原创 闫海 上海市法学会 东方法学 收录于合集 #上海法学研究 1000个
个人信息保护法第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的重要互联网平台企业需建立健全个人信息保护合规制度体系,承担个人信息保护的特别法律义务。这种义务是重要互联网平台企业个人信息保护企业合规制度的重要组成部分,也是开展个人信息保护治理的关键之处。但是其规定不够清晰,仍需要进一步细化,以满足新形势下个人信息保护实践的现实需求。在监督体制方面,以组织定位、人员组成、职责范围为重点建立健全独立监督机构工作体制。在平台规则的制定方面,以公开、公平、公正原则为基础,建立征求意见制度,注重对个人信息权利的保障。在对严重违法违规行为的处理模式上,形成以主动审查处理模式与被动审查处理模式有机结合的处理体系。在信息公开方面,以定期时间、内容范围、审批制度为重点,完善个人信息保护社会责任报告信息公开制度。
随着数字时代的到来,个人信息的载体、收集、使用、公开等保存和使用方式均在不同程度上发生了变化。截至2021年12月,我国网民规模为10.32亿,其中手机网民规模达10.29%,总占比为99.7%。由于网络实名制的贯彻落实,网民的性别、地址、联系方式等个人信息也随之大量地接入互联网之中。换言之,在数字时代,公众已不可避免地处于“数字化”的场景中,面临互联网平台通过对个人信息的收集、分析、处理等方式直接或间接地给公众的人格尊严、隐私、财产等权益带来的各种潜在风险。也即,如何在数字时代进行个人信息保护便成为我国亟须解决的时代难题,也是国际各国治理的热点难点问题。这意味着个人信息保护的模式也需随之演变,以适应数字时代个人信息保护的需求。
公众对网络空间中个人信息保护情况存在担忧。鉴于互联网平台服务涉及网络销售、生活服务、社会娱乐、信息资讯、金融服务、计算机应用等诸多领域。同时,互联网平台企业基于数据、运营、技术等优势条件和资源,具备履行对个人信息进行保护义务的现实可能性。加之互联网应用程序众多、平台经济商业模式等因素的存在,仅仅凭借有限的行政资源进行规制,难以取得良好的治理效果。基于及时阻止违法违规行为以及成本效益的考量,由引进第三方义务主体,由其建立健全个人信息保护合规制度,以帮助政府发现并阻止违法行为的治理模式具有可行性。
具体到个人信息保护领域,人信息保护法第58条规定,业务影响力巨大、用户数量巨大、业务类型复杂等个人信息处理者为第三方义务主体,应建立健全个人信息保护合规制度体系,承担部分个人信息保护的特别法律义务。但并非所有的个人信息处理者都负有此种义务。根据该条法律规定,仅有提供重要互联网平台服务、用户数量、业务种类为标准判定的个人信息处理者是该项义务的适格主体和实际履行者,也即重要互联网平台企业。在现有的规范体系中,《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》)以用户规模、业务种类、经济体量、限制能力为要素,划定相应的评价标准,将互联网平台分为超级平台、大型平台、中小平台三种。在评判标准上,二者均有“用户规模”和“业务种类”的要求,而从文义解释的角度来看,“提供重要互联网服务”作为评价互联网服务重要性的指标可与“经济体量”“限制能力”相对应。具体情况如表1所示。质言之,本文所指的重要互联网平台企业是《分类分级指南》所划分的超级平台经营企业和大型平台经营企业。
有鉴于此,重要互联网平台企业应以个人信息保护法第58条为中心,建立健全个人信息保护合规制度体系,主要从建立健全独立监督机构工作体制、规范平台内个人信息保护规则的制定、建立违法违规行为的处理体系、完善个人信息保护社会责任报告信息公开制度等方面展开。但此法律条文缺乏详细的标准,不能有效明确重要互联网平台企业个人信息保护的具体法律义务并督促其履行。本文旨在以上述个人信息保护合规制度体系的四个主要方面为重要研究对象,结合互联网平台治理的有益经验,采用文义解释、体系解释、目的解释等法律解释的方法,对个人信息保护法第58条予以解读,并完善相应的制度以及工作机制,使之能够有效实施,为今后的个人信息保护的理论研究和立法、执法等相关实践提供有益的参考和建议。
