2022年7月28日,中共中央政治局召开会议指出,要以改革开放为经济发展增动力。要推动平台经济规范健康持续发展,完成平台经济专项整改,对平台经济实施常态化监管,集中推出一批“绿灯”投资案例[1]。近两年来,互联网平台已经成为行业治理和政策监管的热点话题,国家相继出台了各类法律法规并形成专门整治乱象的监管部门,加强对互联网平台侵害用户权益、威胁数据安全等行为进行集中整治:
2022年1月,国家发改委等九部门联合印发《关于推动平台经济规范健康持续发展的若干意见》,明确坚持发展和规范并重;2022年4月29日,中央政治局召开会议,分析研究了当前经济形势和经济工作,强调要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管,出台支持平台经济规范健康发展的具体措施,为平台经济的发展定下基调和方向;2022年5月17日,全国政协召开“推动数字经济持续健康发展”专题协商会,指出要支持平台经济、民营经济持续健康发展。
随着《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《中华人民共和国数据安全法(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的相继实施,我国数据合规领域的基本立法已经日趋完善,执法行动也在不断加强,数据合规治理工作已经成为了企业,特别是互联网企业合规工作的重要领域之一。
平台企业作为特殊类型的互联网信息服务提供者,因其复杂的业务类型和多变的应用场景,相较于一般的网络运营主体,由于主体类型的不同和所处理数据场景和类型的不同,涉及更多不同维度的数据处理关系,包括数据互联互通、数据汇聚融合,甚至有可能造成数据垄断的风险,在为数字化运营带来高效便利的同时,也存在对市场和用户造成不良影响甚至损害消费者权益的隐患。特别是新的《反垄断法》已于2022年8月1日开始实施,也将对互联网平台的治理提出新的要求和挑战。
为了强化对大型互联网平台服务的义务,明晰平台所承担的责任,配置与其影响力和控制力相匹配的数据保护义务,需要形成一个普遍共识和基本公式。我国《个人信息保护法》借鉴欧盟等国家和地区的立法实践,针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,要求其履行建立健全个人信息保护合规制度体系、制定平台规则、管理规范平台内经营者和接受社会监督的义务。
本文将以《个人信息保护法》下对于“守门人处理者”的合规义务要求为基础,结合欧盟的相关规定分析目前我国法律法规中不同内容和场景下“守门人处理者”的义务,并提出对互联网平台数据合规体系建设的相关建议。
一、 “守门人处理者”是什么
(一) “守门人处理者”概念引入
“守门人处理者”(gatekeeper,大型数字平台,以下或称“守门人”)的概念最早源自欧洲的《数字服务法》和《数字市场法》。其中,《数字服务法》(Digital Service Act,DSA)重点是规制在线平台的报告义务、对第三方内容的责任、用户安全等内容;并且以《电子商务指令》为基础,更加强调在线平台的社会义务。《数字市场法》(Digital Market Act,DMA)主要关注经济不平等、数字市场的竞争问题和“守门人”的不公平竞争行为;《数字市场法》更加侧重经济秩序,针对现有规则无法解决的结构性和行为性竞争问题,通过实施事前规则来确保公平的竞争环境,以推动欧盟数字市场监管范式的根本转变。
作为数字市场事前监管法规草案,《数字市场法》旨在保护与反垄断规则不同的合法利益,同时不妨碍反垄断规则的适用,具有较大的灵活性,对于反垄断行为的具体调查要求也显著低于反垄断法中的相关规定。除此之外,2021年的《德国竞争规则(修正案)》正式以“在市场竞争中具有重大意义”对“守门人”平台进行了定义,并规定了具体的认定标准和“守门人”平台需要承担的义务。我国的《个人信息保护法》虽未正式引入该概念,但《个人信息保护法》第五十八条所体现的内涵与上述规定有异曲同工之处。
1. 欧盟《数字市场法》
于2022年7月18日最终获得欧盟成员国一致批准的欧盟《数字市场法》,其规制的对象为向欧盟内设立的企业用户,或在欧盟内设立或位于欧盟境内的终端用户提供“核心平台服务”的大型在线平台。这些在线平台拥有强大的经济地位和市场地位,为大量的企业用户和终端消费者用户提供主要通道并提供服务,同时利用主要通道的角色进一步巩固和扩大自己的主导地位,由此可能产生不公平的竞争行为,会对市场产生不良影响。欧盟委员会对“守门人”的判断标准是达到某些数量门槛的企业。这种标准下的“守门人”包括:网上中介服务、在线搜索引擎、在线社交网络服务、视频分享平台服务、号码独立的人际沟通服务、操作系统、云计算服务、广告服务等。
