个人信息保护法第58条素有我国的“守门人”条款之称。本条款兼顾多元主体利益平衡,引入大型平台的信义义务,在实践中有利于防止大型平台“公责失范”,切实保障互联网用户合法权益。然而,该条款由于弹性表述、引导欠缺等原因,实践中依然存在诸多不敷适用之处,尤其表现在“守门人”认定标准模糊、落实机制缺位以及责任机制匮乏。对策因应方面,首先应厘清“守门人”条款的义务性规范属性,划定平台固有权力与条款赋权的清晰界限,明确条款落实机制;其次是参考域内外立法例,对主体认定标准、义务内容等予以精准细化;再次是构建可操作的条款适用模型,合理配置认定的五要件和两类归责机制;最后是完善多元共治的监管机制,从“行业、行政、社会”三个维度监督“守门人”履行义务情况。网络平台作为利用互联网技术构建的,允许用户进行信息交流、资源共享和在线服务交互的虚拟空间或系统,是网络综合治理体系中的重要节点与环节,承担着维护网络空间秩序、保护用户个人信息权益的责任。截至2022年底,我国有167家网络平台企业市场价值超10亿美元,价值规模达2.37万亿美元,在世界网络平台布局中占有重要地位。网络平台固有规范平台内商户和终端用户行为的权力,行权过程涉及的个人信息与数据处理环节变化多端,其在“数据资源化”过程中将个人信息等数据与劳动力、资金等其他生产要素结合,渐进性地依附价值。网络平台积累至“大型平台”阶段,触手从互联网信息领域向经济民生各个部分延伸,从而逐渐影响涉及公共利益的决策权与话语权。可以说,大型平台从出生伊始就带有“私权力”底色。然而其在“权力崛起”的同时亦带来问题,例如,在自由职业平台Upwork上,算法管理加剧了信息和权力的不对称性,尽管平台设计可能旨在促进公平竞争,但实际上却可能导致某些用户处于不利地位。囿于数据处理行为的隐蔽性、传统的监管渠道的宏观性,且违约与侵权救济举证困难、效果不佳,大型平台迫切需要由专门条款对其个人信息和数据处理活动中的义务、监管、责任承担等方面进行规制,肩负“守门人”(Loyal Gate-keeping)的职责。“守门人”条款是指针对达到特定阈值(如市场份额、用户基数或系统性影响力)的大型数字平台企业所制定的特别义务条款,或可称其为“一套差异化监管义务体系”。“守门人”在此语境下特指那些在数字生态系统中占据战略性位置,依托优势资源或能力能够显著影响其他数据处理者处理数据能力的互联网运营实体。《美国选择和创新在线法案(草案)》对“主导平台”可能涉及的违法行为进行多维度分类;欧盟《数字市场法》(DMA)则建立了一套可量化的“守门人”认定标准,以遏制具有市场支配地位的平台对其他市场参与者和终端消费者施加不合理条件,从而“扶植新芽”,维护数字市场的公平竞争环境。随着立法发展,我国个人信息保护法第58条设置了网络平台需要承担的具体四项“守门人”义务内容,形成了以本条款为中心,辅之以其他规范的“守门人”特殊职责体系。现有研究多围绕条款解读、义务性质等方面,然在具体认定的标准、规范体系和个人信息保护报告等要点的阐释、违反规范应承担的责任等适用方面多未触及,特别是适用本条款的具体场景。故现有研究无法合理平衡平台数据利用处理与个人信息保护的目的,存在理论上不足。本文立足于个人信息保护法第58条的规定,试图分析大型平台作为“守门人”的认定标准、具体义务、责任承担方式等问题,进而构建一个符合法律逻辑和实践需要的“守门人”义务适用框架,以期对个人信息保护法“守门人”条款的适用研究有所裨益。“守门人”条款规定的是特殊的个人信息处理者在个人信息保护方面负有的特别义务,其本质是对超大型平台个人信息保护义务的强化,该设定的意旨在立法论上得到学界正面回应。故欲解决该条款的适用问题,亦应将目光返回到其法理逻辑。
个人信息保护法第58条是在本法第五章“个人信息处理者的义务”中单独设立的一条,与前述通用性义务相区别,其针对特定类型的个人信息处理者提出了更高层次和更具体化的要求,主要从主体地位和义务两方面进行规范。一方面,本条款的规范对象是特殊的个人信息处理者,有学者称为互联网生态“守门人”,即“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的个人信息处理者。这三者之间互为因果,在共同作用下形成了大型互联网平台,同时这些要素决定了此类个人信息处理者在网络空间中具有较强的话语权和控制力,一般情况下其对个人信息权益造成的风险和威胁难以被预测。因此,对于这类个人信息处理者,个人信息保护法考虑到其巨大控制力、影响力,赋予了其更多的义务和要求,以期实现对其行为的有效规范和监督。另一方面,这一条款列举了四项具体的义务和要求,分别涉及平台规则、停止服务和社会责任报告等方面。对于条款主干的四项义务,可从以下方面理解:其一,“守门人”的溯因。揆诸源流,随着Web1.0时代递进到Web3.0时代,涉及个人信息的场景愈发多样,网络平台企业在“数据的资源化”过程中收集、加工、汇集、使用个人信息,类似超范围收集与使用个人信息、大数据杀熟、二选一、过度推送、强制搭售等互联网自我优待而侵犯个人信息或数据的例证屡见不鲜,对超大型平台应特殊对待、分而治之。其二,“守门人”的要求。授予网络平台内部监督的权力是本条款的特征,但仅仅仰赖于大型平台的“自律”监管是不足的。平台经济先天具有胜者通吃的特点,用户的累积和使用次数的增加促成了新进入者的指数繁殖,市场结构高度集中。资本扩张的需求无限,而缘于自身优势,大型平台无法受到市场竞争机制的有效约束,对于其个人信息处理行为自然应采取预防措施,更高层次的义务要求应运而生。其三,“守门人”的监督机制。如果发现个人信息处理过程中的不法行为,但并无惩戒,则让本条款失去了效力。基于此,本条款第(一)(二)(四)项在事前阶段要求大型平台进行预防和审查,而第(三)项作为事后治理手段,积极地惩戒侵害个人信息安全的不法行为,实现事前审查和事后治理相结合。