个人信息保护法第58条第1款第1项规定,重要互联网平台企业应成立独立机构对其个人信息保护情况进行监督。而独立监督机构工作机制的运行效果主要由组织定位、人员组成和职责范围三个方面决定。
运用法律解释的方法对第58条第1款第1项进行解读,成立独立监督机构是重要互联网平台企业的义务,并由其独立行使对企业个人保护情况进行监督职权的主体。因此,其可能是行政部门、第三方社会团体、企业内设机构三种组织形态。笔者认为独立监督机构应是企业的内设机构,理由如下:
首先,从文义解释的角度出发,有两点原因。第一,独立监督机构的设立是重要互联网平台企业的法定义务。也即,重要互联网平台企业负责成立独立监督机构,对其职责提出具体的规定,并由其独立负责监督本企业的个人信息保护工作。这意味着独立监督机构的工作机制受到重要互联网平台企业这个“母体”直接或间接的影响,并不能够脱离其存在并发挥作用。因此,独立监督机构的功能定位类似于监事会在公司当中的地位。其虽能独立行使监督职能,但仍是公司的内设机构。第二,第58条第1款第1项规定独立监督机构“主要由外部成员组成”。换言之,在独立监督机构的人员组成方面,多数是外部成员,少数是内部成员。尽管内部成员仅占独立监督机构人员组成的小部分,但也就意味着从性质上来讲,独立监督机构既不可能是国家机关,也不可能是完全独立于企业的第三方社会主体。在这个基础上,独立监督机构只能是作为企业内部组织体系的一部分而存在。
其次,从体系解释的角度出发,第58条规定于个人信息保护法第5章“个人信息处理者的义务”中,该部分专注于规定个人信息处理者的义务,并未涉及对其个人信息保护情况进行国家监管、社会第三方监督的内容。尽管第58条第1款第4项提到了“定期发布个人信息保护社会责任报告,接受社会监督”,但该规定规范对象是个人信息保护社会责任报告,并非独立监督机构。此外,从个人信息保护法的整个体系来看,国家监管职责的内容主要集中规定在第6章“履行个人信息保护职责的部门”。因此,第58条第1款第1项所规定的“成立主要由外部成员组成的独立机构”不涉及国家监管、社会第三方监督的职责和义务,而是重要互联网平台企业的义务。在现有的组织体系下,独立监督机构就只能是重要互联网平台企业的内设机构,独立监督其个人信息保护的情况。
最后,从目的解释的角度出发,个人信息保护法为重要互联网平台企业设定建立独立监督机构的目的是对其个人信息保护的情况予以监督。在数字时代,互联网、大数据、人工智能等新型科学技术的大量运用对传统的行政管理模式及其理论形成了挑战。就个人信息保护而言,由于政府规制存在获取违法信息的有效性和滞后性、“知识供给不足”的专业性缺陷,导致仅仅依靠有限的资源实施政府规制,无法有效保障个人信息安全,需要引入第三方主体,以减轻政府公共服务的负担。可见,独立监督机构的存在是为了缓解行政资源的不足,督促企业依法履行法律、法规等规范性文件对个人信息保护的规定与义务,以保障企业合规经营。因而,考虑到及时处理违法违规行为的有效性达至实质性监督的目的,独立监督机构只能是重要互联网平台企业的内设机构,独立于其他部门,对企业的个人信息保护情况进行监督。
综上,从法律解释的不同角度出发,独立监督机构应为重要互联网平台企业的内设机构。因企业以利益为导向开展日常的经营管理活动,独立监督机构应独立于企业的日常经营管理部门,以避免出现盲目追求企业利益最大化而出现忽视个人信息保护的情况。同时,考虑到现有公司的组织架构,为便于独立监督机构工作的开展,独立监督机构应当接受企业董事会的领导。也即,独立监督机构作为企业的内设机构,独立于日常经营管理部门,并对企业个人信息保护工作的情况进行监督,以确保企业合规经营,免受处罚。
第58条第1款第1项规定,独立监督机构的人员“主要由外部成员组成”,说明独立监督机构除了大部分外部成员之外,还有少部分企业内部成员参与其中。据此,就独立监督机构的人员组成来看,需要从以下内外成员的数量比例、外部成员的资质要求、内部成员的选派三个重要方面进行细化。
