周汉华:《个人信息保护法》“守门人条款”解析

周汉华

    摘要:传统守门人存在于社会生活不同领域,通过履行第三方义务承担各种把关职责,构成治理体系的重要环节。平台经济能够迅速发展,得益于避风港原则免除平台第三方义务。随着超级平台利用数据优势阻碍竞争现象的加剧,各国近几年来开始建立数字守门人制度,对守门人数据活动进行监管。传统守门人与数字守门人差别巨大,我国《个人信息保护法》守门人条款将两种意义上的守门人融入一炉,既有特点,也对实施提出各种挑战。
    关键词:守门人条款;数据监管;第三方义务;个人信息保护法
    《个人信息保护法》第58条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者引入“守门人条款”,成为我国《个人信息保护法》的一大亮点。然而,由于规定过于简略,该条款究竟如何理解与适用,存在不少问题和争论,亟需从法解释上进一步明确。
    一、两种不同意义上的守门人
    守门(gatekeeping,也可称为看门、把关)现象自古有之,存在于社会生活的不同领域。对守门现象的理论分析源于传播学,但最初并没有正式的理论名称。1922年,罗伯特·帕克在《移民杂志及其控制》一书中分辨了新闻过程中编辑的“把关”角色,发现“在记者和通讯员每天记录的所有事件中,编辑会选择一些他认为比其他项目更重要或更有趣的议题刊发,剩下的部分将被遗忘,扔进废纸篓”。1943年,美国社会心理学家科特·卢因在如何有效地改变家庭食品消费决策的田野调查中率先提炼出“守门人”(gatekeeper)概念。当时,人们普遍认为男人控制所有家庭决策,卢因发现,食品并不是通过自发机制流动,是否能进入流动渠道会受到“守门人”的影响。并且,守门人通常是家庭主妇,或者是富裕家庭的女佣。2008年,以色列学者凯琳·娜虹综合传播、信息科学以及管理科学,通过几篇论文从跨学科角度对网络把关理论进行研究,研究对象从新闻延伸到所有信息,并提出诸如“关口”“把关”“被把关者”“把关机制”“网络把关人”等概念。可以看到,不论是在哪个领域,传统守门人理论有三个特点:第一,守门人泛指各种把关角色,如出具发行股票合规报告的律师事务所、会计师事务所,开出处方的医生,进行从业资格认可的行业协会,审核稿件的主流媒体编辑,监督雇员活动的雇主等。守门人所处的独特地位使其只要撤回或拒绝合作,就可以阻断违法者的不当行为,其效果不亚于政府执法。互联网平台作为提供连接服务的双边市场,从出现之初就具有守门人特点,包括网络法学者过去所谈论的守门人一般也都是泛指所有的互联网平台。第二,守门人理论的核心问题是如何充分利用守门人独特的把关地位,履行国内外学术界普遍归纳的“第三方义务”,过滤信息或者阻止违法者的违法行为,形成有效的治理结构。守门人如果不履行这种义务,可能涉及相应的法律后果,包括承担“担保责任”“连带责任”“严格责任”“替代责任”或 者“安全保障义务”等民事责任以及罚款、吊销营业执照等行政法律责任甚至刑事责任。比如,雇主要对雇员履职行为承担“替代责任”,报纸要对作者发表的作品承担侵权责任,商场要对顾客在商场内的人身财产安全履行安全保障义务等。第三,由于守门人现象无处不在,不同领域的差别非常大,因此,守门人概念只能是理论概念,“在法学界也只受到很少的关注”,具体权利义务关系要根据不同法律具体确定,不能笼统地给市场主体施加第三方义务。作为连接买卖双方的双边市场,平台本身就有规范平台内商户与终端用户行为的权力,以维护平台秩序。互联网平台出现之初,面对大量违法行为且难以发现违法者的现象,各国确实有过套用守门人第三方义务的设想,要求平台主动发现并制止用户的违法行为,否则需要为用户的违法行为承担严格责任。但 是,这种逻辑的结果一定是平台无法发展,错失新业态带来的机会。因此,经过激烈的争论后,包括美国1996年《通讯品位法》和欧盟2000年《电子商务指令》在内的各国立法普遍为平台打造以通知-删除为标志的避风港,平台无须积极履行一般性第三方义务,通常情况下只要接到通知后及时删除违法内容即可,无需对用户的行为承担法律责任。欧盟《电子商务指令》第15条明确规定,“成员国不得对提供第12条、第13条与第14条服务的服务商施加监控其传输或者存储的信息的一般义务,或者积极搜寻违法活动事实或者场景的一般义务”。我国《信息网络传播权保护条例》《侵权责任法》《民法典》等在平台责任的设计上遵循的也是同样的逻辑,确立了通知-删除规则的基础地位。可以说,正是“非守门人”逻辑与制度设计,推动平台经济在短短二十多年里迅速地改变了人类经济与社会生活。