网络平台乘着数字经济发展东风,在过去较长期间内受到政策倾斜,承接大量资本、人才、流量的涌入,造就事实意义上的优势地位。然因识别视角差异,不同的主体对于个人信息数据有不同的利益诉求。一般而言,平台倾向于追求经济利益,强调个人数据的资源化和价值化,因此会收集、加工、汇集和使用大量的个人信息数据;用户则倾向于保护自身权益,强调个人数据的隐私性和自主性,因此会要求平台尊重、保护和维护其个人信息数据。不同方面的利益诉求并不完全一致,甚至可能存在冲突和矛盾,“守门人”条款有效针对此类问题。针对多元主体利益的合理平衡,“守门人”条款的机能有二。其一,以“义务性规范”弥补网络平台运营管理中的不周延之处。无论采何种具体标准,在条款规范下平台总会建立起符合基本要素的配套制度,不至落于“无规可依”之境地。同时对其他事项(通知义务、信息披露等),可依条款制定一般的、合理的规则,在宏观层面为个人信息处理行为提供指引、锚定方向。这也使得初创平台在个人信息保护方面有可遵循的范式,降低了企业成本。其二,以“公共职能”义务维护多方主体利益。尽管目前学界对私主体能否承担公法义务尚未达成共识,但其背后原理也可揆诸一二,公法性质的义务一般涉及第三人利益,“守门人”固然可被视作牵涉公共利益的主体。条款第(三)项停止提供服务与合同规范中的“强行性规范”类似,“停止提供服务”这一“当为行为”就是在违法处理个人信息行为损害公众利益,或使不同主体之间利益的“平衡状态”被扭曲时,采取适当的干预措施以纠正失衡状态。所以,“守门人”条款的适用要考虑到长效数据监管机制的构建,形成“统一、开放、透明”的适用制度,这也与本法第7条规定的“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”一脉相承,达成多元主体利益的合理平衡。
信义义务理论与第三方义务理论为“守门人”条款适用提供了底层逻辑,在适用时必然要考虑如何符合该理论基础。一方面,基于信义义务理论的数据信托模式为“守门人”条款的设立筑建了理论基础。大型平台和用户的权力地位不平衡。欧盟《数据治理法案》就提出,平台(数据共享提供者)承担信义义务而对委托人(数据持有者)有责任,必须以委托人的最佳利益为行动准则。于此关系中,用户兼乃委托人、受益人,而平台则是受托人,它们对用户承担着基于信息关系的信义义务。一是忠实义务,即大型平台要将用户个人信息利益放在首位;二是注意义务,即勤勉尽责“守门”,防止用户个人信息受到黑客、网络诈骗等侵害。具体到大型平台收集、处理和使用个人信息的活动,其应按照谨慎合理“理性人”要求行事,不仅要具备必要的技能和专业知识,尚须将“信息侵害”之风险限制于合理范围,以免妨碍信息流通与善用。例如,《美国数据隐私和保护法(草案)》第1章就以“忠诚义务”命名,明确提出平台在数据收集、使用和共享中应承担忠诚义务,也是信义义务的明文化体现。该章规定的要点有二:一是,信义义务供给了个人信息和数据保护总的原则和远高于“一般注意义务”的弹性标准;二是,“守门人”条款的适用场景不仅限于平台和用户两方,由于平台内经营者和其他第三方的参与使得法律关系更为复杂,信义义务可以将处理个人信息活动的数据流通关系拆分为数据持有权人(用户)和数据信托机构(平台终端)之间的信托关系以及数据信托机构(平台终端)与数据需求方(政府、学术机构等)之间的数据许可使用或数据产品开发合同关系,独立的法律关系使得风险得以隔离。条款内的信义义务理论内核,一定程度上有助于用户放心地披露个人信息,不仅让个体与平台共益,也为长期、可持续地收集、使用和披露信息另辟蹊径,进而实现对个人信息的“最大化保护”。另一方面,第三方义务理论解释了“守门人”条款的原理。在网络服务关系中,大型平台被视为第三方,而可能利用平台服务进行违法活动的商业主体是第一方,可能受到侵害的普通数据主体或终端用户则是第二方。互联网空间中,企业违法类型千变万化、发生迅速,以私法规范上的侵权责任与公法规范上的行政规制相结合的传统做法无法全面治理公共事务与应对风险。而第三方义务制度类推而言,指的是在某个平台上,由于该平台具有有利地位,可以在一定的成本范围内发现违法行为并进行处理,从而显著减少实施法律的社会成本。尽管大型平台并非违法行为的主要执行者或受益者,但由于其在技术、经营或管理上的优势,它不仅自己要遵守个人信息保护规定,还有责任确保平台内的经营者也遵守个人信息保护的规范,并采取预防措施来避免有害行为的发生。基于此,“守门人”承担的第三方义务不仅更符合成本收益分析,还能有效地弥补由于行政资源有限和违法行为者众多、社会风险大所导致的资源和风险的落差。以私人主体的身份,“守门人”对侵害个人信息的行为进行监管,承担的是类似于行政法上的第三方义务。起源于欧盟《通用数据保护条例》的守门人条款,在我国个人信息保护法第58条得以体现。但当前我国的“守门人”条款尚有不敷适用之处,从规范到实践之路仍有堵点。针对“守门人”条款,本文拟从“由里及表、由内至外”的思路,围绕条款法律性质、字面含义、构成要素、责任归属等层面进行“条分缕析”的梳理,进而分析条款适用的现存困境。
