标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
2024年9月24日,国务院总理李强签署第790号国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。金杜网络安全与数据合规团队对《条例》第一时间进行了全面解读(详见:《“新火试新茶,诗酒趁年华”——新形势下的《网络数据安全管理条例》解读》)。《条例》内容非常丰富,值得更多深入解读,我们将集中专题进行深度挖掘。同时,也欢迎感兴趣的企业与我们联系,提出关心的问题,我们会形成专门的解读文章,与各界一起探讨《条例》合规问题。本期主要就很多企业关心的“守门人”制度进行解读。
《条例》在附则中对“大型网络平台”作出了界定,这意味着中国版“守门人”规则首次进入实操层面,自明年1月1日起,也就是《条例》正式实施后,将实现合规落地。那么,哪些企业需要关心守门人的规则?守门人有哪些规则?具体应该怎么合规?本文将一一分析解读。
一、“守门人”规则属于加重义务
守门人(Gatekeeper)理论最早形成于传播学领域,并相继被引入网络领域、平台监管领域和数字市场领域。最为典型的立法是欧盟的《数字市场法》(Digital Markets Act,DMA),其将符合一定标准的核心平台服务提供者视为数字市场的守门人,并在反垄断法等竞争规则以外对守门人规定了加重义务。DMA第5条中明确了守门人的9类具体义务,包括数据使用限制、禁止自我优待、广告透明度、互操作性等方面,以防止守门人对公平市场竞争的影响。违反这些义务的守门人可能会面临高达全球年营业额10%的罚款,而对于屡次违规的情况,罚款可能高达20%。
不难发现,“守门人”监管除了具有反垄断功能外,还进一步发挥对“平台力量”监管的作用。平台具备一定的数字社会基础设施属性,可以提供类似公路、铁路、水力、电力、燃气等基础性社会产品及服务。 因此,作为基础设施或者准基础设施的平台,就有可能对数字社会基本运行产生影响,影响具有社会控制力的平台权力,而这种权力在大型平台中体现尤为明显。基于这种数字社会新型组织形态及其带来的权力约束机制问题,有必要通过法律规范调整,防止平台权力的负外部性及平台滥用权力的可能性。在具体法律规定中,即表现为对“守门人”施加更高的义务,并且这种义务已经超越反垄断、反不正当竞争的原始范畴,更进一步要求“守门人”在维护公共利益和公民利益方面履行更多的责任。或者还可以更通俗地理解为,这是将一般企业的某些社会责任转化为“守门人”的法律责任。
二、哪些企业有可能被认定为“守门人”?
我国目前在个人信息保护和未成年人网络保护两个领域的立法涉及“守门人”规定,具体为《个人信息保护法》以及本次出台的《条例》,和《未成年人网络保护条例》。需要说明的是,该三部立法中均未直接使用“守门人”一词,而是做了一些定性的描述(详见下表)。为了方便阅读,下文中以“守门人”来指代相关法律表述。
根据《条例》第六章的规定来理解,“守门人”首先应是“网络平台服务提供者”。我国法律规定中并无对“网络平台服务提供者”的界定,从字面意义上看至少应包括两个要件,网络平台和服务提供者。
对于网络平台,《条例》第四十条第一款规定,网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。结合经济学概念,“平台”具有“双边市场”的属性。如《电子商务法》中规定,电子商务平台经营者是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方对立开展交易活动的法人或者非法人组织。因此,符合“网络平台”的要件,应当具有第三方产品和服务提供者,而不引入第三方、直接向用户提供服务的,则不应属于网络平台。例如,纯粹的自营商城是否符合网络平台的概念,就需要探讨。
对于服务提供者,按照我国法律体系梳理,实际上包含两个大类,电信服务和互联网信息服务。电信服务应基于《电信条例》及《电信业务分类目录》而确定;互联网信息服务则应基于《互联网信息服务管理办法》而确定,它是指通过互联网向上网用户提供信息的服务活动。从形式上来看,互联网信息服务可以通过区块链、网络音视频、直播、群组、论坛社区、搜索、深度合成、算法推荐、生成式人工智能等方式提供给用户。简单来说,互联网本质上就是信息网络,通过互联网提供服务,几乎都属于服务提供者。而不提供信息服务的,则不属于网络服务提供者,如设备生产者。但是,需要注意的是,《条例》第四十条第二款对“预装应用程序的智能终端等设备生产者”作出特殊规定,也应遵守第四十条第一款的义务。
《条例》第六十二条第八项规定,大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。这可以理解为是对《个人信息保护法》第五十八条所规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的具体解释。
《个人信息保护法》规定的“守门人”要件包括三个,提供重要互联网平台服务、用户数量巨大、业务类型复杂。三者为并列关系,缺一不可。《条例》对三个要件相应作出了解释,用户数量巨大是指注册用户5000万以上或者月活跃用户1000万以上;提供重要互联网平台服务应指“网络数据处理活动对国家安全、经济运行、国际民生等具有重要影响”;业务类型复杂未作解释。
据此,认定“守门人”应当符合以下条件:①首先判断是否为“个人信息处理者”;②是否有注册用户。如是,是否注册用户超过5000万或月活跃用户超过1000万;③业务类型是否复杂;④是否具有重要影响。
其中,条件③和④尚不具有客观性标准,有待在实践中进一步确认。而条件①和②较为容易确认,可以作为当前重要的合规标准。不过,值得注意的是,相较《个人信息保护法》,《条例》在字面上已经不再将“守门人”限定为“个人信息处理者”,而这并不代表在实际上发生变化。因为,“守门人”需要有注册用户,势必要处理个人信息,而成为个人信息处理者。
综合来说,确定是否属于网络平台服务提供者,应当满足以下条件:①利用网络提供服务;②以提供信息为目的;③具有平台性质。
三、如何进行“守门人”认定?