    近几年来,随着超级平台限制竞争、超范围收集与使用个人信息、传播虚假信息等问题的集中显现,欧美各国普遍加快政策研究与立法准备,为平台经济治理探索方向。欧盟2020年12月发布的数字市场法立法报告明确指出,平台经济极端的范围经济特征突出,增加平台内商户以及终端用户的边际成本趋向于零; 平台经济有非常强的网络效应,使得平台内商户和终端用户依赖平台,形成锁定效应; 平台可以利用其连接两端所获得的大量数据,从一个领域向其他领域延伸,形成数据优势,其他市场主体不论多么具有创新性也很难与平台进行竞争。美国众议院司法委员会在对数字市场竞争经过16 个月的调查后于2020 年10月发布报告指出,平台经济呈现的赢家通吃、跨行业经营等特点,使超级平台出现之后通过规模经济与范围经济变成为“守门人”,具备基础设施的特点,可以通过控制市场准入挑选赢家与输家,排除潜在竞争对手,巩固和扩大支配地位。法国国家竞争局的相关文献中,强调了“守门人”必须具有中介特征,并掌握对于市场进入的控制权。德国2021年1月20日已经率先开始实施《反对限制竞争法》第10次修正案第19a条(也被称为“反对限制竞争数字化法”或者“德国的守门人条款”),专门针对大型数字公司滥用市场地位行为,目前已经分别对脸书、亚马逊、谷歌三家平台公司发起调查。反对限制竞争数字化法适用特别程序,而不是适用常规竞争法程序,首先由联邦卡特尔局确定哪些平台属于“对跨市场竞争具有极端重要性的公司”,然后对这些平台施加特别义务。
    在此背景下,以欧盟数字市场法为代表,数字守门人制度呼之欲出,成为大国间制度竞争的最前沿。不过,需要注意的是,除了沿用传统的守门人名称之外,数字守门人制度与传统守门人理论存在诸多根本差别。
    (一)数字守门人是专用概念,特指符合法律规定条件的超级平台企业,不再泛指可以利用其地位阻止违法者行为的一般主体。根据《欧盟数字市场法》第3条的规定,守门人需要满足三项条件:(1)对欧盟内部市场具有重大影响;(2)运营的核心平台服务构成商户抵达终端用户的重要门径;(3)运行享有不可动摇和持续的地位或者在可预见的未来会享有这种地位。符合以下具体要求可以分别推定符合上述三项条件:(1)过去三个财年在欧洲经济区的销售额等于或者超过65亿欧元,或者过去一个财年的平均市值或者市场估值至少达到650亿欧元,并且,至少在三个成员国提供核心平台服务;(2)提供的核心平台服务上个财年平均有超过4500万设立或者位于欧盟内的月度活跃终端用户以及超过1万家设立于欧盟的年度活跃商户;(3)过去三个财年均能达到(2)的要求。美国众议院司法委员会2021年6月通过5个数字市场相关法案,其中,《终结平台垄断法案》第5条对于守门人确定的衡量标准是市值必须在6000亿美元以上,必须在美国国内拥有超过 5000 万月活跃用户或 10 万月活跃商业用户。可以看到,由于条件严格,能够成为守门人的平台企业非常有限。
    (二)数字守门人需要履行的特别法律义务,性质上属于自己的直接义务,与第三方义务没有任何关系。《数字市场法》第5条、第6条规定的守门人特别义务共18项,都与数据监管相关,大致可以划分为两个方面: 一是限制守门人的行为(限权),二是为平台内商户、竞争平台与终端用户赋权。美国国会的报告从三个方面共提出13条政策建议,也都不涉及任何第三方义务。可以说数字守门人有些类似于反垄断法或者监管法律中的“市场支配地位”“瓶颈”“必需设施”等概念,承担相应的特别法律义务。英国拟议中的守门人行为规范要达到的目的是防止守门人盘剥消费者与商户或者排除竞争者的行为,以实现公平交易、开放选择、信任与透明三大目标。守门人的制度设计表明,各国仍然坚持对平台经济的基本定性以及避风港原则,避免套用第三方义务限制平台经济发展。同时,对于守门人阻碍竞争的行为在传统的反垄断执法之外,引入监管措施进行有效监管,两者共同发力,打破守门人对于数据的垄断。至于平台能力增强以后可以履行更多的治理责任,欧盟的做法是在坚持电子商务指令基本原则的前提下,由数字服务法另行规定,以避免不同法律关系的混淆与错位。需要指出的是,数字服务法中不采用守门人概念与制度。
    (三)守门人过去一直是理论概念,“以前法律从未规定过”。欧美最近的制度发展表明,数字守门人已经作为法律概念被官方文件或者立法草案正式确立,其名称、法律依据、认定标准、认定程序、法律义务、违法责任、监管机制、救济机制等,均由法律明确予以规定。这样,一旦数字守门人制度正式开始运作,一切都将有法可依,可以提高制度的可预期性与透明度。
    二、我国守门人条款的特点
    2020年10月提交全国人大常委会初次审议的个人信息保护法草案中并没有守门人条款。2020年12月中央经济工作会议首次提出“强化反垄断,防止资本无序扩张”后,有关部门密集推出相应措施.2021年4月全国人大常委会二次审议稿采纳部门、专家的建议,增加第57条,也就是学界俗称的“守门人条款”。该条经三次审议稿细微修订,形成最终的法律文本。从比较法角度看,我国守门人条款具有以下两个鲜明特点:
