张新宝:互联网生态“守门人”个人信息保护特别义务设置研究
2021年6月29日      ( 正文字号: )
文章标签:民事责任   数据   立法思路   个人信息   互联网
[ 导语 ]
       如何构建与数字时代相适应的个人信息保护路径,是我国个人信息保护法律体系需要解决的核心问题。近年来,有关部门对移动APP(互联网应用程序)处理个人信息进行了持续治理,但由于移动APP数量大、上新多、迭代快,逐一治理效果不彰。因此,需要考虑从源头入手,抓住关键环节,通过设置“守门人”义务,实现对移动APP处理个人信息的有效治理。如何界定移动互联网中的“守门人”?为什么要设置互联网生态“守门人”在个人信息处理活动中的特别义务?如何在具体的法律规则设计中体现这一义务?对此,中国人民大学法学院的张新宝教授在《互联网生态“守门人”个人信息保护特别义务设置研究》一文中,就移动互联网生态中的“守门人”的界定方法、现实类型以及设置其特别义务的理由进行了梳理,提出了实现于未来个人信息保护法的具体方案。
一、移动互联网生态关键环节和“守门人”的界定

(一)守门人的地位:控制力移动互联网生态的关键环节

1.技术环境

移动APP需要在智能终端设备中运行,操作系统便成为制约移动APP的底层技术环境。如在安卓系统中,移动APP作为系统用户,需使用操作系统提供的各种资源才能正常运作。此外,安卓系统还能够实现对移动APP所使用系统权限的控制。默认状态下移动APP不具有任何系统权限,需要向安卓系统申请。根据权限的作用和对个人信息的影响,安卓系统将系统权限为普通、危险、签名和系统/签名四个级别,其中普通和危险界别对个人信息保护最为关键。安卓系统在移动APP申请普通权限(如访问通知)时会自动授予而不提示用户;而在移动APP申请危险权限(如通话)时会通过弹窗等形式提示用户,由用户自主决定是否授予权限。

2.运营环境

应用商店所提供的应用分发服务构成移动APP运营环境的关键节点。我国的主流应用商店大致可分为三个类型:一是系统运营商的应用商店,如IOS用户端的Appstore;二是手机厂商的应用商店,如华为等应用商店;三是第三方应用商店,如360等。可以说,如果不通过应用软件分发服务,移动APP很难触及大量用户及被下载。

新的移动APP分发模式,即“超级APP+小程序”正蓬勃发展,超级APP为其承载的第三方小程序提供了流量资源和技术优势。无论是传统的移动APP还是新兴的小程序,技术环境和运营环境都构成了APP运行的关键环节。在互联网生态中,控制了技术环境和运营环境的“守门人”对APP个人信息保护的技术设置和具体行为具有决定性作用。

(二)移动互联网生态中“守门人”的类型

“守门人”是指控制移动互联网生态关键环节、有资源或有能力影响其他个人信息处理者处理个人信息能力的互联网运营者。当下移动互联网生态中的“守门人”主要包括应用程序分发平台、移动终端操作系统和平台型APP三类。

二、设置移动互联网生态“守门人”个人信息处理特别义务的理由

(一)对“守门人”施加特别义务的必要性

对移动APP处理个人信息不能仅依靠执法监管。一方面,APP体量之大使得仅仅依靠执法监管的APP治理难以做到全面覆盖。另一方面,广大网民对APP违法违规收集使用个人信息问题反映依旧强烈。实际情况表明,“一个一个去评估”“一个一个去整改”的监管思路,不适应目前海量移动APP收集、使用个人信息的客观情况。更有效的监管路径应是对“守门人”施加额外义务,进而对移动APP收集、使用个人信息的行为产生“卡脖子”效应,实现事半功倍的效果。

(二)对“守门人”设置特别义务在技术上的可能性

媒体和民众热议的 APP 违法违规收集、 使用个人信息行为, “守门人”能够从技术层面实现治理和突破。对于移动APP收集个人信息范围不清的问题,可通过应用程序分发平台要求上架的APP以固定格式明确个人信息的常见类型及所指代的信息内容。对于移动APP通过隐秘方式(如偷听、偷拍)收集个人信息的问题,可行的路径是由移动终端操作系统增加对用户即时提示的相关设置。对于移动APP获得权限后进行滥用且偷偷读取、上传、删除信息的问题,可行的路径是由移动终端操作系统对敏感操作进行提示或再次征求用户同意等。对于基于个人信息进行跨站、跨 APP、跨平台推送广告的问题,可行的路径是移动设备操作系统应默认开启 MAC 地址随机化功能,禁止 APP 获得不可变更的设备识别码,并支持用户选择是否将可变更的设备识别码向 APP 开放;手动重置或每三个月自动重置可变更的设备识别码,如广告标识符。

(三)设置特别义务的法理与经济合理性

1.法理:控制者义务理论

法治的一般原理认为,任何人对自己控制的场所等负有相应的安全保障义务。对移动互联网生态具有强大控制力和影响力的“守门人”承担与技术发展水平相适应且在经济上具有合理性的适当安全保障义务是必要的。“守门人”借助技术和管理优势在互联网生态系统中具有强大控制力,要求此类主体对其支配的个人信息进行特殊保护和管理,是应对信息风险社会行之有效的治理路径。此外,要求“守门人”对其环境下的移动APP进行合理监督,可以避免治理力量分散导致的效率低下,实现个人信息保护治理效果的最优。

