互联网平台适用个人信息保护负责人制度的检视与完善

冯延有

(中国政法大学法学院 北京 100088)

(fengyanyou123@126.com)

1 问题的提出

现代社会是信息时代、网络社会[1],数据大量聚集[2].在该背景下,隐私泄露、个人信息买卖已不是个案,越来越多的国家和地区采用法律法规强制手段来治理这种现象[3].于我国而言,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第52条第1款规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督.”互联网平台作为个人信息处理者之一,若处理个人信息的数量满足上述条件则亦应指定个人信息保护负责人对个人信息处理活动以及采取的保护措施等进行监督.值得反思的是:1)互联网平台适用个人信息保护负责人制度的正当性和可行性何在;2)由于个人信息保护负责人制度出台时间尚短,相关法律规范亦亟待健全,互联网平台适用该制度是否存在不足之处;3)互联网平台若适用该制度之成效不彰,又该如何予以完善.对以上问题的厘清将有助于为互联网平台高效化地利用该制度从而提升个人信息保护水平,为促进数字经济高效发展提供裨益.

2 互联网平台适用个人信息保护负责人制度的正当性和可行性

2021年,国家市场监督管理总局发布的《互联网平台落实主体责任指南(征求意见稿)》第27条第1款指出,互联网平台经营者在运营中应当切实遵守国家法律、法规以及与自然人隐私和个人信息保护相关的规定,履行自然人隐私与个人信息保护责任.《个人信息保护法》第52条则将互联网平台经营者的个人信息保护责任予以细化,即处理个人信息数量达到相应标准的互联网平台应指定个人信息保护负责人对个人信息加以保护.互联网平台适用个人信息保护负责人制度的正当性和可行性在于:一方面,从规范主义视角而言,互联网平台有义务利用该制度保护个人信息安全;另一方面,从功能主义视角而言,互联网平台有能力利用该制度保护个人信息安全.

2.1 规范主义视角下互联网平台适用该制度的正当性

从规范主义视角而言,互联网平台适用该制度的正当性在于:第一,基于控制者权利、义务的一致性理论,互联网平台应对其平台内部的用户个人信息予以保护.互联网平台有权利控制平台内用户的各项活动,而法治的一般原理认为,任何人皆对自己所控制的场所负有相应的安全保障义务[4],因此,互联网平台也应有义务对平台内各类主体的个人信息加以保护,而指定专门的个人信息保护负责人则是落实个人信息保护义务的关键举措.第二,在个人信息保护领域,作为个人信息的直接接触者,于政府而言,平台具有“守门人”地位.库尔特·卢因指出,信息传播的渠道上包含若干“关卡”,信息传播能否顺利进行取决于“守门人”的意见或某种公认的规范准则.平台为用户提供了交流活动的场所,相对于政府而言,平台对其内部用户的个人信息拥有优先控制权,即相当于政府的“守门人”,从而在政府参与治理之前对内部其他用户侵犯他人个人信息权益的违法违规行为予以治理.与政府相比,互联网平台利用个人信息保护负责人制度的优势在于:一方面,可实现个人信息处理过程的风险预防;另一方面,可通过听取个人信息保护负责人的建议,实现个人信息保护和利用的双重时代需求.

2.2 功能主义视角下互联网平台适用该制度的可行性

公私合作的目的在于:一方面,可减轻国家的财政负担;另一方面,可提高行政任务的履行效率或质量,从而确保私主体所提供的服务比国家提供行政服务产生更佳效果[5].在互联网平台内部,用户具有发散性且使用时间与地点皆不固定,单纯依靠政府等公权力主体保护个人信息并不具有可行性,而互联网平台所拥有的强大数据库和强大的算法技术则可为个人信息保护负责人高效保护和利用个人信息提供保障.

