中的權(quán)重和分量進(jìn)行了模糊處理,可能會(huì)產(chǎn)生僅在個(gè)人信息保護(hù)領(lǐng)域承擔(dān)特別義務(wù)的主體與在多個(gè)領(lǐng)域承擔(dān)特別義務(wù)的主體在實(shí)質(zhì)范圍上是否相同的疑慮。比如,解決商業(yè)用戶和消費(fèi)者對(duì)超級(jí)平臺(tái)與大型平臺(tái)高度依賴之后的不公平行為問(wèn)題時(shí),經(jīng)濟(jì)體量和用戶規(guī)模指標(biāo)更為重要?!吨黧w責(zé)任指南》第1條到第3條要求超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者公平競(jìng)爭(zhēng)、平等治理、開(kāi)放生態(tài),借鑒了歐盟數(shù)字市場(chǎng)法的“守門人”規(guī)定。這類主體受到規(guī)制的原因在于它們?cè)谡麄€(gè)平臺(tái)生態(tài)系統(tǒng)中行使控制權(quán),在結(jié)構(gòu)上極難受到現(xiàn)有或新的市場(chǎng)參與者的挑戰(zhàn)或競(jìng)爭(zhēng),容易采取不公平競(jìng)爭(zhēng)的行動(dòng)。而經(jīng)濟(jì)體量指標(biāo)可以反映出它們的貨幣化能力和門戶地位,以及利用資本鞏固地位的能力。用戶規(guī)模指標(biāo)則反映該平臺(tái)是商業(yè)用戶接觸終端用戶的主要媒介且具有強(qiáng)大的影響力。再比如,解決超級(jí)平臺(tái)與大型平臺(tái)對(duì)商業(yè)用戶的違法行為進(jìn)行治理及其侵害用戶權(quán)益的問(wèn)題時(shí),限制能力和用戶規(guī)模指標(biāo)更為重要。這是因?yàn)槌?jí)平臺(tái)與大型平臺(tái)在促進(jìn)商品交易、傳播信息、觀點(diǎn)和思想上地位關(guān)鍵,信息、商品和服務(wù)的潛在接收者越多、權(quán)益影響范圍波及越大,越容易產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。故而,超級(jí)平臺(tái)與大型平臺(tái)企業(yè)應(yīng)當(dāng)承擔(dān)與其社會(huì)影響力相稱的高標(biāo)準(zhǔn)義務(wù)。在比較法上,歐盟的數(shù)字服務(wù)法為在線中介服務(wù)提供者設(shè)定監(jiān)管義務(wù)的程度時(shí)僅以服務(wù)對(duì)象的數(shù)量為變量。
大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者與《主體責(zé)任指南》中的超級(jí)與大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者在義務(wù)內(nèi)容上仍有共性。其一,《主體責(zé)任指南》第13條之“動(dòng)態(tài)建立審核詞庫(kù)和管控機(jī)制,建立平臺(tái)審核機(jī)制和日常巡查機(jī)制”、第21條之“加大對(duì)平臺(tái)內(nèi)經(jīng)營(yíng)者違法違規(guī)廣告的事先預(yù)警和事后處理”、第28條之“針對(duì)平臺(tái)內(nèi)經(jīng)營(yíng)者發(fā)布的商品和服務(wù),應(yīng)當(dāng)建立內(nèi)部監(jiān)督檢查制度,督促平臺(tái)內(nèi)經(jīng)營(yíng)者提供符合保障人身、財(cái)產(chǎn)安全要求的產(chǎn)品及服務(wù)”等條款均為平臺(tái)施加了監(jiān)管義務(wù),這意味著超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者所具有的規(guī)模、資金和技術(shù)等優(yōu)勢(shì)成為其負(fù)擔(dān)第三方義務(wù)的重要理?yè)?jù)。其二,與大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)者應(yīng)當(dāng)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告類似,《主體責(zé)任指南》要求超級(jí)平臺(tái)與大型平臺(tái)經(jīng)營(yíng)者履行保護(hù)勞動(dòng)者(第30條)、特殊群體(第31條)、環(huán)境(第32條)的義務(wù)等社會(huì)責(zé)任。
由此可見(jiàn),個(gè)人信息保護(hù)法第58條中承擔(dān)個(gè)人信息保護(hù)特別義務(wù)、需要設(shè)置主要由外部人員組成的獨(dú)立監(jiān)督機(jī)構(gòu)的大型互聯(lián)網(wǎng)平臺(tái)企業(yè),可對(duì)應(yīng)《分類分級(jí)指南》《主體責(zé)任指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者和大型平臺(tái)經(jīng)營(yíng)者。