对于“守门人”标准的认定困境,可在行为性质认定及主体识别标准上逐一分析。在行为性质层面,本条款仅采用了“个人信息处理者”这一表述,然回归本条款的理论基础,数字“守门人”理论将“守门人”视作一个专用概念,区分了“超级平台”和“一般主体”。质言之,尽管部分平台主体事实上具备优势地位和遏制侵权行为的能力,但由于其不属于法律规定的“超级平台”范畴,故不能被冠以数字“守门人”之名。据全国人民代表大会常务委员会宪法和法律委员会对部门、专家建议的反馈,本条款义务主体是“超大型互联网平台”;同时有学者提出,第58条义务主体是“超大型互联网平台”。将本条款指代的“守门人”简称为“大型平台”。一般意义上,这类“大型平台”通常都是个人信息处理者,在正常经营过程中自然会处理用户个人信息,但是这两种定义并不完全竞合。在本条款语境下“大型平台”扮演的更多是“守门人”这样一种对个人信息安全承担特殊义务的“管理者”角色,其仅对个人信息处理的行为加以管理,接受监督,施加惩戒或披露信息,自身并没有处在个人信息处理行为的过程中。譬如,大型二手交易电子商务平台中,买家A购买卖家B所发布二手物品,取货后发现不合要求,遂通过聊天窗口多次找到B打算退货,然B因个人原因一直未上线,A认为B作为卖家言而无信,而通过评价将快递标签上B的个人信息(姓名、电话、住址等)打出,欲进行曝光。此时,二手电商平台已自动记录保存评价信息至云端,该评价信息包含B的个人信息,亦对B个人信息权益造成侵害,但平台实际不参与本过程任何个人信息处理行为,仅提供服务与撮合交易。大型平台在此链路中并不是作为“个人信息处理者”存在,适用“守门人”条款采取删除、屏蔽手段处理曝光的个人信息或无争议,但必然会出现逻辑上不严谨的谬误。在主体识别标准层面,“守门人”的判断标准应当具体且可量化,单纯用描述性语言来确定“守门人”不仅会让责任承担主体界限不明,也给相关部门履职时带来诸多困惑。个人信息保护法第58条仅作“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的表述。因为对“守门人”标准的阐述并未做量化型规定,我国“守门人”条款中对于主体的认定具体标准略显模糊,第一是主体标准,用户数量多少才能认为“巨大”,同时采取哪一时点作为测算标准;第二是行为标准,包括哪些业务类型才能算作“复杂”;第三是重要性上,所说的何种互联网平台服务可能被认为“重要”。本条款对这些问题一概没有具体标准,必然导致适用的困难,亟待勾勒出具体判定标准。
“守门人”条款的表述较为弹性,对四项具体义务仅用笼统性的表述来规定,在具体适用中,或可能无法发挥预想的指导作用。首先,义务的范围边界不明。本就是大型平台的“守门人”,承担特殊义务是因为其技术管理优势,行为理应有更严格的标准,减少施加“守门人”义务带来的不利影响,否则任一超出范围的微小行为都将带来蝴蝶效应。本条款第(一)项外部监督机构的属性未定义,是否需要有相关资质、应当监督哪些行为以及何种情形下需要回避等问题均无规定,规范的缺位使得外部监督的实效性存疑。同样,第(三)项所规定的“停止提供服务”的方式、手段、时间期限不明,第(四)项规定的“个人信息保护社会责任报告”应披露的具体程度未作规定,也存在和其他企业发布的报告重复的问题。其次,具体内容的不明也会带来义务范围的边界不清。其一,第(一)项中的规定为笼统表述,这样不能确定“守门人”应承担的具体义务,但本条款却将大型平台的自主行为转化为义务行为,又未加以释明。这样不仅不能突出“守门人”制度的特殊之处,也缺乏“健全”的判断标准。其二,外部监督机构的组建标准未明确,也就导致外部监督承担职责不清,如果由企业自行组建的机构来监督自己,这样的监督机制形同虚设。其三,条款的第三方义务在可实现性上有所欠缺。设立此类义务是因为大型平台深度参与了个人信息处理行为的环节,是作为“第一视角”存在,相比政府监管机构有近水楼台的优势,也节省了环节流转的成本。但是在规则、边界都不明确的情况下,“守门人”为处理违法行为贸然断供平台服务,可能导致上游数据无法有效补给其他企业,反而可能强化数据占有支配优势地位,加剧行业垄断。进一步,相比于其他三项规定,第(三)项义务带有惩戒性质,其中存在的问题值得重点讨论。个人信息保护法第58条“守门人”条款第(三)项和本法第51条、民法典第1197条的内容存在相似之处,相互关系应当重视。个人信息保护法第51条规定了个人信息处理者应当采取相应的措施确保个人信息处理活动合法,并保护个人信息的安全,主要判断标准是“对个人权益的影响、可能存在的安全风险”等;而民法典第1197条规定了网络侵权的“红旗规则”,网络服务提供者在知道侵权现象存在情况下需要采取处理措施,根据“知道或应当知道”这一客观标准进行判断。在法秩序统一的视角下,不同部门法之间对于“合法”或“违法”的认定不应出现矛盾对立。“守门人”条款第(三)项授予大型平台自行判断违法程度而采取“停止提供服务”措施的权限,或对民法典第1197条带来冲突。其一,从判断标准讲,上述两个法律条款的规定,前提条件都可归纳为民事权益受到侵害的事实存在或有遭受侵害的风险,是一种事实、客观的判断。而“守门人”条款第(三)项规定的表述为“严重违反法律、行政法规的规定”,是一种法律判断。原则性的表述省去了解释复杂的赘余,但也让条款的施行在法律属性上缺乏基础。作为私主体的大型平台,本身并不具有进行法律判断的资质与能力,遑论让其担任定义“严重”违法决策的角色,不仅不具有法律效力,作出的处罚结果也难以服众,决策端的内在缺陷也进一步导致权力的滥用。其二,从措施性质上讲,个人信息保护法第51条和民法典第1197条的“相应措施”和“必要措施”的行为是一种对合法性的保障及民事权益遭受侵害的补救,如若使这种侵害和风险归零,则可认为尽到了相应措施。而“守门人”条款第(三)项规定的停止提供服务具有惩罚性质,是一种对平台内经营者“经营权利”的剥夺,实质上是对财产权利的剥夺,超出了“守门人”条款应有的规范内容。其三,从理论来源上讲,由于本项规定只有“停止提供服务”一种选项,并没有前端通知、警示的处理方式,大型平台统一采用处罚性强的方式一刀切地解决问题,本身就是对信义义务理论和第三方义务理论的违反。通通采用“停止提供服务”的处理方式极易产生误伤,如若采取柔和手段可以解决,则无断供必要。例如平台内经营者典型如网店,存在个人信息侵害行为的同时也承担大量出卖义务的履行,若贸然断供将会导致个体债权关系无法实现,是对交易安全与秩序的破坏。同时其亦会带来影响市场竞争格局等不利影响。采取“伤敌一千,自损八百”的手段,不符合经济理性。