具体而言:第一,互联网平台强大的数据库为个人信息保护负责人制度运行提供基础.在互联网时代,数据驱动经济发展,互联网平台可对用户进行全面“监控”.因此,各互联网平台积累了大量的个人信息和商家经营信息等数据,而这些数据不断积累则会形成强大的数据库,个人信息保护负责人可以强大的数据库为支撑对用户是否具有侵犯他人个人信息权益的倾向进行判断,从而做到风险预防.第二,互联网平台强大的算法技术为个人信息保护负责人保护和利用个人信息提供可能.算法是平台运行的关键资源,如各类的排序算法与推送算法等.系统内的算法可根据生态系统组件所需,对应地推送资源和数据[6].在保护个人信息方面,个人信息保护负责人可通过运用互联网平台所拥有的设定“关键词”等算法技术及时发现并制止平台内用户侵犯其他个人信息主体权益的行为.

3 互联网平台适用个人信息保护负责人制度的现实困境

互联网平台适用个人信息保护负责人制度保护和利用个人信息虽具有正当性和可行性,但由于个人信息保护负责人制度出台不久,相关配套制度的缺失使得无法全面地为互联网平台适用该制度提供指导,这也导致互联网平台适用该制度的规范性和有效性尚存在不足之处.

3.1 个人信息保护负责人制度的设立标准尚不明晰

关于个人信息保护负责人的设立标准,《个人信息保护法》第52条将其限定为“处理个人信息达到国家网信部门规定数量的个人信息处理者”,《信息安全技术 个人信息安全规范》第11条第1款第c项亦将个人信息处理者内部的从业人员规模与个人信息处理数量作为是否应设立该制度的考量因素,即现有规范皆将个人信息处理者内部的从业人员规模或个人信息处理数量作为设立标准的考量因素.该设立标准虽较为客观,但并无法为个人信息处理者履行义务提供明确的操作指引.

具体而言:第一,对于处理个人信息的互联网平台而言,从业人员规模尚较容易确定,但个人信息的识别标准尚不明确,因此,互联网平台在技术上无法自行判断处理个人信息的具体数量.另外,即使互联网平台在技术上能够计算个人信息的处理数量,但为逃避设立该制度的义务,互联网平台刻意隐瞒或虚报所处理的个人信息处理数量的情形时有发生.第二,不同类型的互联网平台所开展的业务不同,由此对个人信息主体产生的影响大小也有差异.因此,普适性地以从业人员规模与个人信息处理数量为设立标准与具有差异性的不同类型平台内的个人信息保护与利用需求存在矛盾.第三,互联网平台拥有强大的算法技术,因此处理个人信息速度较快,个人信息处理规模也具有较大的变动性,即使在某一时刻尚未达到该设立标准,但可能在几秒甚至更短时间内即满足该要求,其后在短时间内又可能会发生不符合该设立标准的情形.因此,以静态的个人信息处理数量作为设立标准的考量因素无法回应实践中互联网平台处理个人信息数量的动态变化趋势.

3.2 个人信息保护负责人的任职标准尚不规范

关于个人信息保护负责人的任职标准,《个人信息保护法》并未予以明确,但《信息安全技术 个人信息安全规范》第11条第1款第b项则指出,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任.由此可推断出,个人信息保护负责人的任职标准主要有2个方面:一方面,个人信息保护负责人应具有相关管理工作经历;另一方面,个人信息保护负责人应具有专业知识.上述任职标准的非民主性、模糊性将削弱个人信息保护负责人的履职成效,亦不利于为互联网平台指定个人信息处理者提供明确的指引.