第一,在内外成员的数量比例上,法律要求独立监督机构主要由外部成员组成。也即,外部成员应在独立监督机构的管理活动中占据主导地位。考虑到议事决策的现实要求,应当根据独立监督机构议事决策要求的投票权标准,选定符合相应数量标准的外部成员。具体到公司治理领域,多数议事决策要求过半数或三分之二以上通过。据此,为嵌入公司治理领域,在独立监督机构中,外部成员的数量应不少于全体成员总数的三分之二,方能确保外部成员占据主导地位。但独立监督机构应当为内部成员保留一定席位,不能全部由外部成员组成。
第二,在外部成员的资质要求上,应当具备以下四个方面的要求。一是与企业不存在劳动关系。这是区分外部成员与内部成员的关键之处,也是外部成员的首要条件。二是与企业不存在重大利害关系。此处的“重大利害关系”可以参照公司法等有关的法律法规或司法解释的规定,具体包括股权关系、债权债务关系、与控股股东或董事、监事等高级管理者的近亲属关系等。此外,当外部成员在二个及其以上重要互联网平台企业的独立监督机构任职时,其任职的企业之间应当不具有商业竞争的情况。并且,多处兼职的情况,外部成员应当及时向其所有的任职企业报告。三是具备专业性的要求。为满足个人信息保护监管职责以确保企业合规经营的要求,外部成员应具备法律、合规审计、信息技术等方面专业性知识的要求。四是不具有法律、法律规定的其他不适宜担任独立监督机构的情形。鉴于个人信息保护涉及国家安全的重要性,对成员的资质应从严要求。因个人信息保护失职承担主要责任、触犯刑法有关个人信息保护的罪名等相关个人信息保护领域严重违法犯罪的人员不具有担任外部成员的资格。
第三,在内部成员的选派上,重要互联网平台企业的个人信息保护负责人应当成为被选派的内部成员加入独立监督机构。个人信息保护法第52条规定,处理个人信息数量达至一定标准的个人信息处理者应当制定个人信息保护负责人,由其对个人信息处理及相关情况进行监督。显然,重要互联网平台企业符合标准,需要指定个人信息保护负责人。并且,为便于独立监督机构工作的开展,个人信息保护负责人应当加入其中,提供支持并协调处理相关工作。至于其他内部成员的选派,董事会可根据具体的情况适当选派。
独立监督机构对重要互联网平台企业的个人信息保护情况进行监督,其职责范围应当至少涵盖以下三个方面,以保障独立监督机构工作机制的有效运行。第一,对企业现有的个人信息保护规范以及相关制度进行分析,并据此研究提出相关完善的建议或意见。一方面,独立监督机构需要对企业现有的个人信息保护规范以及相关制度进行合法性、合规性、科学性、可行性等方面进行分析,并提出有关完善的建议和意见。另一方面,独立监督机构应当密切关注国家机关出台新的个人信息保护规范,及时通知企业管理部门注意并督促其采取相应的措施,以满足合规经营的要求。第二,对企业落实法律、法规等有关个人信息保护规范的情况进行监督并提供反馈意见。个人信息保护措施的有效落实是确保企业个人信息保护合规经营的前提。因此,作为落实个人信息保护合规制度体系的关键主体,独立监督机构应当了解企业个人信息保护措施落实的情况,并对其中未达标或未作的事项进行监督,督促其及时完成。第三,对企业有关违法违规的情况,及时督促其改正并通知企业管理层。作为最有可能发现个人信息违法违规收集处理行为的主体,独立监督机构应当及时将发现的情况通知重要互联网平台企业,以便其迅速采取措施,妥善处理。
个人信息保护法第58条第1款第2项规定了,重要互联网平台企业有义务以公开、公平、公正的原则(以下简称“三公原则”)为基础,制定平台规则,明确平台内产品或服务提供者处理个人信息标准以及保护个人信息的义务。从法律解释的角度出发,条文要求重要互联网平台企业制定具体的平台规制,以规范平台内个人信息收集处理的活动。此外,个人信息保护法防范的是一种因个人信息被滥用而可能产生的抽象危险,这一危险可能转化为现实,使得生命、隐私、财产等收到损失,而遵守个人信息保护规则有助于避免这种风险。基于此,重要互联网平台企业应围绕征求意见制度、个人信息权利的保障这两个方面进一步细致相关规定,满足“三公原则”的要求,提高平台规则的质量,并从源头预防、源头治理的角度出发保护公众的个人信息。