個(gè)人信息保護(hù)法第58條規(guī)定了大型互聯(lián)網(wǎng)平臺(tái)企業(yè)設(shè)立獨(dú)立機(jī)構(gòu)監(jiān)督其個(gè)人信息保護(hù)的義務(wù),創(chuàng)新性地在組織機(jī)構(gòu)方面對(duì)企業(yè)提出了要求。此后,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《未成年人網(wǎng)絡(luò)保護(hù)條例(征求意見(jiàn)稿)》規(guī)定,未成年人用戶數(shù)量巨大、在未成年人群體具有顯著影響力的重要互聯(lián)網(wǎng)平臺(tái)服務(wù)提供者應(yīng)當(dāng)“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu),對(duì)未成年人網(wǎng)絡(luò)保護(hù)情況進(jìn)行監(jiān)督”。
關(guān)于獨(dú)立監(jiān)督機(jī)構(gòu)的獨(dú)立性,目前有幾種不同的認(rèn)識(shí):一是與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)獨(dú)立,作為行使社會(huì)監(jiān)督權(quán)力的獨(dú)立機(jī)構(gòu);二是與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)獨(dú)立,作為國(guó)家監(jiān)管部門行使監(jiān)管權(quán)力的獨(dú)立機(jī)構(gòu);三是內(nèi)設(shè)于大型互聯(lián)網(wǎng)平臺(tái)企業(yè),與企業(yè)的日常經(jīng)營(yíng)管理部門隔離,獨(dú)立進(jìn)行個(gè)人信息保護(hù)監(jiān)督的機(jī)構(gòu)。本文支持第三種觀點(diǎn),理由如下:
第一,從法律條文的體系解釋角度判斷。第58條是規(guī)定于個(gè)人信息保護(hù)法第5章“個(gè)人信息處理者的義務(wù)”這一章的,該章規(guī)定個(gè)人信息處理者包括處理個(gè)人信息的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理義務(wù),而不規(guī)定個(gè)人信息保護(hù)的社會(huì)監(jiān)督,也不規(guī)定國(guó)家監(jiān)管部門的職責(zé)。該法是在第6章專門規(guī)定保護(hù)個(gè)人信息的國(guó)家機(jī)關(guān)及其職責(zé)。因此,第58條所規(guī)定的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督”就只能理解為個(gè)人信息處理者包括處理個(gè)人信息的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的義務(wù),而不能理解為“社會(huì)監(jiān)督”或者國(guó)家監(jiān)管方面的獨(dú)立機(jī)構(gòu)。
第二,從獨(dú)立監(jiān)督機(jī)構(gòu)的人員構(gòu)成角度判斷。第58條規(guī)定的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”表明,獨(dú)立機(jī)構(gòu)的組成人員大部分是外部成員,少部分為內(nèi)部成員。有內(nèi)部成員參與的“獨(dú)立監(jiān)督機(jī)構(gòu)”,其完全獨(dú)立于企業(yè)是不可能做到的。
第三,從國(guó)家機(jī)構(gòu)設(shè)置的程序與政策判斷。新的國(guó)家機(jī)構(gòu)的設(shè)置以及已有國(guó)家機(jī)構(gòu)職能的增減,都需要經(jīng)過(guò)嚴(yán)格的法定程序,精簡(jiǎn)國(guó)家機(jī)構(gòu)、促進(jìn)國(guó)家機(jī)關(guān)高效率運(yùn)行是建設(shè)服務(wù)政府、法治政府的必然要求。在這樣的國(guó)家治理大背景下,不可能設(shè)置專門監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)個(gè)人信息保護(hù)活動(dòng)的國(guó)家機(jī)構(gòu),也不可能設(shè)置“主要由外部成員組成”的具有國(guó)家公權(quán)性質(zhì)的受委托的獨(dú)立機(jī)構(gòu),對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)進(jìn)行監(jiān)督。
