一、背景
互联网平台已经成为掌握最多个人信息的机构之一,并且掌握的信息具有极高的实时性和准确性。官方的信息可能只是知道我们的户籍地、常住地在哪里,在哪里缴纳社保,但互联网平台可以知道我们中午喜欢吃什么,下班喜欢去何处消费,闲暇喜欢什么类型的短视频。平台个人信息保护问题的高度敏感性也带来了高度社会关注度。
在新近发布的《个人信息保护法(二次审议稿)》中,最为显著的变化之一是新增第57条拟针对互联网平台新设置的接受独立监管、开展平台治理、发布社会责任报告的义务,提升整体平台个人信息保护水平。
二、涉及的主体的范围
明确主体是进行法律研究的第一步。《个人信息保护法(二次审议稿)》第57条使用顿号连接了“基础性互联网平台服务”“用户数量巨大”与“业务类型复杂”三组个人信息处理者的限定条件。即该条文可能存在两个理解:第一个理解是三组限定条件是“或”的选择关系,即满足其中之一就需要履行第57条的义务;第二个解释是“且”的并列关系,需要同时满足才需要履行第57条的义务。不同的解释直接决定该义务的适用范围大小。
根据国家标准《标点符号用法》(GB/T 15834-2011)4.5.3.1,顿号“用于并列词语之间”。并且法律中如表示选择关系会直接使用“或者”的表述。即本法条中三组限定需要同时满足,即个人信息处理者只有在同时满足“基础性互联网平台服务”“用户数量巨大”与“业务类型复杂”三个条件的情况下,才需要履行第57条所设置的法律义务。
换言之,对提供基础性互联网平台服务的个人信息处理者而言,并非需要将所有的业务置于独立机构的监管下,仅需要将部分复杂且处理大量个人信息的业务纳入独立机构监管。
在该法条的适用范围方面:哪些平台构成“基础性互联网平台服务”?多少用户才构成“用户数量巨大”?哪些情况算是“业务类型复杂”?以上这些问题都值得关注。我们预计在后续《个人信息保护法》配套的行政法规、部门规章中可能会进一步澄清。
第57条第1项中设置的由外部成员组成的独立机构,非常类似于《一般数据保护条例》(“GDPR”)下的外部聘请的数据保护官(“DPO”)。在GDPR下,DPO的设置分为内外两类,可以由企业内部的人员担任,也可以从外部聘请。而我国的个人信息保护立法从第一稿开始即设立了“个人信息保护负责人”的岗位,并沿用至二审稿(二审稿第52条)。
从职位的名称上看,个人信息保护负责人虽然也有监督职能,但是该职位的核心是需要就个人信息的处理承担责任。这样的设定与GDPR下DPO的设定存在显著差异。GDPR下的DPO更像是一个独立监管岗位,DPO不需要为机构的违法数据处理活动负责。欧洲很多国家还进一步规定很多国家规定不能随意解雇、处罚DPO,比如法国规定不可因DPO行使职责而对DPO进行处罚或威胁,不得取消晋升、延迟晋升、阻碍职业发展或减少福利。而我国的网络安全负责人、个人信息保护负责人均需要承担责任,因此此类负责人的岗位很难由外部人员担任。因此,此次设立的外部成员组成的独立机构可以在某种程度上视为外部DPO,并且“独立”的属性也可以决定其无需为个人信息处理者的违法处理承担责任,可以更好地履行监管职能。
在独立机构的人员组成方面,我们推荐由跨专业的人员组成,在独立机构内部配备律师、技术顾问等专业人员,对个人信息处理活动进行监督。有条件的企业还可以设置“专家池”,在不同的项目中通过抽签或其他方式选择不同的专家参与监督。可以预期,我国可能会通过行政法规或部门规章的形式,对外部成员的任职资格进行设定,要求通过特定的培训或考试获取任职资格,也可能与现有的认证进行结合。
借鉴上市公司独立董事制度,我们还建议平台在设立个人信息监管独立机构时,对相关人选提供进一步限制,确保组成人员的独立性。比如要求相关专家:
1. 具有一定年限个人信息保护领域的工作经验,具备相关知识,熟悉相关法律、行政法规、规章及规则;
2. 加入的独立机构的数量进行限制,不得参与过多平台的监管,确保进行监管的时间与精力;
3. 设置外部专家回避的条件,如不得聘请近亲属或主要社会关系任职的平台内担任外部专家;
4. 不得作为外部第三方参与平台个人信息处理;
5. 签署保密协议,不得对外披露在履行职责期间所获悉的商业秘密,不得违法获取、利用平台用户的个人信息。
个人信息处理平台还应当通过内部规范,需要关注的内容包括但不限于:
1. 明确外部专家的任职时间;
2. 搭建独立机构的组织架构;
3. 制定召集与议事规则;
4. 提供充足的经费、场地和技术保障,并确保独立机构行使职权能够得到平台各部门的配合;