欧盟《数字市场法》对“守门人”的典型特点归纳为:1.对内部市场有重大影响,有能力创造和塑造新的市场,挑战传统市场,并在收集、处理和编辑大量数据的基础上组织新的参与形式或开展业务;或者通过挑战传统市场,构造全新的市场环境,从而影响市场上下游;2.经营一项核心的平台服务,成为一个或多个终端用户与企业用户间的重要通道,而且有非常根深蒂固的持久的市场地位,从量化的推定标准来说,主要包括以下三条:
第一,过去三个财年在欧洲经济区(European Economic Area,EEA)的每年营业额达到或超过75亿欧元(相当于约519亿元人民币),或上一年平均市值达750亿欧元;且在至少三个欧盟成员国提供核心平台服务,具有跨市场的影响力,能够比较持久地促进商业投资、创造新的战略依赖、获得重大价值和数据积累,在这些方面能够发挥较大作用。
第二,任何一项核心平台服务月活跃终端用户超过4,500万,并且在欧盟建立的年活跃企业用户超过1万,需要具有极大的用户粘性。
第三,过去两个财年内每一年度均达到第二条标准。
2. 欧盟《数字服务法》
《数字服务法》主要的规制对象为针对欧盟境内主体的在线中介服务提供者,不仅包括小微企业在在线平台,也包括超大在线平台。在对“超大在线平台”定性的角度上与《数字市场法》基本一致,要求在欧盟境内的平均月活用户超过4,500万。
从欧盟整体对平台守门人的定性或者定量的角度来看,要求其具有非常大的规模,包括营业额的平均市值、运营提供的平台,能够起到触及相关市场或者相关地域的作用,以及从用户的总数上看,要求月活跃终端用户超过4,500万,并且在欧盟建立的年活跃企业用户超过1万。一方面是从整体的数字角度上看,另一方面是基于一种网络效应,或者把数据作为资产进行累积,形成一种数据驱动优势,对其他的一些中小平台或者单一网络的经营者来讲,进入的时候有可能会造成一种壁垒。这些大的平台能够利用其自身的规模和影响力以达到想获得的收益、形成稳定的地位、绑定比较持久的用户,并通过绑定关系能够持续为用户提供服务、获得资源。
在厘清概念之后,需要对于守门人处理者的义务进行进一步梳理,具体包括:1. 除非获得了用户的明确许可,否则不能在欧盟范围内利用数据优势向用户投放定向性广告,这与GDPR的要求相近;另外,在拥有重要市场地位、优势和资源的情况下,再利用这些数据的优势向用户强推精准广告时,则需要受到限制。2.互联互通,这也是国内的一个重要趋势,例如《数字市场法》会要求谷歌、苹果、Facebook、亚马逊(GAFA)等超大型平台,如果已经被欧盟成员国一致认定为守门人,则应当让用户能够实现信息的互联互通,即用户如果在Facebook中发布信息,同时也能够在其他平台上同步收到,并且可以进行回复。3.《数字服务法》还要求企业根据GDPR,对企业用户或者终端用户在平台上活动所产生的一些数据,应当提供一种连续和实时的访问能力,实现有效的可携带权。比如对于企业用户或者终端用户,需要提供有效的、高质量的、连续的、实时的访问和使用路径。4.要求企业需要根据GDPR的要求,获得用户同意后才可以向第三方共享个人信息。5.除此之外,作为平台需要提供访问与免费/付费搜索相关排名和查看数据的入口,并且需要将相关的个人形象做匿名化处理。
与之类似,国内目前对于大数据杀熟现象的关注和规制,体现在《电子商务法》《个人信息保护法》中,比如利用个人信息和算法提供精准搜索或者进行个性化推送时,需要提供非针对个人信息等内容的其他选项。
(二) 我国法律法规中的相关概念
不同于欧盟《数字市场法》和《数字服务法》,我国法律法规对于“守门人处理者”并没有类似的明确界定。以下,我们将从我国法律法规对于平台经营者的定义和分级分类要求出发,探讨我国法律法规对于特殊平台经营者——“守门人处理者”定义的划分标准和内在逻辑。
1. 2021年2月7日生效的《关于平台经济领域的反垄断指南》(以下简称“《反垄断指南》”)主要从商业性质角度对平台、平台经营者、平台内经营者等进行定义。