企业比较关心的是,谁来认定“守门人”?按照DMA的规定,企业可以根据量化标准判断是否达到门槛,如果达到了就要向欧盟委员会申报,欧盟委员会在受到申报后指定其是否为守门人。目前,欧盟委员会已经指定了6个守门人企业(Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft)。
《条例》和《个人信息保护法》均未说明认定的机制,但是建议相关企业对照前述守门人条件的量化标准预先判断,明确注册用户是否达到门槛,如果已经达到,则应提前做好合规工作,确保遵守“守门人”相关义务。
四、“守门人”需要遵守哪些义务?
诚如前述,“守门人”在遵守一般规定的基础上,还需要履行加重义务,以保证市场公平竞争秩序和用户合法利益。结合《条例》和《个人信息保护法》相关规定,“守门人”似乎并不承担显著的、差异化加重义务,仅在外部监督、年度报告部分需要履行更多义务。
相对于《个人信息保护法》规定的“守门人”义务,《条例》做出了一些增加和细化:
1、新增跨境义务。对比来看,《条例》在《个人信息保护法》第五十八条的基础上,增加了一项特殊义务,即大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险(第四十五条)。但是,《促进和规范数据跨境流动规定》第十一条中规定,数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据安全。从内容上看,两者在实体义务上并无显著区别,似乎在《条例》第四十五条中并未对大型网络平台提出加重义务,而是与一般数据处理者承担一致性的义务。
2、关于《个人信息保护法》第五十八条第一项。《个人信息保护法》第五十八条第一项规定,按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。《条例》并未对个人信息保护合规制度体系、独立机构等的具体要求作出规定,但是要求大型网络平台服务提供者在每年度发布的个人信息保护社会责任报告中披露“主要由外部成员组成的个人信息保护监督机构履行职责情况”。
3、关于《个人信息保护法》第五十八条第二项。《个人信息保护法》第五十八条第二项规定,遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。根据《条例》第四十条第三款规定,第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。对于网络平台服务提供者来说,《条例》未予明确相应责任为何种责任,可能解释为连带责任或者补充责任,但是无论如何,网络平台服务提供者都需要承担责任。为了避免责任风险,网络平台服务提供者应积极通过《条例》第四十条第一款所要求,通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务。因此,大型网络服务平台与一般网络平台服务提供者在本项义务上亦基本一致。
4、关于《个人信息保护法》第五十八条第三项。《个人信息保护法》第五十八条第三项规定,对严重违反法律、行政法规的处理个人信息的平台内的产品或者服务提供者,停止提供服务。该项义务与前项义务类似,网络平台服务提供者基于《条例》第四十条第三款合规的考虑,按照相关法律、行政法规的规定,或者通过平台规则、合同等对平台内产品或者服务提供者进行监督管理,依法依约采取停止提供服务的措施。因此,大型网络平台与一般网络平台服务提供者在本项义务上亦基本一致。
5、关于《个人信息保护法》第五十八条第四项。《个人信息保护法》第五十八条第四项规定,定期发布个人信息保护社会责任报告,接受社会监督。《条例》第四十四条对此作了明确,其中将发布周期确定为“每年”,将报告内容明确为:个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。值得关注的是,《条例》并未作出明确规定,个人信息保护社会责任报告应当单独发布,还是作为ESG报告的一部分? 对比《未成年人网络保护条例》第二十条第一款第六项所规定——“每年发布专门的未成年人网络保护社会责任报告,并接受社会监督”,《条例》和《个人信息保护法》都未规定“专门”一词。因此,倾向于理解,个人信息保护社会责任报告可以单独发布,亦可以作为ESG报告的一部分,只要在内容构成上符合《条例》第四十四条的规定即可。
归纳来看,仅有上述第2和第5个义务对大型网络平台具有特殊性,而其他3个义务,对于大型网络平台和一般网络服务提供者来说都是一致的。反言之,只有第2和第5个义务属于大型网络平台的典型特殊义务。从合规的角度来说,大型网络平台宜将第2和第5个义务作为重点。实践中,已经成立外部独立机构、发布个人信息保护社会责任报告的企业并不多,主要原因可能是此前立法、监管都没有对“守门人”作出清晰界定,相关企业仍持观望态度。随着《条例》的出台和实施,对于企业而言,特别是符合“大型网络平台”要件的企业而言,需要加快合规实践,建立外部独立机构并酝酿发布个人信息保护社会责任报告。
五、对企业合规的启示
“守门人”管理可以说是数字治理的关键手段之一,《条例》的出台意味着中国版“守门人”从探索走向实施。厘清《条例》和《个人信息保护法》相关规定,对于符合条件的企业来说,具有现实的合规意义。根据《条例》的规定,企业可以根据量化的标准初步判断是否属于“守门人”,从而可以进一步根据《条例》和《个人信息保护法》的规定履行相关义务,避免合规风险。
值得注意的是,正如前文所提到的,我国在未成年人网络保护领域亦有“守门人”制度,金杜网络安全与数据合规团队也正在配合中国互联网协会开展未成年人网络保护团体标准制定工作(详见:中国互联网协会“团标引领”计划——“未成年人保护”焦点领域发布,https://mp.weixin.qq.com/s/ybAcCdVyGhby6noFe8eUlg),其中我们牵头起草了《未成年人网络保护大型平台识别指南》,目前已经进入报审阶段。标准、行业行为规范等对网络治理工作来说,能够形成实践支撑,提供企业真实经验,我们也期待和各位一起就行业标准和规范一同达成共识。
扫码订阅“金杜律师事务所”,了解更多业务资讯