天将降大任:从互联网平台合规角度解读《网络数据安全管理条例(征求意见稿)》
天将降大任:从互联网平台合规角度解读《网络数据安全管理条例(征求意见稿)》
2021年11月14日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)。作为《网络安全法》、《数据安全法》和《个人信息保护法》等法律的重要的下位法,《数安条例》对于网络数据处理活动中所涉及的个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务以及监督管理等内容进行了全方位、多层次的细致化规定。
其中,“互联网平台运营者义务”一章,创新性地将互联网平台运营者定性为数据处理者中的具有特殊性的一类主体,在《数安条例》中予以单独重点论述。《数安条例》对互联网平台运营者提出了哪些特殊性合规要求?作为互联网平台运营者又该如何应对?本文将对《数安条例》中与互联网平台有关的重点合规章节进行梳理与分析,以期互联网平台运营者在被“天将降大任”时,不至于“行拂乱其所为”。
一.
概念界定
1.互联网平台运营者:《数安条例》第七十三条第(九)款:互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
2.大型互联网平台运营者:《数安条例》第七十三条第(十)款:大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
3.解读:
(1)法律属性:《数安条例》中对于互联网平台运营者以及大型互联网平台运营者进行了区分,其中互联网平台运营者在法律属性上属于数据处理者;大型互联网平台运营者,其在法律属性上既属于普通数据处理者又属于重要数据处理者,其义务不仅适用《数安条例》中对于大型互联网平台运营者的特殊规定,还适用《数安条例》中对于重要数据处理者的特殊规定。
(2)识别与判断:《数安条例》中并未对互联网平台本身的识别问题进行具体规定,只给出了基于功能的识别方法,即“提供信息发布、社交、交易、支付、视听等互联网平台服务”,相关可能落入“互联网平台运营者”范畴的企业,应当先行确定其提供的服务是否落入上述功能范围中,并基于其判断,梳理后续是否适用“互联网平台运营者”的特殊合规义务。对于大型互联网平台运营者的判断,由于“大量”、“强大”和“市场支配地位”等要素存在许多空间,目前比较明确的是可以根据平台的用户量是否“超过五千万”来识别是否可能属于大型互联网平台运营者,进而梳理其特殊合规义务。
二.
平台规则:算法策略公开与公众监督
1. 新增算法策略强制披露制度
《数安条例》第四十三条要求,互联网平台运营者应当对与数据相关的平台规则、隐私政策和算法策略这三类规则建立披露制度。对于前两类规则,目前基本所有的互联网平台运营者基于《个人信息保护法》、《数据安全法》等合规要求已履行披露义务,但对于算法策略的披露,一直是合规层面的难点。
(1)法律层面:此前的《个人信息保护法》对自动化决策的透明度和结果公平、公正进行了规定,从上位法上对于算法透明度提出了要求,但并未直接且强制要求企业履行算法策略披露义务。2021年9月17日国家互联网信息办公室在内的九部门联合发布了关于印发《关于加强互联网信息服务算法综合治理的指导意见》的通知,强调要“推动算法公开透明。规范企业算法应用行为,保护网民合理权益,秉持公平、公正原则,促进算法公开透明。督促企业及时、合理、有效地公开算法基本原理、优化目标、决策标准等信息,做好算法结果解释,畅通投诉通道,消除社会疑虑,推动算法健康发展。”该规定也是从监管的角度,“督促”企业及时、合理、有效地公开算法基本原理,《数安条例》与之相比更强调企业自身的算法强制披露义务。
(2)现实可能性层面:对于互联网平台运营者,算法是其核心资产之一,许多互联网平台运营者都基于商业考量而使算法处于严格保密状态。故产生了合规义务与商业考量之间的矛盾,也产生了算法规则披露的困难。实践中,诸如美团、滴滴等互联网平台对业务中所涉及到的算法原理已经对用户履行了披露义务,算法披露具有现实可能性,但仍有许多互联网平台运营者基于商业考量未履行也不愿意履行该披露义务。
(3)合规要求层面:基于《数安条例》要求,互联网平台运营者应当履行该算法披露义务。但算法披露义务的履行,并不意味着互联网平台运营者需要将企业核心的商业秘密进行披露,也无需公布代码,只需要公布算法策略,使得用户知悉算法的透明度。即在用户参与下,在算法规则透明化措施下,不断优化迭代算法技术,基于监管的披露要求,促进行业的良性发展。
2. 接受公众监督的规则