    (一)以《个人信息保护法》创立守门人制度,确立守门人制度基本框架。欧盟1995年制定《个人数据保护指令》之后,各国纷纷进行个人信息保护立法,经20年左右的努力,大部分国家及国际组织在守门人现象出现之前已完成立法任务。在此期间,计算机处理个人信息已经成为普遍现象,但平台经济只是处于萌芽和发展状态。因 此,各国个人信息保护法不可能针对超级平台规定特别义务,平等适用原则一直是个人信息保护法的基本原则。欧盟《一般数据保护条例》在前言中明确宣示:“条例对于包括微型、小型以及中型企业在内的不同经济主体提供法律确定性和透明度至关重要”“并为控制者与处理者规定同样水平、法律上可执行的义务和责任。”在坚持对不同行业、不同规模的义务主体一概平等适用的前提下,某些立法针对少数特殊主体在内部执行机制上有一定的额外要求,或者豁免小型处理者的某些义务,但这些都不影响个人信息保护平等适用的基本原则。也就是说,个人信息保护与新近兴起的守门人制度是两个完全不同的领域,遵循不同的制度逻辑。个人信息保护法立足于保护信息主体的个人信息控制权,权利与义务平等是其基本要求; 守门人制度立足于确立对超级平台的有效监管制度,区别对待是其基本特征。从欧美目前的制度设计与做法来看,数字守门人制度多由专门立法创立,主要由三个环节构成。首先,对平台服务进行分类和聚焦,分离出“核心平台服务”,相当于确定传统的基础设施产业范围。比如,《数字市场法》首先明确在线中介服务、在线搜索引擎、社交网络、视频分享平台服务、独立于号码的人际间电子通信服务、操作系统、云服务以及广告服务一共八类“核心平台服务”,其共同特征是具有极端的规模经济性和网络效应,能够最大化数据优势,使增加商家或者用户的成本几乎接近于零,并且锁定商家和用户。只有在这八类服务领域内达到标准的平台企业才是守门人,其他领域的平台企业不包括在内。美国国会调查的是在线搜索、电子商务、社交媒体与社交网络、移动应用商店、移动操作系统、数字地图、云计算、语音助理、浏览器以及数字广告共10个市场。
        
    英国正在推动的制度设计也是先评估守门人对竞争会造成最大风险的“特定活动”的范围,而不是守门人的所有活动。其次,根据终端用户数量、平台内商户数量或者企业市值等量化指标对提供核心平台服务的企业进行分级,达到法律规定标准的识别为守门人,相当于确定“瓶颈”。最后,明确守门人核心平台服务应该履行的特别义务,并对数据行为实施监管。我国《个人信息保护法》第58条虽然非常简单,还有不少值得充实和完善的地方,但大致确立了守门人制度的基本框架。“重要互联网平台服务”与数字市场法“核心平台服务”的表述异曲同工,蕴含着对平台服务进行分类的要求; “用户数量巨大、业务类型复杂”确立了对提供重要互联网平台服务的企业进行分级和识别的两项主要标准; 4项具体要求明确了守门人必须履行的特别义务。从立法形式来看,我国以个人信息保护法确立守门人制度具有巨大的创新性,如果具备相应的法律实施能力,第58条不但能够发挥应有的作用,而且可以在实施中弥补诸如规定过于原则等立法漏洞。
    (三)第三方义务与直接义务并列,两种意义上的守门人并存。《个人信息保护法》第58条为守门人规定的4项义务,可以划分为直接义务与第三方义务两大类,前者包括第(一)项、第(四)项,后者主要是第(二)项、第(三)项。也就是说,守门人不但要自己遵守个人信息保护规定,还要利用其独特地位,明确平台内商户处理个人信息的规范和保护个人信息的义务。与欧美正在推进的守门人制度聚焦直接义务比较,我国守门人制度将两种不同意义上的守门人一并纳入,充分反映了我国互联网治理的特点。
    我国互联网治理,既借鉴国际经验,通过《信息网络传播权保护条例》《侵权责任法》等民事立法打造平台责任避风港,又在互联网信息内容管理领域一直保有自己的特点。2000年,《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。按照一般理解及实践要求,这种义务是一种积极义务,平台需要积极履行及时发现违法行为的责任。2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第5条规定,网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息时,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。这些要求,被逐步完善为具有舆论动员能力的平台必须履行主体责任,积极主动履行公法上的第三方义务,否则要承担相应的法律后果。在借鉴互联网信息内容管理经验的基础上,诸如《网络安全法》第47条、第48条,《食品安全法》第62条,《药品管理法》第62条,《电子商务法》第29条、第38条、第45条,《消费者权益保护法》第44条以及《刑法》第286之一等立法,也都分别规定不同形式的平台第三方义务,构成我国网络综合治理体系的重要组成部分。学者在立法过程中提出增加守门人条款的建议,应该主要是基于第三方义务考虑。另一方面, 从2020年底开始,防止资本无序扩张成为一项重要任务,很多部门建议增加守门人条款,更多应该是考虑加强对守门人的约束。从这个角度观察,守门人条款将直接义务与第三方义务一并加以规定,实际上是一种妥协或者折中,有很强的现实色彩。
    上述两个特点,从有利方面看,能体现我国个人信息保护法较晚制定的“后发优势”,可以将个人信息保护与守门人监管两个问题一并解决,有可能走出一条不同的守门人监管道路。尽管欧美早于我国酝酿守门人立法,但我国某种意义上已经成为世界上率先正式确立守门人法律制度的国家之一。如果我们的法律实施能够有效推进,完全可以贡献更多的中国智慧。当然,从不利方面看,我国守门人条款过于原则,且把不同的法律关系交织在一起,加上执法能力不足,法律实施必然会面临更大的挑战,出现法治后发国家在其他领域经常会出现的纸面上的法律与现实中的法律相互脱节的问题。重视并全面剖析这些问题,是有效推进守门人条款实施的前提和基础。
