数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除
对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
解读
首先明确一个概念,《条例》第四十三条不是针对所有的数据处理者,而是特指“互联网平台运营者”。《条例》的“附录”对此给出了定义:指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
这一定义反映了互联网平台运营者的两个特点:(1)他们首先是互联网平台,因此在组织规模、数据量、服务能力、交互关系等方面与一般的个人信息处理者不同;(2)他们提供特定的服务,如信息发布、社交、交易、支付、视听等,这些服务无一例外都是热门互联网服务,用户量大、与公众日常生产生活直接相关。
这也能说明《条例》为什么要设立第六章“互联网平台运营者义务”。互联网平台运营者本身是数据处理者,当然要遵循此前其他章节的规定。但其在提供平台服务的过程中,有很多与数据利用有关的行为(如“大数据杀熟”),还涉及到平台上的多种角色(如第三方程序),故其中与安全有关的很多事项需要作出专门规定。这是第六章的立法目的。
在第六章中,为什么要设立第四十三条,对平台运营者的平台规则、隐私政策、算法提出要求呢?这是因为,平台直接面向社会提供服务,其运行直接关系公共利益,不能任由企业“为所欲为”。我们都知道,政府部门在履行社会管理职能时,其政策法规文件的制定过程越来越公开透明,往往会多轮次征求社会意见,西方为此发明了“多利益攸关方”这个词汇。互联网平台显然是一种“多利益攸关方”场景,企业何以就自己说了算呢?为什么不顾及“多利益攸关方”的感受呢?
正是从上述考虑出发,《条例》第四十三条规定,平台运营者的平台规则、隐私政策、算法应当及时披露,制定时或者有重大修订时需征求社会意见。不仅如此,特殊情况下还要经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。该条的规定说明,平台型互联网企业再也不能认为平台运营是企业自己的事情了,企业要担负起更多的社会责任。
有的人提出,互联网平台那么多,事无巨细都要征求社会意见甚至有关部门同意吗?这当然不是的。第四十六条规范的是“数据相关的平台规则、隐私政策和算法策略”。即,“平台规则”只限于“与数据相关”;“隐私政策”自然也是直接关系个人信息保护;而“算法策略”指的是处理数据、利用数据的“算法策略”,主要与用户个人信息权和用户在经济社会中的合法权益有关,不是指所有的算法。例如,企业发明了一种提高图像精度或视频信号处理速度的算法,这当然是企业的知识产权,一般情况下不需要披露。
对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
解读
在首次制定与数据相关的平台规则、隐私政策和算法策略时,或者以前未曾公开,那么互联网平台运营者应当按要求公开征求社会意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。虽然互联网平台业务发展迅速,但如能事先规划,这个“三十个工作日”一般是不会影响业务的。但一旦处于运行状态,平台规则、隐私政策和算法策略往往会有较快的更新,或者一些更新需要立刻发挥作用,这时候再要求征求意见且时长不短于三十个工作日,可能就不是很现实了。
考虑到以上客观情况,《条例》专门规定,并非逢修订必征求意见,而是发生“对用户权益有重大影响的修订”时才需征求社会意见。至于何为“对用户权益有重大影响”,这需要由互联网平台运营者自行判断。但如互联网平台运营者认为有关修订并不构成对用户权益有重大影响,其应当具备充分理由,并能向监管部门说明。
对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
解读
《条例》第四十三条提到,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见。这种描述方式引出了一个问题:这里的“官方网站”和“个人信息保护相关行业协会互联网平台”是并列关系还是选择关系?
很明确,他们是并列关系。
随时而来的另一个问题是,“个人信息保护相关行业协会”是谁?为什么要到其平台上征求社会意见?
答案在《条例》的第五十九条第二款:
国家支持成立个人信息保护行业组织,开展以下活动:
(一)接受个人信息保护投诉举报并进行调查、调解;
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;
(四)向有关部门反映个人信息保护情况、提供咨询、建议;
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。
下一步,待《条例》通过后,国家将落实上述要求,推动成立个人信息保护行业组织,这就是《条例》第四十三条所指的“个人信息保护相关行业协会”。该协会是面向社会公众的社团组织,集中在其上开设对互联网平台规则、隐私政策和算法策略的征求意见专栏,有利于聚焦社会注意力,有利于提高征求意见的社会参与度和效率。
对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
解读
《条例》第四十三条规定,日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。这被有的人认为政府“越俎代庖”,甚至认为这是在给互联网发展戴上“紧箍咒”。
以上认识有所偏颇。该条强调“日活用户超过一亿”,这在互联网平台中只是极小的一部分,对绝大数互联网平台没有影响。但当平台用户规模确实达到这种程度时,其早就成为了社会运转的“基础设施”,动辄感冒发烧恐怕都会引起极大影响。甚至在某些时候,这类平台拥有了“超政府权力”,为国家安全和社会治理带来巨大挑战。例如,以前人们常常听说有人到政府部门“上访”,但近年来到互联网头部企业上访的中小企业主和个人屡见不鲜,甚至催生了一条灰色产业链。更为极端的是,当有平台修改支付结算规则时,竟然引发了平台上商户的集体抗议,险些造成群体性事件。
《条例》并不能解决平台经济发展过程中遇到的所有问题。但与数据有关的问题属于《条例》规范对象。鉴于前述情况,日活用户一亿以上大型互联网平台的平台规则、隐私政策不仅要公开征求社会意见,还应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。这样做的目的,是加强对重大社会风险的防控,制约互联网平台的“超政府权力”。
对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
解读
《个人信息保护法》第五十八条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
该条第(一)项提出了“由外部成员组成的独立机构”要求,引起了社会极大关注,被普遍认为是借鉴了西方的“守门人义务”。人们自然会关心:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”如何认定,这几个定语之间是并列关系还是选择关系?
《个人信息保护法》对以上问题并未给出答案,很多人寄希望于《条例》能对此予以说明。
但《条例》没有使用《个人信息保护法》的三个定语(重要互联网平台服务、用户数量巨大、业务类型复杂),而是直接在第四十三条第三款引出了“日活用户超过一亿的‘大型互联网平台运营者’”。至于什么是大型互联网平台运营者,《条例》的“附则”部分作了定义:指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
于是新的问题产生了:《条例》中的“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”与《个人信息保护法》中的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”什么关系?
准确说,不排除两者之间会有重复的对象,但这两个定义不是等同或从属的,其间并无必然联系。因此,在落实《个人信息保护法》第五十八条要求时,不需要依照《条例》第四十三条。
但有两点需要说明:
一是,《个人信息保护法》第五十八条中的“用户量巨大”可以参照《条例》中“用户超过五千万”的描述。
二是,《条例》中的“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”也出现了三个定语。这三个定语是选择关系。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
