摘要:傳統守門人存在于社會生活不同領域���,通過履行第三方義務承擔各種把關職責�����,構成治理體系的重要環節���。平臺經濟能夠迅速發展���,得益于避風港原則免除平臺第三方義務���。隨著超級平臺利用數據優勢阻礙競爭現象的加劇����,各國近幾年來開始建立數字守門人制度��,對守門人數據活動進行監管����。傳統守門人與數字守門人差別巨大���,我國《個人信息保護法》守門人條款將兩種意義上的守門人融入一爐���,既有特點�����,也對實施提出各種挑戰����。
關鍵詞:守門人條款�����;數據監管��;第三方義務��;個人信息保護法
《個人信息保護法》第58條對提供重要互聯網平臺服務����、用戶數量巨大�����、業務類型復雜的個人信息處理者引入“守門人條款”,成為我國《個人信息保護法》的一大亮點�����。然而���,由于規定過于簡略�����,該條款究竟如何理解與適用�,存在不少問題和爭論��,亟需從法解釋上進一步明確��。
一�����、兩種不同意義上的守門人
守門(gatekeeping�����,也可稱為看門�、把關)現象自古有之���,存在于社會生活的不同領域��。對守門現象的理論分析源于傳播學��,但最初并沒有正式的理論名稱�����。1922年�,羅伯特·帕克在《移民雜志及其控制》一書中分辨了新聞過程中編輯的“把關”角色���,發現“在記者和通訊員每天記錄的所有事件中����,編輯會選擇一些他認為比其他項目更重要或更有趣的議題刊發�,剩下的部分將被遺忘���,扔進廢紙簍”���。1943年��,美國社會心理學家科特·盧因在如何有效地改變家庭食品消費決策的田野調查中率先提煉出“守門人”(gatekeeper)概念�。當時���,人們普遍認為男人控制所有家庭決策�,盧因發現�,食品并不是通過自發機制流動���,是否能進入流動渠道會受到“守門人”的影響�����。并且����,守門人通常是家庭主婦����,或者是富裕家庭的女傭�。2008年����,以色列學者凱琳·娜虹綜合傳播��、信息科學以及管理科學�,通過幾篇論文從跨學科角度對網絡把關理論進行研究���,研究對象從新聞延伸到所有信息�,并提出諸如“關口”“把關”“被把關者”“把關機制”“網絡把關人”等概念����?����?梢钥吹?,不論是在哪個領域�����,傳統守門人理論有三個特點:第一�����,守門人泛指各種把關角色���,如出具發行股票合規報告的律師事務所��、會計師事務所�,開出處方的醫生�,進行從業資格認可的行業協會��,審核稿件的主流媒體編輯��,監督雇員活動的雇主等�����。守門人所處的獨特地位使其只要撤回或拒絕合作���,就可以阻斷違法者的不當行為��,其效果不亞于政府執法�?��;ヂ摼W平臺作為提供連接服務的雙邊市場����,從出現之初就具有守門人特點����,包括網絡法學者過去所談論的守門人一般也都是泛指所有的互聯網平臺���。第二�,守門人理論的核心問題是如何充分利用守門人獨特的把關地位����,履行國內外學術界普遍歸納的“第三方義務”��,過濾信息或者阻止違法者的違法行為��,形成有效的治理結構��。守門人如果不履行這種義務�����,可能涉及相應的法律后果����,包括承擔“擔保責任”“連帶責任”“嚴格責任”“替代責任”或 者“安全保障義務”等民事責任以及罰款�、吊銷營業執照等行政法律責任甚至刑事責任�����。比如�����,雇主要對雇員履職行為承擔“替代責任”�����,報紙要對作者發表的作品承擔侵權責任�,商場要對顧客在商場內的人身財產安全履行安全保障義務等����。第三�����,由于守門人現象無處不在�����,不同領域的差別非常大��,因此�����,守門人概念只能是理論概念�����,“在法學界也只受到很少的關注”���,具體權利義務關系要根據不同法律具體確定����,不能籠統地給市場主體施加第三方義務�。作為連接買賣雙方的雙邊市場�����,平臺本身就有規范平臺內商戶與終端用戶行為的權力����,以維護平臺秩序���?��;ヂ摼W平臺出現之初��,面對大量違法行為且難以發現違法者的現象����,各國確實有過套用守門人第三方義務的設想�����,要求平臺主動發現并制止用戶的違法行為����,否則需要為用戶的違法行為承擔嚴格責任��。但 是�����,這種邏輯的結果一定是平臺無法發展�����,錯失新業態帶來的機會����。因此�����,經過激烈的爭論后�,包括美國1996年《通訊品位法》和歐盟2000年《電子商務指令》在內的各國立法普遍為平臺打造以通知-刪除為標志的避風港�,平臺無須積極履行一般性第三方義務�,通常情況下只要接到通知后及時刪除違法內容即可���,無需對用戶的行為承擔法律責任��。歐盟《電子商務指令》第15條明確規定�����,“成員國不得對提供第12條�����、第13條與第14條服務的服務商施加監控其傳輸或者存儲的信息的一般義務����,或者積極搜尋違法活動事實或者場景的一般義務”��。我國《信息網絡傳播權保護條例》《侵權責任法》《民法典》等在平臺責任的設計上遵循的也是同樣的邏輯��,確立了通知-刪除規則的基礎地位���??梢哉f��,正是“非守門人”邏輯與制度設計���,推動平臺經濟在短短二十多年里迅速地改變了人類經濟與社會生活�����。