    三、我国守门人条款存在的主要问题
    网络产业20世纪90年代出现之初,只是一个个门户网站,按照传统监管理论,属于典型的自由竞争行业,没有任何事前监管的必要。因此,过去 20 多年,各国对平台经济普遍采取放松监管的政策,并为平台提供避风港保护,由包括反垄断法在内的法律事后规范平台企业的行为。近几年超级平台的迅速壮大,对各方面带来了巨大挑战。欧美率先开启守门人立法进程,期望通过引入事前监管机制弥补事后反垄断执法的不足,推动竞争与创新。但是,各国对于加强监管的政策建议与各种讨论,均聚焦于守门人控制海量数据对于竞争的影响,探讨加强数据开放、数据可携、互操作、开源标准等数据监管措施,而不是简单地诉诸准入控制等传统监管手段。以欧盟数字市场法为例,被认定为守门人后,守门人必须履行的监管义务包括: 未经终端用户特别选择并同意,守门人不得将提供核心平台服务所得到的个人数据与提供其他服务所获得的个人数据或者第三方服务所获得的个人数据进行整合,也不得将终端用户推给守门人的其他服务; 不得要求平台内商户必须使用守门人提供的身份验证服务;不得为了与平台内商户竞争,使用商户在提供核心平台服务中所产生的、包括这些商户的终端用户所产生的、公开渠道无法获得的数据; 只要不影响系统正常运行,应允许终端用户卸载守门人在其核心平台服务中预装的任何应用程序;为平台内商户或者终端用户所生成的数据提供有效的可携措施,特别要为终端用户便捷地行使数据可携权提供持续、实时获取的工具;对于平台内商户及其终端用户在使用守门人相关核心平台服务过程中生成或提供的集合数据或者非集合数据,免费为平台内商户及其授权第三方提供有效、高质量、持续、实时的获取与使用等。守门人制度的设计,体现了各国对于规范与发展关系的战略把握,既正视守门人带来的挑战、推动竞争和创新,又不因噎废食,过多地干预平台经济发展,以抓住信息革命带来的发展机会。可以预见,守门人制度正式确立之后,随着数据监管措施的到位,会对超级平台运行的很多习惯做法带来革命性影响,为竞争和创新带来新一轮机遇,并推动平台经济治理体系的深刻变革。
    对比之下,我国《个人信息保护法》第58条对守门人直接义务的规定只有两项,不但本身内容比较原则,刚性不强,而且,这两项规定均局限于个人信息保护范畴,对于解决守门人数据垄断现象几乎无法发挥任何实质性作用。因此,尽管第58条确立了守门人制度的基本框架,但守门人必须履行的数据监管义务完全缺位,有认定标准而无行为规范,只能称为“半个守门人条款”。从个人信息保护法实施半年多以来的实践看,守门人条款对超级平台的合规实践与既有做法没有任何改变,与一般个人信息处理者需要遵守的义务几乎没有差别。如前所述,个人信息保护与守门人监管是两个不同领域的问题,如果只是在个人信息保护范畴内设计守门人义务,其意义就必然非常有限;超出个人信息保护范畴系统设计守门人义务,又会面临立法权限与范围的限制。这是以个人信息保护法创立、承载守门人制度在直接义务设定方面必然面临的两难。
    至于《个人信息保护法》第 58 条为守门人规定的第三方义务,也存在以下三个方面的问题:
    (一)在移动终端 APP 运营模式之下,我国大部分APP运营企业掌控了平台上的所有信息(包括个人信息);而平台内商户能够获得的信息非常有限,多是经过脱敏的相关信息,由APP运营企业对信息经过集中处理后再分别向平台内商户导流。这种信息流动格局清晰地体现在主要APP的隐私政策中。当然,这种格局近年来在实践中已经引发个别较大规模平台内商户的不满并提出相应诉求,也是守门人制度要解决的核心问题,以便让平台内商户获得与其经营活动相关的更多信息(包括用户的个人信息),促进公平竞争。在平台内商户不掌握信息的运行格局之下,第58条为APP守门人规定第三方义务,让其明确平台内商户处理个人信息的规范和保护个人信息的义务,实际上是无的放矢,没有太多实际意义。
    (二)对于操作系统、移动应用商店、云计算等类型的平台服务,平台内商户确实能够独立掌握相关的信息(包括用户的个人信息),存在设定第三方义务的可能性。理论上,为私主体设定第三方义务需要考虑不同因素,其中,最基本的一个要求是该主体能够以合理的成本发现违法行为,不宜让其承担不可能完成的任务。梳理下表我国已经为平台设定第三方义务的主要法律规定可以发现,相关领域均是平台可以以合理的成本发现违法行为的领域,如诽谤、色情内容、有害信息、假冒伪劣商品、知识产权侵权产品、无证产品等。这些违法行为的“违法性”较为明确,以正常人标准通常就能够加以判断;并且,这些违法行为会以“公开化”的方式在网络上呈现,几乎为社会所公知,平台没有理由无视其存在。因此,相关立法使用的关键词一直是“发现”或“知道”,以对应公开呈现的违法行为。这样的范围与标准界定,既有利于发挥平台发现与阻止违法行为的作用,也能够以客观标准评价平台是否履行了第三方义务。同时,“发现”与“知道”的表述,表明平台履行的本质上是也只能是事后义务,在公开呈现的违法行为出现以后及时发现并采取相应措施。尽管管理部门对于及时发现违法行为的要求可能会非常高,平台必须通过各种手段(包括人工智能方式)及时发现并处理违法行为,以至于普通人很难感受时间上的“事后”特点。