第四,從“獨(dú)立監(jiān)督機(jī)構(gòu)”的職能判斷。雖然“獨(dú)立監(jiān)督機(jī)構(gòu)”應(yīng)當(dāng)具有較高程度的“獨(dú)立性”,但本質(zhì)上是服務(wù)于企業(yè)的個(gè)人信息保護(hù)合規(guī)要求的,其存在的目的在于企業(yè)的依法合規(guī)經(jīng)營(yíng),確保企業(yè)在個(gè)人信息保護(hù)方面達(dá)到法律、法規(guī)和規(guī)范性文件要求的保護(hù)水平和落實(shí)相關(guān)的保護(hù)措施,避免企業(yè)因個(gè)人信息保護(hù)達(dá)不到合規(guī)要求而受到處罰。“獨(dú)立監(jiān)督機(jī)構(gòu)”職能的“利己性”(服務(wù)于企業(yè))決定了“獨(dú)立監(jiān)督機(jī)構(gòu)”只能是企業(yè)的內(nèi)設(shè)機(jī)構(gòu)而不應(yīng)該是獨(dú)立的社會(huì)監(jiān)督機(jī)構(gòu)或者國(guó)家機(jī)關(guān)。
作為企業(yè)內(nèi)設(shè)機(jī)構(gòu)的“獨(dú)立監(jiān)督機(jī)構(gòu)”,主要是指獨(dú)立于企業(yè)的日常經(jīng)營(yíng)管理機(jī)構(gòu)(如總經(jīng)理)、產(chǎn)品或者服務(wù)研發(fā)推廣機(jī)構(gòu)等業(yè)務(wù)部門,因?yàn)檫@些機(jī)構(gòu)和部門往往會(huì)以利潤(rùn)導(dǎo)向進(jìn)行管理和經(jīng)營(yíng)而忽視個(gè)人信息保護(hù)。獨(dú)立機(jī)構(gòu)獨(dú)立于這些機(jī)構(gòu)和部門監(jiān)督企業(yè)的個(gè)人信息保護(hù)情況?!蔼?dú)立監(jiān)督機(jī)構(gòu)”是大型互聯(lián)網(wǎng)企業(yè)公司治理的重要組成部分,是一個(gè)創(chuàng)新的制度,主要是通過(guò)引入外部成員對(duì)企業(yè)的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督,確保企業(yè)在個(gè)人信息保護(hù)方面合規(guī)運(yùn)行。
有些探討將獨(dú)立機(jī)構(gòu)的性質(zhì)與外部獨(dú)立的審計(jì)機(jī)構(gòu)(如會(huì)計(jì)師事務(wù)所)和內(nèi)部的獨(dú)立董事進(jìn)行類比,無(wú)疑是具有一定啟發(fā)性的?!蔼?dú)立監(jiān)督機(jī)構(gòu)”作為企業(yè)內(nèi)設(shè)的機(jī)構(gòu),其獨(dú)立性主要是體現(xiàn)為與日常經(jīng)營(yíng)管理機(jī)構(gòu)和產(chǎn)品服務(wù)研發(fā)經(jīng)營(yíng)部門等的獨(dú)立,而不同于作為與企業(yè)僅有合同關(guān)系的審計(jì)機(jī)構(gòu)。獨(dú)立機(jī)構(gòu)與企業(yè)獨(dú)立董事的性質(zhì)有相同的地方也有較大差異。相同之處在于獨(dú)立性。不同之處在于獨(dú)立董事對(duì)企業(yè)的諸多事項(xiàng)行使決策權(quán),而獨(dú)立機(jī)構(gòu)僅對(duì)個(gè)人信息保護(hù)活動(dòng)進(jìn)行監(jiān)督?jīng)]有決策權(quán)。獨(dú)立董事在董事會(huì)機(jī)制下行使權(quán)力,獨(dú)立機(jī)構(gòu)則是向董事會(huì)或者股東會(huì)提出監(jiān)督建議和意見(jiàn)。
法律規(guī)定“主要由外部成員組成的獨(dú)立機(jī)構(gòu)”對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)進(jìn)行監(jiān)督。就獨(dú)立機(jī)構(gòu)的人員構(gòu)成而言,需要從以下三個(gè)方面細(xì)化第58條第1款第1項(xiàng)的規(guī)定:一是獨(dú)立機(jī)構(gòu)組成人員的數(shù)量;二是外部成員與內(nèi)部成員的比例;三是外部成員的資質(zhì)要求與內(nèi)部成員的職務(wù)要求。
1.不同規(guī)模大型互聯(lián)網(wǎng)平臺(tái)企業(yè)“獨(dú)立監(jiān)督機(jī)構(gòu)”組成人員的數(shù)量
將大型互聯(lián)網(wǎng)平臺(tái)企業(yè)和超級(jí)互聯(lián)網(wǎng)平臺(tái)企業(yè)均納入第58條適用對(duì)象,要求其成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)活動(dòng)進(jìn)行監(jiān)督。這兩類企業(yè)在規(guī)模上有較大差別,個(gè)人信息保護(hù)的復(fù)雜程度和工作量等也不盡相同。因此,大型互聯(lián)網(wǎng)平臺(tái)企業(yè)與超級(jí)互聯(lián)網(wǎng)平臺(tái)企業(yè)監(jiān)督個(gè)人信息保護(hù)活動(dòng)的獨(dú)立機(jī)構(gòu)之組成人員的數(shù)量應(yīng)有所區(qū)別。