近幾年來����,隨著超級平臺限制競爭�����、超范圍收集與使用個人信息���、傳播虛假信息等問題的集中顯現����,歐美各國普遍加快政策研究與立法準備�,為平臺經濟治理探索方向���。歐盟2020年12月發布的數字市場法立法報告明確指出���,平臺經濟極端的范圍經濟特征突出��,增加平臺內商戶以及終端用戶的邊際成本趨向于零; 平臺經濟有非常強的網絡效應�,使得平臺內商戶和終端用戶依賴平臺���,形成鎖定效應; 平臺可以利用其連接兩端所獲得的大量數據���,從一個領域向其他領域延伸�����,形成數據優勢����,其他市場主體不論多么具有創新性也很難與平臺進行競爭�����。美國眾議院司法委員會在對數字市場競爭經過16 個月的調查后于2020 年10月發布報告指出���,平臺經濟呈現的贏家通吃�、跨行業經營等特點�����,使超級平臺出現之后通過規模經濟與范圍經濟變成為“守門人”�����,具備基礎設施的特點�,可以通過控制市場準入挑選贏家與輸家�����,排除潛在競爭對手���,鞏固和擴大支配地位�����。法國國家競爭局的相關文獻中�����,強調了“守門人”必須具有中介特征��,并掌握對于市場進入的控制權����。德國2021年1月20日已經率先開始實施《反對限制競爭法》第10次修正案第19a條(也被稱為“反對限制競爭數字化法”或者“德國的守門人條款”)�����,專門針對大型數字公司濫用市場地位行為��,目前已經分別對臉書����、亞馬遜���、谷歌三家平臺公司發起調查�����。反對限制競爭數字化法適用特別程序�����,而不是適用常規競爭法程序�,首先由聯邦卡特爾局確定哪些平臺屬于“對跨市場競爭具有極端重要性的公司”�����,然后對這些平臺施加特別義務����。
在此背景下�����,以歐盟數字市場法為代表���,數字守門人制度呼之欲出���,成為大國間制度競爭的最前沿���。不過��,需要注意的是���,除了沿用傳統的守門人名稱之外�����,數字守門人制度與傳統守門人理論存在諸多根本差別���。
(一)數字守門人是專用概念��,特指符合法律規定條件的超級平臺企業���,不再泛指可以利用其地位阻止違法者行為的一般主體����。根據《歐盟數字市場法》第3條的規定��,守門人需要滿足三項條件:(1)對歐盟內部市場具有重大影響�;(2)運營的核心平臺服務構成商戶抵達終端用戶的重要門徑�����;(3)運行享有不可動搖和持續的地位或者在可預見的未來會享有這種地位�。符合以下具體要求可以分別推定符合上述三項條件:(1)過去三個財年在歐洲經濟區的銷售額等于或者超過65億歐元����,或者過去一個財年的平均市值或者市場估值至少達到650億歐元���,并且�����,至少在三個成員國提供核心平臺服務���;(2)提供的核心平臺服務上個財年平均有超過4500萬設立或者位于歐盟內的月度活躍終端用戶以及超過1萬家設立于歐盟的年度活躍商戶�;(3)過去三個財年均能達到(2)的要求�����。美國眾議院司法委員會2021年6月通過5個數字市場相關法案��,其中��,《終結平臺壟斷法案》第5條對于守門人確定的衡量標準是市值必須在6000億美元以上�����,必須在美國國內擁有超過 5000 萬月活躍用戶或 10 萬月活躍商業用戶�����?���?梢钥吹?����,由于條件嚴格�,能夠成為守門人的平臺企業非常有限�����。
(二)數字守門人需要履行的特別法律義務��,性質上屬于自己的直接義務�,與第三方義務沒有任何關系��。《數字市場法》第5條��、第6條規定的守門人特別義務共18項��,都與數據監管相關����,大致可以劃分為兩個方面: 一是限制守門人的行為(限權)��,二是為平臺內商戶���、競爭平臺與終端用戶賦權����。美國國會的報告從三個方面共提出13條政策建議����,也都不涉及任何第三方義務���?�?梢哉f數字守門人有些類似于反壟斷法或者監管法律中的“市場支配地位”“瓶頸”“必需設施”等概念����,承擔相應的特別法律義務�����。英國擬議中的守門人行為規范要達到的目的是防止守門人盤剝消費者與商戶或者排除競爭者的行為��,以實現公平交易����、開放選擇��、信任與透明三大目標�。守門人的制度設計表明���,各國仍然堅持對平臺經濟的基本定性以及避風港原則��,避免套用第三方義務限制平臺經濟發展�����。同時�,對于守門人阻礙競爭的行為在傳統的反壟斷執法之外����,引入監管措施進行有效監管�,兩者共同發力�,打破守門人對于數據的壟斷�����。至于平臺能力增強以后可以履行更多的治理責任��,歐盟的做法是在堅持電子商務指令基本原則的前提下��,由數字服務法另行規定�,以避免不同法律關系的混淆與錯位���。需要指出的是���,數字服務法中不采用守門人概念與制度���。
(三)守門人過去一直是理論概念�����,“以前法律從未規定過”�����。歐美最近的制度發展表明�,數字守門人已經作為法律概念被官方文件或者立法草案正式確立�����,其名稱�、法律依據���、認定標準���、認定程序�����、法律義務��、違法責任����、監管機制�����、救濟機制等�,均由法律明確予以規定�����。這樣���,一旦數字守門人制度正式開始運作�,一切都將有法可依��,可以提高制度的可預期性與透明度����。
二�����、我國守門人條款的特點
2020年10月提交全國人大常委會初次審議的個人信息保護法草案中并沒有守門人條款���。2020年12月中央經濟工作會議首次提出“強化反壟斷��,防止資本無序擴張”后��,有關部門密集推出相應措施.2021年4月全國人大常委會二次審議稿采納部門�����、專家的建議���,增加第57條����,也就是學界俗稱的“守門人條款”����。該條經三次審議稿細微修訂���,形成最終的法律文本����。從比較法角度看��,我國守門人條款具有以下兩個鮮明特點:
(一)以《個人信息保護法》創立守門人制度���,確立守門人制度基本框架����。歐盟1995年制定《個人數據保護指令》之后��,各國紛紛進行個人信息保護立法���,經20年左右的努力���,大部分國家及國際組織在守門人現象出現之前已完成立法任務���。在此期間��,計算機處理個人信息已經成為普遍現象�,但平臺經濟只是處于萌芽和發展狀態�����。因 此��,各國個人信息保護法不可能針對超級平臺規定特別義務����,平等適用原則一直是個人信息保護法的基本原則����。歐盟《一般數據保護條例》在前言中明確宣示:“條例對于包括微型����、小型以及中型企業在內的不同經濟主體提供法律確定性和透明度至關重要”“并為控制者與處理者規定同樣水平����、法律上可執行的義務和責任�����?����!痹趫猿謱Σ煌袠I��、不同規模的義務主體一概平等適用的前提下����,某些立法針對少數特殊主體在內部執行機制上有一定的額外要求�,或者豁免小型處理者的某些義務�����,但這些都不影響個人信息保護平等適用的基本原則��。