    个人信息保护与前述规定平台第三方义务领域存在众多重要差别,包括:A. 个人信息保护与利用密切相关,涉及数据资源开发与利用等前沿领域,合法与违法的边界并不总是那么容易判断;B. 个人信息保护涉及主体多、链条长、隐蔽性强、变化快,违法行为通常并不以“公开化”方式呈现;C. 个人信息保护执法实践中存在取证难、质证难、执行难等各种难题,除公安部门外,一般行政执法部门执法都会遇到很大障碍,民事诉讼原告几乎无法胜诉。在这种情况下,让平台承担第三方义务,去“发现”“知道”平台内商户的个人信息违法行为,其实是让其承受难以履行的负担,平台很容易被认定为不作为违法。守门人、平台内商户、平台用户、职业维权人、竞争平台等相关多元主体复杂博弈格局,加之个人信息保护法非常严格的法律责任规定与维权机制设计,极有可能引发道德风险与“囚徒困境”,不但对个人信息保护没有多大实质帮助,而且会产生更多问题。更为复杂的是,第58条第(二) 项要求守门人“明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”,性质上明显属于“事前”义务,义务的范围和程度远远超出以前立法所规定的“发现”与“知道”。面对数以百万计业态各异的平台内商户,要求守门人履行事前第三方义务,为不同的平台内商户明确相应的个人信息处理规范与义务,其难度之大可想而知。即使守门人能够明确这样的规范与义务,也会与平台内商户本身的隐私政策不一致或者冲突,人为加大矛盾。另外,第58条第(三)项要求守门人“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”,但没有规定相应的前置程序或者停止提供服务的依据。如果没有前置行政决定或者司法决定作为基础,要求守门人独立对平台内商户的个人信息处理行为进行合法性判断并决定停止提供服务,不但难度极大,而且蕴含各种法律风险。
    (三)第三方义务既是法定义务,也是法律授权,这一点不同于直接义务,直接义务只是纯粹的法律义务。数字守门人制度的出现,是要解决守门人通过数据优势阻碍竞争的现象,因此,守门人制度的核心是限制守门人的数据权力,同时为平台内商户、其他平台与终端用户赋权,以促进数据流动与共享。这是欧美将数字守门人义务限定为直接义务的根本原因。《个人信息保护法》第58条将“明确处理个人信息的规范和保护个人信息的义务” “停止提供服务”等边界、程序与条件都不是非常清晰的第三方义务配置给守门人,等于笼统给守门人授权,
        
    使其在享有对平台内商户数据优势的基础上,额外获得行为规范制定权与某种意义上的行政管理权,明显是增加守门人的权力。这样的制度设计,正好与守门人制度限制平台权力,为平台内商户赋权的制度设计初衷相违背,还能不能被定性为守门人条款其实有很大的疑问。
    尽管从个人信息保护法的立法演变过程来看,作为防止资本无序扩张的一项措施,第58条确实是被作为守门人条款设计的,也没有任何方面对此提出过反对意见。然而,值得指出的是,除了学术界与媒体采用守门人概念以外,个人信息保护法并未规定该概念,至今也无任何权威机构为该概念或制度背书。对比可以发现,相关医疗健康领域的文件已经较为普遍地采用“守门人”概念,证劵等金融领域相关文件与学术研究普遍采用“看门人”概念,传媒管理领域的个别文件与不少学术研究已在使用“把关人”概念。守门人条款对于直接义务与第三方义务的规定存在前述种种问题,加上守门人条款根本未提及守门人概念,那么,个人信息保护法是不是真的确立了守门人制度,确立的究竟是哪种意义上的守门人制度,是不是实现了立法意图,应该用哪个名称等,都可能有不同理解、不同答案。同样,守门人条款究竟如何实施,是否会实施,实施的目标如何确定,实施主体有哪些,按照什么原则、标准与程序实施等,也都很难有合理的预期。这些,可能是守门人条款面临的最根本问题。没有创造性的法律实施,没有系统的解决方案,这些问题不会有答案,这些规定不会真正有意义。
    四、守门人条款的适用
    守门人条款出现在个人信息保护法中,既有一定的偶然性,也有必然性和深刻的经济社会背景。因此,守门人条款的适用,不能就规定论规定,必须在平台经济发展的大格局中明确定位,形成系统解决方案。
    (一)适用守门人条款的意义
    20多年前平台经济出现之始,就在音乐、电影、出版物等领域与传统产业发生冲突与碰撞,引发对平台责任的激烈争论。如果说20世纪90年代中期的避风港立法开启了各国网络法治的上半场,相当于为当时初生的互联网产业装上引擎,那么,当下各国正在推进的守门人制度实际上已经拉开网络法治下半场的序幕,在为高速飞驰的平台经济装上刹车的同时,将推动竞争与创新迈上新台阶。