2.经济上的合理性

一方面,在“守门人”上的监管资源投入,比在无数分散环节和场景投入资源保护个人信息更具有经济合理性。与其面对海量的 APP 一个个进行监管,为提升效率更好的做法是将部分的监管责任前移到关键环节的守门人身上。另一方面,全行业的义务设置不影响“守门人”之间的公平竞争。出于竞争的考量,“守门人”推动个人信息保护的力度和创新程度会有所延缓或小心翼翼。通过对所有的“守门人”设定统一的个人信息保护义务,有利于树立行业取向、拉平合规底线。

(四)对欧美实践经验的考察

欧美相关数据保护机构一直以来保持对“守门人”的密切观察。2013 年,欧盟第 29 条工作组发布《关于智能设备应用程序的意见》,已深入APP可能涉及的各方主体,强调不同主体的法律责任。美国联邦贸易委员会也在 2013 年发布了《移动手机隐私披露——通过透明度建立信任》 的报告,明确指出诸如苹果、谷歌、微软、黑莓等平台作为 APP 市场的看门人,在改善移动设备隐私披露方面拥有最大的变革能力。

2020 年 12 月,欧盟最新提出的《数字服务法(草案)》《数字市场法(草案)》反映了立法、监管对“守门人”的关注:《数字服务法(草案)》针对具有重大社会和经济影响的超大型在线平台专门提出了增强的管理系统性风险的安全义务;《数字市场法(草案)》更是牢牢抓住关键环节,其条文仅适用于根据法案中的客观标准被认定为“守门人”的大型在线平台。可见,无论是降低公共信息空间中的违法信息风险,还是维持数字市场的可竞争性和公平性,欧盟的着力点均放在了处于关键环节的超大型在线平台和守门人。

三、作为立法建议的具体法律条文设计

(一)守门人的界定标准

“守门人”应当是在整个生态系统中的特定领域具有主导地位乃至控制权的,同时具有极大的经济规模和极强的网络效应的组织。鉴于数字行业的动态变化性质,对“守门人”地位的判断也应结合技术条件和商业形势的变化而作出调整。由于我国个人信息保护法仍处在制定阶段,对于“守门人”地位的具体界定方法不宜大幅出现在个人信息保护法中,但是可以通过行业标准、其他规范性文件或其他形式作出。在这一过程中,适宜通过有关专家论证会,综合考虑促进数字领域创新、数字产品和服务的质量、公平竞争以及数字经济发展等因素。

(二)“守门人”的具体义务设计

建议在《个人信息保护法(草案)》第 51 条之后增加如下条文,规定“守门人”保护个人信息的特别义务。

第五十一条 A (“守门人” 的特别义务)

控制个人信息处理的关键环节,为其他个人信息处理者处理个人信息提供通道、空间、技术等资源的网络运营者,除遵循本法和其他法律的相关规定特别是本法第五十条和第五十一条的规定外,对个人信息保护承担以下特别义务:

(一) 制定符合国家法律法规等规定要求的个人信息保护标准的准入规范,不得为不达标的个人信息处理者使用其所管控的通道、空间和其所提供的技术服务。

(二) 利用必要的技术手段,对使用其所管控的通道、空间和使用其所提供的技术服务的个人信息处理者的日常个人信息处理行为进行监管,于必要时提出警告和整改意见。

(三) 建立相关的投诉受理和处置机制。

(四)配合国家个人信息保护机构对违反个人信息保护法律法规的个人信息处理者的调查处理。

(五) 下架违法违规处理个人信息的互联网应用程序。

(三)“守门人”义务的性质讨论

“守门人”作为政府指定的私人主体,承担采取阻止性措施防止有害行为发生或者将有害行为相关信息提供给政府的义务,这种由提供服务、产品的私人主体或雇主承担帮助行政机关发现或阻止违法行为的义务,属于行政法上的“第三方义务”。从保障自然人个人信息民事权益的角度而言,“守门人”自身也是个人信息民事权益的义务主体,需要为用户提供符合个人信息保护要求的产品或服务环境,其所负有的特别义务属于法定的积极作为义务。个人信息保护法的“领域性”决定了其所归档权利(权益)和义务的跨部门性。

四、结论

给有能力管控特定网络空间个人信息收集和处理行为的企业设置与其能力相适应的特别个人信息保护义务,既具有法理基础和经济上的合理性,也符合互联网治理的世界潮流,能够更有效地保护自然人的个人信息。对于守门人的具体条件,可以由法律作出原则性的规定,在法律实施中由国家网络信息主管部门(网信办)会同产业主管部门(工信部)等加以规范和认定。



(本文文字编辑潘宇。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章,一律不得转载。)



文献链接:《互联网生态“守门人”个人信息保护特别义务设置研究》

[ 参考文献 ]

本文选编自张新宝:《互联网生态“守门人”个人信息保护特别义务设置研究》,载《比较法研究》2021年第2期。
【作者简介】张新宝,中国人民大学法学院教授、博士生导师,中国民商法律网授权学者。

推荐阅读
梅夏英:企业数据权益原论:从财产到控制
企业数据权益是一个纯粹的数据问题。企业数据表现为对现实数据的有限自我控制,其保护应当以维护数据的控制为基础。
蒋大兴:公司董事会的职权再造
公司法应夯实经理层的经营决策职权,与其走向“董事会中心主义”,不如认可“经理人中心主义”。
缪因知:操纵证券市场民事责任的适用疑难与制度缓进
我国学界多主张为追究操纵证券市场民事责任提供更多便利,但相关制度适用中的法理疑难之处不可轻视。
热门排行
学术公告
问答集锦
相关文章
本期评价
0个赞
0个踩
敬请关注中国法学会民法典编纂项目领导小组组织撰写的《中华人民共和国民法典•民法总则专家建议稿(征求意见稿)》

编辑:潘宇

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2021 All Rights Reserved  
E-mail: ccclarticles@126.com