原标题：个保法“守门人”的双重义务：“既当选手又当裁判”争议何解

21世纪经济报道 见习记者钟雨欣 实习生骆婷 张玲

编者按：

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

据第 50 次《中国互联网络发展状况统计报告》，截至 2022年6月，我国网民规模为10.51 亿，网民使用手机上网的比例达 99.6%。这也意味着，移动互联网如水银泻地般渗透进人们的生活。打开手机，刷朋友圈、点外卖、看视频、订车票……这几乎成为了所有人的日常。

与此同时，网络平台强制授权、过度索权、超范围收集个人信息的问题凸显，个人信息保护成为社会关注焦点。面对移动互联网生态中的海量经营者，依靠监管进行逐一整改显然很难实现高效治理，而头部互联网平台连接着买卖双方，且一定程度地掌握着对于市场进入的控制权，扮演着“把关”“守门”的角色，处于个人信息处理的关键环节。

在去年颁布的《个人信息保护法》中，我国借鉴国际经验，创新性地在第58条中对“守门人”平台施加了特别义务，成为该法的亮点。其中，要求相关平台“遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务”，明确了其对平台内经营者的管理职能。

“守门人”条款主张“能力越大，责任越大”，但相关平台的复合定位与双重义务也引发了一些争议：如何消化这份沉甸甸的责任？如何防止责任异化、引发权利滥用？“守门人”平台既是运动员，也是裁判员，如何做好平衡？

“守门人”的复合定位与双重义务

我国的“守门人”制度借鉴了欧盟《数字市场法》《数字服务法》，但在立法目的、界定标准以及义务设置方面都存在差异。南开大学法学院副院长、竞争法研究中心主任陈兵教授表示，《个人信息保护法》中“守门人”所应承担的义务主要聚焦于个人信息保护问题上，包括健全合规制度、制定平台规则、处理违法商家、接受社会监督等方面，而“数字守门人”所承担的义务范围更加广泛，包括公平合理使用数据、不得自我优待与捆绑交易、保证互操作性等，主要是为了维护数字市场竞争秩序，降低进入壁垒。

“守门人”平台坐拥庞大的用户规模，业务链条纵横交错，进行生态化布局，形成了相当的影响力，即使仅修改某条平台规则，也有可能掀起“蝴蝶效应”。

针对“守门人”平台的这一特点，《个人信息保护法》也做出了相关规定。“《个人信息保护法》第58条为守门人规定的4项义务，可以划分为直接义务与第三方义务两大类。也就是说，守门人不但要自己遵守个人信息保护规定，还要利用其独特地位，明确平台内商户处理 个人信息的规范和保护个人信息的义务。”中国社会科学院法学研究所副所长、中国法学会网络与信息法学研究会负责人周汉华在其发表的论文中写道。

记者梳理发现，《电子商务法》《网络安全法》《消费者权益保护法》等也曾对平台的第三方义务作出规定。在实践中也常能看到互联网企业承担主体责任，发挥平台治理功能的例子。

去年12月，抖音电商发布《平台治理这一年》数据报告。报告显示，抖音电商2021年度累计处罚了超97万个违规创作者，1.1万人被永久关闭电商权限。拦截了超9100万次违规商品发布，同时对违规商家的处罚超过40万次，清退了超4万个严重违规商家。

具体到个人信息保护层面。中国消费者协会曾指出，餐厅仅提供“扫码点餐”涉嫌过度收集消费者个人信息，侵害了消费者的公平交易权。上海市消保委也多次呼吁“餐厅应该不收集或者尽可能少收集消费者的信息”。 

为此，腾讯在去年年底提醒开发者自查是否存在“扫码点餐强制关注公众号”问题，并督促开发者及时进行整改，表示将对此类问题进行核查，违规的公众号将被限制二维码打开公众号能力。

再比如，用户通过美团使用外卖、酒店住宿、打车等多种生活服务时，美团平台会为用户生成专属的虚拟隐私号码。在订单过程中，用户和商家、骑手之间的联系都可以通过虚拟隐私号码来完成，当服务结束，这一号码会立即失效。虚拟隐私号码在短时间内和用户的手机号绑定，商家和骑手联系用户时使用该号码，避免发生用户真实手机号被泄露的风险。