也就是說�,個人信息保護與新近興起的守門人制度是兩個完全不同的領域��,遵循不同的制度邏輯����。個人信息保護法立足于保護信息主體的個人信息控制權��,權利與義務平等是其基本要求; 守門人制度立足于確立對超級平臺的有效監管制度�,區別對待是其基本特征�。從歐美目前的制度設計與做法來看��,數字守門人制度多由專門立法創立�����,主要由三個環節構成����。首先�����,對平臺服務進行分類和聚焦��,分離出“核心平臺服務”���,相當于確定傳統的基礎設施產業范圍����。比如���,《數字市場法》首先明確在線中介服務�、在線搜索引擎���、社交網絡���、視頻分享平臺服務����、獨立于號碼的人際間電子通信服務��、操作系統��、云服務以及廣告服務一共八類“核心平臺服務”�����,其共同特征是具有極端的規模經濟性和網絡效應��,能夠最大化數據優勢���,使增加商家或者用戶的成本幾乎接近于零���,并且鎖定商家和用戶����。只有在這八類服務領域內達到標準的平臺企業才是守門人�����,其他領域的平臺企業不包括在內�。美國國會調查的是在線搜索����、電子商務�����、社交媒體與社交網絡�、移動應用商店����、移動操作系統�、數字地圖��、云計算����、語音助理���、瀏覽器以及數字廣告共10個市場�。英國正在推動的制度設計也是先評估守門人對競爭會造成最大風險的“特定活動”的范圍�����,而不是守門人的所有活動����。其次���,根據終端用戶數量��、平臺內商戶數量或者企業市值等量化指標對提供核心平臺服務的企業進行分級�����,達到法律規定標準的識別為守門人�,相當于確定“瓶頸”��。最后�,明確守門人核心平臺服務應該履行的特別義務�,并對數據行為實施監管�����。我國《個人信息保護法》第58條雖然非常簡單�,還有不少值得充實和完善的地方�����,但大致確立了守門人制度的基本框架��?!爸匾ヂ摼W平臺服務”與數字市場法“核心平臺服務”的表述異曲同工����,蘊含著對平臺服務進行分類的要求; “用戶數量巨大����、業務類型復雜”確立了對提供重要互聯網平臺服務的企業進行分級和識別的兩項主要標準; 4項具體要求明確了守門人必須履行的特別義務�����。從立法形式來看��,我國以個人信息保護法確立守門人制度具有巨大的創新性���,如果具備相應的法律實施能力����,第58條不但能夠發揮應有的作用�����,而且可以在實施中彌補諸如規定過于原則等立法漏洞�����。
(二)第三方義務與直接義務并列�,兩種意義上的守門人并存��。《個人信息保護法》第58條為守門人規定的4項義務�,可以劃分為直接義務與第三方義務兩大類���,前者包括第(一)項�����、第(四)項����,后者主要是第(二)項���、第(三)項����。也就是說�����,守門人不但要自己遵守個人信息保護規定�����,還要利用其獨特地位���,明確平臺內商戶處理個人信息的規范和保護個人信息的義務���。與歐美正在推進的守門人制度聚焦直接義務比較����,我國守門人制度將兩種不同意義上的守門人一并納入�����,充分反映了我國互聯網治理的特點���。
我國互聯網治理��,既借鑒國際經驗����,通過《信息網絡傳播權保護條例》《侵權責任法》等民事立法打造平臺責任避風港����,又在互聯網信息內容管理領域一直保有自己的特點����。2000年���,《全國人民代表大會常務委員會關于維護互聯網安全的決定》規定���,從事互聯網業務的單位要依法開展活動���,發現互聯網上出現違法犯罪行為和有害信息時���,要采取措施�,停止傳輸有害信息�,并及時向有關機關報告��。按照一般理解及實踐要求�����,這種義務是一種積極義務�,平臺需要積極履行及時發現違法行為的責任�����。2012年����,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第5條規定�,網絡服務提供者應當加強對其用戶發布的信息的管理����,發現法律���、法規禁止發布或者傳輸的信息時��,應當立即停止傳輸該信息���,采取消除等處置措施�,保存有關記錄��,并向有關主管部門報告��。這些要求��,被逐步完善為具有輿論動員能力的平臺必須履行主體責任�����,積極主動履行公法上的第三方義務��,否則要承擔相應的法律后果�����。在借鑒互聯網信息內容管理經驗的基礎上��,諸如《網絡安全法》第47條�、第48條���,《食品安全法》第62條�����,《藥品管理法》第62條����,《電子商務法》第29條�����、第38條���、第45條����,《消費者權益保護法》第44條以及《刑法》第286之一等立法��,也都分別規定不同形式的平臺第三方義務��,構成我國網絡綜合治理體系的重要組成部分���。學者在立法過程中提出增加守門人條款的建議�����,應該主要是基于第三方義務考慮��。另一方面�, 從2020年底開始��,防止資本無序擴張成為一項重要任務�,很多部門建議增加守門人條款�,更多應該是考慮加強對守門人的約束���。從這個角度觀察�,守門人條款將直接義務與第三方義務一并加以規定�����,實際上是一種妥協或者折中�,有很強的現實色彩�����。
上述兩個特點�,從有利方面看�����,能體現我國個人信息保護法較晚制定的“后發優勢”��,可以將個人信息保護與守門人監管兩個問題一并解決��,有可能走出一條不同的守門人監管道路����。盡管歐美早于我國醞釀守門人立法�,但我國某種意義上已經成為世界上率先正式確立守門人法律制度的國家之一���。如果我們的法律實施能夠有效推進����,完全可以貢獻更多的中國智慧�。當然��,從不利方面看�����,我國守門人條款過于原則����,且把不同的法律關系交織在一起�,加上執法能力不足�,法律實施必然會面臨更大的挑戰���,出現法治后發國家在其他領域經常會出現的紙面上的法律與現實中的法律相互脫節的問題��。重視并全面剖析這些問題�����,是有效推進守門人條款實施的前提和基礎����。