有的超級(jí)與大型互聯(lián)網(wǎng)平臺(tái)企業(yè)積極探索獨(dú)立機(jī)構(gòu)的建設(shè),初步提出了15人的組成人員設(shè)想,這是比較符合企業(yè)實(shí)際情況的。本文的建議是:大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的獨(dú)立機(jī)構(gòu)由9—15人組成。
2.兩種組成人員的比例要求
法律規(guī)定獨(dú)立機(jī)構(gòu)主要由外部人員組成,“主要”的文義是指絕對(duì)多數(shù)。考慮到在投票等方面的技術(shù)要求,本文建議這里的“主要由外部成員組成”應(yīng)當(dāng)理解為外部成員不少于全體成員的三分之二。比如,在全體成員為9人的情況下,外部成員為6人或者多于6人,但是不能超過(guò)8人。在全體成員為15人的情況下,外部成員為10人或者多于10人,但是不能超過(guò)14人。
3.組成人員的資質(zhì)或職務(wù)要求
首先,作為獨(dú)立機(jī)構(gòu)組成人員的外部人員。外部人員是指不屬于企業(yè),與企業(yè)不存在勞動(dòng)人事關(guān)系和其他重要利害關(guān)系的自然人。這里的“重大利害關(guān)系”包括股東關(guān)系、債權(quán)債務(wù)關(guān)系,以及與企業(yè)董事、監(jiān)事等高級(jí)管理人員有近親屬關(guān)系等。作為獨(dú)立機(jī)構(gòu)組成人員的外部人員,應(yīng)當(dāng)政治上合格、業(yè)務(wù)上精通個(gè)人信息保護(hù)法治與實(shí)踐操作。具體任職條件由國(guó)家履行個(gè)人信息保護(hù)職能的部門(如國(guó)家網(wǎng)信辦)通過(guò)頒布規(guī)范性文件確定。有資質(zhì)擔(dān)任獨(dú)立機(jī)構(gòu)組成人員的相關(guān)法律專家等可以成立個(gè)人信息保護(hù)獨(dú)立專業(yè)人員協(xié)會(huì),受國(guó)家履行個(gè)人信息保護(hù)職能的部門指導(dǎo)和監(jiān)督。
獨(dú)立機(jī)構(gòu)組成人員特別是外部成員的個(gè)體獨(dú)立性與專業(yè)性是保障其行使職能的必要前提。為了確保機(jī)構(gòu)的獨(dú)立性,需關(guān)注以下四個(gè)方面:其一,獨(dú)立機(jī)構(gòu)的外部成員不得與企業(yè)具有人事、經(jīng)濟(jì)上的利害關(guān)系。其二,獨(dú)立機(jī)構(gòu)外部成員的名單需上報(bào)外部專家協(xié)會(huì)進(jìn)行獨(dú)立性和專業(yè)性審查,向社會(huì)公眾公布,并由國(guó)家網(wǎng)信部門備案。其三,外部成員的津貼報(bào)酬需要有統(tǒng)一的標(biāo)準(zhǔn)且與企業(yè)相區(qū)隔。為保證獨(dú)立監(jiān)督機(jī)構(gòu)成員不被大型互聯(lián)網(wǎng)企業(yè)俘獲,形成經(jīng)濟(jì)依附關(guān)系,外部成員不得被給付過(guò)高的薪酬。其四,在成員履職期間,一旦出現(xiàn)利益沖突或者其他不能履職的情況,應(yīng)當(dāng)主動(dòng)向企業(yè)與外部專家協(xié)會(huì)申請(qǐng),辭去職務(wù)。
外部監(jiān)督機(jī)構(gòu)成員還應(yīng)有專業(yè)性要求,否則無(wú)法有效地履行監(jiān)督職責(zé)。比如,成員需為個(gè)人信息保護(hù)領(lǐng)域公認(rèn)的專家,具備高級(jí)以上專業(yè)技術(shù)職稱;熟悉有關(guān)個(gè)人信息法律法規(guī)、信息技術(shù)等相關(guān)理論及實(shí)踐經(jīng)驗(yàn)。值得注意的是,成員應(yīng)當(dāng)有足夠時(shí)間和精力參與企業(yè)的監(jiān)督活動(dòng),已在3個(gè)及以上其他大型互聯(lián)網(wǎng)企業(yè)中擔(dān)任外部監(jiān)督機(jī)構(gòu)成員的,不得再在其他企業(yè)擔(dān)任。
其次,作為獨(dú)立監(jiān)督機(jī)構(gòu)組成人員的內(nèi)部人員。處于“少數(shù)派”的內(nèi)部人員參與獨(dú)立監(jiān)督機(jī)構(gòu),有利于獨(dú)立監(jiān)督機(jī)構(gòu)與企業(yè)的溝通以行使個(gè)人信息保護(hù)監(jiān)督職能。作為獨(dú)立監(jiān)督機(jī)構(gòu)組成人員的內(nèi)部人員,應(yīng)當(dāng)包括企業(yè)主管法務(wù)和合規(guī)的高層管理人員以及具體負(fù)責(zé)企業(yè)個(gè)人信息保護(hù)的負(fù)責(zé)人(個(gè)人信息保護(hù)法第52條)。
