本文来自微信公众号“互联网与社会发展研究中心”,作者/朱芹瑾。
《个人信息保护法》第58条是关于大型互联网平台个人信息处理者特别义务的规定,对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者引入了“守门人条款”,成为我国《个人信息保护法》中的亮点。本条内容合理借鉴欧盟《数字市场法(草案)》思路引入针对特定个人信息处理者的特殊义务,旨在完善个人信息保护相关原则,强调对“大型互联网平台”的监督,维护市场的公平与开放。
一、关于特定个人信息处理者的认定
“守门人”是指控制移动互联网生态关键环节、有资源或有能力影响其他个人信息处理者处理个人信息能力的互联网营运者。实践中,移动互联网生态中个人信息保护领域的“守门人”,现阶段较为突出的是移动终端操作系统、应用分发平台、平台型的超级app。在欧盟中,公告信息空间中的“守门人”是指用户量超过一定数量的超大型在线平台和影响、掌握消费者通道以及经验地位特殊的在线中介服务、在线搜索引擎、社交网络、视频共享平台服务等。
结合当前平台经济发展的现状看,“守门人”主要包括以下三类:一是应用程序分发平台,通过提供应用分发服务影响海量用户进而进行个人信息处理活动;二是移动终端操作系统,通过为移动app提供可调用的系统权限等,影响移动app的个人信息处理能力;三是平台型app,平台型app能够在技术资源、运营环境两个方面显著便利和提升第三方等移动app的个人信息处理能力。
二、关于特定个人信息处理者应履行的具体义务
1.“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。这里的“外部成员”,应当是除在该组织担任个人信息保护监督职务外不担任其他任何职务,且不存在其他可能影响其独立判断和执行职务的因素的成员,可类比上市公司的独立监事、外部董事。同时,外部成员应当具备相应的专业知识、能力和经验,而由外部成员组成的机构应当独立于组织的经验管理机构以及监督机构,其职责在于对个人信息处理者的个人信息保护情况进行监督,但不承担个人信息保护具体事务。
2.“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”。大型互联网企业平台在平台经济发展过程中一定程度上起到了控制、制约产品或者服务提供者的作用,应当承担更大的行业管理责任,承担更多的安全保障义务。本规定通过“授权性”规定,赋予大型互联网平台企业制定规则的权利,这也符合平台经济发展的客观需要。
3.“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。该规定是赋予大型互联网企业平台行业管理权限的延伸,针对严重违反法律、行政法规处理个人信息的平台内的产品或者服务的提供者,法律赋予其可以通过断开链接、下架等方式停止服务的权利,从而达到保护个人信息、规制违法行为的目的
4.“定期发布个人信息保护社会责任报告,接受社会监督”。大型互联网企业在享受平台经济高速发展的同时,也要定期发布个人信息保护社会责任报告,不断加强自我监督,同时接受社会监督,从而促进平台经济健康有序发展。
