16　互联网巨头有哪些个人信息保护的特殊义务？

网络聊天、刷脸付款、地图导航、12306买车票等，随着信息化建设的日益深入，几乎所有人都无可避免地“卷入数据洪流”，每时每刻都在产生和上传自己的数据，互联网巨头们则成了关键先生。第三次工业革命——信息控制技术的巨大进步，极大改变了人们的日常生活和工作。与此同时，大型互联网公司捕获了海量的个人信息和惊人的经济效益，然而由于法律的滞后性，其法律责任和义务并没有及时跟进。那么，互联网巨头应当履行哪些个人信息保护的义务呢？

在研究这个问题前，首先要弄清什么是互联网平台。《个人信息保护法》第58条明确规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行特殊法律义务。《国务院反垄断委员会关于平台经济领域的反垄断指南》第2条指出，“互联网平台”是指通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态。类似腾讯、阿里巴巴、字节跳动等大型互联网公司均可以纳入这个范畴，但这些描述性的语句难以作为衡量标准，国家还应当尽快出台相关法律依据。

此外，我们可以参考欧盟《数据市场法》（the Digital Markets Act）中“守门人”（doorkeeper）的概念。守门人通常控制着至少一种核心平台服务（如搜索引擎、社交网络服务、特定信息服务、操作系统和在线中介服务等），充当着企业用户连接消费者的重要门户，拥有持久、庞大的用户基础，在欧洲数字市场占据或预期占据稳固而持久的地位，因而在事实上拥有规则制定的权力。守门人通常需满足如下三个定量条件：

第一，影响内部市场的规模：过去三个会计年度，在欧洲经济区（EEA）内的年营业额不低于65亿欧元，或过去一个会计年度，平均市值或等值的企业市值不低于65亿元，且向至少三个成员国提供核心平台服务。

第二，控制企业用户接触终端用户的重要门户：企业运营的核心平台服务在上一会计年度有超过450万的月活跃欧盟终端用户或1万的年活跃欧盟企业用户。

第三，已经享有或可以预期即将享有稳固、持久的地位：过去三个会计年度，每个年度均符合以上两个标准。

如果前述定量要求全部满足，将会被推定为“守门人”，除非企业提交强有力的证据予以反驳。如果前述三项要求并没有都达到，委员会可以通过市场调查，评估该公司的具体情况，决定是否将其认定为“守门人”。综合以上因素，我国在制定互联网平台标准时，可以按照营业额、企业市场、活跃用户等方面进行限定。(https://www.daowen.com)

《关于构建更加完善的要素市场化配置体制机制的意见》等文件已明确指出，数据是重要的生产要素。作为数字经济新组织物种的互联网平台，其实质是作为流量入口的海量多样化实时动态的数据集合体，平台可以利用巨量的黏性用户资源，通过自身营造的网络生态系统吸引千万流量、汇聚海量信息，进而形成强连接的网络效应。因此，互联网平台企业在此期间“受益匪浅”，甚至成了一个个“巨无霸”。如何为互联网平台企业配置合理的权利和义务，是实现信息主体的核心利益和国家在个人信息保护秩序中的公共管理利益的核心环节。对此，《个人信息保护法》从保护公民个人信息权益角度出发，对互联网平台提出了更高的要求。

一、成立外部独立机构

《个人信息保护法》第58条规定，成立主要由外部成员组成的独立机构对个人信息处理活动进行监督。该条款要求个人信息处理者接受外部监督，设立外部监督机构能够更好督促个人信息处理者合法、正当、必要的处理个人信息，一定程度上提高其处理个人信息活动的透明度。这个制度与“独立董事”有一定相似，随着企业发展壮大，必然面临企业所有权与经营权的分离，通过创设独立董事制度来改变经营者决策权力的结构，达到监督、制衡的作用，从而保证经营者不会背离所有者的目标，促进代理与委托双方利益的一致，控制代理成本，提高运营效益。独立机构相当于个人信息保护的“独立董事”，制约互联网平台更好履行个人信息处理者的各项义务。此外，《个人信息保护法》也要求企业内部设置“个人信息保护负责人”，对平台的个人信息处理行为负有监督、管理的义务。如此就形成了全面的个人信息处理内外部监督机制。