“守门人”条款的落实思路,自当与整部法律的属性保持一致,个人信息保护法存在一定的公法属性,进而影响了具体条款的表述。条款本身是对“特殊”的个人信息处理者即网络平台的义务要求,“应当履行下列义务”的表述就代表其具有“义务性规范”的特征。较高的义务要求,对应着更难的实践水平,条款落实机制面临困境。一是条款的模糊性可能导致对“守门人”义务的过度泛化,混淆了平台的“私权滥用”与“公责失范”;二是“守门人”条款中不同义务的性质和定位差异可能导致实施上的冲突。一方面,条款适用范围广泛,要件描述模糊,义务的违反难以判断。条款第(一)项义务建立个人信息保护体系的要求在语义上较为广泛,如果不加以解释和限制,某种程度上,任何有涉平台的侵犯个人信息权益事项,均可被视作未建构好规范体系,进而被归纳为对“守门人”条款的违反。具体而言,平台制定不合理平台规则(私权滥用),违背“守门人”义务导致负面效应(公责失范)。前者行为未必与“守门人”条款有关,即使没有条款规定,平台也可以做出“私权滥用”的行为,因为其依托于技术和地位优势。如若将任何个人信息侵权行为,都丢进“守门人”条款义务违反的箱子里,道理上或许解释得通,但也造就了陷入无限循环的口袋条款。又或者针对第(三)项义务,平台未及时处理违法行为是违反条款义务,但如果将处理“矫枉过正”又理解为违反“守门人”条款,则会陷于“平台利用固有地位或技术做出行为→滥用‘守门人’条款→违反‘守门人’条款→平台利用固有地位或技术做出行为”的论证窠臼,分不清平台是滥用“守门人”条款赋予的权力侵权还是违反“守门人”义务本身。所以,不能将侵犯个人信息权益的行为统统看作对“守门人”义务的违反,需要在“私权滥用”和“公责失范”的对立统一中剥离观之。准确识别平台行为背后的权力源流和主体性质,对于条款适用至关重要。另一方面,“守门人”条款在落实上几项义务的性质和定位不在同一位阶。条款的(一)(二)(四)项义务并不是具体的行为标准,带有较强的“鼓励”“宣导”色彩,内容丰富;第(三)项义务在不同层面可归入其他三项义务。基于前述逻辑,条款彼此义务之间或存在冲突,例如第(一)(二)(四)项义务中都隐含着“治未病”的要求,在事实上也就让大型平台承担了“事前审查”的义务,若第(一)项义务履行中存在不足之处,第(三)项义务履行存在未及时处理情形,则被第(四)项义务披露就陷入“道德困境”,让条款目标的实现变得脱离现实。
“守门人”条款在责任形式和举证责任两方面存在不少争议和困惑,导致其责任机制缺乏清晰性和可操作性。一是责任形式。“守门人”条款作为一项规定平台特殊义务条款,是需要大型平台能动履行方能达成,如若未规定条款对应的责任形式,则失去了规范应有的约束力。个人信息保护法第66条规定了个人信息处理者在未履行义务时应承担的行政责任,即警告、处以罚款、责令整改等。但问题在于未规定民事责任的条款,尽管本法第69条通过侵权责任的规定实现了与民法典侵权责任编的衔接,但是相当多场景下大型平台因未尽到“守门人”义务而导致的个人信息权益损害不足以认定为侵权。这就导致出现了真空地带,囿于“黑箱模式”下大型平台会施加诸多不合理的条款,这使得基于合同上的请求权无法有效解决私法救济问题。二是举证责任和归责原则。违约救济情形下,一般情形下都应由提出诉请的人承担举证责任,但由于大型平台所涉纠纷中存在的“证据偏在”现象,个人用户往往面临着举证困境。个人信息保护法第69条规定了个人信息侵权的“过错推定责任”。但是,若是单单凭借未“尽善尽美”地履行条款义务就认定大型平台存在过错,也并不合理。若将其理解为穷尽寻找违法行为,实是对平台施加过高的主动审查义务,难免有悖常理。可见,“守门人”条款语境下的过错如何认定,仍是待解难题。针对“守门人”条款存在的适用问题,仅凭文义解释难以解决,而需要从相关法律法规中推理确定相应要件,从域外立法例中汲取养分。应当明确“守门人”条款的法律属性,再结合四项具体义务细化条款的适用要件,进而理清“守门人”条款适用的落实机制和责任机制,同时完善条款适用的监管机制。
“守门人”条款采用“三要件”文本阐述的形式,将条款适用主体限定为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”。具体而言,宜将所谓的符合三要件的“特殊的个人信息处理者”阐释为“大型互联网平台经营者”。原因在于互联网平台是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。互联网平台的经营者就是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。显然这类平台经营者具有个人信息处理的能力和刚需,系个人信息处理者且是其子集。加之本条款的“提供重要互联网平台服务”又对“个人信息处理者”概念进行限缩,故“大型互联网平台经营者”与“特殊的个人信息处理者”存在重叠的可能。进一步,尚须对认定“守门人”的条件进行具体识别,即对条款“提供重要互联网平台服务、用户数量巨大、业务类型复杂”(以下分别简称第1、2、3项条件)三项条件依次拆解分析。鉴于我国“守门人”条款并未像域外法般直接规定具体标准,宜先找出法律依据,参照相关法律法规标准适用。根据《网络数据安全管理条例(征求意见稿)》(以下简称《数安条例》)第73条第10款对于“大型互联网平台运营者”的定义,恰好与“守门人”条款主体相同,即用户超过5000万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。于此可提炼第1、2项条件的具体标准:第一,用户超过5000万。此标准解决用户数量“巨大”的判断难题。用户数量多反映于ID(账户)数目,单纯以ID数目计或以点击量计会由于同一自然人注册多个账户或遗忘密码产生“僵尸号”、刷点击量等现象造成重复计算。