國家立法擬為超級平台增設外部獨立機構,監督個人信息處理
2021年04月26日20:49

  原標題:國家立法擬為超級平台增設外部獨立機構,監督個人信息處理

  海量用戶數據被大型互聯網平台掌握,是否會帶來個人信息安全風險?

  據新華社消息,4月26日提請全國人大常委會會議審議的個人信息保護法草案二審稿,對超大型互聯網平台的個人信息保護義務作出規定。

  草案二審稿明確,提供基礎性互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督。

  多位專家表示,該互聯網巨頭應履行更多的社會責任,該舉措強調數據治理的多方參與,將助力企業合規、保護消費者權益。如何保持這類外部機構的獨立性,還有待法規進一步明確。

  為超級平台增設外部獨立機構監督

  草案二審稿規定,提供基礎性互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行下列義務:成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督;對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;定期發佈個人信息保護社會責任報告,接受社會監督。

  為何會增設這一規定?是否有必要?

  清華大學法學院副院長、教授程嘯向21世紀經濟報導記者表示,基礎性互聯網平台服務提供的產品被認為具有公共產品的性質,因此需要履行更多的社會責任,在平台治理和個人信息保護上要有更多的外部的、獨立的監督。這次二審稿規定的“獨立機構”,類似於上市公司設立獨立董事。

  互聯網行業隱私科技專家王磊也認為,法律意義上,傳統的法律規範的對象分為公權力和私權力。對公權力是“法無授權不可為”,對私權力是“法無禁止即自由”。現在大型平台企業,地位處於公權力與私權力之間,應當受到比私權力更多的規製。

  “對於大型互聯網平台機構,原有的監管方式難以有效全面覆蓋,因此出現了個人信息保護中的各類盲點,如草案中提到的以‘脅迫’方式處理個人信息、肆意推送個性化信息、個人用戶在同意授權後難以撤回等。”北京師範大學網絡法治國際中心執行主任吳沈括表示,這一規定主要為了應對大型互聯網平台擁有的海量數據,以及民眾在使用產品和服務、維權過程中所面對的數據壁壘和業務不透明情況所設定的。

  “過去一段時間,曾有組織各家互聯網平台機構成立百行徵信的實踐,但證明並不成功,各家機構均沒有動機與其他競爭性平台共享數據,導致百行徵信業務量極小,完全沒有發揮應有作用。”中南財經政法大學數字經濟研究院高級研究員金天介紹,去年以來,一個新的思路是各家企業分別發起成立新的徵信機構,但即便如此,仍需要保持徵信機構和相關監督機構的獨立性,避免個人信息在平台算法的“黑匣子”中仍在存在被不當採集和不當利用的可能性。

  21世紀經濟報導此前報導,中國人民大學法學院教授張新寶對於加強App有效監管曾提出,應對實際上控製技術資源、技術環境和運營環境的信息處理者,比如應用程序的分發平台、操作系統、大型平台APP等,設置“守門人”個人信息處理的特別義務。

  北京安理律師事務所高級合夥人王新銳認為,此次要求大型企業設立獨立機構的思路與之相似,均強調數據治理要多方參與,增加獨立第三方的製約,同時要有更高的透明度,以強化對大型科技公司的監督。

  “設立獨立機構的新規定力度很大。”王磊表示,外部人員組成的獨立機構,突出外部和獨立,更能保證客觀公正,而定期公開社會責任報告是對企業更高的要求。“這些在歐美立法中是很罕見的,體現了中國立法為人民的特色。”

  如何保持外部機構的獨立性?

  這一規定將產生的影響,吳沈括概括為三個層面:首先,企業的業務經營理念和合規風控體系的建設有較大影響,將提高業務流程的透明度;其次,由於外部力量的參與和介入,有助於提高企業在產品和服務的設計過程中對於各方利益訴求的事先考慮及平衡;對於消費者而言,外部監督的存在對用戶權益的維護,尤其是在維權渠道的暢通性有更好助力。

  金天表示,可以預見,未來頭部互聯網平台機構在涉及“大數據殺熟”的相關問題上將會非常慎重,比如基於用戶身份信息、消費記錄等的差異化產品定價已經基本上喪失空間,在產業鏈中的相關大數據採集機構將面臨非常大的生存挑戰。

  不過,對於主要由外部成員組成的獨立機構的性質與組成,是民間公司、事業單位還是政府機構,目前仍未明確。

  2011年,FTC對Facebook發起調查,指控Facebook與第三方開發者分享“受波及好友”信息的行為是欺詐性行為,最終Facebook與FTC達成和解。

  王新銳介紹,和解令中對Facebook要求“由獨立第三方專家每兩年就隱私計劃進行評估並出具報告”。2018年“劍橋分析”事件之後,FTC重啟了對於Facebook的調查並開了50億美元的罰單,2019更新的和解令對第三方評估人員的任職有了更詳細的要求。

  程嘯認為,此次草案提出增設的外部獨立機構可能會由提供基礎性平台服務的個人信息處理者來組建,政府後續可能會頒布相應的規定,對參與該獨立機構外部成員的任職資格、義務規範和法律責任等作出要求。

  對於保持這類機構的獨立性,吳沈括建議,一方面需要對遴選人員的規則進行說明,另一方面應在運行過程中通過定期發佈報告對外披露信息,提高中立性和透明度,接受更廣泛的外部社會監督。

  “對該獨立機構的作用,應持謹慎樂觀的態度。”程嘯強調,政府應發揮監管作用,“個人信息保護執法部門要嚴格依法履行職責,加大監管力度。”

  (作者:張雅婷,王俊)

關注我們Facebook專頁
    相關新聞
      更多瀏覽