依據(jù)第58條的規(guī)定,獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)是監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息保護(hù)。在企業(yè)內(nèi),其所擔(dān)當(dāng)?shù)穆氊?zé)是監(jiān)督,而非決策和執(zhí)行。其所監(jiān)督的事項(xiàng)僅限于個(gè)人信息保護(hù),而不涉及企業(yè)生產(chǎn)經(jīng)營(yíng)和管理的其他事項(xiàng)。相較于企業(yè)的合規(guī)部門,獨(dú)立監(jiān)督機(jī)構(gòu)僅能行使有限的監(jiān)督權(quán)。將該機(jī)構(gòu)與企業(yè)內(nèi)部予以隔離保障,既有利于獨(dú)立機(jī)構(gòu)在履職時(shí)進(jìn)行獨(dú)立、客觀和公平判斷,又有利于數(shù)據(jù)安全和企業(yè)商業(yè)秘密的維護(hù)。以個(gè)人信息存儲(chǔ)與傳輸?shù)募夹g(shù)管理為例,企業(yè)所采取的加密處理措施和方法被知悉的主體越多,數(shù)據(jù)安全越容易受到威脅。因此,獨(dú)立機(jī)構(gòu)的職責(zé)主要是對(duì)企業(yè)的個(gè)人信息保護(hù)合規(guī)情況進(jìn)行監(jiān)督。
大型互聯(lián)網(wǎng)企業(yè)不僅需要對(duì)自己的個(gè)人信息處理活動(dòng)負(fù)責(zé),還需履行規(guī)范商業(yè)用戶(如淘寶網(wǎng)上的網(wǎng)店)個(gè)人信息處理活動(dòng)的義務(wù)。就此而言,獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)又可分為如下兩大類型:
其一,監(jiān)督大型互聯(lián)網(wǎng)平臺(tái)企業(yè)自身的個(gè)人信息保護(hù)合規(guī)情況。個(gè)人信息保護(hù)合規(guī)體系分為個(gè)人信息合規(guī)政策和個(gè)人信息合規(guī)流程,前者立足于個(gè)人信息主體的權(quán)益,后者則為實(shí)體權(quán)益之落實(shí)提供組織和程序保障。但實(shí)踐中,兩者之間的界分并非涇渭分明。個(gè)人信息主體權(quán)益的范圍與邊界需結(jié)合特定場(chǎng)景進(jìn)行具體劃定,場(chǎng)景要素在實(shí)體權(quán)益與操作規(guī)則之間構(gòu)建起橋梁,于是在監(jiān)督個(gè)人信息合規(guī)流程中的人員組織合規(guī)情況時(shí),對(duì)操作規(guī)程的監(jiān)督不可避免地會(huì)涉及個(gè)人信息主體的實(shí)體權(quán)益。以中興通訊公司建立的合規(guī)制度為例,該企業(yè)建立了“政策、手冊(cè)、原則性規(guī)范、場(chǎng)景化指引”的規(guī)則框架,其中原則性規(guī)范既包括了實(shí)體性的《合法性基礎(chǔ)判斷規(guī)范》,又包括了管理性與程序性的《數(shù)據(jù)影響保護(hù)評(píng)估規(guī)范》。故而對(duì)獨(dú)立監(jiān)督機(jī)構(gòu)職責(zé)的梳理不可過(guò)分僵化。
在個(gè)人信息合規(guī)政策方面,獨(dú)立監(jiān)督機(jī)構(gòu)可格外注意與個(gè)人信息主體發(fā)生交互的合規(guī)情況,即大型互聯(lián)網(wǎng)企業(yè)制定的平臺(tái)規(guī)則和隱私政策,例如通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷時(shí),是否同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人提供便捷的拒絕方式。