故《互联网平台落实主体责任指南(征求意见稿)》(以下简称《责任指南》)在界定“超大型平台”时,数据标准为“不低于5000万”,数据限定于“上一年度年活跃用户”。而欧盟数字服务法规定为“月活跃用户”等于或高于4500万。具体计算时,“年活跃用户”可参照《责任指南》规定的以上一个年度计,这一数据也反映大型平台的披露要求,例如每年末发布在个人信息保护社会责任报告中;“月活跃用户”方面,可采用过去六个月数量的平均值。同时还可参考欧盟关于数字服务法修订报告的相关意见,其独特之处在于强调了用户统计口径的细节处理,例如按照单个服务分别统计用户数、对多设备登录的用户去重处理、剔除间接用户、按照服务链条就近分配用户,以及排除非人类的自动化交互。这些做法有助于减少“误识别”的现象,进一步加强认定精准性。另外,《责任指南》也规定超大型平台上年底市值(或估值)不低于1000亿元人民币。第二,处理大量个人信息和重要数据。本条的核心在于“大量”的标准界定,宜探寻固定标准。《数安条例》第26条规定,处理100万人以上个人信息的,则应视为“重要数据的处理者”对待。据此,由于个人信息与重要数据存在交叉竞合的可能,企业可先参考“100万”这一量级作为“大量”标准。第三,具有强大社会动员能力,与条款“提供重要互联网平台服务”相呼应,主要体现在不可或缺性、控制力和公共性上。例如,支付宝、美团等大型平台的服务对于社会的正常运行和居民的正常生活具有不可替代的作用,用户在使用其提供服务中不可避免地需要提交个人信息。与此同时,“控制力”既代表大型平台具有处理个人信息的能力,也代表其具有排除妨害、消除危险、采取措施的能力,可以精确地采取条款第(三)项“停止提供服务”行为而尽可能控制不利影响。而在“公共性”方面,可参考《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》第2条的定义,大致分为三类:一是提供信息发布交流平台,如B站UP主、抖音直播等;二是开辟公众舆论表达渠道,如公开投票、开启弹幕发表等;三是发动公众开展特定活动,如众筹、请愿、网络社会运动等。其特点可提炼为提供不特定第三人以表达或行为阵地和虚拟场所。第四,具有市场支配地位。可以直接参考反垄断法第23、24条对于“市场支配地位”的认定和推定情形,从市场份额、控制市场的能力、财力和技术条件、交易依赖程度、进入市场的难易程度、其他因素等方面进行考量。关于条款第3项“守门人”认定条件“业务类型复杂”,其本质是指个人信息处理者提供的重要互联网平台服务中的交易业务的架构多样且复杂。具体标准可进一步拆解为三层标准:其一,服务类型复杂。大型平台所经营业务的种类多是跨领域、多类型的,结合前述《分类分级指南》,一个平台往往涉及2种以上业务,例如腾讯既有名下的社交娱乐类业务QQ、微信,也有自营的互联网金融平台财付通。其二,公司架构复杂。大型平台往往极具资本优势,股权结构设计精心,由此形成多个子母公司、VIE结构等现象,加之常有人格混同情形,更使结构复杂。其三,处理个人信息活动涉及法律关系复杂。大型平台处理个人信息的环节涉及各种各样社会场景,例如大型电商平台交易环节可能包括网络服务合同关系、买卖合同关系,也包括资金担保、货物运输等多种交易环节等。具体认定时,并无严格递进程序,因为“业务类型复杂”是辅助性、形式化的条件,更宜适用灵活标准。
“守门人”条款义务的实施直接牵涉个人信息具体权益和公共利益,义务履行不到位无法起到“守门人”条款的保护效果,履行过当则反而会造成“权力滥用”,针对条款第(二)(三)项,应限定义务范围。关于条款第(二)项“制定平台规则”的规定。平台规则是涵盖互联网平台自身、平台内经营者、用户等诸多主体在内的活动准则,相当于网络空间内的“法律”。条文拆分成两部分,分别从“遵循原则”和“规则内容”角度规范。具体来说,“公平、公开、公正”的“遵循原则”恰对应平台规则制定、内容、实施三个方面,整体上勾勒出平台规则的画像,作为全流程的指导精神存在。而“规范内容”明确规定平台规则包含“明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”,是基础、底线的要求。首先,平台规则的制定。在制定过程中,平台要确保流程公开透明,特别是针对平台用户开放参与发声渠道,不得对用户采取不合理和歧视性的限制措施,具体标准可参照电子商务法第34条规定,例如平台可采取弹窗、置顶的方式,在易于注意的位置征求关于平台规则的意见。其次,平台规则的内容。平台规则具有“软法之治”“意思自治”的属性,在不违反法律、行政法规的基础上对各方具有约束力,规则中应明确平台采取各项处置措施的条件。同时,仅依靠条款第(三)项规定的“停止提供服务”这一单一措施,无法应对未达“严重”程度的侵害个人信息情形,故平台规则应区分不同违法程度补充设置处罚措施。最后,平台规则的实施。其一,平台规则应先将文字规则转化为技术规则。因用户数量庞大与提供产品与服务纷杂,依靠人力进行规则实施并不现实,技术手段不仅有效节约成本,而且便于处理虚拟类服务。平台可设定自动弹窗或显著位置显示的方式与用户签订平台规则,例如微信小程序进入后会底部弹窗,须先经用户授权,小程序才可获取手机号、ID等个人信息;其二,善用技术手段核实平台内的商业用户是否遵循了平台设定的个人信息处理规范。例如手机系统内置APP商城会通过技术手段对各应用安全性进行检测,用户安装非官方渠道下载的软件将会收到弹窗型风险提示。而对于处罚措施阶段,则有赖于人工比对适用条件,进行严格审核;其三,建立畅通的投诉举报、意见反馈渠道。仅仅凭借技术手段,不足以全面审查平台规则的实施情况,也易引发“算法误杀”情形,具体的调查和处理确有必要。关于条款第(三)项“严重情形下停止提供服务”的义务。首先需明确,该项义务的适用并未将有关部门的要求或者人民法院发布的命令作为停止提供服务的前提,而是以平台内的产品或者服务提供者“严重违反法律、行政法规处理个人信息”为要件。