數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除
對應條款
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
解讀
首先明確一個概念,《條例》第四十三條不是針對所有的數據處理者,而是特指“互聯網平臺運營者”。《條例》的“附錄”對此給出了定義:指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。
這一定義反映了互聯網平臺運營者的兩個特點:(1)他們首先是互聯網平臺,因此在組織規模、數據量、服務能力、交互關系等方面與一般的個人信息處理者不同;(2)他們提供特定的服務,如信息發布、社交、交易、支付、視聽等,這些服務無一例外都是熱門互聯網服務,用戶量大、與公眾日常生產生活直接相關。
這也能說明《條例》為什么要設立第六章“互聯網平臺運營者義務”。互聯網平臺運營者本身是數據處理者,當然要遵循此前其他章節的規定。但其在提供平臺服務的過程中,有很多與數據利用有關的行為(如“大數據殺熟”),還涉及到平臺上的多種角色(如第三方程序),故其中與安全有關的很多事項需要作出專門規定。這是第六章的立法目的。
在第六章中,為什么要設立第四十三條,對平臺運營者的平臺規則、隱私政策、算法提出要求呢?這是因為,平臺直接面向社會提供服務,其運行直接關系公共利益,不能任由企業“為所欲為”。我們都知道,政府部門在履行社會管理職能時,其政策法規文件的制定過程越來越公開透明,往往會多輪次征求社會意見,西方為此發明了“多利益攸關方”這個詞匯。互聯網平臺顯然是一種“多利益攸關方”場景,企業何以就自己說了算呢?為什么不顧及“多利益攸關方”的感受呢?
正是從上述考慮出發,《條例》第四十三條規定,平臺運營者的平臺規則、隱私政策、算法應當及時披露,制定時或者有重大修訂時需征求社會意見。不僅如此,特殊情況下還要經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。該條的規定說明,平臺型互聯網企業再也不能認為平臺運營是企業自己的事情了,企業要擔負起更多的社會責任。
有的人提出,互聯網平臺那么多,事無巨細都要征求社會意見甚至有關部門同意嗎?這當然不是的。第四十六條規范的是“數據相關的平臺規則、隱私政策和算法策略”。即,“平臺規則”只限于“與數據相關”;“隱私政策”自然也是直接關系個人信息保護;而“算法策略”指的是處理數據、利用數據的“算法策略”,主要與用戶個人信息權和用戶在經濟社會中的合法權益有關,不是指所有的算法。例如,企業發明了一種提高圖像精度或視頻信號處理速度的算法,這當然是企業的知識產權,一般情況下不需要披露。
對應條款
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
解讀
在首次制定與數據相關的平臺規則、隱私政策和算法策略時,或者以前未曾公開,那么互聯網平臺運營者應當按要求公開征求社會意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。雖然互聯網平臺業務發展迅速,但如能事先規劃,這個“三十個工作日”一般是不會影響業務的。但一旦處于運行狀態,平臺規則、隱私政策和算法策略往往會有較快的更新,或者一些更新需要立刻發揮作用,這時候再要求征求意見且時長不短于三十個工作日,可能就不是很現實了。
考慮到以上客觀情況,《條例》專門規定,并非逢修訂必征求意見,而是發生“對用戶權益有重大影響的修訂”時才需征求社會意見。至于何為“對用戶權益有重大影響”,這需要由互聯網平臺運營者自行判斷。但如互聯網平臺運營者認為有關修訂并不構成對用戶權益有重大影響,其應當具備充分理由,并能向監管部門說明。
對應條款
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
解讀
《條例》第四十三條提到,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見。這種描述方式引出了一個問題:這里的“官方網站”和“個人信息保護相關行業協會互聯網平臺”是并列關系還是選擇關系?
很明確,他們是并列關系。
隨時而來的另一個問題是,“個人信息保護相關行業協會”是誰?為什么要到其平臺上征求社會意見?