(1)用户话语权的增强:基于以往的平台规则和隐私政策制定实践,互联网平台运营者大多基于监管要求与平台运营实际,单方面更新平台规则、隐私政策后,再让用户重新勾选同意选项以告知用户并获取用户对于制定或更新的规则的同意。用户在规则制定程序中多为被动的受通知者与不得已的同意者,用户是否同意制定或更新的规则的内容,并不会影响到规则本身的效力,只会影响到用户自己是否可以使用相关服务。在《数安条例》第四十三条的规定中,将公开征求意见与公众监督作为平台规则、隐私政策制定的必经程序,一定程度上加大了用户在平台规则与隐私政策制定中的话语权。
(2)“对用户权益有重大影响”的空间:并非所有的平台规则和隐私政策的修订都需要经过公示,只有“对用户权益有重大影响”的修订,才需要适用公示、征求意见程序。但究竟何为“对用户权益有重大影响”,在《数安条例》中并未明确。笔者认为,对于互联网平台运营者而言,可以关注其修订的内容是否可能造成用户权利严重限缩或可能对用户造成损害,从权利减损的角度,在相关规则修订时完成自行评估,认为可能不构成“对用户权益有重大影响”的,形成书面记录,或与监管部门沟通确认,以确保合规。
(3)提前三十日的公开要求:《数安条例》强调互联网平台运营者对于平台规则、隐私政策的公开期限为不得少于三十个工作日,这一期限要求得十分严格,在此前的立法中,只有商务部2011年第18号《第三方电子商务交易平台服务规范》公告中对于“平台经营者应制定并公布交易规则。交易规则的修改应当至少提前30日予以公示。”这一提前公示要求进行了规定,其他的法律中并未对互联网平台运营者施加以提前30日公开的义务。《数安条例》的该规则如果正式通过,将改变平台规则、隐私政策的制定模式,不排除会成为一个由互联网平台运营者主导,用户参与程度很高的双方参与模式。同时,平台规则、隐私政策的更新也不会如此前一次性修改即可完成,可能需要多次修改,产品设计的相关告知、同意规则以及弹窗设置也需要进行相应调整。
3. 特殊的大型互联网平台运营者:外部评估+监管部门同意
对于大型互联网平台运营者,并非都适用该特殊合规义务,只有“日活用户超过一亿”的大型互联网平台才适用“外部评估+监管部门同意”的合规义务。由于其平台规则、隐私政策关涉大量的个人信息与重要数据,故对其要求更为严格,合规义务更重。但是“日活”本身为一个商业词汇,本身界定存在很多维度,并非为特定法律用语,因此平台在界定和适用上会形成较大困扰,建议相关部门对此出台进一步的具体规定加以指引。
三.
突破避风港:平台对第三方责任先行赔偿
1. 如何理解第三方
《数安条例》第四十四条中的“接入其平台的第三方产品和服务”,笔者认为应该理解为在该第三方产品和服务具备收集个人信息或数据的功能,并且用户通过互联网平台使用该第三方产品和服务。
2. 法律关系的界定
《个人信息保护法》对个人信息处理者与第三方的关系进行了界定,即在第三方接入场景下,个人信息处理者与第三方可能构成共同处理与委托处理两种法律关系。在共同处理法律关系中,依据《个人信息保护法》第二十条的规定,对个人信息主体权益造成损害的,应当最终由共同处理者双方依法承担连带责任;在委托处理法律关系中,依据《个人信息保护法》第二十一条和第五十九条的规定,笔者理解,受托方仅为受委托处理个人信息的主体,并不是《个人信息保护法》中规定的个人信息处理者,仅“协助”个人信息处理者履行《个人信息保护法》下的义务,如果对个人信息主体权益造成损害的,最终的责任承担者仍为委托方。
因此,互联网平台运营者可能因其承担的角色不同,法律关系不同,而“最终”承担不同的法律责任。
3. 法律责任衔接
该场景下不同的法律属性与责任划分,解决的是“最终”法律责任应当由谁承担的问题,而《数安条例》第四十四条解决的是法律责任“先行”由谁承担的问题,最终责任的承担与追责问题在所不问。《数安条例》下的“先行赔偿义务”与前述最终责任承担进行了衔接,对于用户来说,无需区分互联网平台运营者与接入其平台第三方的复杂的数据处理关系,一旦发生损害,可直接请求互联网平台运营者承担先行赔偿义务,权利行使更为便利;对于互联网平台运营者而言,这一规定无疑加重了平台义务,互联网平台运营者在诸如侵权场景下的“避风港规则”,在数据安全问题中,并不能有效适用。涉及侵权场景,互联网平台运营者需无过错地承担先行赔付义务。
这一规定本身,从立法本意考量可能是为了加强互联网平台对于其接入的第三方的监管义务,但实践中,互联网平台运营者对于第三方产品和服务的控制力,尤其是数据与个人信息安全方面的控制力难以延伸过远,互联网平台运营者对于第三方的监管能力与监管效果恐难以实现立法所期待的效果。严苛的无过错先行赔付义务在对互联网平台提出更多困难与挑战的同时,也可能限制平台内第三方的进入,从长远上来讲,无论是互联网平台还是平台内第三方所多付出的监管成本,都可能在用户的产品与服务的价格上进行补足。该条款的涉诉性,也会进一步影响到司法层面的裁判规则与用户行权路径。
四.
