原標題：個保法“守門人”的雙重義務：“既當選手又當裁判”爭議何解

21世紀經濟報道 見習記者鍾雨欣 實習生駱婷 張玲

編者按：

伴隨着數字經濟發展，對個人信息的採集和利用成爲一種“剛需”。個人信息保護不斷湧現出新問題，隨意收集、違法獲取、過度使用、非法買賣個人信息等情況“野火燒不盡”。數據的挖掘利用與個人信息保護之間張力擴大，急需專門法律對個人信息處理活動提供規範樣本。

2021年11月1日，《個人信息保護法》正式施行，轉眼間即將實施一週年。南財合規科技研究院長期關注個人信息保護議題，持續跟蹤報道立法進程、監管動態，反映公衆呼聲。藉此機會，將推出“南財個人信息保護月”系列活動，探討《個人信息保護法》實施以來的落實情況以及對企業帶來的影響。將圍繞“守門人”條款的落實、用戶個人信息權益的實現、數字廣告行業的變革、數字經濟發展與合規的平衡等多個維度推出20餘篇系列稿件，刊出個人信息保護特刊，並且舉辦線下高峯論壇。

法律的生命力在於實施，在完成立法後，《個人信息保護法》需司法和執法接力，也需要企業恪守法律要求。我們希望能借助媒體的力量，持續追蹤問效，推動個人信息權益的保障，提升全社會個人信息保護的水位線。

據第 50 次《中國互聯網絡發展狀況統計報告》，截至 2022年6月，我國網民規模爲10.51 億，網民使用手機上網的比例達 99.6%。這也意味着，移動互聯網如水銀瀉地般滲透進人們的生活。打開手機，刷朋友圈、點外賣、看視頻、訂車票……這幾乎成爲了所有人的日常。

與此同時，網絡平臺強制授權、過度索權、超範圍收集個人信息的問題凸顯，個人信息保護成爲社會關注焦點。面對移動互聯網生態中的海量經營者，依靠監管進行逐一整改顯然很難實現高效治理，而頭部互聯網平臺連接着買賣雙方，且一定程度地掌握着對於市場進入的控制權，扮演着“把關”“守門”的角色，處於個人信息處理的關鍵環節。

在去年頒佈的《個人信息保護法》中，我國借鑑國際經驗，創新性地在第58條中對“守門人”平臺施加了特別義務，成爲該法的亮點。其中，要求相關平臺“遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規範和保護個人信息的義務；對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務”，明確了其對平臺內經營者的管理職能。

“守門人”條款主張“能力越大，責任越大”，但相關平臺的複合定位與雙重義務也引發了一些爭議：如何消化這份沉甸甸的責任？如何防止責任異化、引發權利濫用？“守門人”平臺既是運動員，也是裁判員，如何做好平衡？

“守門人”的複合定位與雙重義務

我國的“守門人”制度借鑑了歐盟《數字市場法》《數字服務法》，但在立法目的、界定標準以及義務設置方面都存在差異。南開大學法學院副院長、競爭法研究中心主任陳兵教授表示，《個人信息保護法》中“守門人”所應承擔的義務主要聚焦於個人信息保護問題上，包括健全合規制度、制定平臺規則、處理違法商家、接受社會監督等方面，而“數字守門人”所承擔的義務範圍更加廣泛，包括公平合理使用數據、不得自我優待與捆綁交易、保證互操作性等，主要是爲了維護數字市場競爭秩序，降低進入壁壘。

“守門人”平臺坐擁龐大的用戶規模，業務鏈條縱橫交錯，進行生態化佈局，形成了相當的影響力，即使僅修改某條平臺規則，也有可能掀起“蝴蝶效應”。

針對“守門人”平臺的這一特點，《個人信息保護法》也做出了相關規定。“《個人信息保護法》第58條爲守門人規定的4項義務，可以劃分爲直接義務與第三方義務兩大類。也就是說，守門人不但要自己遵守個人信息保護規定，還要利用其獨特地位，明確平臺內商戶處理 個人信息的規範和保護個人信息的義務。”中國社會科學院法學研究所副所長、中國法學會網絡與信息法學研究會負責人周漢華在其發表的論文中寫道。

記者梳理發現，《電子商務法》《網絡安全法》《消費者權益保護法》等也曾對平臺的第三方義務作出規定。在實踐中也常能看到互聯網企業承擔主體責任，發揮平臺治理功能的例子。

去年12月，抖音電商發佈《平臺治理這一年》數據報告。報告顯示，抖音電商2021年度累計處罰了超97萬個違規創作者，1.1萬人被永久關閉電商權限。攔截了超9100萬次違規商品發佈，同時對違規商家的處罰超過40萬次，清退了超4萬個嚴重違規商家。

具體到個人信息保護層面。中國消費者協會曾指出，餐廳僅提供“掃碼點餐”涉嫌過度收集消費者個人信息，侵害了消費者的公平交易權。上海市消保委也多次呼籲“餐廳應該不收集或者儘可能少收集消費者的信息”。 

爲此，騰訊在去年年底提醒開發者自查是否存在“掃碼點餐強制關注公衆號”問題，並督促開發者及時進行整改，表示將對此類問題進行覈查，違規的公衆號將被限制二維碼打開公衆號能力。