二、规制平台内的产品或者服务

《个人信息保护法》第58条规定，对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。这就要求互联网平台充当“准行政执法机构”的角色，强化对自身平台内的产品或者服务提供者的监管力度。其实，该条款早在《网络安全法》就有涉及，其中第47条规定，“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”。之所以有这样的要求，是因为互联网各类信息和数据的技术关口都掌控在互联网平台手中，如果不能从源头关口把控平台内的产品或者服务，面对天文数字的网络信息，单凭行政机关的人海战术，是永远无法做好监管工作的，也难以达到监管效果。例如，当前各地对互联网广告的监管方式还是人工搜索巡查为主，缺乏有效的网上搜索巡查技术工具，工作量巨大，监管效能极低，更容易被互联网广告违法者绕开、规避，常常是“看得见的管不着，管得着的看不见”。网络监管是行政机关面临的新业态、新难题，在不断改进升级监测系统的同时，完全可以要求本身具有较高技术水平的互联网平台共同治理，形成保障个人信息权益的护城河。因此，必须充分发挥互联网平台的自我规制能力，强调源头治理、算法治理、动态治理，更好保护公民权益。

三、接受社会监督

《个人信息保护法》第58条规定，定期发布个人信息保护社会责任报告，接受社会监督。企业和市场是不能脱离社会，独立存在于真空的，“客户就是上帝”的理念也折射出企业的生产最根本的依赖就是消费者。自然，互联网平台也应当肩负起保护个人信息的社会责任。虽然商业原则强调效率和竞争，追求在优胜劣汰中不断提升经济整体运行效率，但互联网平台毕竟是一个特殊实体，拥有海量用户和指数型增长的个人信息，理应更加强调公平和包容，要照顾到社会全员，希望人人都能从发展中获益，要求建设社会保障网络接纳失业和抚慰掉队的社会成员，实现整体的和谐可持续发展。互联网平台定期发布个人信息保护社会责任报告，既是保障个人信息权益的宣言，也是规制自身合理合法发展的“枷锁”。这有利于增强用户信心，有利于改善企业形象，有利于规范行业行为，更有利于促进权益保护。

“监督者控制潜在危险的义务通常来源于他对危险源的控制能力。”任何人对自己控制的场所等负有相应的安全保障义务，互联网平台也应当对其管控的网络空间负有适度管控和注意义务，这遵循了收益与风险相一致原则。一方面，互联网平台作为利益享有者，其面向社会提供产品或服务，从事以获利为目的的营利性活动，从用户中获取经济利益，同时应当保护用户的权益。另一方面，互联网平台作为管理者，具有专业知识、能力、技术，能够预见可能发生的危险和损害，更有可能采取必要的措施防止损害的发生或减轻损害。因此，额外赋予互联网平台特殊义务，要求对其支配的个人信息进行特殊保护和管理，是应对信息风险社会行之有效的治理路径。

数字世界与现实世界的疆界上，强有力的守门人是必不可少的。互联网平台企业作为数字世界在现实世界中的载体，用户与社会成员重合、场景与日常生活重合、留存与真实世界重合、规则与计算过程重合，是公民权益的天然守护者。互联网平台企业应当始终秉持科技向上、服务人民的理念，加强自身合规建设，强化社会责任意识，进一步创造更大的社会福祉。

四、制定平台规则、明确保护义务

《个人信息保护法》第58条规定，应当遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。

当前，互联网平台成为数字经济发展的重要组成部分，其规模和影响力呈现爆发式增长态势。人人离不开网络，人人都需要网络。网络给人们带来了极大便捷的生活方式和超高效率的工作模式，同时也促成了互联网平台的“巨无霸”形态。互联网平台发展的方向和质量直接影响着数字经济发展的效率和质量。数字经济时代，新问题随着新业态的发展不断涌现，出现了未经授权转让个人信息、个人信息泄露、信息内容优劣混杂等诸多问题。面对海量主体和无数信息，仅依靠监管部门的力量是远远不够的，明确平台治理主体地位、赋予平台制定规则职责成为一条行之有效的方法。