首先,何为“平台”。根据《反垄断指南》,平台为互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业形态。概念中包括四个主要的因素:第一,需要通过网络信息技术或者网络信息资源,因为这是互联网平台的特点;第二,在这样的一个平台当中可以建构起参与方之间相互依赖的多边或者双边的主体关系,即存在某一个载体,在该载体上利用网络信息技术,通过一定规则共同经营并创建相关的商业价值形态。
其次,何为“平台经营者”。根据《反垄断指南》,平台经营者指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。平台经营者不仅要提供经营场所(包括虚拟的平台载体),而且也要发挥作为平台经营者的作用,比如建立平台经营规则等。同时为了达到共同的商业价值形态的目标,不仅需要进行交易撮合,还要提供一些网络信息技术以及交流工具,除此之外可能还需要搭建一些能够互相交流合作的机制和商业规则。
再次,何为“平台内经营者”。根据《反垄断指南》,平台内经营者指在互联网平台内提供商品或者服务的经营者。在互联网平台中,除了平台经营者自己,还需要提供商品或者服务的主体参与平台活动,即平台内经营者。
对于整个所谓的平台经济领域的经营者来讲,包含了平台经营者自己(搭建平台、制定规则、提供交易撮合规则等)、平台内经营者和其他平台经营者,就构成了所谓的多边或者双边的平台参与主体。总的来说,平台经营者+平台内经营者+其他参与平台经济的经营者=平台经济领域经营者。
2. 2021年的10月29日发布的《互联网平台落实主体责任指南(征求意见稿)》(以下简称“《主体责任指南》”)在从商业性质角度对平台、平台经营者、平台内经营者等进行定义的同时,对超大型平台也进行了量化规定。
《主体责任指南》与《反垄断指南》关于平台和平台经营者的概念相同。区别在于平台内经营者和超大型平台的概念。
首先,针对平台内经营者,《主体责任指南》进一步明确了平台经营者在运营平台的同时,也可以直接通过该平台提供商品或者服务,即平台经营者也可以直接向用户提供商品或者服务。所以平台经营者在获取部分用户个人信息时,不仅限于获取用户的注册信息类型的数据。
其次,针对超大型平台,《主体责任指南》将其定义为在中国的上年度年活跃用户不低于5,000万、具有表现突出的主营业务、上年底市值(或估值)不低于1,000亿元人民币、具有较强的限制平台内经营者接触消费者(用户)能力的平台。《主体责任指南》中指出的超大型平台主要包含如下要素:1.年活跃用户不低于5,000万,相较于《数字市场法》中对年活跃用户1万的要求,此标准较高,但《数字市场法》同时也要求任何一项核心平台服务月活跃终端用户超过4,500万;2.有表现突出的主营业务,即在一个平台里面可能存在各种类型的服务,除主营业务之外,还可能经营其他业务;或者平台内不存在等级区分,同时存在几个主营业务,但其中至少有一个表现非常突出的业务类型,或者说其营业额可以作为超大型平台的主要支撑。3.上年底的市值不低于1,000亿元人民币。4.具有较强的限制平台内经营者接触消费者用户的性质。平台虽然提供了通道,也可以通过通道来限制提供服务,或者说对用户的服务提供具有非常强的决定能力,同时可以通过此种通道来扩大其主导地位,从而带来一种不良影响或者影响公平竞争的作用。例如,大型平台能限制C端用户,通过算法推荐进行违规操作,或进行搭售,甚至可能滥用其市场支配地位,使用户不能去购买其他同类竞争产品等。
3. 2021年10月29日发布的《关于互联网平台分类分级指南(征求意见稿)》(以下简称“《分级指南》”)主要从量化角度对平台进行了划分。
《分级指南》中的“大型平台”概念对应的是《主体责任指南》中的超大型平台,《分级指南》中“超级平台”的规模则是在前二者之上。因为《分级指南》和《主体责任指南》目前仍处在征求意见稿阶段,我们相信立法机关后续会对相关概念和标准进行匹配和统一。
关于平台分级的主要指标包括:用户规模、业务种类、经济体量、限制能力等。针对超级平台,首先,用户规模年活跃用户不低于5亿;其次,业务种类非常广泛,核心业务至少涉及两类平台业务。在大型平台上,至少有一类突出的平台主营业务,而对于超级平台来讲,这个突出表现的核心业务至少涉及两类;再次,上一年度的净市值要不低于10,000亿元人民币;同时需要具有超强的限制商户接触消费者的能力。
4. 2021年11月1日生效的《个人信息保护法》主要从定性角度进行了规定;2021年11月14日《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)从量化角度进行了规定,同时也强调了大型互联网平台经营者的社会属性(社会动员能力)。