三���、我國守門人條款存在的主要問題
網絡產業20世紀90年代出現之初�����,只是一個個門戶網站��,按照傳統監管理論����,屬于典型的自由競爭行業����,沒有任何事前監管的必要�。因此��,過去 20 多年�����,各國對平臺經濟普遍采取放松監管的政策�,并為平臺提供避風港保護���,由包括反壟斷法在內的法律事后規范平臺企業的行為���。近幾年超級平臺的迅速壯大��,對各方面帶來了巨大挑戰�����。歐美率先開啟守門人立法進程���,期望通過引入事前監管機制彌補事后反壟斷執法的不足�����,推動競爭與創新���。但是�����,各國對于加強監管的政策建議與各種討論����,均聚焦于守門人控制海量數據對于競爭的影響����,探討加強數據開放��、數據可攜���、互操作���、開源標準等數據監管措施�����,而不是簡單地訴諸準入控制等傳統監管手段��。以歐盟數字市場法為例�����,被認定為守門人后��,守門人必須履行的監管義務包括: 未經終端用戶特別選擇并同意�,守門人不得將提供核心平臺服務所得到的個人數據與提供其他服務所獲得的個人數據或者第三方服務所獲得的個人數據進行整合�����,也不得將終端用戶推給守門人的其他服務; 不得要求平臺內商戶必須使用守門人提供的身份驗證服務;不得為了與平臺內商戶競爭��,使用商戶在提供核心平臺服務中所產生的���、包括這些商戶的終端用戶所產生的����、公開渠道無法獲得的數據; 只要不影響系統正常運行�,應允許終端用戶卸載守門人在其核心平臺服務中預裝的任何應用程序��;為平臺內商戶或者終端用戶所生成的數據提供有效的可攜措施��,特別要為終端用戶便捷地行使數據可攜權提供持續�����、實時獲取的工具�����;對于平臺內商戶及其終端用戶在使用守門人相關核心平臺服務過程中生成或提供的集合數據或者非集合數據���,免費為平臺內商戶及其授權第三方提供有效��、高質量����、持續�����、實時的獲取與使用等���。守門人制度的設計���,體現了各國對于規范與發展關系的戰略把握�,既正視守門人帶來的挑戰��、推動競爭和創新���,又不因噎廢食�����,過多地干預平臺經濟發展���,以抓住信息革命帶來的發展機會�����?����?梢灶A見�,守門人制度正式確立之后����,隨著數據監管措施的到位��,會對超級平臺運行的很多習慣做法帶來革命性影響���,為競爭和創新帶來新一輪機遇����,并推動平臺經濟治理體系的深刻變革��。
對比之下�����,我國《個人信息保護法》第58條對守門人直接義務的規定只有兩項���,不但本身內容比較原則����,剛性不強��,而且�����,這兩項規定均局限于個人信息保護范疇��,對于解決守門人數據壟斷現象幾乎無法發揮任何實質性作用����。因此�,盡管第58條確立了守門人制度的基本框架�����,但守門人必須履行的數據監管義務完全缺位��,有認定標準而無行為規范����,只能稱為“半個守門人條款”�����。從個人信息保護法實施半年多以來的實踐看���,守門人條款對超級平臺的合規實踐與既有做法沒有任何改變��,與一般個人信息處理者需要遵守的義務幾乎沒有差別�����。如前所述���,個人信息保護與守門人監管是兩個不同領域的問題��,如果只是在個人信息保護范疇內設計守門人義務����,其意義就必然非常有限�;超出個人信息保護范疇系統設計守門人義務�,又會面臨立法權限與范圍的限制��。這是以個人信息保護法創立���、承載守門人制度在直接義務設定方面必然面臨的兩難����。
至于《個人信息保護法》第 58 條為守門人規定的第三方義務�����,也存在以下三個方面的問題:
(一)在移動終端 APP 運營模式之下�,我國大部分APP運營企業掌控了平臺上的所有信息(包括個人信息)����;而平臺內商戶能夠獲得的信息非常有限���,多是經過脫敏的相關信息����,由APP運營企業對信息經過集中處理后再分別向平臺內商戶導流����。這種信息流動格局清晰地體現在主要APP的隱私政策中�����。當然�,這種格局近年來在實踐中已經引發個別較大規模平臺內商戶的不滿并提出相應訴求����,也是守門人制度要解決的核心問題���,以便讓平臺內商戶獲得與其經營活動相關的更多信息(包括用戶的個人信息)�,促進公平競爭��。在平臺內商戶不掌握信息的運行格局之下���,第58條為APP守門人規定第三方義務��,讓其明確平臺內商戶處理個人信息的規范和保護個人信息的義務��,實際上是無的放矢���,沒有太多實際意義�����。
(二)對于操作系統���、移動應用商店���、云計算等類型的平臺服務�����,平臺內商戶確實能夠獨立掌握相關的信息(包括用戶的個人信息)����,存在設定第三方義務的可能性���。理論上�,為私主體設定第三方義務需要考慮不同因素����,其中�����,最基本的一個要求是該主體能夠以合理的成本發現違法行為��,不宜讓其承擔不可能完成的任務��。梳理下表我國已經為平臺設定第三方義務的主要法律規定可以發現�,相關領域均是平臺可以以合理的成本發現違法行為的領域���,如誹謗�、色情內容�����、有害信息����、假冒偽劣商品�����、知識產權侵權產品����、無證產品等�。這些違法行為的“違法性”較為明確����,以正常人標準通常就能夠加以判斷��;并且��,這些違法行為會以“公開化”的方式在網絡上呈現���,幾乎為社會所公知���,平臺沒有理由無視其存在����。因此���,相關立法使用的關鍵詞一直是“發現”或“知道”�,以對應公開呈現的違法行為��。這樣的范圍與標準界定�����,既有利于發揮平臺發現與阻止違法行為的作用����,也能夠以客觀標準評價平臺是否履行了第三方義務�����。同時����,“發現”與“知道”的表述�,表明平臺履行的本質上是也只能是事后義務�,在公開呈現的違法行為出現以后及時發現并采取相應措施�。盡管管理部門對于及時發現違法行為的要求可能會非常高���,平臺必須通過各種手段(包括人工智能方式)及時發現并處理違法行為���,以至于普通人很難感受時間上的“事后”特點�。