5. 确保独立机构能够有效决策,平台的个人信息处理不应绕开独立机构的监督,监督能够落实,不会被架空。
第57条第2项反映出立法机构压实平台责任的意图,要求平台对平台内经营者的违法行为停止提供服务。
平台治理其实早已成为个人信息保护的重要课题,比如苹果对自家iOS隐私规则的修订撼动了整个互联网广告行业的业态。微信的隐私规则直接决定了机构开发的微信小程序能否上线运营。在《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》中,同意拟赋予APP分发平台对平台内APP的审核监管的职责,并且可以进行下架清理等处理。
从法律关系上来看,平台对平台内经营者会构成共同处理个人信息的法律关系,在很多场景下二者会共同决定自然人的个人信息如何被处理,比如电子商务平台与平台内商铺会共同决定消费者个人信息如何利用。根据《个人信息保护法(二次审议稿)》第21条规定的情形,个人信息处理者共同处理个人信息的,侵害他人个人信息权益需要承担连带责任。因此,平台需要投入更多资源,建立个人信息平台治理机制。
根据我们的经验,平台至少需要关注以下几点:
1. 平台规则中应设置个人信息处理规则,以约束平台内经营者的数据处理行为;
2. 平台规则应包括协同响应、应急预案、传输规则、处罚措施等内容;
3. 平台规则应对平台内经营者个人信息收集处理设置基本的合规门槛,划定收集个人信息的范围与调用权限的条件;
4. 平台应当为平台内经营者履行个人信息保护义务提供便利,如确保平台内经营者的隐私政策能够完整展示并且有效获得用户同意。
社会责任报告会是风险评估报告的加强版。在我国的个人信息保护立法中设计了风险评估机制(二审稿第55条),该机制更多是针对特定处理活动进行的评估。而社会责任报告则是以企业甚至集团为主体,更为宏观地介绍平台自身个人信息保护情况。
平台在个人信息保护方面会具有更强的技术与管理能力,相对于中小企业也能够投入更多的资源。平台内部通过技术与管理手段保护个人信息固然重要,而让公众知悉企业为保护个人信息所付出的努力同样重要。技术手段与管理文档通常会埋没于代码与内部文档中,嵌入产品,虽然提升了个人信息的安全性,但可能并不会给用户直观的感受。
因此,海外互联网厂商经常会发布自己的隐私保护白皮书,通过此种形式更好地向公众完整阐述自己隐私保护的理念和实践。我国企业近年来也越来越多地采取此种模式,比如小米就曾发布过其MIUI操作系统的《安全与隐私白皮书》:“将小米手机在数据安全和用户隐私保护方面的实践分享给用户和业界,以求相互了解,共同进步。”
平台也有必要做好准备通过社会责任报告的形式,积累个人信息保护素材。以期在发生法律纠纷之时,更好地向监管部门或裁判机构证明自己已经为保护个人信息投入巨大的成本,尽到义务、没有过错(二审稿第68条),从而降低或免除自己的法律责任。因为一份定期发布的社会责任报告会比专门为法庭准备的材料更具客观性。
根据我们协助企业编制相关报告的经验,一份有说服力的社会责任报告通常可以包括:
1. 平台个人信息保护的理念、宗旨和目标,从宏观角度进行介绍;
2. 平台内外各个利益相关方参与个人信息保护情况,如内部机构设置、外部专业顾问、供应商个人信息保护能力审查等措施;
3. 平台为个人信息保护所制定的规则及规则实施的情况,以及平台内产品、服务如何践行个人信息保护的理念、宗旨和目标,比如可以介绍产品(服务)实践Privacy by Design的情况,企业内部个人信息保护培训、考核、应急演练的情况,等等;
4. 平台举办或参与个人信息保护会议、论坛、研讨会的情况及所作的发言,在期刊媒体发表个人信息保护论文文章,书籍出版的情况;
5. 个人信息权利请求响应情况,如过去一段时期内权利请求响应的类别、数量、响应所需时间等;
6. 过去一段时间隐私政策等个人信息保护文件的修订情况;
7. 未成年人个人信息保护情况,平台针对未成年人采取了哪些措施,根据监护人要求响应情况等;
8. 适老化改造,适老化改造是一个崭新的课题,主要指产品(服务)针对长者、残障人士的优化措施,如采取了何等措施以方便视力残疾人群理解隐私政策,又比在长者模式中将隐私政策字体放大、间距放宽。这些内容非常适合体现平台的社会责任;
9. 个人信息安全事件的信息,如发生了哪些安全事件,如何进行处置,涉及哪些第三方等;
10. 外部成员组成的独立机构人员组成与履职情况;
11. 隐私保护技术适用情况,社会责任报告中可以对平台所采取或计划采取的隐私保护技术进行介绍,如引入差分隐私、联邦计算、匿名化或加密等新型隐私与安全措施。
在线客服
微信