在個(gè)人信息合規(guī)流程方面,獨(dú)立監(jiān)督機(jī)構(gòu)則可從制度合規(guī)、技術(shù)合規(guī)和組織合規(guī)三個(gè)角度著手,對(duì)大型互聯(lián)網(wǎng)企業(yè)的事前防范、事中規(guī)制和事后處置的合規(guī)情況進(jìn)行監(jiān)督。事前環(huán)節(jié)的監(jiān)督包括:(1)個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)立;(2)組建統(tǒng)籌協(xié)調(diào)、制定規(guī)則、監(jiān)督執(zhí)行的個(gè)人信息保護(hù)合規(guī)部門,并制定內(nèi)部管理制度;(3)在對(duì)個(gè)人權(quán)益有重大影響的處理活動(dòng)前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估;(4)制定操作規(guī)程;(5)定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);(6)個(gè)人信息跨境時(shí)的安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證或制定標(biāo)準(zhǔn)合同;(7)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案。事中環(huán)節(jié)的監(jiān)督包括:(1)對(duì)個(gè)人信息實(shí)行分類管理、采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;(2)合理確定個(gè)人信息處理的操作權(quán)限;(3)操作規(guī)程的遵守與內(nèi)容審查;(4)合規(guī)審計(jì);(5)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。事后環(huán)節(jié)的監(jiān)督包括:(1)個(gè)人信息安全事件的補(bǔ)救和通知;(2)為個(gè)人信息主體的權(quán)利行使建立了便捷的受理和處理機(jī)制。
其二,監(jiān)督大型互聯(lián)網(wǎng)企業(yè)對(duì)商業(yè)用戶的個(gè)人信息處理活動(dòng)予以規(guī)范的合規(guī)情況。大型互聯(lián)網(wǎng)企業(yè)對(duì)商業(yè)用戶進(jìn)行個(gè)人信息處理活動(dòng)所需盡到的監(jiān)管義務(wù)不盡一致。盡管操作系統(tǒng)平臺(tái)與應(yīng)用商店都能對(duì)商業(yè)用戶采取技術(shù)控制措施,但操作系統(tǒng)是制約其他應(yīng)用軟件的底層技術(shù)環(huán)境,而應(yīng)用商店僅能部分阻卻其他應(yīng)用軟件被獲取的通道,顯然前者的監(jiān)管義務(wù)更高。至于小程序平臺(tái)和電商平臺(tái),它們除了在與商業(yè)用戶共享個(gè)人信息方面起決定性作用,還能控制商業(yè)用戶的市場(chǎng)準(zhǔn)入,具備數(shù)據(jù)與技術(shù)的雙重鉗制關(guān)系。由此,獨(dú)立監(jiān)督機(jī)構(gòu)在不同類型的互聯(lián)網(wǎng)企業(yè)中監(jiān)督的項(xiàng)目?jī)?nèi)容有所區(qū)別。
對(duì)于操作系統(tǒng)平臺(tái),監(jiān)督范圍包括:(1)是否采取技術(shù)措施將應(yīng)用軟件調(diào)取的系統(tǒng)權(quán)限限制在必要范圍之內(nèi);(2)是否按照系統(tǒng)權(quán)限對(duì)個(gè)人信息帶來(lái)的風(fēng)險(xiǎn)差異采取不同強(qiáng)度的保護(hù)措施,如申請(qǐng)麥克風(fēng)、照相機(jī)、地理位置等權(quán)限時(shí)的單獨(dú)授權(quán);(3)是否在系統(tǒng)權(quán)限被調(diào)用之后對(duì)用戶進(jìn)行提示;(4)是否用合理的方式向用戶呈現(xiàn)應(yīng)用軟件調(diào)取系統(tǒng)權(quán)限的狀態(tài)并允許用戶自由變動(dòng)。
對(duì)于應(yīng)用商店,監(jiān)督范圍包括:(1)平臺(tái)規(guī)則是否公平、公正、公開(kāi);(2)是否對(duì)應(yīng)用軟件公示隱私規(guī)則作出合理的要求與審查;(3)是否對(duì)違法應(yīng)用軟件采取事前禁止準(zhǔn)入和事后下架的控制。
對(duì)于小程序平臺(tái)和電商平臺(tái),監(jiān)督范圍包括:(1)企業(yè)是否采取技術(shù)措施將小程序從小程序平臺(tái)獲取的個(gè)人信息限制在必要范圍之內(nèi);(2)在小程序申請(qǐng)調(diào)取敏感個(gè)人信息時(shí),是否采取強(qiáng)化保護(hù)措施;(3)是否以合同的方式對(duì)小程序采集、存儲(chǔ)、使用、共享個(gè)人信息的活動(dòng)作出約束;(4)平臺(tái)規(guī)則是否公平、公正、公開(kāi);(5)是否對(duì)違法商業(yè)用戶采取事前禁止準(zhǔn)入和事后下架、斷開(kāi)連接的控制;(6)是否為個(gè)人信息主體舉報(bào)違法處理個(gè)人信息的商業(yè)用戶建立便捷的渠道。