答案在《條例》的第五十九條第二款:
國家支持成立個人信息保護行業組織,開展以下活動:
(一)接受個人信息保護投訴舉報并進行調查、調解;
(二)向個人提供信息和咨詢服務,支持個人依法對損害個人信息權益的行為提起訴訟;
(三)曝光損害個人信息權益的行為,對個人信息保護開展社會監督;
(四)向有關部門反映個人信息保護情況、提供咨詢、建議;
(五)違法處理個人信息、侵害眾多個人的權益的行為,依法向人民法院提起訴訟。
下一步,待《條例》通過后,國家將落實上述要求,推動成立個人信息保護行業組織,這就是《條例》第四十三條所指的“個人信息保護相關行業協會”。該協會是面向社會公眾的社團組織,集中在其上開設對互聯網平臺規則、隱私政策和算法策略的征求意見專欄,有利于聚焦社會注意力,有利于提高征求意見的社會參與度和效率。
對應條款
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
解讀
《條例》第四十三條規定,日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。這被有的人認為政府“越俎代庖”,甚至認為這是在給互聯網發展戴上“緊箍咒”。
以上認識有所偏頗。該條強調“日活用戶超過一億”,這在互聯網平臺中只是極小的一部分,對絕大數互聯網平臺沒有影響。但當平臺用戶規模確實達到這種程度時,其早就成為了社會運轉的“基礎設施”,動輒感冒發燒恐怕都會引起極大影響。甚至在某些時候,這類平臺擁有了“超政府權力”,為國家安全和社會治理帶來巨大挑戰。例如,以前人們常常聽說有人到政府部門“上訪”,但近年來到互聯網頭部企業上訪的中小企業主和個人屢見不鮮,甚至催生了一條灰色產業鏈。更為極端的是,當有平臺修改支付結算規則時,竟然引發了平臺上商戶的集體抗議,險些造成群體性事件。
《條例》并不能解決平臺經濟發展過程中遇到的所有問題。但與數據有關的問題屬于《條例》規范對象。鑒于前述情況,日活用戶一億以上大型互聯網平臺的平臺規則、隱私政策不僅要公開征求社會意見,還應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。這樣做的目的,是加強對重大社會風險的防控,制約互聯網平臺的“超政府權力”。
對應條款
第四十三條 互聯網平臺運營者應當建立與數據相關的平臺規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平臺規則、隱私政策、算法公平公正。
平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂,互聯網平臺運營者應當在其官方網站、個人信息保護相關行業協會互聯網平臺面向社會公開征求意見,征求意見時長不得少于三十個工作日,確保用戶能夠便捷充分表達意見。互聯網平臺運營者應當充分采納公眾意見,修改完善平臺規則、隱私政策,并以易于用戶訪問的方式公布意見采納情況,說明未采納的理由,接受社會監督。
日活用戶超過一億的大型互聯網平臺運營者平臺規則、隱私政策制定或者對用戶權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,并報省級及以上網信部門和電信主管部門同意。
解讀
《個人信息保護法》第五十八條規定,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
該條第(一)項提出了“由外部成員組成的獨立機構”要求,引起了社會極大關注,被普遍認為是借鑒了西方的“守門人義務”。人們自然會關心:“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”如何認定,這幾個定語之間是并列關系還是選擇關系?
《個人信息保護法》對以上問題并未給出答案,很多人寄希望于《條例》能對此予以說明。
但《條例》沒有使用《個人信息保護法》的三個定語(重要互聯網平臺服務、用戶數量巨大、業務類型復雜),而是直接在第四十三條第三款引出了“日活用戶超過一億的‘大型互聯網平臺運營者’”。至于什么是大型互聯網平臺運營者,《條例》的“附則”部分作了定義:指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。
于是新的問題產生了:《條例》中的“用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者”與《個人信息保護法》中的“提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者”什么關系?
準確說,不排除兩者之間會有重復的對象,但這兩個定義不是等同或從屬的,其間并無必然聯系。因此,在落實《個人信息保護法》第五十八條要求時,不需要依照《條例》第四十三條。
但有兩點需要說明:
一是,《個人信息保護法》第五十八條中的“用戶量巨大”可以參照《條例》中“用戶超過五千萬”的描述。
二是,《條例》中的“用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者”也出現了三個定語。這三個定語是選擇關系。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