即时通信: 个人信息与非个人信息的区分
针对《数安条例》第四十五条所鼓励的“个人/非个人通信区分选择”问题,可以参考2021年11月12日全国信息安全标准化技术委员会组织制定的《即时通信服务平台个人信息认定指南》(征求意见稿)的相关内容。其对于个人信息认定为:即时通信服务平台中,发送者发送给特定接收者,且接收者不能进行再转发的信息可以被认定为个人信息。对于非个人信息认定为:超过50人的群组内的信息或除发送者外的其他群组成员可以向群外转发的信息。
该指南的认定虽然具有一定的合理性,但是在个人信息的认定层面却会导致混淆。笔者认为,对于个人信息认定,不应当超过《个人信息保护法》中的定义和范畴,而在群组内发送的有关信息,可以通过信息主体自愿公开的认定,判断其是否为公开信息,从而适用公开信息的利用规则,避免法律上的冲突。
五.
互联网平台运营者的禁止事项
1. 大数据杀熟
《数安条例》第四十六条第一项体现了监管对“大数据杀熟”违法行为的重视,此类违法行为不仅在包括《电子商务法》等法律法规进行了规范,而且最近颁布的一系列重磅规定如《关于平台经济领域的反垄断指南》(“反垄断指南”)中对此均有相关规则。如在《反垄断指南》第十七条中主要明确了差别待遇的构成条件,即只有具有市场支配地位的平台,在“无正当理由对交易条件相同的交易相对人实施差别待遇,排除、限制市场竞争”时,才会触发合规红线。但值得注意的是:新法不仅取消了市场支配地位这一前提条件,而且把损害后果——“排除限制市场竞争”也一并拿掉,从“结果犯”转化成“行为犯”,故监管机构对于平台合规运营的门槛有了更高要求。
2. 最低价销售和平台自我优待
《数安条例》第四十六条第二项涉及对“最低价销售”和“平台自我优待”等不合规行为的规制,而这些行为将会对公平竞争产生不利影响。对于平台的“最低价销售”,存在多种表现形式,如联合上下游供应商签署的“最惠国”条款,可能导致企业合谋产生,从而限制竞争,损害消费者福利。最明显的例子莫过于“苹果电子书”一案。当然,“最惠国”条款是促进竞争,还是损害竞争,是个业界讨论已久且非常复杂的话题。对于平台而言,建议在利用平台数据,进行类似商业安排的时候,提前做好“影响评估机制”,对有关影响予以较为充分的论证和提前应对,以符合监管要求。
3. 行权机制
《数安条例》第四十六条第三项是基于《个人信息保护法》中对个人信息主体“行权机制”的保护,避免平台利用掌握的大数据优势,违背信息主体的意愿处理用户数据。该项呼应了《个人信息保护法》中多项对于信息主体行权透明度的要求,其中莫过于第24条关于“自动化决策机制”中的“三公”要求——公平、公正、公开(透明度)。当然,其中最难把握的就是“公开”原则,公开多少才不会构成“误导用户”,还需要在实践中观察。结合《数安条例》第四十三条规定,平台可以与“算法披露要求”一并理解此项合规义务。
4. 平台数据的限制利用
《数安条例》中比较有亮点的规定为第四十六条第四项,该条实际上通过限制性规定,赋予了平台内经营者获取平台有关行业、市场等数据的权利,但是在具体实操中仍会带来很多疑问的地方,如:如何界定“中小型企业”;对于非“平台之上”的其他经营者权益如何保护等。从该项的规定本意来看,实际为限制平台反竞争行为,以期达到消除创新阻碍。但在具体条文中,却做了范围限定,可能最后很难达到监管效果。
从近几年的案例来看,平台可以利用其平台规则和有关约定(包括robots协议等),在数据利用层面进行很多限制,其中争议最多的就有与网络抓取有关的系列法律问题。而且在实践中,平台利用其数据优势,在商业模式上对经营者进行反向模仿的案例也不胜枚举。如何真正让平台数据合理、合法的得到利用,避免互联网创新“荒漠化”的问题,是需要监管部门在有关立法中予以重视和完善的地方。
六.