需要進(jìn)一步說(shuō)明的是:第一,獨(dú)立監(jiān)督機(jī)構(gòu)就職責(zé)范圍內(nèi)的事項(xiàng)所享有的權(quán)力不限于監(jiān)督權(quán),還可就其提出建議、意見(jiàn)并進(jìn)行指導(dǎo)。第二,由于獨(dú)立監(jiān)督機(jī)構(gòu)由董事會(huì)領(lǐng)導(dǎo),故其還有權(quán)對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)的董事會(huì)議案提出建議和意見(jiàn)、對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)工作提交董事會(huì)議案,并列席與個(gè)人信息保護(hù)有關(guān)的董事會(huì)會(huì)議,但涉及商業(yè)秘密的,獨(dú)立監(jiān)督機(jī)構(gòu)成員應(yīng)當(dāng)保密。第三,獨(dú)立監(jiān)督機(jī)構(gòu)通常是以整體的形式履行職責(zé),但獨(dú)立監(jiān)督機(jī)構(gòu)成員也可單獨(dú)行使部分職責(zé),如對(duì)大型互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)相關(guān)問(wèn)題提供意見(jiàn)和建議、對(duì)內(nèi)部從業(yè)人員進(jìn)行個(gè)人信息保護(hù)培訓(xùn)、對(duì)個(gè)人信息保護(hù)相關(guān)工作向個(gè)人信息保護(hù)負(fù)責(zé)人提交獨(dú)立意見(jiàn)。
1.獨(dú)立監(jiān)督機(jī)構(gòu)的會(huì)議制度
由于獨(dú)立監(jiān)督機(jī)構(gòu)的成員大部分為兼職參與公司治理,為確保其順利履行職責(zé),大型互聯(lián)網(wǎng)企業(yè),一則需要盡到必要信息提供義務(wù),以消除信息不對(duì)稱,滿足獨(dú)立監(jiān)督機(jī)構(gòu)成員的知情需求,如介紹情況、提供材料等,定期通報(bào)個(gè)人信息保護(hù)相關(guān)工作情況;二則應(yīng)當(dāng)暢通信息溝通與交流渠道,指定專人負(fù)責(zé)與獨(dú)立監(jiān)督機(jī)構(gòu)及成員的日常聯(lián)系,及時(shí)響應(yīng)獨(dú)立監(jiān)督機(jī)構(gòu)及成員的意見(jiàn)和建議;三則為獨(dú)立監(jiān)督機(jī)構(gòu)成員提供履行職責(zé)所必需的工作條件并承擔(dān)相應(yīng)的費(fèi)用,如獨(dú)立監(jiān)督機(jī)構(gòu)聘請(qǐng)第三方審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)合規(guī)的支出。
獨(dú)立監(jiān)督機(jī)構(gòu)行使諸如進(jìn)行監(jiān)督和指導(dǎo)、提出建議和意見(jiàn)的權(quán)力,以及形成決議皆采取召開(kāi)會(huì)議的形式,這也是獨(dú)立監(jiān)督機(jī)構(gòu)行使集體權(quán)力的主要方式。獨(dú)立監(jiān)督機(jī)構(gòu)成員會(huì)議與公司股東會(huì)議、董事會(huì)議類似,分為常規(guī)會(huì)議和臨時(shí)會(huì)議。為激勵(lì)積極履行職責(zé),有關(guān)管理規(guī)定可以對(duì)會(huì)議召開(kāi)作出具體要求,比如例行的年度會(huì)議、半年會(huì)議乃至季度會(huì)議等定期會(huì)議的強(qiáng)制出席要求。獨(dú)立監(jiān)督機(jī)構(gòu)的會(huì)議由個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主席召集和主持。
定期會(huì)議在靈活性方面有所欠缺,當(dāng)面臨突發(fā)事件或其他重大事件時(shí),往往需要召開(kāi)臨時(shí)會(huì)議。由此可以參照股東臨時(shí)會(huì)議和董事臨時(shí)會(huì)議。一方面,三分之一以上的獨(dú)立監(jiān)督機(jī)構(gòu)成員機(jī)構(gòu)成員可提議召開(kāi),個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)主席收到提議后十日內(nèi)召集和主持會(huì)議;另一方面,當(dāng)發(fā)生特殊情形時(shí),必須召開(kāi)臨時(shí)會(huì)議,比如個(gè)人信息泄露、篡改、丟失,大型互聯(lián)網(wǎng)企業(yè)因違法處理個(gè)人信息而被提起民事公益訴訟、給予行政處罰、進(jìn)入刑事調(diào)查程序等。定期會(huì)議和臨時(shí)會(huì)議的決議、建議應(yīng)當(dāng)按照章程規(guī)定的流程及時(shí)提交給企業(yè)的權(quán)力機(jī)構(gòu)或者企業(yè)的其他機(jī)構(gòu)和部門。