(1)关于特殊个人信息处理者,《个人信息保护法》第五十八条有三个主要的认定维度和标准:
第一,重要的互联网平台服务。其实可以对应到《数字市场法》《数字服务法》,以及前述的相关指南中,具有互联互通的作用,平台上所提供的载体能够为多数平台内经营者所选择,共同去创建更大的经济价值。而且还可以通过此载体去联通上下游关系,或者能够扮演好作为载体的经营者和平台的通道角色。
第二,用户数量巨大。可参考《分级指南》和《主体责任指南》。
第三,业务类型复杂。如前所述,从《主体责任指南》来讲,有一类以上主要的核心业务即可,但是从《分级指南》来讲,超级平台需要拥有两类以上核心业务。有主营业务,还有非主营业务,因此不同平台内的经营者构成了较大的生态池,形成了整体的平台生态。
需要特别说明的是,虽然业界对《个人信息保护法》中个人信息处理者三个定语“提供重要互联网平台服务”“用户数量巨大”“业务类型复杂”认为相互间是“或”的关系,即选择关系,满足其一即构成“守门人处理者”,但我们比较倾向于认为此处的三个条件是并列关系(and),需要同时满足时方才构成“守门人处理者”。否则门槛太低,导致企业的合规义务太重也不利于互联网经济的蓬勃发展,反而也没有起到对真正巨大型平台的规制作用。
(2)《数安条例》
《数安条例》对平台经营者也给予了一些相关重要信息。首先来看两点内容:1.业务类型复杂。《数安条例》提到,互联网平台运营者为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者,可以一定程度参考理解为重要的互联网平台服务。2.用户数量巨大。用户超过5,000万,与前述《主体责任指南》中要求的年活跃用户达到5,000万不同。
与《个人信息保护法》相比,《数安条例》对“大型互联网平台经营者”增加了两点认定因素。第一点是处理大量个人信息和重要数据,第二点是具有强大社会动员能力和市场支配地位。其中第二点是前述国外立法、指南中均没有出现过的认定要素,原因可能在于网信办更多会关注平台生态治理,包括之前出台过有关平台生态治理的相关规定。一旦平台规模扩大,拥有不同业务类型、数据量增加,可能会影响到用户的思想、行为表现、舆论、能力等。这是《数安条例》里对大型平台所特别提出来的特殊要求。当然《数安条例》也提出要具有市场支配地位,前述《分级指南》中的具有较强的/超强的限制用户的能力,则类似于此处的“具有市场支配地位”,大型互联网平台经营者可能会利用其优势地位实施“二选一”行为。
(三) “守门人处理者”的考量因素
1. 提供重要互联网平台服务
参考《数安条例》第七十三条第十款对于“大型互联网平台运营者”的定义,即用户超过5,000万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
何为“大量个人信息”,根据《数安条例》第二十六条可得,处理一百万人以上个人信息的,则适用“重要数据”的相关规定。据此,企业可先参考“一百万”这一量级标准。同时《数据出境安全评估办法》第四条也提到处理个人信息达到一百万人的个人信息处理者向境外提供个人信息,需要申报安全评估。
对于“具有强大社会动员能力”的理解可参考《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第二条的定义,例如开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能,或者开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。其主要认定标准在于提供信息服务或具有提供信息服务或辐射相应功能,能够向用户提供公众舆论的表达渠道,或者具有发动社会公众从事特定活动的能力。例如直播、社交软件(聊天房、微博、微信朋友圈、自媒体公众号),为用户表达、发表评论提供渠道,目前均有实名制认证要求。《互联网用户账号信息管理规定》还进一步要求互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息。
对于“市场支配地位”的认定可以参考《反垄断法》第十九条对于“市场支配地位”的推定情形,即(i)一个经营者在相关市场的市场份额达到二分之一的;(ii)两个经营者在相关市场的市场份额合计达到三分之二的(有的经营者市场份额不足十分之一的,不应当推定该经营者具有市场支配地位);(iii)三个经营者在相关市场的市场份额合计达到四分之三的(有的经营者市场份额不足十分之一的,不应当推定该经营者具有市场支配地位)。也可以参考《反垄断指南》,在认定或推定经营者具有市场支配地位时,还应当具体考虑:(i)经营者的市场份额以及相关市场竞争状况;(ii)经营者控制市场的能力;(iii)经营者的财力和技术条件;(iv)其他经营者对改经营者在交易上的依赖程度。