第一,现行标准中个人信息保护负责人选任的民主化程度不足.现阶段,个人信息保护负责人或直接由个人信息处理者的决策层成员担任,或直接由互联网平台经营者指定内部人员或是从外部聘任,并未规定具体的选任程序.选任程序并不明确的背后具有多层次的原因:其一,个人信息保护负责人的设立是个人信息处理者的内部事务,关于具体选任过程,个人信息处理者享有自由选任的权利,包括个人信息保护主管部门在内的其他主体无权对该选任过程予以过度监管和干预;其二,正式的选任程序需要经济、时间成本,繁琐的程序会加重互联网平台企业的负担,因此,无需对个人信息保护负责人的具体选任程序予以干涉.然而,个人信息具有公共性[7],这也使得个人信息保护负责人的身份具有社会性,其履行职责的目的在于维护个人信息的主体权益与公共利益等多重法益.而选任程序的缺失可能导致个人信息保护负责人的利益依附于互联网平台,从而使得个人信息保护负责人无法独立履职.

第二,现行任职标准中的资质考核标准尚待完善.《信息安全技术 个人信息安全规范》第11条第1款第b项虽然指出个人信息保护负责人需具备相关工作经历和专业知识,但并未明确工作经历的具体年限与专业知识水平程度.而个人信息保护负责人对个人信息处理过程进行监督不仅是对个人信息主体权益的保护,而且也是对公共利益的维护.因此,在个人信息保护负责人的身份具有社会属性的情形下,资质考核制度的不明确将无法保障实现设立个人信息保护负责人制度的初衷,现行的资质考核标准应当进一步统一和细化.

3.3 个人信息保护负责人履职标准尚未细化

客观、明确的履职标准是检验个人信息保护负责人是否履行义务以及履行义务程度的重要因素.然而,《个人信息保护法》第52条仅规定个人信息保护负责人“对个人信息处理活动以及采取的保护措施等进行监督”,但个人信息保护负责人如何履行以上义务,怎样检验其履行义务的实际成效等皆无明确的判断标准.即使《个人信息保护法》规定了个人信息保护负责人未尽职履责的法律责任,但仅在个人信息被侵害后从而追究其责任的方式督促个人信息保护负责人履职并无法达成该制度所秉承的在个人信息被侵害前对个人信息处理过程中所可能具有的风险进行预防、解决之目的.

3.4 沟通机制不明导致个人信息主体表达诉求受阻

与个人信息主体加强沟通是个人信息保护负责人倾听个人信息主体诉求、以问题为导向提升个人信息保护水平的关键举措,而受理个人信息主体及其他主体的投诉与举报则是加强沟通的有效路径.个人信息保护负责人有效受理投诉与举报主要可分为3个环节:第一,将个人信息保护负责人的联系方式予以公开从而保障个人信息主体或者其他主体获知投诉、举报渠道;第二,个人信息保护负责人接受投诉和举报并将相关内容予以记录;第三,个人信息保护负责人在现有问题的基础上采取具有针对性的解决措施.因此,明晰的受理流程、标准与适当的惩罚机制是保障受理投诉、举报机制顺畅运行的关键.然而,现有法律规范并未明确个人信息保护负责人受理以上事件的明确标准以及不听取个人信息主体或其他主体投诉举报时应当承担的法律责任,以上规定的缺失将不利于切实保障个人信息主体的权益.

3.5 责任机制运行不畅导致无法督促其积极有效履职

个人信息保护负责人制度在我国运行时间较短,经验尚为缺乏.我国现有规定侧重激发个人信息保护负责人的履职积极性而忽略了对个人信息保护负责人的追责,而个人信息保护负责人的责任机制不明将导致个人信息保护负责人履职效果不彰.

具体而言:第一,个人信息保护负责人的外部惩罚机制运行不畅.《个人信息保护法》虽然规定了个人信息保护负责人作为保护个人信息的直接负责的主管人员在不履行个人信息保护义务情形下的法律责任,但由于个人信息保护负责人的履职标准尚不明晰,因此,无法根据清晰的履职标准对个人信息保护负责人加以定责和追责,这将导致个人信息保护负责人的责任条款无法真正落实.第二,个人信息处理者内部惩罚机制运行不畅.在互联网平台内部,对个人信息保护负责人是否予以惩罚和予以何种惩罚应是互联网平台经营者的自由,但个人信息保护负责人身份的公共性决定了并不能将惩罚权完全地交由互联网平台经营者行使.遗憾的是,现有法律规范并未要求互联网平台经营者设定关于个人信息保护负责人的内部惩罚机制.另外,从理论上而言,即使法律明确规定个人信息处理者应当设置内部惩罚机制,但个人信息保护负责人与平台企业之间强烈的依附性也将会导致惩罚机制运行受阻,从而无法起到督促个人信息保护负责人依法履职之效果.