    平台经济经过高速发展与积累,已经与实体经济深度融合,并以先易后难的方式,逐步向管制行业迈进。并 且,管制越强的领域,潜在的市场创新空间与创新动力越大。由于平台经济具有的优势,使超级平台能够在进入每一个传统行业后,实施降维打击,带来行业的颠覆性变化。同时,超级平台通过锁定终端用户与平台内商户,可以对双边市场的两端进行任意揉搓、碾压与吊打,新的竞争平台很难进入或发展。这种守门人予取予夺、一家独大的市场格局,不但会对行业生态造成连锁影响,使市场难以长期持续发展,而且会使守门人本身逐步失去竞争与创新动力,这是平台经济发展必须正视的深层次挑战。卡尔·波兰尼很早就提出关于市场力量不断扩张或早或晚都会引发以保护性立法和政府干预为特征的反向运动理论。利益受到严重冲击的强管制行业必然以安全、垄断、社会稳定、财富分配等为理由,通过推动限制平台准入等传统监管方式维护自身利益。近年来,这样的场景在国内外酒店业、出租车行业、金融业等封闭性非常强的领域屡见不鲜。
    平台经济跨界融合的特点决定了传统监管手段的无效性与不可持续性,强制划定边界只会造成传统行业的持续落后与全社会的效率损失,错失数字经济带来的机会,更无法赢得国际竞争。同样,放任平台通过数据垄断方式进行不公平竞争,或者继续沿用事后个案反垄断执法,不但不能及时有效解决问题,而且会使问题越积累越严重,破坏行业生态,带来长期政策不确定性等负面后果。在数字经济加速发展,各国纷纷抢占数字经济制高点的背景下,政府不但必须监管,而且必须尽快干预,以避免政策不确定、方向不明确造成的影响。最近几年主要大国的平台监管政策演变表明,构筑以守门人制度为标志的数据监管体系,促进公平竞争,既可以防止回归传统监管手段,又能推动数字经济发展,实现双赢乃至多赢,具有重要的战略意义与全局意义。数据监管是防止资本无序扩张最好的“红绿灯”,这是我们认识守门人条款及其实施的根本意义所在。尽管守门人条款存在不少问题,但在各种制约条件下能够通过个人信息保护法率先在我国确立守门人制度的基本框架,已经是难能可贵的一步,是个人信息保护法最具有全局意义的一条规定。法治是一个过程,立法不可能绝对完备,纸面上的规定只有通过实施才能成为现实中的法律。在我国,推动守门人条款的尽快实施,必将助推形成“规范、透明、可预期”的监管,走出“一抓就死、一放就乱”的治乱循环,推动平台经济发展迈上新台阶。
    (二)先分类、再分级,准确识别守门人
    《个人信息保护法》第 58 条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂”三个条件,等于确立了识别守门人的两个环节,需要先分类、再分级。“提供重要互联网平台服务”,意味着要先对平台服务进行分类,从中识别哪些属于重要平台服务; “用户数量巨大、业务类型复杂”,意味着要在经识别的重要平台服务领域,根据这两个标准对平台企业进行分级,识别出哪些属于守门人。2021年10月,国家市场监管总局发布《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》(以下简称“主体责任指南”),确立的也是先分类、再分级的超级平台识别程序,首次提出中国版守门人制度的基本设想,为验证守门人条款提供了分析对象。随着平台经济的发展,平台服务线上线下融合,将所有平台全覆盖地纳入监管,既无必要,也无可能。需要纳入监管的,是具有基础设施特点的重要(基础性)平台服务,也可称为门径(gateway)。从各国对平台经济的官方研究来看,门径有两个重要特点:一是能够连接并锁定平台内商户与终端用户,二是守门人可以利用控制的门径向不同服务领域扩张,提供跨领域服务。因此,门径具有极端的规模经济性和网络效应,能够最大化数据优势,锁定平台内商户和终端用户,并实现跨行业、跨领域扩张,形成和固化竞争优势。当然,实践中不排除有些守门人只提供门径服务,并不向其他领域扩张,有些可能会同时控制多条门径,这些都不影响对其本质属性的认定和识别。简言之,门径是能够控制平台内商户及其他平台(包括新进入平台)触达终端用户的平台服务。诸如电子商务、社交网络、搜索、广告、移动应用商店、移动操作系统、云计算等普遍被认为构成门径,而类似输入法、在线音乐、在线读书、在线翻译等众多的平台服务,明显不具有门径特征。平台服务分类以后,需要对提供门径服务的企业进行分级,将达到一定规模的企业认定为守门人。标准以下的企业,不具有守门人能力,不需要进行监管。分级最为重要的衡量标准是体现平台双边市场特点的平台内商户与终端用户的数量,只有两边的用户数量均达到一定的规模才符合“用户数量巨大”的标准,成为守门人。如果只是单边的终端用户数量巨大,无法体现门径的特点,不能认定为守门人。诸如基础电信运营商、银行、主流媒体等平台服务虽然终端用户数量巨大,但因为不是双边市场,不能被界定为守门人。同样,以自营业务为主,第三方服务为辅的平台,如果平台内商户数量不达标,也不能界定为守门人。在流量为王的平台经济时代,用户数量与平台企业的市值(估值)其实是一枚硬币的两面,呈正相关关系。因此,也可以以市值(估值)帮助判断平台企业的影响力,达到标准的构成守门人。至于“业务类型复杂”指的是在提供门径服务之外,守门人还提供其他的平台服务,以实现跨行业交叉补贴,延伸优势地位。其判断标准应该是至少提供一种门径服务,并在此基础上向其他服务领域延伸。延伸的领域越广,控制的门径越多,守门人的优势越大,监管的强度相应也应该越大。也就是说,不同守门人之间存在体量的差别,需要根据业务的复杂程度决定监管的不同强度。