曾经风光一时的互联网大型平台企业,正在体会不断加码的监管强度。这种感知的增强,不仅来自反垄断和反不正当竞争领域,也包括个人信息保护规则的重新构建与厘定。毕竟,在这个时代,个人信息和数据,早已经成为互联网大厂的生产要素。
经多次审议后通过的《个人信息保护法》正在终结互联网大厂使用个人信息的野蛮生长状态。多家互联网大厂合规部门的人士均向《中国经营报》记者透露,他们都在仔细研究《个人信息保护法》中针对互联网平台企业的相关条款,一些调整,已经在考虑当中。
最先可能对互联网平台企业产生影响的,是《个人信息保护法》中对平台企业要求:建立个人信息保护合规制度体系、设立外部监督机构、平台内产品和服务的个人信息保护义务、对平台内产品或服务违法违规处理使用个人信息停止提供服务——这便是“守门人约束”。
“现在企业内部有两个平台部门最忙,一个是人力资源部门,另一个就是合规部门。”日前,一家总部位于北京的大型互联网平台企业合规部门的人士向本报记者表示。“人力资源部门忙是因为调整‘996’的相关公司管理规定,我们合规部门就是按照《个人信息保护法》给自己做体检。”他说。
合规部门在互联网平台企业内部的角色正在发生的变化,似乎能够说明监管环境的剧烈变化。一家房地产领域平台企业的合规部门人士就开玩笑地说,以前是合规部门人员配合业务部门工作,现在关系反转,他告诉记者,“合规部门很多时候都是核心部门了”。
合规部门当前工作的方向大致有两个,一个是反垄断、反不正当竞争层面的自查,另一个则是围绕《个人信息保护法》做自检。部分互联网平台企业,已经开始聘请外部专业领域的头部律所,对自身业务、制度等进行法律合规层面的梳理。一位参与此项工作的律师表示,“反垄断是国家给压力,个人信息保护,目前是平台企业给自己压力”。
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》。这是中国首部个人信息保护的专门性法律,定于今年11月1日起施行。有合规部门的人士戏称,“留给平台企业的时间不多了”。
他们意识到的是,对于个人信息无序使用的“野蛮生长”状态,已经终结,但是,平台企业已经形成了高度依赖个人信息和数据,进行经营决策、设计产品、定价获利、拓展市场等方面的模式,合规部门当下的焦虑在于,他们不仅要承担自检企业哪些数据使用行为不合规、法的问题,还要提出建议,在合规的情况下,如何把对平台企业日常运营和商业模式的影响,降低到尽可能小的程度。
这的确令人焦虑。
多位互联网大厂合规部门的人士,都向记者提及了当前本部门工作的重点,他们都提到了“守门人约束”这个概念。这是一个“行内约定俗成”的说法,实际上是指《个人信息保护法》中,对于互联网平台企业对个人信息保护的义务有关的法律条款。
了解《个人信息保护法》制定的人士告诉记者,此次《个人信息保护法》审议受重视的程度、进行修改的内容等,都不同以往。“交付表决的前一天,也就是8月19日,还增加了内容。”他说,被增加的这一条内容便是,大型互联网平台应当“按照国家规定建立健全个人信息保护合规制度体系”。
记者了解到,这一条款的增加,是有全国人大常委会的委员提出,应当要求大型互联网平台建立个人信息保护合规体系,加强内部合规管理。
于是,“守门人约束”就此成型,它包括四方面的义务:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。
“实际上就是《个人信息保护法》的第58条,我们觉得信息量还是很大的。”前述总部位于北京的某互联网大厂人士告诉记者。“高管层直接问我们,我们需要怎么设立由外部成员组成的独立机构,成员都怎么遴选,还有高管直接问,这些成员工资应该谁来付?高管层对这个法律非常关注,合规经营意识已经很强了。”他说。
“守门人约束”,恰好从侧面,对此做了反映。
实际上,“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”这一条款,提出较早,并不是“新生事物”。2021年4月,这一条款就被写入了当时的《个人信息保护法》二审草案,当时互联网大厂的合规部门不少人员也注意到这个动向,当时主要考虑的问题是,外部成员的监督活动可能与企业的商业秘密发生冲突怎么办?
“我记得当时草案稿中还是第57条。”前述房地产平台企业合规部门的人士向记者回忆,当时注意到了这个动向,但是对其实质性的影响没有非常完整的预估。到三审稿中加入“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”的条款后,他感受到了不断增强的力度,遂开始向各方面咨询、询问。
他得到的答复是,一旦法律通过,就必须设立,不设立,就要接受处罚,“罚得可能还不轻”。现在,包括他在内的同行,也在一定程度内交换一些自己的专业看法,来尽可能明晰这个外部成员组成的监管机构,如何运行,如何发挥合规作用。“目前还没有成熟的模式。”一家总部位于杭州的互联网平台企业合规部门人士表示。
另一个实质性的影响,在于《个人信息保护法》还规定了个人信息可携带权,这一条款是,“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
前述熟悉《个人信息保护法》制定的人士向记者表示,这一条款的目的,实际上是在保护个人信息安全和保障权利的同时,达到一定程度的“反垄断”的目的,“不能一个平台上的个人信息和数据,就永远只能在这个互联网平台上了。”他说。
“我们内部管这个叫携号转网,意思差不多,这对互联网平台企业来讲,现在看影响也是比较实质的,我们也在研究具体如何规范。”前述总部位于北京的互联网平台合规部门人士称,不过,他表示,业内有一种看法,认为这个条款有可能会被利用,进行平台之间的竞争,“比如,一个互联网公司的竞争对手,在幕后操纵,雇佣大量的所谓用户,到竞争对手的平台上,要求转移个人信息,这会造成巨大的工作量。”他说。
目前,合规部门在自检的同时,也在等待相关的实施细则。他们比较一致的看法是,11月1日,《个人信息保护法》实施前后,应该有相关的配套措施出台。
X0_0X
Anna艳娜
X0_0X
Andrew
网信山东
Anna艳娜
RacentYY
Anna艳娜
安全侠
安全侠
Anna艳娜