2.獨(dú)立監(jiān)督機(jī)構(gòu)與國(guó)家個(gè)人信息保護(hù)部門的關(guān)系
盡管大型互聯(lián)網(wǎng)平臺(tái)企業(yè)設(shè)置的個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)屬于企業(yè)的內(nèi)部機(jī)構(gòu),但是其引入了外部成員而且擔(dān)負(fù)法律規(guī)定的特殊職責(zé),因此其設(shè)立、運(yùn)行等應(yīng)受到國(guó)家個(gè)人信息保護(hù)部門的指導(dǎo)和監(jiān)督。具體而言,國(guó)家個(gè)人信息保護(hù)部門宜出臺(tái)規(guī)范性文件規(guī)范獨(dú)立監(jiān)督機(jī)構(gòu)成員的任職條件、獨(dú)立監(jiān)督機(jī)構(gòu)的運(yùn)行程序,包括發(fā)布供參照?qǐng)?zhí)行的“模范章程”。國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)委員會(huì)可以制定相應(yīng)的國(guó)家標(biāo)準(zhǔn),指導(dǎo)和規(guī)范獨(dú)立監(jiān)督委員會(huì)的工作。
成立大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)成員協(xié)會(huì),研究和協(xié)調(diào)各獨(dú)立監(jiān)督機(jī)構(gòu)的工作,培訓(xùn)和考核獨(dú)立監(jiān)督機(jī)構(gòu)的成員,制定外部成員的報(bào)酬標(biāo)準(zhǔn),是十分必要的。獨(dú)立監(jiān)督機(jī)構(gòu)對(duì)企業(yè)個(gè)人信息保護(hù)事項(xiàng)作出的決定或者提出的鑒定意見(jiàn),原則上將得到國(guó)家個(gè)人信息保護(hù)部門的認(rèn)可。在發(fā)現(xiàn)企業(yè)在個(gè)人信息保護(hù)方面存在重大隱患或者嚴(yán)重違法情形時(shí),獨(dú)立監(jiān)督機(jī)構(gòu)應(yīng)當(dāng)及時(shí)向企業(yè)的權(quán)力機(jī)構(gòu)提出意見(jiàn)和建議。企業(yè)權(quán)力機(jī)構(gòu)拒絕接受的,經(jīng)獨(dú)立監(jiān)督機(jī)構(gòu)多數(shù)成員表決同意,應(yīng)將相關(guān)情況報(bào)告國(guó)家個(gè)人信息保護(hù)部門。
本文結(jié)合社會(huì)治理理念、個(gè)人信息保護(hù)基本法理和中國(guó)社會(huì)實(shí)際情況,就我國(guó)個(gè)人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)的設(shè)立提出如下建議:第一,負(fù)有設(shè)立義務(wù)的大型互聯(lián)網(wǎng)平臺(tái)企業(yè)可對(duì)應(yīng)于《分類分級(jí)指南》《主體責(zé)任指南》中的超級(jí)平臺(tái)經(jīng)營(yíng)者和大型平臺(tái)經(jīng)營(yíng)者;第二,該獨(dú)立機(jī)構(gòu)主要由外部成員構(gòu)成,內(nèi)設(shè)于大型互聯(lián)網(wǎng)平臺(tái)企業(yè),與企業(yè)的日常經(jīng)營(yíng)管理部門隔離,獨(dú)立對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。獨(dú)立機(jī)構(gòu)組成人員包括少數(shù)內(nèi)部人員與多數(shù)外部人員,均有履職的資質(zhì)要求;第三,獨(dú)立監(jiān)督機(jī)構(gòu)的職責(zé)定位主要是對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的個(gè)人信息處理行為進(jìn)行自我規(guī)制的再監(jiān)督。個(gè)人信息保護(hù)法不少條文要求設(shè)置新的規(guī)章制度和執(zhí)行機(jī)制。無(wú)論是本文所論及的獨(dú)立監(jiān)督機(jī)構(gòu),還是強(qiáng)制性一般合規(guī)義務(wù)中的組織合規(guī)、制度合規(guī)、技術(shù)合規(guī),均有待網(wǎng)信部門制定相關(guān)規(guī)范性文件和標(biāo)準(zhǔn)化管理委員會(huì)出臺(tái)技術(shù)標(biāo)準(zhǔn),將相對(duì)抽象和原則的條文轉(zhuǎn)化為具體、可操作的行為規(guī)則,以進(jìn)一步落實(shí)和實(shí)施個(gè)人信息保護(hù)法的規(guī)定。