部分经营者,通过在平台上的交易行为,使用户对平台已逐渐地形成一种依赖关系。这种情况下,一些大型平台由于财力雄厚、拥有海量数据、算法精准,并且不断跨界,甚至可能向其他市场传导其优势,进而形成赢者通吃或强者愈强的局面。此时,此种大型平台也需要遵守“守门人处理者”的义务。
2. 用户数量巨大
可参考《分级指南》和《主体责任指南》。
3. 业务类型复杂
举例而言,某些在线平台,同时包括搜索引擎、社交媒体、电子商务、移动应用商店,由于此种在线平台具备多类型的功能,不仅可以增强消费者的选择空间,而且便于在不同的平台打通数据,由此会使用户形成一种习惯和依赖,同时会造成用户转移至其他平台的成本大大增加。此为平台的诉求之一,其目的是通过全面、便捷的业务功能以留住、挖掘更多用户,同时提供多类型服务,使其产品的竞争力加大。实践当中,部分在线平台可能会向用户推送个性化广告、进行捆绑销售,或者通过先发放免费优惠券,之后开始要求付费,并且通过算法来计算用户粘性、收益水平,以此逐渐形成价格差异,最终演变为大数据杀熟。
针对“业务类型复杂”,如下几部主要法规值得注意并综合考量。第一,网信办2021年5月1日出台的《常见类型移动互联网应用程序必要个人信息范围规定》中列举了三十九类常见业务类型。例如,如果本地生活业务类型涵盖餐饮、购物、休闲娱乐、医疗健康、酒店旅行、家政服务等多种类型,以上多种类型是否会被认为符合“业务类型复杂”的条件。第二,《信息安全技术 个人信息安全规范(GB/T 35273-2020)》中区分了“基本业务”和“扩展业务”,是否与此处的“业务类型”有关联。个人信息处理者如果存在多个基本业务和多个扩展业务,是否属于“业务类型复杂”的情形。第三,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》不仅沿用“基本业务”和“扩展业务”的分类逻辑,并且在附录A中列举了常见服务类型App的基本业务功能、必要个人信息范围,均与此前的《常见类型移动互联网应用程序必要个人信息范围规定》保持一致,但新增并细化了关于必要个人信息的使用要求。第四,《分级指南》列举了六大类平台,包括网络销售类、生活服务类、社交娱乐类、信息咨询类、金融服务类、计算应用类,每大类平台下还细分出众多子平台。《分级指南》中定义的“大型平台”要求具有表现突出的平台主营业务,“超级平台”要求核心业务至少涉及两类平台业务。如果仅涉及一类平台业务,是否可以视为“业务类型复杂”。
从这个角度上可以思考,涉及到平台分类分级指南里列举的六大平台,包括网络销售类、生活服务类、社交娱乐类、信息咨询类、金融服务类、计算机信息运用类,以及其他更多的子平台,这里涉及到至少有主营的一些业务平台,或者还有涉及到要有两类以上的主营业务平台,这种情况则属于业务类型复杂的情形。另外,有一些平台所涉及的业务范围比较广,比如既有电商、又有文娱、营销,物流、金融、出行、社交、健康,而且每一个平台的规模都较大时,则可能要思考一下是否属于业务类型复杂。
综上,从欧洲的《数字市场法》《数字服务法》,到国内的《个人信息保护法》《数安条例》《主体责任指南》《反垄断指南》等法律法规和指南文件,对“守门人处理者”的认定因素主要包括:第一,用户数量巨大;第二,提供重要的互联网平台服务;第三,起到能够作为载体的通道作用,并且能够创造共同的价值需求和利益;第四,业务类型复杂,拥有众多平台业务,不仅区分基本业务、扩展业务,其功能也非常庞杂,以及涉及到相关市场的布局十分广泛,数据的处理量非常庞大,既处理个人信息,也处理重要数据;第五,具有非常先进的算法,包括能够进行大数据杀熟、二选一、过度推送、强制搭售,体现互联网的自我优待;第六,涉及到平台的交易量,市值基本达到1,000亿元人民币。综上,我们可以勾勒出守门人处理者的大致画像。
二、“守门人处理者”有哪些基本场景
(一)多发业态场景
《分级指南》中区分了六大平台以及相关子平台。
以下,我们将通过典型案例进行具体说明。
【案例一 电商平台】
