【超大互联网平台的个人信息保护义务】

第五十八条 【超大互联网平台的 个人信息保护义务】

【条文主旨】

本条是关于超大互联网平台的个人信息保护义务的规定。

【条文理解】

本条属于本法草案二审稿新增设的条文。在正式公布的法律中，本条进行了一定修改，主要为：（1）将“提供基础性互联网平台服务”修改为“提供重要互联网平台服务”；（2）第一项增加前半句话；（3）新增了第二项作为义务内容。

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，不仅掌握了大量个人信息和商业数据，同时还能对市场竞争秩序和产业发展施加深远影响，尤其是那些获得行业头部地位的个人信息处理者，甚至可以介入标准制定和政策讨论。社会公众在享受服务的同时，也非常关注个人信息安全和权益保障情况。行业超大个人信息处理者的出现和发展为开展有效监管、形成更加合理的个人信息使用秩序带来全新挑战，是个人信息保护法在互联网快速发展的背景下必须回应的问题。

本条的立法目的相对清晰，在于规制“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，这也厘清了本条的适用对象，简言之，即行业内的大型或具有一定经营规模的企业，尤其是行业内的头部企业。由于此类个人信息处理者的社会角色已经超越了一般的经营主体，应当施加更严格的法律义务，本条一共设定了四项。

【适用指南】

在具体适用上，有以下几个要点需要注意：

第一，如何适用本条确定的三个认定要素，即“重要”“用户数量巨大”“业务类型复杂”。由草案二审稿的“基础性”修改为“重要”，可以看出立法机关有意扩大本条的适用范围，认定标准则可以结合提供的服务类型、用户规模、同业竞争情况予以确定，并且应当根据社会需求的变化予以动态调整。“用户数量巨大”是相对可以量化的要素，但此处的“用户数量”究竟是指用户绝对数量还是用户相对数量？笔者认为，如果理解为用户绝对数量，那么本条就不适用于那些在小范围内占据多数用户的互联网平台，而如果理解为用户相对数量，则可以将更多平台和企业纳入监管范围，因此，采用用户相对数量的理解更为合适，否则要求用户绝对数量巨大，也会导致立法门槛过高的结果，反而架空了规则的实际适用。“业务类型复杂”同样需要在实践中结合个案判断和经验进行确定，从文义上看，“复杂”至少要求个人信息处理者横跨数个业务类型，但不宜限定得过于狭窄，例如某旅行服务类平台不仅提供旅行产品的预订服务，还提供金融产品和借贷服务、海外移民和置业服务等，足以认定为“业务类型复杂”；但如果平台仅限于提供旅行产品的预订服务，只不过是分别提供酒店、交通工具和景点门票的预订服务，则不宜认定为“业务类型复杂”，因为其业务仍限定于预订服务，只不过是涉及不同的对象。

在这三个认定要素之间的关系上，从文义解释的角度解读，显然需要同时满足，而对于单满足某个认定要素的互联网平台或企业，不能作为本条的适用对象予以规制。

第二，本条从四个方面设定了具体的法律义务：

一是按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。其中，前半句话主要强调的是制度建设。个人信息保护合规制度体系作为企业合规制度体系的重要组成部分，内部管理制度、人事制度、个人信息分级分类制度、删除和匿名化制度、个人信息泄露的应急预案和补救措施、风险评估制度、合规审计制度等等均可以纳入合规制度体系的范畴。但在实践中，个人信息保护方面的制度依据相对缺乏，导致许多企业并未重视个人信息保护的制度建设，本条将“合规”体系的构建上升到法律义务层面，体现了立法机关希望企业或平台等市场主体通过加强自身合规建设，降低个人信息处理的各类风险，不断提升个人信息安全治理水平的立法目标。引入外部人员组成独立机构是在本法立法过程中引起较多关注的一项义务。这一制度设定，强化了外部监督力量的介入。实践中，可以将外部监督成员类比为上市公司的独立董事，对企业的个人信息保护作出判断和监督，因此，本条着重强调的还是个人信息治理的多方参与，通过增加独立的外部第三方，对个人信息处理者起到制约作用。至于参与该独立机构外部成员的任职资格、义务规范和法律责任等，还有待未来的配套立法进行进一步明确；此外，虽然有独立机构承担监督职能，但并不意味着政府的监管职责被削弱，相应地，履行个人信息保护职责的部门应加大监管力度，督促独立机构提高中立性和透明度，依法依规履职尽责。

二是遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。尽管以法律法规为主体的政府规制秩序能在一定程度上防范个人信息安全风险，但由于互联网业态存在时效性，立法很难秉持前瞻性。当网络治理中亟待解决的某一问题出现时，往往没有相应立法能够对应予以解决，待相应制定法为适应需求而最终出台时，曾经亟须规范的问题或已解决、或已失去现实意义，使现时立法成为没有执行必要的“空法”。有学者相应指出，仅依赖国家制定法的介入，这种固有的僵化和滞后便会使得网络社会缺乏必要的规范予以规制而呈现无序化的现象，对于这种立法漏洞与抽象笼统之处，网络自治规则反而会发挥远远高于国家法的规范功能。^[20]制定平台规则，将对法律法规等外部规则形成较好的补充，同时能结合平台运营的实际弥补“政府失灵”的现象。电子商务法第三十二条也有类似规定，要求电子商务平台经营者应当遵循公开、公平、公正的原则，制定平台服务协议和交易规则。本项对平台规则的制定作了两方面要求：其一，遵循公开、公平、公正的原则。公开即规则应当公之于众，便于社会公众查阅和了解；公平即合理地、以一视同仁的态度确定各个主体的权利与义务，体现规则和程序的同一性；公正更多强调结果，包含对规则实行的分析评价。其二，在内容上，平台规则应包含平台内产品或者服务提供者处理个人信息的规范，以及保护个人信息的义务。个人信息保护规则是平台规则不可回避的重要组成部分，本项更多地侧重于个人信息处理者，要求其明确规范和设定自身义务。

三是对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。这一规定与电子商务法中所规定的电子商务平台经营者对平台内电子商务经营者相关产品质量、知识产权、消费者保护的监督责任类似，例如，电子商务法第三十六条规定：“电子商务平台经营者依据平台服务协议和交易规则对平台内经营者违反法律、法规的行为实施警示、暂停或者终止服务等措施的，应当及时公示。”本项赋予了个人信息处理者监管平台内个人信息处理活动的职能，一方面，个人信息处理者有权监管，对严重违法的产品或服务提供者采取停止提供服务的措施，另一方面，个人信息处理者如果没有采取相应措施，亦应承担一定的法律责任。

四是定期发布个人信息保护社会责任报告，接受社会监督。平台型企业作为独立运营的个体企业，与传统的一般企业具有相似性，都是直接内嵌于社会、经济功能与社会功能兼具并相互交融的社会经济组织。为社会创造与提供高效、有效、满意、合意的“平台”是平台的首要责任。^[21]本项要求个人信息处理者定期发布个人信息保护社会责任报告，将个人信息处理提高到作为平台承担社会责任的体现，尤其是对于本条所规制的超大互联网平台来说，其在平台商业生态圈中的影响对象范围和影响强度是其他规模的平台所无法比拟的，如果发生个人信息安全事件，危害范围会相对更大，必须将自身的行为治理和社会监督结合起来，增强相关企业或平台的行为合规性，促进个人信息保护水平不断提升。

【相关规定】

《中华人民共和国电子商务法》第三十二条、第三十六条。