再比如，用戶通過美團使用外賣、酒店住宿、打車等多種生活服務時，美團平臺會爲用戶生成專屬的虛擬隱私號碼。在訂單過程中，用戶和商家、騎手之間的聯繫都可以通過虛擬隱私號碼來完成，當服務結束，這一號碼會立即失效。虛擬隱私號碼在短時間內和用戶的手機號綁定，商家和騎手聯繫用戶時使用該號碼，避免發生用戶真實手機號被泄露的風險。

既是義務也是授權：需要釐清邊界

值得注意的是，“守門人”平臺兼具經營者與管理者角色，這樣的複合定位使其面臨着“既當運動員又當裁判員”的爭議，北京大學法學院副院長、北京大學電子商務法學研究中心主任薛軍教授指出，接下來需要進一步釐清邊界，避免“守門人”平臺利用其特殊地位侵犯平臺內經營者的合法權益。

周漢華在論文中表示，第三方義務既是法定義務，也是法律授權。歐美將數字守門人義務限定爲直接義務，核心是限制守門人的數據權力，同時爲平臺內商戶、其他平臺與終端用戶賦權，以促進數據流動與共享。

他認爲，《個人信息保護法》第58條將“明確處理個人信息的規範和保護個人信息的義務”“停止提供服務”等邊界、程序與條件都不是非常清晰的第三方義務配置給守門人，等於籠統給守門人授權，使其在享有對平臺內商戶數據優勢的基礎上，額外獲得行爲規範制定權與某種意義上的行政管理權。

第三方義務既是義務也是授權，這是否與守門人制度限制超級平臺權力的初衷相違背？如何避免權力被濫用？同時，如何防止過多的義務設置而束縛平臺？ 

廣東財經大學法學院教授姚志偉表示，從全球範圍來看，我國以個人信息保護法確立守門人制度具有很強的創新性，對大型互聯網平臺設定了特別的個人信息保護義務。他指出，一方面需要對超級平臺可能存在的不正當競爭、壟斷等行爲進行規制，另一方面也需要其對平臺內經營者起到一定的管理作用。“這是一體兩面，不能因爲可能會出現不正當競爭等問題而不賦予平臺這樣的職能。”

陳兵表示，治理平臺經濟不僅需要充分發揮監管部門的主導作用，更應發揮平臺自治的自我矯正，從而形成“有爲政府”與“有效市場”的更好結合，搭建多主體共同參與、多工具共同發揮的多元治理體系。

“守門人制度的目的除了限制平臺權利外，還包含完善與優化平臺經濟治理路徑，促進平臺經濟規範健康持續發展。”陳兵補充道，相較於監管部門，平臺更加了解內部經營者的商業模式，在監管技術與路徑上具有一定優勢。賦予平臺一定程度的自治權，由其制定規則、懲罰違法的平臺內經營者，有助於形成更好的平臺生態環境，也有助於降低監管部門執法成本。

同時，爲了避免“守門人”義務被濫用，應當在理論上進一步澄清平臺作爲經營者與管理者的不同情形，發揮“有爲政府”的主導作用，避免平臺濫用其在數據、算法、技術、平臺規則等方面的優勢，擴張其管理權力。另外，爲了防止過多義務束縛平臺，應當進一步強化競爭政策基礎地位落實，推動公平競爭審查制度的實施，避免對平臺經濟市場的不當干預。

細化中國版“守門人”標準

《個人信息保護法》實施近一年，目前來看，國內大型互聯網平臺仍難進入“守門人”角色。未來如何更好地推動“守門人”制度落地？

“守門人條款體現了抓大放小的立法思路，但目前的相關規定偏原則性，接下來還需要監管部門出臺細化的規則，明確義務主體及履行義務的程度等等，才能更好地落地。”姚志偉以金融領域舉例，人民銀行、銀保監會聯合發佈的《系統重要性銀行評估辦法》包括多項指標，得分達到一定分值的銀行被納入系統重要性銀行名單，將會面臨更嚴格的特別監管要求。

薛軍也表示，針對大型互聯網平臺的特定義務，一是要把主體範圍確定下來，二是明確其具體需要履行的責任和義務，“能力越大責任越大，但責任不是無限的，要適度及合理。”

陳兵告訴記者，《互聯網平臺分類分級指南（徵求意見稿）》與《互聯網平臺落實主體責任指南（徵求意見稿）》擬細化中國版“守門人”的相關規定，尤其是對於“守門人”的判斷標準，前者依據用戶規模、業務種類、經濟體量、限制能力將平臺分爲超級平臺、大型平臺、中小平臺。後者則進一步明確了超大型平臺在公平競爭示範、平等治理、開放生態等方面應承擔的義務。

“儘管二者均未正式實施，但其劃定的界定標準與義務類型與個人信息保護法中的‘守門人’制度聯繫密切，對規範互聯網平臺經營活動、維護個人信息權益、促進平臺經濟規範健康持續發展有着重要意義。”陳兵表示，下一步可考慮儘快出臺兩個指南，明確我國對平臺經濟市場主體分類分級監管的總體思路，細化我國“守門人”的認定標準，釐清“守門人”的雙重身份，梳理其在維護個人信息權益中的具體義務，幫助“守門人”制度落到實處。