这样推理,“用户数量巨大”是认定守门人最基础的标准,而“业务类型复杂”是对守门人进行二次分级的标准。需要指出的是,鉴于守门人制度近几年才刚刚被提出来讨论,二次分级在各国的讨论非常少,立法总体上仍处于将所有守门人“一刀切”设计制度的阶段。分类分级虽然是通俗、易懂的表述,但很容易产生全覆盖的联想,好像要给所有平台服务分类,给所有平台企业分级。如上所述,守门人的确立过程准确地说其实是“两个识别”的过程,先识别门径,再识别能够控制门径的守门人,没有被识别出来的,不需要再贴任何标签。在跨界融合、快速迭代的网络环境下,既不需要给每一种平台服务都分类,也不需要给每个平台企业都贴上等级标签,只需要识别出守门人就达到制度设计的目的。识别之后,对守门人门径服务施加数据监管义务,其他平台企业以及守门人的非门径服务仍然采用事后反垄断执法等机制。这样,既发挥市场的决定性作用,又更好发挥政府作用,还能减轻执法部门与管理对象的负担。
    根据上述推理分析,国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》(以下简称“条例征求意见稿”)对于“大型互联网平台运营者”的规定,明显只有企业分级一个标准,缺乏以平台服务分类作为前提条件。就守门人监管而言,企业大并不是问题,并不必然需要被界定为守门人,通过事后反垄断执法就完全可以应对。只有大型企业提供的平台服务构成门径,才需要守门人制度进行监管。相比之下,市场监管总局发布的两个指南更为全面,包括分类与分级两个方面。然而,两个指南仍然存在几个值得探讨的问题:(1)指南将平台分为6大类31小类,并分为3级,采用的显然是全覆盖思路,实施之后每个平台都要找到自己的分类与分级,难度与工作量之大可想而知。(2)6大类分类,突出的均是平台外在表现形式的“人与商品、人与人、人与服务”等连接功能,并没有突出平台连接平台内商户与终端用户这个最根本属性。易言之,整个分类都不涉及先确定门径问题,守门人制度实际上仍然只有一个分级标准,必然会导致扩大守门人范围的结果。(3)分级均只有用户规模一个指标,应该指的都是终端用户,如超级平台的标准是在中国的上年度年活跃用户不低于5亿。由于分级缺乏平台内商户规模指标,只有一个终端用户指标必然会进一步扩大守门人的范围。由此可见,不论是条例征求意见稿还是两个指南,都忽略了识别“重要互联网平台服务”这一环节,这样确定的守门人肯定远远多于严格按照守门人条款识别出来的数量,而对守门人采取的监管措施也会远远超出提供门径服务的范围。
    守门人制度的确立,是一个新生事物,国内外都处于初步探索阶段,相关制度的完善必然需要一个认识过程。我国平台企业的运营模式与运营环境既有与国外相同的地方,也有很多自身特点,并且处于不断变化中。在借鉴国外守门人制度经验的基础上,逐步确定识别守门人的中国标准与范围,使守门人条款真正成为实务操作指南,还有很多工作要做。
    (三)体系性适用,明确守门人双重行为规范
    识别守门人提供的门径服务,不仅是确定守门人的前提条件,而且是明确守门人数据监管义务与范围的基础。在线上线下高度融合的环境下,对守门人的所有服务均进行监管既无必要,也不可能。守门人制度的核心是对守门人提供门径服务所涉及的数据处理活动进行监管,防止其利用数据优势阻碍竞争和创新。个人信息是最重要、最有价值的数据,守门人提供门径服务过程中形成、获取的个人信息,当然是数据监管的重点。至于守门人门径服务之外的其他服务,均通过事后执法予以规范,既不需要履行特别的义务,也不需要事前监管。由此可见,守门人条款所确定的直接义务应由两个部分组成: 一是作为个人信息处理者必须履行的个人信息保护一般义务,与其他个人信息处理者一样,平等适用是其基本原则,没有太多特殊性; 二是作为守门人对提供门径服务所处理的个人信息必须履行的特别义务,差别对待是基本原则,一般个人信息处理者或者守门人门径服务之外的其他服务均不适用。守门人既是一般个人信息处理者,
        
    也是守门人,定位的复合性决定了守门人必须履行双重义务,这是守门人条款的题中应有之义。也就是说,守门人承担的诸如“建立健全个人信息保护合规制度体系”“定期发布个人信息保护社会责任报告”等直接义务包括两个方面的内容:一是覆盖守门人所有服务的个人信息保护一般义务,这是通常的字面理解; 二是覆盖门径服务的个人信息保护与处理特别义务,这是体系与立法目的解释。只按照通常的字面理解,守门人条款意义不大,只是“半个守门人条款”。只有通过体系性解释,区分不同的法律关系,才能真正体现将守门人条款纳入个人信息保护法的创新意义与实施重点所在。从守门人制度全局解释守门人条款设定的两项直接义务,可以跳出就个人信息保护确定守门人义务的窠臼,通过体系性适用明确守门人特别义务,使“半个守门人条款”成为完整的守门人条款。