4 互联网平台适用个人信息保护负责人制度的优化路径

法律的背后实质是对利益的分配,立法则是平衡和分配利益后的表达.亚里士多德在其论述中曾强调,公平的立法是法律得以实施的前提,法律的制定和遵守是实现良好法治、良法善治的重要因素[8].鉴于我国个人信息保护负责人制度尚未细化,未来,我国的立法应在《个人信息保护法》的基础上,进一步细化个人信息保护负责人制度的设立标准、履职标准与责任机制,并在此基础上为个人信息保护负责人的履责提供综合资源保障.

4.1 细化个人信息保护负责人制度的设立标准

我国以个人信息处理者从业人员规模或者个人信息处理数量作为个人信息保护负责人制度的设立标准不符合现实之需,因此,应当在继续坚持强化大型互联网平台的强制设立义务的一般原则下,通过动态调整的方式明确设立个人信息保护负责人的平台范围.

第一,应继续强化大型互联网平台的强制设立义务.有学者提出,大型平台对于促进经济和社会发展具有重要意义,若强制赋予该类平台设立个人信息保护负责人制度的义务会加重平台负担,抑制平台经济的发展.然而,互联网平台发展与保护个人信息安全并不矛盾,大型平台一旦发生侵害个人信息主体权益的事件,则将会对个人信息主体、社会乃至国家产生重大不良影响,只有在保障个人信息安全的情况下,互联网平台才能够进一步对个人信息加以合理利用,从而促进互联网平台规范、健康发展.第二,应动态调整设立个人信息保护负责人的平台范围.在互联网时代,借助技术优势的互联网平台收集、利用个人信息的数量不断增长、效率不断提升,各个互联网平台处理个人信息的数量、敏感性程度在某一时间内并不固定,可能会在较短的时间内发生较大的变化,因此,应在《个人信息保护法》的引领之下,通过动态调整的方式合理限定大型平台的规模与范围以明确其设立义务.

4.2 细化个人信息保护负责人的履职内容与责任机制

侵害个人信息安全事件发生后再对个人信息保护负责人进行事后追责不符合预防、解决个人信息安全风险的要求,因此,应当在事前通过细化个人信息负责人的履职标准与责任机制以保障其尽职履责.

具体而言:第一,应细化个人信息保护负责人的履职标准.其一,应当建立健全流程管理制度,细化个人信息保护负责人的日常管理内容和标准,如强调个人信息保护负责人对其工作的记录与存档,以备监管机构的及时审查.其二,应进一步强调个人信息保护负责人与个人信息保护主管部门的沟通并强调其汇报义务,从而做到能够及时地反馈个人信息保护和利用的具体情况.第二,应完善个人信息保护负责人的责任机制,以未勤勉履职为责任标准.现阶段,当发生侵害个人信息的事件时,我国的《个人信息保护法》第66条规定了直接负责处理个人信息的主管人员与其他直接责任人员应当在未履行个人信息保护义务的情况下承担责任.此规定虽旨在促进个人信息保护负责人积极履职,但个人信息保护负责人无论是否勤勉履职皆应承担连带责任有违公平原则,并不利于促进其积极履职.因此,应进一步区分个人信息保护负责人履行职责与法律责任之间的关系.其一,个人信息保护负责人若未勤勉履职而未尽到履行个人信息保护之义务,则应承担相应的法律责任;其二,当个人信息保护负责人勤勉履职时,即已经完全履行法定义务,但由于个人信息处理者不听取其建议而发生侵害个人信息安全的事件时,个人信息保护负责人则无需承担相应的法律责任.