与此同时,停止提供服务意味着平台内经营者的相应业务被平台终止,例如对于应用分发平台而言,可以理解为直接从平台上下架该款产品。条款只规定了“停止提供服务”的选项,对产品和服务提供方而言,该惩罚措施涉及的利益十分重要和基础。有关法律和行政法规并没有设置明确的要件,缺乏专业知识的平台所进行的法律性评价及措施很可能违反比例原则。为避免守门人平台以个人信息权益保护之名,行侵害个体权益之实。应认为,只有当主体严重地违法违规,平台才能依据明确的实体要件和程序规则,在确有必要时才停止提供服务。条款第(三)项也可参考《网络食品安全违法行为查处办法》第14条的规定,当大型平台发现违法处理个人信息行为时,应及时制止并立即报告主管部门,只有当违法达到“严重”标准,才采取“停服”手段。分类而言,应明确第(三)项义务适用的实体要件和审核指引。实体要件上分为三点。第一,违反法律、行政法规。法律、行政法规的定义相当广泛,既包括个人信息保护法、网络安全法、数据安全法等法律,也包括《互联网信息服务管理办法》等部门规章。这就是说,大型平台只要“知道”或者“应知”平台用户利用平台内的网络服务侵害他人民事权益如个人信息权益的,就应当立即采取删除、屏蔽、断开链接等必要措施。第二,违法达到“严重”程度。“严重”可以从风险程度高、紧迫性强等方面综合判断,当纵容产品或服务提供者违法行为可能造成继续损害或无法挽回的后果时,则可以采用“停止提供服务”的措施。第三,平台获知或应当获知违法情况。结合民法典第1197条规定,“知道”的主观心理状态即是故意,证明途径有“行为人自认”和“通知与取下规则之违反”两种。自认固不待论,民法典第1195条所规定的“通知与取下”规则,该规则旨在规范网络服务提供者面对网络侵权受害人的权利保护通知应采取必要措施。但是,因为投诉无成本、“滥诉”无后果,平台收到的投诉往往是根本不构成法律上侵权的事实,合格通知的标准亟待厘清。大型平台应建立易于操作的一站式举报渠道,支持以电子化方式提交举报材料,同时有必要引导举报人提供高质量的违法内容线索,提高举报的精准度。具体而言,平台应当要求并协助举报人提交四类关键信息:其一,阐明认定内容违法的事实依据与法律依据;其二,准确标明违法内容的网络位置,如具体的URL等,以便平台快速定位和核查;其三,举报人需提供真实身份信息(姓名、电话、电子邮箱等),这也是为了确认存在严重违法行为后,平台与用户取得联系,但针对特定类型的违法内容,例如涉及儿童色情等犯罪的,可以允许匿名举报;其四,举报人应当以诚信原则作出书面承诺,确保所举报的内容和指控客观真实、完整准确。进一步,筛选出拥有专业知识、中立、勤勉的“可信举报人”,对于其提交的通知优先考虑与处理。在审核指引方面,由于平台在事实判断上具有主观性,在法律判断上缺乏专业性,仅仅依靠平台自身力量进行个人信息审核往往无法实现程序正义。因此,制定明确的审核指引至关重要。网信部门应该事先明确个人信息审核的具体标准和规范,让平台内经营者可以自行对照防范,大型平台亦可借此明确执行标准。在决定暂停服务时,平台应根据具体情况综合考虑四项因素:一看提交的明显违法内容或者明显没有事实依据的举报有多少,二看这类问题内容或举报占总量的比重有多大,三看行为的恶劣程度,涉及违法内容的性质与危害后果,四看当事人主观是否具有滥用的故意。尚需注意,在不同的违规情形下,平台应该依据法律和行政法规设置梯度性的处罚方案,包括警告、违规公示、扣分、停止提供服务等多种不同方式,而非直接采取“停止提供服务”这样严厉的措施。
“守门人”条款的落实机制应从统一的角度去考察。根据个人信息保护法的定位,本条款意旨应为对个人信息合法权益的保护,基于此对“守门人”条款的实施特征可做如下归纳:其一,专注个人信息保护。我国“守门人”条款不同于欧盟设置于经济法和美国设置于隐私保护法的规定,该条款规定在个人信息保护法,将条款适用主体确定为“个人信息处理者”,并在义务内容中侧重于对个人信息的保护,凸显了在信息时代背景下对个人信息保护的重视。其二,“义务性规范”。本条款将“建设要求”上升为“法定义务”,将“可以完成”规定为“必须完成”,这也就意味着在义务标准上应将本条款所指代的大型平台与普通的网络平台有所区分。例如,条款第(二)项要求制定平台规则来作为一种治理平台、约束各方行为的手段,大型平台在制定平台规则时应起到示范与表率作用。同样,第(四)项定期发布“个人信息保护社会责任报告”,文义上已经表达社会责任上升为法定义务的内涵,一些大型平台首先作出尝试,也可带动行业内对个人信息保护的重视。其三,赋予“私权力”的义务。第(二)(三)项义务,前者允许平台实施“软法之治”,后者赋予平台“停止提供服务”的“权力”,这也是我国“守门人”条款特色之所在。其四,“事前审查”和“事后治理”相结合的义务。这一特征其实是基于前述两种措施之结合,即大型平台可在早期制定平台规则,充分发挥“平台自治”职能,实现“事前审查”,又可在平台内经营者违反法律、行政法规情况下“停止提供服务”,实现“事后治理”。有鉴于此,“守门人”条款的落实机制本身有独到考量,解决适用难题应在尊重现有立法下解释与弥补。一方面,区分条款的“授权”与平台内生权力。在过往研究中,有学者担忧,大型平台可能滥用“守门人”条款,进而导致“权力”的进一步失范。应当看到,“守门人”滥用“权力”的行为并不鲜见,但大多情况并非条款授权所致。例如,平台之间本应充分交互才能为用户提供良好体验,但具有资本优势的大型平台在部分情况下限制API(应用程序编程接口)从而关闭其他主体对数据和功能的访问,形成“围墙花园”。上述情形是由单一主体引发的“社会连锁效应”,属于大型平台滥用私权,但本质上与我国的“守门人”条款无关。平台滥用私权,是对其固有权力的越界行使,侵犯了用户或其他市场主体的合法权益。这种行为的判定标准主要基于市场规则和私法原则。