应用程序分发的强制安全义务
1. 立法层面的明确
《数安条例》第四十七条对于提供应用程序分发服务的互联网平台运营者的强制性安全审核义务进行了明确,《数安条例》施行后,该类互联网平台运营者应当履行该义务。该款规定解决了此前关于应用程序分发服务安全审核义务的法律规定的层级低、内容混乱、适用标准不一的问题。在此前《移动互联网应用程序信息服务管理规定》、《移动智能终端应用软件预置和分发管理暂行规定》、《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》、《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》、《中华人民共和国反电信网络诈骗法(草案)》等法律文件或征求意见稿中虽然对该问题进行了不同内容的零散的规定,但在实践中,仍未形成明确的监管依据,《数安条例》的该条款将成为日后应用程序分发服务监管的有效依据。
2. 实践层面的要求
本款不仅要求提供应用程序分发服务的互联网平台运营者建立、披露应用程序审核规则,还要求真正将规则落到实处,真正对应用程序履行审核要求。在实践层面,司法裁判已经先行对不履行相关义务的应用程序分发商要求其对应用程序的著作权侵权责任承担连带责任(如(2013)鲁民三终字第36号),后续如果本款正式施行,不排除会影响司法层面的裁判规则。此外,相关企业已经建立了优秀的行业实践可供基于本款规定需要履行安全审核业务的互联网平台运营者参考,如某应用商店在APP上架、巡检下架处罚全路径都制定了详细的规则规范,包括:《APP审核规范》、《APP巡检处理流程及规则》、《嫌疑风险APP识别规则》、《特殊行业类资质要求》、《账号处罚规则》、《APP违规处罚规则》,并积极将以上规则落到实处,值得提供应用程序分发服务的其他互联网平台运营者借鉴。
七.
即时通信:有限度的数据互通
1. 数据互通的监管趋势
《数安条例》第四十八条针对的是互联网平台运营者在运营中无正当理由限制用户访问或向其他互联网平台传输文件的行为。该监管要求旨在实现对于消费者选择权的尊重,缩减网络支付和分享的交易成本,维护良性的互联网竞争秩序。工信部有关业务部门也曾就该问题,对部分互联网平台运营者进行“屏蔽网址链接问题”的行政指导。目前,实现数据互通为监管趋势所向。
2. 数据互通的限度
就《数安条例》第四十八条的内容而言,并非强制要求所有互联网平台运营者都应当互通,而是加以了多重限定:主体限定为面向公众提供即时通信服务的互联网平台运营者,对方限定为其他提供即时通信服务的互联网平台运营者,条件限定为按照国务院电信主管部门的规定,并留有了基于“正当理由”的数据不互通的空间。可见监管层面并未对此一刀切地要求数据互通,而是给予了互联网平台运营者必要的操作空间,在迎合数据互通监管趋势的同时,针对性地结合自身的特点进行针对性调整,并在实际的数据互通中留有一定的余地。
在实践中,数据互通的操作离不开互联网平台运营者对成本与收益的基础考量,也可能会涉及互通标准、互通费用、互通协议安排问题以及数据互通的风险防范等问题。对于该条款的细化解释以及互联网平台运营者的具体数据互通安排都是这一条款后续需要重点关注的问题。
八.
其他平台特殊合规义务梳理
合规义务 总结 |
《数安条例》规定 |
梳理与解读 |
(一)推送信息的特殊义务 |
第四十九条:互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求: (一)收集个人信息用于个性化推荐时,应当取得个人单独同意; (二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数; (三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。 |
1.明确收集个人信息用于个性化推荐的个人单独同意机制; 2.对于自动化推行中的用户“拒绝权”进行了细化; 3.新增了用户可以删除定向推送信息服务收集产生的个人信息。 |
(二)国家网络身份认证优先性 |
第五十条:国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。 互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。 |
1.互联网平台运营者应当注意,当国家网络身份认证建设完毕,应当对其予以支持并优先使用。 |
(三)公共目的限定 |
第五十一条:互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。 |
1.互联网平台运营者应当注意,不得将基于公共目的所收集、产生的数据用于其他用途; 2.已经应用于其他用途的,应当与相应国家机关确认,并结合监管要求进行业务调整。 |
(四)配合调取或访问公共数据 |
第五十二条:互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。 |
1.数据限定为公共数据; 2.在有关部门调取公共数据场景下,应当予以配合。 |
(五)年度审计 |
第五十三条:大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。 |
1.履行审计义务; 2.披露审计结果。 |
(六)新技术的安全评估 |
第五十四条:互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。 |
1.新技术应用场景注意安全评估义务; 2.国家有关规定待进一步细化。 |
(七)网络安全申报 |
第十三条:数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查: (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的; 大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。 |
1.符合以下两种情形的互联网平台运营者和大型互联网平台运营者应当履行网络安全申报义务。 |
结语:
《数安条例》的出台,不仅对互联网平台进行分级管理,而且对于平台运营者施加了更多的合规要求。在实践层面上,互联网平台运营者应当尽早对上述合规问题进行预先识别,并充分利用征求意见的机会反馈立法建议。在法案出台之前,及时调整平台的合规策略与相应的业务安排。做到虽天将降大任,但有所立,有所备,从容应对数据安全强监管时代的到来。