国家立法拟为超级平台增设外部独立机构,监督个人信息处理

text

海量用户数据被大型互联网平台掌握,是否会带来个人信息安全风险?

据新华社消息,4月26日提请全国人大常委会会议审议的个人信息保护法草案二审稿,对超大型互联网平台的个人信息保护义务作出规定。

草案二审稿明确,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。

多位专家表示,该互联网巨头应履行更多的社会责任,该举措强调数据治理的多方参与,将助力企业合规、保护消费者权益。如何保持这类外部机构的独立性,还有待法规进一步明确。

为超级平台增设外部独立机构监督

草案二审稿规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

为何会增设这一规定?是否有必要?

清华大学法学院副院长、教授程啸向21世纪经济报道记者表示,基础性互联网平台服务提供的产品被认为具有公共产品的性质,因此需要履行更多的社会责任,在平台治理和个人信息保护上要有更多的外部的、独立的监督。这次二审稿规定的“独立机构”,类似于上市公司设立独立董事。

互联网行业隐私科技专家王磊也认为,法律意义上,传统的法律规范的对象分为公权力和私权力。对公权力是“法无授权不可为”,对私权力是“法无禁止即自由”。现在大型平台企业,地位处于公权力与私权力之间,应当受到比私权力更多的规制。

“对于大型互联网平台机构,原有的监管方式难以有效全面覆盖,因此出现了个人信息保护中的各类盲点,如草案中提到的以‘胁迫’方式处理个人信息、肆意推送个性化信息、个人用户在同意授权后难以撤回等。”北京师范大学网络法治国际中心执行主任吴沈括表示,这一规定主要为了应对大型互联网平台拥有的海量数据,以及民众在使用产品和服务、维权过程中所面对的数据壁垒和业务不透明情况所设定的。

“过去一段时间,曾有组织各家互联网平台机构成立百行征信的实践,但证明并不成功,各家机构均没有动机与其他竞争性平台共享数据,导致百行征信业务量极小,完全没有发挥应有作用。”中南财经政法大学数字经济研究院高级研究员金天介绍,去年以来,一个新的思路是各家企业分别发起成立新的征信机构,但即便如此,仍需要保持征信机构和相关监督机构的独立性,避免个人信息在平台算法的“黑匣子”中仍在存在被不当采集和不当利用的可能性。

21世纪经济报道此前报道,中国人民大学法学院教授张新宝对于加强App有效监管曾提出,应对实际上控制技术资源、技术环境和运营环境的信息处理者,比如应用程序的分发平台、操作系统、大型平台APP等,设置“守门人”个人信息处理的特别义务。

北京安理律师事务所高级合伙人王新锐认为,此次要求大型企业设立独立机构的思路与之相似,均强调数据治理要多方参与,增加独立第三方的制约,同时要有更高的透明度,以强化对大型科技公司的监督。

“设立独立机构的新规定力度很大。”王磊表示,外部人员组成的独立机构,突出外部和独立,更能保证客观公正,而定期公开社会责任报告是对企业更高的要求。“这些在欧美立法中是很罕见的,体现了中国立法为人民的特色。”

如何保持外部机构的独立性?

这一规定将产生的影响,吴沈括概括为三个层面:首先,企业的业务经营理念和合规风控体系的建设有较大影响,将提高业务流程的透明度;其次,由于外部力量的参与和介入,有助于提高企业在产品和服务的设计过程中对于各方利益诉求的事先考虑及平衡;对于消费者而言,外部监督的存在对用户权益的维护,尤其是在维权渠道的畅通性有更好助力。

金天表示,可以预见,未来头部互联网平台机构在涉及“大数据杀熟”的相关问题上将会非常慎重,比如基于用户身份信息、消费记录等的差异化产品定价已经基本上丧失空间,在产业链中的相关大数据采集机构将面临非常大的生存挑战。

不过,对于主要由外部成员组成的独立机构的性质与组成,是民间公司、事业单位还是政府机构,目前仍未明确。

2011年,FTC对Facebook发起调查,指控Facebook与第三方开发者分享“受波及好友”信息的行为是欺诈性行为,最终Facebook与FTC达成和解。

王新锐介绍,和解令中对Facebook要求“由独立第三方专家每两年就隐私计划进行评估并出具报告”。2018年“剑桥分析”事件之后,FTC重启了对于Facebook的调查并开了50亿美元的罚单,2019更新的和解令对第三方评估人员的任职有了更详细的要求。

程啸认为,此次草案提出增设的外部独立机构可能会由提供基础性平台服务的个人信息处理者来组建,政府后续可能会颁布相应的规定,对参与该独立机构外部成员的任职资格、义务规范和法律责任等作出要求。

对于保持这类机构的独立性,吴沈括建议,一方面需要对遴选人员的规则进行说明,另一方面应在运行过程中通过定期发布报告对外披露信息,提高中立性和透明度,接受更广泛的外部社会监督。

“对该独立机构的作用,应持谨慎乐观的态度。”程啸强调,政府应发挥监管作用,“个人信息保护执法部门要严格依法履行职责,加大监管力度。”