在整个电商环节场景当中,不仅有平台经营者,还有平台内经营者都能够连接到相关用户,同时还会有一些需要其他的服务供应商来提供支撑的第三方,包含支付服务的提供方、统计类服务的提供方、广告服务的提供方,以及其他不同平台连接到电商平台中。部分直播社交平台以及一些大型电商平台,不仅采取了线上化模式,同时也采取了线下化的O2O模式。在店铺进行新零售时,还可能通过人脸自动识别、自动货架等提供商来提供服务。此外,还会涉及自动结算功能、物流服务等。在物流服务提供商的链条里,还可能会涉及相应的仓储服务提供方、入关清算服务提供方,同时在进行跨境电商服务过程中,当运输到境外以后,还会涉及一些境外第三方提供物流服务的支持。在如此庞杂的关系中,可以看到不同环节均有可能发生或者连接许多相关第三方,因此从上述因素可以判断,此类电商平台至少可以属于大型平台。
【案例二 医疗平台】
在医疗大数据的环境中,医院也可能搭建互联互通的电子病历系统,用于医生的科学诊断、治疗、安全用药,以及让患者在医院内部不同部门之间能够调阅病历记录、出入院记录、化验报告、医学影像等检查报告,实现医院之间信息化平台的打通。其中会涉及其他合作方,比如信息服务提供方、制作电子病历的技术支撑方。前述服务商可能要对数据库进行结构化,甚至对医院医生用药的情况进行监测或优化,提供绩效考核,甚至如化验、血检等也需要第三方来进行支持,可能会联合药企或者医疗器械等机构,共同合作定制研发或开发相应卫生信息的数据库。
一些临床、科研工作,可能还会在不同医院间打通相应的数据资源。从整体的卫生系统角度上进行平台数据共享,能够达到整体的线上线下的打通,互联网医院和实体医院或医院和药店等不同医疗器械服务提供的App小程序。还比如AI医疗,涉及用户手术过程中相关的病例或者术中的信息共享到云服务平台;硬件设备服务提供方跟云服务平台之间也会进行互联互通,主要进行实时计算,专家进行远程的方案指导;实际上都是在进行数据共享,数据流通以及互联互通。
在此过程中,如何确保一些限制性数据,如个人信息、隐私等不能直接传输至第三方;如何获得用户同意;以及涉及到医院或者某些设施/技术服务的提供方,如何确保自己的知识产权以及商业秘密等。
【案例三 金融平台】
在金融平台中会进行信用评分或者资信评估,构成一个信用生态圈;比如一些互联网金融机构,会将注册用户提供相关信息用于进行内部的评分机制,同时还会提供给数据提供商,或者通过接入其他大数据服务平台,进行用户个人画像的建模。在构建了风险的评分体系和信用体系以后,还会提供给相关的资方或者金融机构,再进一步进行评级。在此过程中,可能有一些用户资信不符合相关金融机构或者资方要求时,可能会发生数据回流,并重新进行派发。同时,金融数据还会再进一步报送给其他相关金融机构或者助贷平台,如果没有个人征信的牌照,此时还需要再引入一些征信服务机构来共同完成资信评级工作,同时提供给资方去进行进一步的授权和认证。在前述过程中,会涉及到在整个构建的生态平台中非常多的数据流通和互联互通的功能。
【案例四 智能网联汽车】
在智能网联环境里面,会涉及到智能网联汽车内部去收集的数据,包括车主的注册信息、车内收集到的座舱数据、车辆的运行数据、车辆的轨迹数据、车内的第三方应用,包括采集的语音、人脸、App等数据。在数据传输和计算的同时,相关的云平台也会进行数据的互通。同时可能还会与部分基础运营商进行数据互通。通过向基站发送传输信息,识别GPS的定位,以及监控车辆位于什么样的地理位置和坐标中。相关的车辆监管平台,或者信息处理平台,以及涉及到需要在研发阶段测绘的数据在图上进行数据的交互,还会在门店销售的过程中涉及到跟经销商之间的数据的共享和互传。我们可以设想,如果一个大的平台能够把所有的环节都串联起来的时候,则会形成一个更巨大的平台,甚至可能构成《分级指南》中规定的超级平台。
【案例五 大数据】
此外,还会涉及到大数据交易所以及广告平台。以广告平台为例,可能会连接到相关的广告主、广告代理公司,包括DSP、DMP、SSP,涉及到广告监测平台、广告交易平台,以及一些底层的终端系统终端商,还会可能在与各类媒体进行投放广告时进行连接,还有一些类似于ADX,与手机平板、可穿戴设备等智能设备进行连接。在这种大平台中,除了投放广告,可能还会在游戏当中嵌入广告,也可能还会在直播过程通过嵌入链接的形式进行广告植入和投放。这种情况下,会导致平台规模快速扩大,包括市场支配地位、数据量、用户量、对平台通道控制能力等,并已经足以达到“守门人”处理者的相关要求。
