□麻新平
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。近年来,随着互联网平台经济的不断壮大,平台利用自身的控制力违法获取、强制授权、过度收集和使用、非法买卖个人信息问题日益凸显,一些重要互联网平台(以下简称“平台”),由于用户量巨大,业务类型复杂,一旦发生个人信息泄露或滥用,不仅对公民个人人身财产安全产生直接危害,也在一定程度上影响平台产业的创新发展。
作为我国第一部全面保护个人信息的专门性、综合性法律,《个人信息保护法》第58条首次明确规定重要互联网平台对个人信息保护的特殊义务,为平台数据合规明确了基本原则与合规任务,为今后数字经济背景下平台的发展带来深远影响。
平台在个人信息保护方面的特殊义务
由于重要互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,对平台内的交易和个人信息处理活动具有强大的控制力和支配力。同时,平台的用户数量巨大,且技术水平较高,信息处理隐蔽性较强,一般性监管手段很难及时发现及惩处。鉴于此,《个人信息保护法》对平台在个人信息保护方面提出了更高要求,规定了平台对个人信息保护方面的特殊义务,使其拥有的控制力与个人信息保护义务相匹配。
严格规范平台处理个人信息的行为,强化了平台的“守门人”义务。《个人信息保护法》对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,首创在个人信息保护方面的“守门人”义务。《个人信息保护法》第58条规定,按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构进行监督;遵循公开、公平、公正的原则制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;定期发布个人信息保护社会责任报告并接受社会监督。第58条规定将监管责任进行二次分配,赋予平台在审核层面的监管权限和责任,促使平台建立健全事前防范机制,能够从源头上保证合规使用用户个人信息,有效弥补监管机构的信息盲点,提升个人信息保护的效能。
对于违法行为设置了严厉的处罚措施,提高了违法成本。《个人信息保护法》第7章明确规定了违法违规处理个人信息的法律后果,拓展了处罚尺度,提高了违法成本。《个人信息保护法》第66条规定了违法行为应当承担的法律责任。一是行政责任。对违法行为由履行个人信息保护职责的部门责令改正、给予警告、没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。二是民事责任。对于拒不改正的处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。对于违法行为且情节严重的,设定了两项更严格的法律责任,一项是由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。《网络安全法》对与个人信息保护相关的违法行为的处罚上限是100万元,《数据安全法》对于“危害国家主权、安全和发展利益”和“向境外违法提供重要数据,情节严重”的,最高均可处1000万元罚款。《个人信息保护法》将处罚上限提升至5倍,处罚尺度显著提高。另一项是对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
特别义务条款实施的难点
《个人信息保护法》相关规定需要进一步细化。一是“重要互联网平台”的界定有待进一步明确。个人信息保护法第58条规定的义务主体是“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,然而目前法律尚未对这些条件的范围、程度、判断标准等进行明确规定,哪些平台属于“重要互联网平台”,从而需要履行个人信息保护特别义务不好界定。二是特别义务的具体适用有待细化。《个人信息保护法》第58条规定的4项特别义务在个人信息保护领域具有开创意义,如成立主要由外部成员组成的独立机构对个人信息保护情况进行监督等,这些要求无经验可循,需要出台配套的法律规范予以细化明确。三是由于履行个人信息保护监管职能涉及多个部门,各自负责职责范围内的个人信息保护和监督管理工作,“相对分散”的监管架构,可能会导致众多监管主体之间难以做到统一标准或者出现多头治理的情形,平台因此面临着不确定执法的合规风险。
特殊义务规定增加了平台的合规成本。一是提高了平台的内部运行成本。特别义务条款对平台提出了更高的要求,平台需要在战略、执行、技术等各个层面及时作出调整和应对,不仅需要修订和更新现有的用户个人信息收集、处理条款,优化流程设计,提高平台在每一项业务流程处理中的操作规范性,同时在技术层面也需要对现有业务系统的各个模块进行更新和调整,以适应新的业务规则,这些均需要平台投入大量人力、物力和财力,提高了平台的运行成本。以电商、金融、广告业的“数据授权”为例,原本多渠道聚合的数据已经不能用了,自身也不能向企业或服务商进行“数据转授权”,行业里中下游企业已经出现数据断供问题。另外,原本需要一定的用户敏感数据才能展开的业务,目前原有的数据授权体系并不能完全合规,接下来该如何开展成为平台最大的问题。二是增加了平台的管理负担。平台负有对平台内产品和服务提供者个人信息合规的监督管理义务,如未尽到监管义务,将承担连带责任。为此,平台需要更新相应的服务条款,实现对平台内产品服务提供者个人信息收集处理行为的有效监管,这在一定程度上加重了平台的管理负担。
平台的经济价值和商业模式受到冲击。一般来说,平台通过为用户提供产品和服务广泛收集用户的个人信息和行为数据,并通过对数据进行深度加工获取巨大的经济利益。特殊义务规定对平台收集、处理个人信息进行限制,导致其用户数据这一核心资产价值缩减,从而撼动平台的整体经济价值。同时,由于那些基础服务免费、主要依靠广告等增值服务赢利的平台对用户数据信息有着较高的依赖程度,《个人信息保护法》严格限制了平台通过“隐私驱动”赢利,这就迫使平台的商业模式须进一步合规化转型,找到新的赢利增长点,以适应监管环境的变化。
(作者单位:河北省社会科学院法学研究所)