相比之下,大型平台不履行“守门人”义务,则是一种“公共责任失范”,其危害不仅限于特定主体,还可能影响整个数字生态系统的健康运行。所以,上述情形虽然利用了平台优势,但与“守门”和“个人信息保护”无涉。断供数据、非法售卖和提供数据、非法查询个人信息等行为,其实并非根据条款的“授权”而生,而是平台固有的技术手段或内部员工的个人行为导致。由此观之,大型互联网平台出现违法侵犯个人信息权益现象时,不宜统称认为违反“守门人”条款,而是要综合行为方式、影响范围、后果大小等因素综合判断,以达到“应为而不为”的判定标准。职是之故,平台运用私权进行正常运营和治理,与履行“守门人”条款规定义务中行使权力不同;进而,平台滥用私权,和平台滥用“守门人”制度带来负面效应不同。所以,先要明确两者因交叉而呈现的结果并非本条款带来的困境,而是平台自身属性所致,才能更好聚焦于条款的精准落实。另一方面,厘清条款定位,明确具体义务的属性。该条款的核心目的是保护个人信息安全,防止滥用和泄露,应将义务的法律属性界定为一种“事前预防性义务”。这意味着大型平台在个人信息处理过程中应当采取预防措施来降低侵权和违法行为的风险,四项义务的规定也均是围绕这一属性展开。此为条款特征所在,若无“事前治理”,则失去“守门”意义。但根据官方释义,让大型平台针对复杂多变的侵权进行全面识别不可能完成,同时提供技术服务的大型平台没有普遍审查义务也是“理性人原则”三大标准之一,故而让大型平台进行事无巨细的“事前审查”并不现实。综上,“事前预防”并不是要求大型平台对于其提供的互联网平台服务中的产品或者服务的提供者的个人信息情况展开审核,而是强调大型平台在个人信息处理过程中应当采取预防措施来降低侵权和违法行为的风险,而非要求完全预防一切侵权可能性。
责任机制关系到“守门人”条款能否被有效实施。在责任承担的前置判断上,需要关注其“法定义务”属性,信息主体受到实际损害与否并不必然牵涉违法认定,质言之,只要个人信息处理者违反“守门人”条款规定的四项法定义务,不论信息主体是否受到实际损害,认定为违法确无争议。责任认定方面。第一,主体前置。主体应满足“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的三要件,具体参考前述“守门人”的认定标准,也意味着将中小微型平台排除在外。第二,客观要件,具体就是对条款四项义务的违反。前两项要件为责任认定核心的判断标准,因为“守门人”条款的“义务性规范”属性,只要满足主体和客观要件,即认为违反了“守门人”条款,责任认定成立,但责任具体承担的幅度和细节等方面仍可参考其他要件。一言蔽之,义务违反的认定与违反义务的责任承担应分而治之。因而,辅之以参考要件至关重要,第三、四、五即为参考要件,述之如下。第三,结果要件。违反“守门人”条款的认定不需要有“损害后果”要件,仅需要将后果要件作为责任承担的酌定标准。设立结果要件的必要性在于,条款四项所规范的并非明确具体的微观行为,轻微的动作变形和初次的不规范实难成为苛责“守门人”的理由。分类讨论观之,条款(一)(二)(四)项宣导性强,如未发生严重后果则不宜处罚过重,而(三)项本身已代表着严重违法行为存在,已有损害后果存在的必然性或较大可能性。第四,过错要件。与第三点的分类类似,条款(一)(二)(四)项宜尤需考虑到平台的过错问题,需要有平台存在故意或重大过失的情形,而第(三)项义务的违反已经隐含着“过错”。具体而言,“过错”的认定反映着平台需要尽到何种程度的注意义务和治理手段。如若将“过错”理解为大型平台内存在任何一例个人信息权益侵害现象,则让其背负了过重的负担。在这种情况下,大型平台即使采取了合理的措施来防止不法行为,一旦有用户侵犯其他用户个人信息权益,大型平台也将一律承担责任。这并不现实,也可能会导致平台过度审查内容,以避免任何潜在的法律风险,从而对用户权益造成不利影响。故此处“过错”应理解为在大型平台未尽到一般的、合理的审查义务,以及在明知或应知侵犯个人信息权益情形下未采取必要措施。第五,因果关系要件。即在判断是否需要存在结果要件时,在客观要件与结果要件之间搭建辅助判断的桥梁和纽带。综上,结合上述五个要件,本文拟搭建一个可量化、易识别的“守门人”条款适用模型(见图1)。
责任承担方面,大型平台若违背“守门人”义务,自然应当承担个人信息保护法第66、67、68条规定的违法处理个人信息的行政责任,包括警告、没收、责令暂停或者终止提供服务、罚款、记入信用档案等。此外,可以考虑建立“守门人”个人信息保护行政和解制度,发挥对刑事风险“前置分流”的作用,进而更有效地预防违法处理个人信息行为。同时需注意,行政责任的承担并不妨碍民事与刑事责任的承担,对于极为严重的违法处理个人信息行为,准确区分不同责任之间的处理认定思路,至关重要。民事责任方面。司法实践中多把平台规则视为合同,故可基于“合同”主张违约责任救济。侵权法方面,主要是指平台违反条款规定,并且同时符合了民法典第1195-1197条的规定,那么当个人信息的权益受到损害时,被侵权的个人就有权要求大型平台以及平台内的产品或服务提供者一同承担连带责任。同时个人信息保护法第69条“个人信息处理者将因有过错而承担侵权责任”的规定亦为主张侵权责任提供法理基础。关于“过错”的理解,不仅包括造成实际损害后果,结合《侵害信息网络传播权规定》第9条规定,“网络服务提供者是否积极采取了预防侵权的合理措施”亦是认定网络服务提供者是否存在侵权过错的因素之一。刑事责任方面,刑法第253条之一明确规定了“侵犯公民个人信息罪”。同时,在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确了“非法获取、出售和提供”的上述犯罪的三种类型。对于定罪标准,除了考虑信息类型和数量外,还可考虑实际危害后果,以综合判断严重性。举证责任和归责原则方面。