個人信息保護與前述規定平臺第三方義務領域存在眾多重要差別�����,包括:A. 個人信息保護與利用密切相關���,涉及數據資源開發與利用等前沿領域�,合法與違法的邊界并不總是那么容易判斷�����;B. 個人信息保護涉及主體多���、鏈條長�、隱蔽性強�����、變化快��,違法行為通常并不以“公開化”方式呈現���;C. 個人信息保護執法實踐中存在取證難�����、質證難���、執行難等各種難題����,除公安部門外�����,一般行政執法部門執法都會遇到很大障礙��,民事訴訟原告幾乎無法勝訴�����。在這種情況下��,讓平臺承擔第三方義務���,去“發現”“知道”平臺內商戶的個人信息違法行為��,其實是讓其承受難以履行的負擔�����,平臺很容易被認定為不作為違法���。守門人����、平臺內商戶���、平臺用戶�����、職業維權人����、競爭平臺等相關多元主體復雜博弈格局����,加之個人信息保護法非常嚴格的法律責任規定與維權機制設計�����,極有可能引發道德風險與“囚徒困境”���,不但對個人信息保護沒有多大實質幫助��,而且會產生更多問題���。更為復雜的是�����,第58條第(二) 項要求守門人“明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務”�,性質上明顯屬于“事前”義務����,義務的范圍和程度遠遠超出以前立法所規定的“發現”與“知道”��。面對數以百萬計業態各異的平臺內商戶����,要求守門人履行事前第三方義務����,為不同的平臺內商戶明確相應的個人信息處理規范與義務���,其難度之大可想而知�。即使守門人能夠明確這樣的規范與義務���,也會與平臺內商戶本身的隱私政策不一致或者沖突��,人為加大矛盾��。另外�,第58條第(三)項要求守門人“對嚴重違反法律����、行政法規處理個人信息的平臺內的產品或者服務提供者�,停止提供服務”���,但沒有規定相應的前置程序或者停止提供服務的依據���。如果沒有前置行政決定或者司法決定作為基礎�����,要求守門人獨立對平臺內商戶的個人信息處理行為進行合法性判斷并決定停止提供服務��,不但難度極大�����,而且蘊含各種法律風險���。
(三)第三方義務既是法定義務���,也是法律授權�,這一點不同于直接義務���,直接義務只是純粹的法律義務�����。數字守門人制度的出現�����,是要解決守門人通過數據優勢阻礙競爭的現象��,因此�,守門人制度的核心是限制守門人的數據權力�����,同時為平臺內商戶�����、其他平臺與終端用戶賦權���,以促進數據流動與共享�����。這是歐美將數字守門人義務限定為直接義務的根本原因����?����!秱€人信息保護法》第58條將“明確處理個人信息的規范和保護個人信息的義務” “停止提供服務”等邊界���、程序與條件都不是非常清晰的第三方義務配置給守門人�����,等于籠統給守門人授權�,使其在享有對平臺內商戶數據優勢的基礎上���,額外獲得行為規范制定權與某種意義上的行政管理權��,明顯是增加守門人的權力�。這樣的制度設計���,正好與守門人制度限制平臺權力���,為平臺內商戶賦權的制度設計初衷相違背��,還能不能被定性為守門人條款其實有很大的疑問����。
盡管從個人信息保護法的立法演變過程來看���,作為防止資本無序擴張的一項措施����,第58條確實是被作為守門人條款設計的��,也沒有任何方面對此提出過反對意見����。然而��,值得指出的是����,除了學術界與媒體采用守門人概念以外���,個人信息保護法并未規定該概念�,至今也無任何權威機構為該概念或制度背書����。對比可以發現�,相關醫療健康領域的文件已經較為普遍地采用“守門人”概念���,證劵等金融領域相關文件與學術研究普遍采用“看門人”概念���,傳媒管理領域的個別文件與不少學術研究已在使用“把關人”概念�����。守門人條款對于直接義務與第三方義務的規定存在前述種種問題�����,加上守門人條款根本未提及守門人概念�,那么��,個人信息保護法是不是真的確立了守門人制度�,確立的究竟是哪種意義上的守門人制度�,是不是實現了立法意圖����,應該用哪個名稱等�,都可能有不同理解���、不同答案�����。同樣��,守門人條款究竟如何實施��,是否會實施����,實施的目標如何確定��,實施主體有哪些��,按照什么原則���、標準與程序實施等��,也都很難有合理的預期�����。這些���,可能是守門人條款面臨的最根本問題��。沒有創造性的法律實施�����,沒有系統的解決方案����,這些問題不會有答案���,這些規定不會真正有意義�����。
四��、守門人條款的適用
守門人條款出現在個人信息保護法中���,既有一定的偶然性�,也有必然性和深刻的經濟社會背景�����。因此�����,守門人條款的適用�,不能就規定論規定��,必須在平臺經濟發展的大格局中明確定位�����,形成系統解決方案�����。
(一)適用守門人條款的意義
20多年前平臺經濟出現之始����,就在音樂����、電影�����、出版物等領域與傳統產業發生沖突與碰撞�����,引發對平臺責任的激烈爭論���。如果說20世紀90年代中期的避風港立法開啟了各國網絡法治的上半場�,相當于為當時初生的互聯網產業裝上引擎�,那么��,當下各國正在推進的守門人制度實際上已經拉開網絡法治下半場的序幕���,在為高速飛馳的平臺經濟裝上剎車的同時���,將推動競爭與創新邁上新臺階��。