上述各种平台,其目的都在于数据的互联互通。无论是从总体的国家发展战略来讲,还是从将数据作为主要市场因素的角度上讲,都是亟需解决的问题。例如《数据安全法》中提到,既要保证数据安全、国家安全,同时要保证数据可流通可利用,能够两者并举的发挥,要消除数据的孤岛,让企业能够从数据盘活的视角上,给予更多的业务赋能。目前市场上,不同的平台会有自身独立的用户体系,整体趋势是会把所有的用户体系综合起来,构建数据中台,数据中台的数据还会在内部跟其他板块进行互通互联,或者跟其他平台外第三方进行相关的共享和融合。此外,如果数据传输到境外,涉及出海业务或者针对跨国企业,其数据的跨境流通需要进行统一化的管理,由于这些数据更多具有一些特殊目的,如用于用户画像精准识别、进行精准营销,因此还需要将这些数据的资产进行细化管理,以提高数据的价值利用,从而形成一个价值闭环的体系。其目的一定在于增强用户粘性,提升商业竞争能力,在不同的竞争者角度上提升服务质量,以及提升社会整体的治理水平。
(二)风险和挑战
1. 数据权属
与此同时,也会存在很多风险与挑战,如数据权属,即到底如何确权,以及在整个平台体系中,哪些数据属于企业自身,由此可能会带来数据权属不清的挑战。会不会涉及到数据过分集中、无序而导致竞争秩序更加混乱,或者相当于消除了竞争对手,表面上是针对竞争对手,实际损害了消费者的权益。另外,从个人信息保护角度,由于数据在整个平台内进行了打通,用户是否知情?是基于哪些目的进行的打通?在数据打通的时候,使用目的有没有进行限定,有没有在最小范围内进行平台数据的融合?作为个人,是否可以对融合提出限制或者否定的权利?数据打通有没有做到透明化处理,是否让用户知情或者有拒绝,甚至删除、转移数据的权利?通过互联互通的数据,用户是否会成为“透明人”,让用户陷入大数据杀熟的竞争中去?这些都是要考虑的问题。市场支配地位越大,越有可能对用户实施差别待遇。实践中,大数据杀熟是非常隐蔽的,证明算法是如何具体运作是非常困难的,所以《个人信息保护法》中也提出了对自动化决策进行限定,甚至要求相应的平台能够说明算法的机制,要求算法要有透明性,要有相应的可解释权、可解释性。
此外,国家、政府对重要数据、核心数据等是否有所有权?某些情况,数据本身只是一般的非个人信息,但由于数据量非常的大,以及包括一些衍生的信息,或经加工以后的统计性数据,就可能会演变成重要数据,这是一个动态过程。此外,还有两个企业之间同一数据是否会产生权属竞合?企业何时丧失数据权利等问题也值得留意。
2. 数据汇集、开发&数据传输、存储安全风险
随着数据的不断汇聚,用户很难触达,比如用户可能只授权给A平台,根本不知道可能会共享给B平台,或者平台对数据使用会基于很多目的,可能A平台共享给B平台是为了提升服务能力,或者开发一款新产品需要用户的底层数据,甚至还会有可能涉及一些注册用户的数据,也可能会共享给其他的不同平台。甚至在不同平台之间,传输数据的时候也会存在敏感数据的暴露,甚至可能涉及到主体责任不清,以及在进行相应的安全处理的时候,在不同安全域之间数据的流通和传输过程中会有强度降级的情况。
3. 用户信息
针对用户信息层面,如没有告知自动化决策会损害到用户的权益,以及对用户进行二选一的限制,还有过度推送,导致用户不停被打扰被骚扰。在某些情况下,由于平台级别越来越高、规模越来越大,安全措施和能力没有及时跟上,甚至没有进行数据隔离或单独存储,如果把所有平台的数据都进行打通,并且没有权限设置,还有可能被第三方通过外部侵入或攻击、密码被盗用、里应外合窃取等方式进行恶意或错误访问,而造成用户的人身财产损失。
4. 损害公平竞争秩序
此外,不同板块之间的数据融合可能会损害公平和竞争关系,并可能由此演变成垄断行为。由于平台规模的不断扩大,用户选择权相应降低,相关企业还可能利用其市场支配地位,实施限定交易行为,或者附加一些不合理的交易行为。同时,基于数据垄断导致平台具有强大的市场支配地位,随后进行价格上涨,甚至还会出现大数据杀熟的情况,同时有可能发生商品和服务质量的下降。如此看来,一个看似让用户免费获利的行为,实际让用户付出了更高的对价。
当企业获得一定数据资源的时候,可能会设置壁垒去阻碍其他经营者收集同样或者类似的数据,而且还会通过一些排他的手段去导致用户无法选择其他的产品或者服务。如果由于数据导致某些平台构成关键性基础设施,还会涉及到对隐私保护、对商业秘密的侵犯等。
综上可以看出,对于守门人处理者的规则,不仅仅设计数据安全、个人信息保护,还涉及到反不正当竞争和反垄断的相关问题,是一个跨领域的话题。这也要求我们从多角度、多视角去进行相应的规制,去保护作为处理者本身的利益和用户的权益。
三、“守门人处理者”有哪些合规义务