4.3 强化个人信息保护负责人受理投诉、举报的直接责任

个人应当享有个人信息权,即对自己的个人信息被收集、利用的知情权以及自己使用或授权其他人使用的决定权[9].个人信息主体及其他主体的投诉与举报是帮助个人信息保护负责人提升个人信息保护水平的关键途径.为充分发挥个人信息保护负责人受理投诉、举报的机制功能,应直接强化个人信息保护负责人的直接责任,即对个人信息保护负责人恶意地忽视个人信息主体投诉与举报事项、不对投诉与举报事项进行处理的行为予以处罚.

4.4 保障个人信息保护负责人履职的独立性

从数据安全负责人由数据处理的决策成员担任可以看出,个人信息保护负责人享有决策资质成为发展趋势.然而,无论个人信息保护负责人是否享有决策资质,为保障其履职,皆应从法律制度层面肯定个人信息保护负责人的独立性,即应尽量地为个人信息保护负责人提供独立履职的资源和条件.具体而言:第一,应为其提供充足的处理个人信息的资料、资源以供其进行保护和利用个人信息的决策.例如,欧盟的GDPR即规定数据控制者应当为DPO提供其所需的独立预算和硬件资源[10].第二,应当保障个人信息保护负责人的决策效力,防止个人信息保护负责人遭受其他人的干扰,从而保障个人信息保护负责人关于个人信息保护的决策能够真正得到落实.但强化个人信息保护负责人的独立履职并不意味着使其具备无法控制的权力,同时应对其权力进行约束,立法时明确其职权范围和责任追究[11].

4.5 设置奖励机制提升个人信息保护负责人的履职积极性

2019年9月,国务院发布《关于加强和规范事中事后监管的指导意见》(国发〔2019〕18号),其中,“构建协同监管格局”部分提出,要发挥社会监督作用,建立内部举报人制度,并对举报严重违法违规行为和重大风险隐患的有功人员予以重奖和严格保护.作为互联网平台企业处理、保护个人信息的直接参与者,个人信息保护负责人对个人信息处理活动有着更为深入的了解.因此,若通过个人信息保护负责人向社会、个人信息保护主管部门披露个人信息处理者的违法行为将有助于震慑违法违规的个人信息处理者,从而促进互联网平台合法、合规地处理个人信息.因此,在肯定个人信息保护负责人尽到勤勉履职义务而不对其进行处罚的基础上,还可通过设立专项奖励基金的方式对披露违法违规处理个人信息的互联网平台信息的个人信息保护负责人予以嘉奖.专项奖励基金的来源既可以由政府专项划拨,亦可以从处罚违法违规处理个人信息的互联网平台企业的罚款中抽取,但无论专项奖励基金的来源如何,设立专项奖励基金将有助于提升个人信息保护负责人的履职积极性,从而促进个人信息保护成效的提升.

5 结 语

在现代社会中,个人信息保护事关公民的基本权利和人格尊严,同时也与经济社会发展、公共利益和国家安全存在着紧密的联系[12].因此,互联网平台适用个人信息保护负责人制度是法律平衡多方利益后的制度安排,亦是落实数字时代背景下个人信息保护法律制度的重要内容,这将有助于互联网平台在保护个人信息安全的基础之上充分挖掘个人信息的利用价值,从而促进我国平台经济的繁荣发展.但该制度在我国尚缺乏充足的适用经验,因此,互联网平台对于个人信息保护负责人制度的适用成效也存在进步空间.未来,在互联网平台适用个人信息保护负责人制度一段时间之后,应进一步对其适用状况进行评估,从而不断对其进行调整、优化,使该制度成为我国个人信息安全保护制度体系的有力组成部分.