    这样,运用体系性思维将相关规定中能够适用于守门人的特别义务加以提取,就可以确立守门人的行为规范——守门人履行两项原则性直接义务,对这一义务的理解必须与个人信息保护法及相关的国家规定相结合。这实际上是把两项原则性义务作为引致条款,将包括个人信息保护法其他条款在内的“国家规定”一并纳入守门人制度,推动守门人数据监管义务的全面落实。这样的理解与适用,既符合个人信息保护法创立守门人制度的立法目的,也使守门人的各项义务均能在个人信息保护法和国家规定中找到相应依据,不超出法律的明确授权。比如,个人信息可携权既是一项个人权利,也是通过向个人赋权打破守门人数据优势的一项重要数据监管举措。在欧盟,前者由一般数据保护条例加以规定,后者由数字市场法予以列举,分别承担不同功能。我国个人信息保护法通过守门人条款将两项制度一并纳入,实施中,完全可以要求守门人率先对门径服务所获得的个人信息提供可携带的途径和方法,建立合规制度体系,以尽快落实守门人条款的要求,而非守门人平台企业不需要承担这一义务。与此同时,再结合个人信息可携权的一般规定,逐步推动个人权利保护意义上的个人信息可携权全面落实。这样,个人信息可携权虽然是同一个条文的规定,但会分离出两项合规制度要求,一项履行守门人义务,一项履行个人信息处理者义务,两项合规制度要求在适用范围、对象、执行机制、推进步骤等方面必然会有差别。一般个人信息处理者只需要履行个人信息处理者义务,守门人则必须同时履行两项不同的义务。再如,《个人信息保护法》第20条规定共同处理个人信息的,应当约定各自的权利和义务,同时又规定共同处理者需承担连带责任。由于实践中守门人掌握所有信息,而平台内商户只得到有限的信息,这条规定对平台内商户显然不利,也与守门人制度为平台内商户赋权的趋势完全相反。因此,个人信息保护法实施中可以通过共同处理的规定以及权利义务一致性原则,明确确认平台内商户对于相关个人信息的获取权、使用权等权利,打破守门人对于个人信息的垄断。除了向平台内商户、终端用户赋权以外,也可以通过落实守门人特别义务( 限权) 来完善守门人制度。比如,《个人信息保护法》第6条规定的最小必要原则,适用于一般个人信息处理者和守门人两种不同的场景,具体要求显然不应该完全一样。个人信息处理者作为整体必须遵守该原则,而守门人的门径服务在此基础上还应该履行更高的义务,如不得通过门径服务跨业务线收集与使用个人信息。这样规定,是为了防止守门人形成和滥用数据优势地位。从这个角度看,网信办发布的条例征求意见稿第43条第3款、第51条、第53条,市场监管总局发布的主体责任指南第1条第1项、第3条,都颇有异曲同工之处,都可视为通过对个人信息保护法相关规定的细化来落实守门人特别义务,建立较为完备的数据监管制度。个人信息保护法的体系性适用,要在坚持法制统一原则的前提下,区分个人信息保护与守门人监管两种不同的法律关系,在法律实施中构筑守门人双重行为规范体系。这显然要求较高的政策水平与法律水平,对法律实施的各相关方都会是一场持续考验。
    (四) 统一标准,维护法律权威
    严格的门槛和互联网行业的特点决定了数字守门人的数量必然非常有限。除了通过统一的立法确立守门人制度以外,理想的状态应该是国家层面设立统一的数据监管机构,推进数据监管,以保持标准统一、执法尺度统一,以维护法律权威。门径服务的认定标准、用户数量的认定标准、守门人的数据监管义务等,均要保持全国统一,不能政出多门。在欧盟,一般数据保护条例的执法权分散配置在各国个人信息保护执法机构,而数字守门人的执法权集中配置在欧盟委员会,两者之间存在重大的差别。2021年4月,英国政府在竞争与市场管理局内设立数字市场局,对被认定为具有“战略性市场地位”的守门人企业进行监管。澳大利亚竞争与消费者委员会提出与英国类似的在该委员会内设立监管机构的建议。美国芝加哥大学布斯(Booth)商学院数字平台研究委员会市场结构与反垄断小组的研究报告建议国会设立专门的监管机构——“数字管理局”,对拥有瓶颈权力的平台进行监管。可见,统一标准与统一监管,对于守门人制度有效运行具有重要的意义。我国个人信息保护法规定的执法体制是公法执法与私法执法并存、行政执法权分散配置给不同层级、不同部门的多元执法体制,缺乏顶层统一的数据监管机构。因此,守门人条款实施确实面临较大的挑战,有可能出现执法尺度不统一、执法推诿、不作为或执法争权等在其他领域常见的现象,影响法律权威。有必要持续推动建立全国统一的数据监管机构,为守门人条款公正实施提供保障。当然,在统一的监管机构设立之前,守门人条款的实施也必须严格。必须在现实格局下,通过不同实施主体的共同努力,推动统一的守门人认定标准的形成。并且,如同前面对条例征求意见稿和两个指南的分析,如果不经过充分的论证就自上而下匆忙制定统一的规则,也有可能导致规定偏离正确的轨道而无法及时被纠正。从这个角度看,多方推动、多元主体互动,既能发挥不同主体的积极性,形成多元动力机制,避免空转与不作为现象,也能在多元互动与多方案相互比较中形成更优方案,然后再上升为统一的法律实施标准。这种多方推动的渐进变革路径,既是中国改革的成功经验,也未必不是一条可尝试的守门人条款实施之道。当然,这要求不同主体在充分发挥自身积极性的同时,形成有效的信息沟通与政策协调机制,推动法律实施实现“从混沌到有序”的渐进变革。守门人条款的实施,对我国法律实施体系既是又一次挑战,也是一次难得的完善契机。
    周汉华,中国社会科学院法学研究所副所长、研究员。
    来源:《法律科学(西北政法大学学报)》2022年第5期。
相关文章!