平臺經濟經過高速發展與積累�����,已經與實體經濟深度融合�����,并以先易后難的方式��,逐步向管制行業邁進�。并 且����,管制越強的領域���,潛在的市場創新空間與創新動力越大���。由于平臺經濟具有的優勢����,使超級平臺能夠在進入每一個傳統行業后��,實施降維打擊��,帶來行業的顛覆性變化�。同時�����,超級平臺通過鎖定終端用戶與平臺內商戶�����,可以對雙邊市場的兩端進行任意揉搓�����、碾壓與吊打�����,新的競爭平臺很難進入或發展�。這種守門人予取予奪���、一家獨大的市場格局�,不但會對行業生態造成連鎖影響����,使市場難以長期持續發展�,而且會使守門人本身逐步失去競爭與創新動力�����,這是平臺經濟發展必須正視的深層次挑戰�����??枴げㄌm尼很早就提出關于市場力量不斷擴張或早或晚都會引發以保護性立法和政府干預為特征的反向運動理論����。利益受到嚴重沖擊的強管制行業必然以安全���、壟斷���、社會穩定����、財富分配等為理由����,通過推動限制平臺準入等傳統監管方式維護自身利益����。近年來���,這樣的場景在國內外酒店業���、出租車行業���、金融業等封閉性非常強的領域屢見不鮮�。
平臺經濟跨界融合的特點決定了傳統監管手段的無效性與不可持續性���,強制劃定邊界只會造成傳統行業的持續落后與全社會的效率損失�����,錯失數字經濟帶來的機會���,更無法贏得國際競爭����。同樣���,放任平臺通過數據壟斷方式進行不公平競爭���,或者繼續沿用事后個案反壟斷執法�,不但不能及時有效解決問題���,而且會使問題越積累越嚴重����,破壞行業生態��,帶來長期政策不確定性等負面后果���。在數字經濟加速發展����,各國紛紛搶占數字經濟制高點的背景下����,政府不但必須監管���,而且必須盡快干預�,以避免政策不確定�����、方向不明確造成的影響����。最近幾年主要大國的平臺監管政策演變表明�,構筑以守門人制度為標志的數據監管體系�����,促進公平競爭�����,既可以防止回歸傳統監管手段��,又能推動數字經濟發展���,實現雙贏乃至多贏��,具有重要的戰略意義與全局意義�����。數據監管是防止資本無序擴張最好的“紅綠燈”�,這是我們認識守門人條款及其實施的根本意義所在���。盡管守門人條款存在不少問題����,但在各種制約條件下能夠通過個人信息保護法率先在我國確立守門人制度的基本框架�����,已經是難能可貴的一步��,是個人信息保護法最具有全局意義的一條規定���。法治是一個過程�����,立法不可能絕對完備��,紙面上的規定只有通過實施才能成為現實中的法律���。在我國����,推動守門人條款的盡快實施��,必將助推形成“規范���、透明�����、可預期”的監管���,走出“一抓就死����、一放就亂”的治亂循環����,推動平臺經濟發展邁上新臺階��。
(二)先分類�����、再分級�,準確識別守門人
《個人信息保護法》第 58 條規定的“提供重要互聯網平臺服務���、用戶數量巨大���、業務類型復雜”三個條件��,等于確立了識別守門人的兩個環節�,需要先分類���、再分級���?!疤峁┲匾ヂ摼W平臺服務”���,意味著要先對平臺服務進行分類�,從中識別哪些屬于重要平臺服務; “用戶數量巨大��、業務類型復雜”�,意味著要在經識別的重要平臺服務領域�����,根據這兩個標準對平臺企業進行分級��,識別出哪些屬于守門人�����。2021年10月����,國家市場監管總局發布《互聯網平臺分類分級指南(征求意見稿)》《互聯網平臺落實主體責任指南(征求意見稿)》(以下簡稱“主體責任指南”)�,確立的也是先分類����、再分級的超級平臺識別程序�����,首次提出中國版守門人制度的基本設想�,為驗證守門人條款提供了分析對象�。隨著平臺經濟的發展���,平臺服務線上線下融合��,將所有平臺全覆蓋地納入監管����,既無必要���,也無可能��。需要納入監管的�,是具有基礎設施特點的重要(基礎性)平臺服務��,也可稱為門徑(gateway)�����。從各國對平臺經濟的官方研究來看��,門徑有兩個重要特點:一是能夠連接并鎖定平臺內商戶與終端用戶��,二是守門人可以利用控制的門徑向不同服務領域擴張��,提供跨領域服務�。因此����,門徑具有極端的規模經濟性和網絡效應�,能夠最大化數據優勢�����,鎖定平臺內商戶和終端用戶����,并實現跨行業�、跨領域擴張�����,形成和固化競爭優勢��。當然�,實踐中不排除有些守門人只提供門徑服務����,并不向其他領域擴張����,有些可能會同時控制多條門徑�,這些都不影響對其本質屬性的認定和識別���。簡言之����,門徑是能夠控制平臺內商戶及其他平臺(包括新進入平臺)觸達終端用戶的平臺服務�。諸如電子商務����、社交網絡���、搜索�、廣告�����、移動應用商店�、移動操作系統��、云計算等普遍被認為構成門徑��,而類似輸入法��、在線音樂����、在線讀書��、在線翻譯等眾多的平臺服務����,明顯不具有門徑特征���。平臺服務分類以后�����,需要對提供門徑服務的企業進行分級����,將達到一定規模的企業認定為守門人���。標準以下的企業��,不具有守門人能力�,不需要進行監管�����。分級最為重要的衡量標準是體現平臺雙邊市場特點的平臺內商戶與終端用戶的數量�����,只有兩邊的用戶數量均達到一定的規模才符合“用戶數量巨大”的標準��,成為守門人����。如果只是單邊的終端用戶數量巨大���,無法體現門徑的特點����,不能認定為守門人��。諸如基礎電信運營商�、銀行��、主流媒體等平臺服務雖然終端用戶數量巨大�����,但因為不是雙邊市場���,不能被界定為守門人��。同樣����,以自營業務為主�,第三方服務為輔的平臺�����,如果平臺內商戶數量不達標�����,也不能界定為守門人����。在流量為王的平臺經濟時代�����,用戶數量與平臺企業的市值(估值)其實是一枚硬幣的兩面��,呈正相關關系����。因此�,也可以以市值(估值)幫助判斷平臺企業的影響力��,達到標準的構成守門人�。至于“業務類型復雜”指的是在提供門徑服務之外���,守門人還提供其他的平臺服務�,以實現跨行業交叉補貼���,延伸優勢地位��。其判斷標準應該是至少提供一種門徑服務����,并在此基礎上向其他服務領域延伸����。延伸的領域越廣�,控制的門徑越多���,守門人的優勢越大�����,監管的強度相應也應該越大�。