既是义务也是授权：需要厘清边界

值得注意的是，“守门人”平台兼具经营者与管理者角色，这样的复合定位使其面临着“既当运动员又当裁判员”的争议，北京大学法学院副院长、北京大学电子商务法学研究中心主任薛军教授指出，接下来需要进一步厘清边界，避免“守门人”平台利用其特殊地位侵犯平台内经营者的合法权益。

周汉华在论文中表示，第三方义务既是法定义务，也是法律授权。欧美将数字守门人义务限定为直接义务，核心是限制守门人的数据权力，同时为平台内商户、其他平台与终端用户赋权，以促进数据流动与共享。

他认为，《个人信息保护法》第58条将“明确处理个人信息的规范和保护个人信息的义务”“停止提供服务”等边界、程序与条件都不是非常清晰的第三方义务配置给守门人，等于笼统给守门人授权，使其在享有对平台内商户数据优势的基础上，额外获得行为规范制定权与某种意义上的行政管理权。

第三方义务既是义务也是授权，这是否与守门人制度限制超级平台权力的初衷相违背？如何避免权力被滥用？同时，如何防止过多的义务设置而束缚平台？ 

广东财经大学法学院教授姚志伟表示，从全球范围来看，我国以个人信息保护法确立守门人制度具有很强的创新性，对大型互联网平台设定了特别的个人信息保护义务。他指出，一方面需要对超级平台可能存在的不正当竞争、垄断等行为进行规制，另一方面也需要其对平台内经营者起到一定的管理作用。“这是一体两面，不能因为可能会出现不正当竞争等问题而不赋予平台这样的职能。”

陈兵表示，治理平台经济不仅需要充分发挥监管部门的主导作用，更应发挥平台自治的自我矫正，从而形成“有为政府”与“有效市场”的更好结合，搭建多主体共同参与、多工具共同发挥的多元治理体系。

“守门人制度的目的除了限制平台权利外，还包含完善与优化平台经济治理路径，促进平台经济规范健康持续发展。”陈兵补充道，相较于监管部门，平台更加了解内部经营者的商业模式，在监管技术与路径上具有一定优势。赋予平台一定程度的自治权，由其制定规则、惩罚违法的平台内经营者，有助于形成更好的平台生态环境，也有助于降低监管部门执法成本。

同时，为了避免“守门人”义务被滥用，应当在理论上进一步澄清平台作为经营者与管理者的不同情形，发挥“有为政府”的主导作用，避免平台滥用其在数据、算法、技术、平台规则等方面的优势，扩张其管理权力。另外，为了防止过多义务束缚平台，应当进一步强化竞争政策基础地位落实，推动公平竞争审查制度的实施，避免对平台经济市场的不当干预。

细化中国版“守门人”标准

《个人信息保护法》实施近一年，目前来看，国内大型互联网平台仍难进入“守门人”角色。未来如何更好地推动“守门人”制度落地？

“守门人条款体现了抓大放小的立法思路，但目前的相关规定偏原则性，接下来还需要监管部门出台细化的规则，明确义务主体及履行义务的程度等等，才能更好地落地。”姚志伟以金融领域举例，人民银行、银保监会联合发布的《系统重要性银行评估办法》包括多项指标，得分达到一定分值的银行被纳入系统重要性银行名单，将会面临更严格的特别监管要求。

薛军也表示，针对大型互联网平台的特定义务，一是要把主体范围确定下来，二是明确其具体需要履行的责任和义务，“能力越大责任越大，但责任不是无限的，要适度及合理。”

陈兵告诉记者，《互联网平台分类分级指南（征求意见稿）》与《互联网平台落实主体责任指南（征求意见稿）》拟细化中国版“守门人”的相关规定，尤其是对于“守门人”的判断标准，前者依据用户规模、业务种类、经济体量、限制能力将平台分为超级平台、大型平台、中小平台。后者则进一步明确了超大型平台在公平竞争示范、平等治理、开放生态等方面应承担的义务。

“尽管二者均未正式实施，但其划定的界定标准与义务类型与个人信息保护法中的‘守门人’制度联系密切，对规范互联网平台经营活动、维护个人信息权益、促进平台经济规范健康持续发展有着重要意义。”陈兵表示，下一步可考虑尽快出台两个指南，明确我国对平台经济市场主体分类分级监管的总体思路，细化我国“守门人”的认定标准，厘清“守门人”的双重身份，梳理其在维护个人信息权益中的具体义务，帮助“守门人”制度落到实处。