个人信息保护法第69条第1款采用过错推定责任,即大型平台对其不知或不应知网络用户利用其网络服务侵害他人民事权益,或者已经采取了必要措施的,不承担侵权责任。但应当看到的是,“守门人”条款规定的情形中,只有第(三)项贴合上述规定的语境,另外三项义务则存在脱节的现象。如果大型平台被要求承担过错推定责任,这意味着平台先需证明自身不存在过错,在条款第(一)(二)(四)项情形中,很难说明是哪一具体方面存在“过错”,因为其并不像具体行为和措施一样明确具体。具体而言,其一,第(一)(二)(四)项情形采用一般过错责任标准是一个折中的方法,这样可以在一定程度上平衡平台企业的责任和个人用户的权益。当大型平台违反“守门人”条款义务,而对个人信息合法权益造成损害时,受害人或举报人应承担对大型平台存在权益侵害行为、损害后果、因果关系及过错的证明责任。此举一方面可以避免大型平台承受过重负担;另一方面,有助于责任认定具象化和精确定位具体行为。由用户指出规范体系、平台规则具体条文、措施的不合理之处,才能将侵害行为与损害结果之间的因果关系,具体地和平台违反“守门人”条款的具体行为及“过错”性质连结起来,在纷繁复杂的网络平台空间中将平台违反条款义务的行为和该行为的恶劣程度提炼萃取而出,从而倒逼大型平台不断完善更新制度体系、平台规则各方面,将“宣导条款”具象化。其二,过错责任与过错推定责任综合适用。在履行个人信息保护职责的部门进行判定时,对于(一)(二)(四)项义务,参考一般过错标准,举报人或受害人要承担对平台过错的举证责任,才可以让平台承担实际责任;针对第(三)项义务,则参考过错推定标准。
完善“守门人”条款所适用的监管机制包括三个关键方面,即行业自律监管、行政监管和社会监督。这三者之间的协同作用是确保有效监管机制的必要条件。第一,行业自律监管,主要对应的是条款第(一)项义务。一方面此处更强调个人信息保护的规范“体系”,大型平台应当依据个人信息保护法等法律、法规、规章等的要求,建立旨在确保个人信息处理活动符合法律、行政法规的要求,保证个人信息安全的内部规章制度体系,据此开展对个人信息保护工作。具体而言,首要任务是建立完备的个人信息保护规范体系,学界普遍认为包括风险识别应对、违法处理矫治、评估反馈机制、法律责任承担、长效机制等方面。除此之外,规范体系亦应关注技术层面,例如在数据传输中,必须设定适当的接口权限;为提高算法透明度,平台应发布算法审核规则,进行评估监测;此外平台还应建立特征库,综合运用去重、干预等策略,以保障内容规则的透明性和可解释性。另一方面,大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。监督成员是监督机构发挥作用的基础,其应满足三个要件:其一,成员应当主要由外部人员构成,不能是该个人信息处理者(及其关联单位)的员工,或者与该个人信息处理者存在法律或经济上的利害关系。其二,外部成员仅限于自然人,因为公司法人或非法人组织可能受到商业或组织内部利益的影响,而自然人作为外部监督机构的成员可能更有可能保持中立立场。其三,专业性的要求。成员专业背景应该包括网络科技、法律、哲学、伦理学等多元属性,来组成具有专业性的群体。其四,公司应为监督机构提供必要工作条件。第二,行政监管,要注重大型平台和平台内经营者的区别监管。对于平台内经营者而言,监管的重点在于查处违法处理个人信息的行为,而对于作为“守门人”的大型平台的监管,必不能过分苛责其确保平台内无一违法处理个人信息现象。所以,对大型平台的监管重点在于平台是否存在大面积地违法处理个人信息的行为,平台规则是否符合个人信息保护法要求以及实际执行效果。第三,社会监督,主要对应的是条款第(四)项义务。社会责任报告主要包括:是否履行个人信息保护义务和建立个人信息保护规范体系;当发现严重违法违规时是否采取措施;在新技术和新应用方面是否符合科技伦理的要求等情况。同时,社会责任报告在域外法中被称为“透明度报告义务”(Transparency reporting obligations)。大型平台除了披露一般性信息外,还需要在报告中包括一些特定内容,例如内容治理的关键信息,包括收到的删除命令和通知数量、主动审核的具体措施、投诉处理情况以及自动化工具的使用等,并对相关数据按照违法内容类型、行动依据等进行分类统计。因为平台不仅是特殊的个人信息处理者,也是众多依托于平台进行信息处理活动主体的监督者与管理者。从效率和专业性的角度讲,由于平台掌握被其管理的个人信息处理者的处理记录,让平台代替普通个人信息处理者发布社会责任报告,具有一定的合理性。“守门人”条款的立法与施行,是以网络强国建设助力中国式现代化的生动体现,也是加快培育网络新质生产力的必然选择,法律与社会伦理、公共责任在数字生态下进行交织共生。“守门人”条款适用面临的种种困境,往往是全局性、系统性、多方面的,需要在法秩序统一的视角下徐图解之。本文通过对“守门人”条款适用困境的深入剖析,提出了完善路径的系统性构想。这包括明晰条款的“义务性规范”属性,厘清平台权力边界;细化“守门人”认定标准和义务内容;构建可操作的责任认定模型,合理配置举证责任;完善以行业自律、政府监管和社会共治为导向的治理机制等。未来,随着数字经济的深入发展,“平台治理”与“个人信息保护”的关系将愈发密切。“守门人”条款的适用与完善,不仅关乎法律规范的实效性,更是网络治理现代化的重要组成部分。这一过程需要在理论研究与实践探索中不断深化,以适应技术变革与社会需求,促进数字生态的良性发展,最终实现个人信息权益保护与数字经济发展的协调统一。往期精彩回顾
于弋涵|论智能产品用户生成数据的权利配置——基于不完全契约理论邢雅清|网络暴力侵害人身权益视角下人格权侵害禁令制度的理性培育熊中文|数字时代个人信息民事公益诉讼:生成逻辑、实践图景与优化路径
上海市法学会官网
http://www.sls.org.cn