也就是說��,不同守門人之間存在體量的差別��,需要根據業務的復雜程度決定監管的不同強度����。這樣推理�,“用戶數量巨大”是認定守門人最基礎的標準���,而“業務類型復雜”是對守門人進行二次分級的標準�����。需要指出的是�����,鑒于守門人制度近幾年才剛剛被提出來討論�,二次分級在各國的討論非常少���,立法總體上仍處于將所有守門人“一刀切”設計制度的階段����。分類分級雖然是通俗����、易懂的表述����,但很容易產生全覆蓋的聯想�,好像要給所有平臺服務分類�����,給所有平臺企業分級��。如上所述�,守門人的確立過程準確地說其實是“兩個識別”的過程�,先識別門徑����,再識別能夠控制門徑的守門人�����,沒有被識別出來的�,不需要再貼任何標簽�����。在跨界融合���、快速迭代的網絡環境下����,既不需要給每一種平臺服務都分類���,也不需要給每個平臺企業都貼上等級標簽��,只需要識別出守門人就達到制度設計的目的���。識別之后�,對守門人門徑服務施加數據監管義務�,其他平臺企業以及守門人的非門徑服務仍然采用事后反壟斷執法等機制����。這樣����,既發揮市場的決定性作用�,又更好發揮政府作用���,還能減輕執法部門與管理對象的負擔��。
根據上述推理分析��,國家互聯網信息辦公室發布的《網絡數據安全管理條例(征求意見稿)》(以下簡稱“條例征求意見稿”)對于“大型互聯網平臺運營者”的規定�����,明顯只有企業分級一個標準��,缺乏以平臺服務分類作為前提條件����。就守門人監管而言����,企業大并不是問題���,并不必然需要被界定為守門人��,通過事后反壟斷執法就完全可以應對�����。只有大型企業提供的平臺服務構成門徑����,才需要守門人制度進行監管����。相比之下��,市場監管總局發布的兩個指南更為全面�����,包括分類與分級兩個方面����。然而���,兩個指南仍然存在幾個值得探討的問題:(1)指南將平臺分為6大類31小類��,并分為3級����,采用的顯然是全覆蓋思路�,實施之后每個平臺都要找到自己的分類與分級�,難度與工作量之大可想而知��。(2)6大類分類�����,突出的均是平臺外在表現形式的“人與商品���、人與人���、人與服務”等連接功能����,并沒有突出平臺連接平臺內商戶與終端用戶這個最根本屬性��。易言之��,整個分類都不涉及先確定門徑問題�,守門人制度實際上仍然只有一個分級標準�����,必然會導致擴大守門人范圍的結果���。(3)分級均只有用戶規模一個指標���,應該指的都是終端用戶�,如超級平臺的標準是在中國的上年度年活躍用戶不低于5億��。由于分級缺乏平臺內商戶規模指標�,只有一個終端用戶指標必然會進一步擴大守門人的范圍�����。由此可見���,不論是條例征求意見稿還是兩個指南���,都忽略了識別“重要互聯網平臺服務”這一環節�����,這樣確定的守門人肯定遠遠多于嚴格按照守門人條款識別出來的數量����,而對守門人采取的監管措施也會遠遠超出提供門徑服務的范圍���。
守門人制度的確立�����,是一個新生事物�,國內外都處于初步探索階段�����,相關制度的完善必然需要一個認識過程��。我國平臺企業的運營模式與運營環境既有與國外相同的地方����,也有很多自身特點���,并且處于不斷變化中�。在借鑒國外守門人制度經驗的基礎上�����,逐步確定識別守門人的中國標準與范圍����,使守門人條款真正成為實務操作指南�����,還有很多工作要做���。
(三)體系性適用�,明確守門人雙重行為規范
識別守門人提供的門徑服務�����,不僅是確定守門人的前提條件��,而且是明確守門人數據監管義務與范圍的基礎�。在線上線下高度融合的環境下����,對守門人的所有服務均進行監管既無必要��,也不可能�����。守門人制度的核心是對守門人提供門徑服務所涉及的數據處理活動進行監管��,防止其利用數據優勢阻礙競爭和創新��。個人信息是最重要���、最有價值的數據�,守門人提供門徑服務過程中形成�����、獲取的個人信息��,當然是數據監管的重點�。至于守門人門徑服務之外的其他服務���,均通過事后執法予以規范��,既不需要履行特別的義務���,也不需要事前監管�����。由此可見��,守門人條款所確定的直接義務應由兩個部分組成: 一是作為個人信息處理者必須履行的個人信息保護一般義務����,與其他個人信息處理者一樣����,平等適用是其基本原則����,沒有太多特殊性; 二是作為守門人對提供門徑服務所處理的個人信息必須履行的特別義務���,差別對待是基本原則���,一般個人信息處理者或者守門人門徑服務之外的其他服務均不適用�����。守門人既是一般個人信息處理者���,也是守門人�����,定位的復合性決定了守門人必須履行雙重義務���,這是守門人條款的題中應有之義�����。也就是說�,守門人承擔的諸如“建立健全個人信息保護合規制度體系”“定期發布個人信息保護社會責任報告”等直接義務包括兩個方面的內容:一是覆蓋守門人所有服務的個人信息保護一般義務���,這是通常的字面理解; 二是覆蓋門徑服務的個人信息保護與處理特別義務�����,這是體系與立法目的解釋�。只按照通常的字面理解�����,守門人條款意義不大��,只是“半個守門人條款”��。只有通過體系性解釋����,區分不同的法律關系�,才能真正體現將守門人條款納入個人信息保護法的創新意義與實施重點所在��。從守門人制度全局解釋守門人條款設定的兩項直接義務��,可以跳出就個人信息保護確定守門人義務的窠臼�,通過體系性適用明確守門人特別義務�����,使“半個守門人條款”成為完整的守門人條款�����。