《个人信息保护法》下的守门人处理者的合规义务可以分为以下三大层次。
第一,对平台建设的义务。平台需搭建较为完善的系统化、体系化、经得住内部审计的个人信息保护的合规体系。此合规体系包括内部协议、外部政策、与第三方合作的服务条款、数据处理条款等。从顶层架构上,搭建相关的保护组织,甚至还要有进行监督和审计的专职人员,对平台内接触到大数据的具体岗位部门要经常性地进行培训、考核;要对外部供应商或者第三方的服务人员(包括SDK)或者机构进行背景审查,甚至还需要进行第三方认证评估。如果涉及关键信息基础设施或者掌握重要数据的,还要提前做好重要数据的评估工作,甚至要涉及进行年度的报备。针对个人信息,如果涉及特殊的敏感场景处理环节,不仅需要开展评估,甚至还要对是否能够进行数据跨境传输建立相应合规评估机制,包括向主管部门进行报备等义务。这样不仅能够在集团内部形成有组织、有流程、有依据的数据管理制度;同时也能够构建与第三方合作时的协议规制体系,以及集团内部对重要数据、敏感个人信息的防控和评估机制。除此之外,平台还要根据数据分类相应法律法规对数据进行分类分级,包括控制相应的数据在不合格的情况下向境外传输等。
在对内的管理要求上,建立信息发布、审核等平台内的管理规范,比如涉及舆论动员能力工作的,要进行相应的实名制认证审核,对第三方的评估认证,对平台的发布内容的审查,将数据在不同的平台进行传输时,包括平台内经营者之间进行传输时,要对接口进行权限设置。进一步提高算法透明度,需要平台发布算法审核规则,进行必要评估监测,甚至要对算法的可解释性进行相应说明,定期审查模型机理和数额数据以及应用结果是否符合合规要求;健全识别违法不良信息的特征库,完善入库的流程综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响、引发争议纠纷;同时还应当保障用户的投诉和举报渠道。
针对数据互联互通,无论是欧盟还是国内法规都有提到,不论是否双方有直接的竞争关系,如微信和支付宝以及一些电商平台是否可以进行共享,用户向第三方共享平台商品信息时是否可以在不同平台中都可以打开,以及可能影响竞争的,比如数据抓取这样的违法行为,都是值得思考的一些问题。
第二,对平台内经营者的管理义务。不同数据的分层问题也需要进一步思考,通过赋予用户更多的控制权,以对内部管理进行一些控制。
第三,需要接受群众监督或者第三方监督的义务。平台如果触发到相关违法行为时,外部监督可以发挥出有效的功能。如果涉及超大平台,根据《个人信息保护法》的要求,还要对外披露合规工作,以及制定内外部的审计合规报告,并向社会公布。因此,平台在接受社会监督的同时,也可以参与有关的国家标准制定,以更好的模式和方法处理企业的合规实践,同时也让社会更多地知悉、了解、带动。
四、“守门人处理者”的数据合规体系建设
在整体的合规建议角度上来讲,希望给予企业从我们平时所观察到的合规建议,包括:
- 平台企业加强自我审查:从他律转向自律;
- 健全合规体系:建立个人信息保护制度体系,定期进行评估、审查和审计(包括内部审计和外部审计);
- 加强平台治理:完善平台规则、落实用户投诉举报机制和平台内的监管责任(对平台内产品服务者的治理);
- 加强外部监督:设置独立监管机构,区别于公司内部委员会;
- 接受社会监督:定期出具个人信息保护监督报告和社会责任报告;
- 从个人信息保护和反垄断角度进行双重规制。
五、结语
大型互联网平台的不公平行为给市场的公平竞争性、对企业用户以及消费者用户的合法权益带来的负面影响已经成为全球范围内值得关注的问题。欧盟是首个对大型平台服务提供者,通过专门立法进行规制的法域。尽管有少部分观点对欧盟的《数字市场法》和《数字服务法》持有怀疑的态度,但是其对于“守门人”平台的特殊规制,具有对各国立法提供参考价值的意义。我国《个人信息保护法》借鉴欧盟超大型在线平台和守门人的概念及规则,结合中国司法实践,新设了个人信息保护的“守门人”处理者条款,实属开创了对平台进行分级规范之先河。不过从长远来看,应当专门制定一套完整的平台规制相关法规,而不是仅仅通过个人信息保护角度进行规制,如此才能更好地保障良好的市场竞争秩序、保护企业用户和消费者用户的合法权益,并促进我国数字经济时代背景下经济的健康、快速发展。
注释:
[1] 习近平主持召开中央政治局会议 分析研究当前经济形势和经济工作审议《关于十九届中央第九轮巡视情况的综合报告》,http://www.news.cn/mrdx/2022-07/29/c_1310647914.htm