這樣���,運用體系性思維將相關規定中能夠適用于守門人的特別義務加以提取�����,就可以確立守門人的行為規范——守門人履行兩項原則性直接義務�����,對這一義務的理解必須與個人信息保護法及相關的國家規定相結合��。這實際上是把兩項原則性義務作為引致條款���,將包括個人信息保護法其他條款在內的“國家規定”一并納入守門人制度���,推動守門人數據監管義務的全面落實�。這樣的理解與適用�����,既符合個人信息保護法創立守門人制度的立法目的��,也使守門人的各項義務均能在個人信息保護法和國家規定中找到相應依據���,不超出法律的明確授權��。比如����,個人信息可攜權既是一項個人權利���,也是通過向個人賦權打破守門人數據優勢的一項重要數據監管舉措�。在歐盟��,前者由一般數據保護條例加以規定����,后者由數字市場法予以列舉��,分別承擔不同功能��。我國個人信息保護法通過守門人條款將兩項制度一并納入�����,實施中���,完全可以要求守門人率先對門徑服務所獲得的個人信息提供可攜帶的途徑和方法���,建立合規制度體系�����,以盡快落實守門人條款的要求���,而非守門人平臺企業不需要承擔這一義務����。與此同時��,再結合個人信息可攜權的一般規定���,逐步推動個人權利保護意義上的個人信息可攜權全面落實����。這樣��,個人信息可攜權雖然是同一個條文的規定���,但會分離出兩項合規制度要求��,一項履行守門人義務��,一項履行個人信息處理者義務����,兩項合規制度要求在適用范圍��、對象��、執行機制���、推進步驟等方面必然會有差別�。一般個人信息處理者只需要履行個人信息處理者義務��,守門人則必須同時履行兩項不同的義務�����。再如���,《個人信息保護法》第20條規定共同處理個人信息的���,應當約定各自的權利和義務��,同時又規定共同處理者需承擔連帶責任���。由于實踐中守門人掌握所有信息����,而平臺內商戶只得到有限的信息�,這條規定對平臺內商戶顯然不利�,也與守門人制度為平臺內商戶賦權的趨勢完全相反����。因此����,個人信息保護法實施中可以通過共同處理的規定以及權利義務一致性原則�,明確確認平臺內商戶對于相關個人信息的獲取權���、使用權等權利����,打破守門人對于個人信息的壟斷�。除了向平臺內商戶����、終端用戶賦權以外�����,也可以通過落實守門人特別義務( 限權) 來完善守門人制度���。比如���,《個人信息保護法》第6條規定的最小必要原則�,適用于一般個人信息處理者和守門人兩種不同的場景���,具體要求顯然不應該完全一樣�����。個人信息處理者作為整體必須遵守該原則��,而守門人的門徑服務在此基礎上還應該履行更高的義務�,如不得通過門徑服務跨業務線收集與使用個人信息���。這樣規定��,是為了防止守門人形成和濫用數據優勢地位����。從這個角度看���,網信辦發布的條例征求意見稿第43條第3款�、第51條���、第53條��,市場監管總局發布的主體責任指南第1條第1項�����、第3條��,都頗有異曲同工之處���,都可視為通過對個人信息保護法相關規定的細化來落實守門人特別義務����,建立較為完備的數據監管制度�。個人信息保護法的體系性適用�����,要在堅持法制統一原則的前提下�����,區分個人信息保護與守門人監管兩種不同的法律關系�����,在法律實施中構筑守門人雙重行為規范體系�����。這顯然要求較高的政策水平與法律水平��,對法律實施的各相關方都會是一場持續考驗���。
(四) 統一標準�,維護法律權威
嚴格的門檻和互聯網行業的特點決定了數字守門人的數量必然非常有限��。除了通過統一的立法確立守門人制度以外���,理想的狀態應該是國家層面設立統一的數據監管機構�����,推進數據監管�����,以保持標準統一�����、執法尺度統一��,以維護法律權威���。門徑服務的認定標準����、用戶數量的認定標準����、守門人的數據監管義務等��,均要保持全國統一�����,不能政出多門��。在歐盟����,一般數據保護條例的執法權分散配置在各國個人信息保護執法機構�,而數字守門人的執法權集中配置在歐盟委員會�,兩者之間存在重大的差別���。2021年4月��,英國政府在競爭與市場管理局內設立數字市場局�,對被認定為具有“戰略性市場地位”的守門人企業進行監管�。澳大利亞競爭與消費者委員會提出與英國類似的在該委員會內設立監管機構的建議�。美國芝加哥大學布斯(Booth)商學院數字平臺研究委員會市場結構與反壟斷小組的研究報告建議國會設立專門的監管機構——“數字管理局”���,對擁有瓶頸權力的平臺進行監管����?�?梢?���,統一標準與統一監管����,對于守門人制度有效運行具有重要的意義��。我國個人信息保護法規定的執法體制是公法執法與私法執法并存���、行政執法權分散配置給不同層級��、不同部門的多元執法體制�����,缺乏頂層統一的數據監管機構�。因此�,守門人條款實施確實面臨較大的挑戰�����,有可能出現執法尺度不統一����、執法推諉��、不作為或執法爭權等在其他領域常見的現象�,影響法律權威�。有必要持續推動建立全國統一的數據監管機構��,為守門人條款公正實施提供保障�。當然�,在統一的監管機構設立之前���,守門人條款的實施也必須嚴格�����。必須在現實格局下�����,通過不同實施主體的共同努力����,推動統一的守門人認定標準的形成����。并且���,如同前面對條例征求意見稿和兩個指南的分析����,如果不經過充分的論證就自上而下匆忙制定統一的規則�����,也有可能導致規定偏離正確的軌道而無法及時被糾正����。從這個角度看�����,多方推動����、多元主體互動��,既能發揮不同主體的積極性�����,形成多元動力機制�,避免空轉與不作為現象�����,也能在多元互動與多方案相互比較中形成更優方案�����,然后再上升為統一的法律實施標準����。這種多方推動的漸進變革路徑�,既是中國改革的成功經驗�,也未必不是一條可嘗試的守門人條款實施之道��。當然����,這要求不同主體在充分發揮自身積極性的同時�����,形成有效的信息溝通與政策協調機制�,推動法律實施實現“從混沌到有序”的漸進變革�����。守門人條款的實施��,對我國法律實施體系既是又一次挑戰���,也是一次難得的完善契機�。
作者:周漢華�,中國社會科學院法學研究所副所長�、研究員�����。
來源:《法律科學(西北政法大學學報)》2022年第5期�����。