平台规则不仅涉及互联网平台企业本身的权利和义务,还影响到平台内运营者、用户等主体的权益。尽管重要互联网平台企业负有制定平台规则的义务,但也并不意味着其可以任意制定平台规则,仍需要遵循“三公原则”。基于此,从规范意义上,重要互联网平台企业在制定有关个人信息保护的平台规则的过程中,应当建立征求意见制度,通过广泛公开征求意见,制定多方主体普遍认可的平台规则。同时,借助平台规则的制定,重要互联网平台企业可以有效对算法活动进行规范,形成个性化算法治理的主体规范模式。
首先,明确征求意见的对象范围。毫无疑问,作为平台规制制定的主体,重要互联网平台自然是征求意见的主体。“在信息主体的权利与数据权利主体产生冲突时,应当优先保护个人信息权益。”以是否为企业相关人员为标准,可将征求意见的对象分为内部相关成员和外部相关成员。内部相关成员主要包括企业内部参与个人信息保护工作的管理者、法务成员、技术专家等。此外,独立监督机构的成员作为内部相关成员,对个人信息保护的情况最为了解,也是征求意见的重点对象。外部相关成员涵盖平台内的运营者和用户以及具有潜在利害关系的其他主体。平台内的运营者和用户作为平台经济的主要活动者,其行为直接受到平台规则的影响,对平台规则的内容最为关切。并且,二者是个人信息收集、使用、处理等行为的主要主体和重要影响对象。重要互联网平台企业在制定与个人信息保护有关的平台规则时,应当重点关注二者的建议或意见,切实地将个人信息保护工作落到实处,营造安全有序的平台环境。此外,除了已在平台中活动的直接主体,具有潜在利害关系的其他主体也应当成为平台规制制定的征求意见对象。这部分主体主要包括考虑加入平台的运营者以及考虑成为平台用户的个人。作为潜在的运营者和用户,他们会对比不同平台规则的内容,从而做出决断。因此,其对于平台规则的内容更为挑剔,也更容易发现个人信息保护领域的突出问题。对于他们提出的建议或意见,重要互联网平台企业作为平台规定的制定者也应提高重视。
其次,提前公示征求意见的内容。征求意见的实施效果除了受到重要互联网平台企业对所征求意见研究分析的影响外,还在很大程度上受制于征求意见的质量。为了提高征求意见的质量,给予充分的征求意见时间是关键。因此,有必要提前公示征求意见的内容。按照有无平台规则草案为标准,可将提前公布征求意见的时间有所不同。在尚无平台规则草案的情况下,应当给予充分的时间,征求尽可能多的建议或意见,以为平台规则草案的制定奠定坚实的基础。因此,这个阶段需要较长的征求意见时间。从现实情况考虑,三个月的时间较为适应。在已有平台规则草案的情况下,此时的平台规则经过之前征求意见环节的打磨,已较为成熟。因此,在此阶段,征求意见的时间可以适当简短,提高效率。对于这个问题,重要互联网平台企业可以根据具体的情况灵活调整。此阶段结束后,企业可对既有的平台规则草案进行修改,并按照科学性、可行性等标准进行判断,决定是否通过。
最后,确立全过程公开制度。公开是公平、公正的前提和基础。数字时代为公开的便捷性、可行性提供了技术保障。重要互联网平台企业也同时具备公开的技术资源。基于网络公开的便捷性以及平台规则实施的有效性,在整个平台规则制定的过程中,企业能够也应当做到全过程公开。第一,在平台规则草案的酝酿阶段,企业应当公开需要制定的规则领域。第二,在平台规则草案的征集意见阶段,企业应当公开草案的具体内容以及相关的说明报告。第三,在通过平台规则之后,企业应当及时公布已制定平台规则的内容。如有平台规则的解释说明,企业也应当公开。并且,在这个三个阶段的过程中,企业应当及时对征求的建议和意见给予反馈,并适当考虑在每个阶段结束后,公布征求意见以及采纳的情况,以回应社会关切。
个人信息保护法第1条和第44条,规定了要保护个人信息权益,并保障个人对其个人信息享有自主决定的权力。可见,对个人信息保护的目的旨在保护个人对其自身信息的自决权,该权利是个人信息保护的理论基础,其他的个人信息保护的权利都由其派生出来的。除此之外,个人信息保护也具有规制个人信息处理风险,防范与救济个人信息处理与利用可能产生的侵害后果。因此,保护个人信息权益的关键之处在于保障个人能够有效行使其对个人信息自主决定的个人信息自决权。从这个角度来看,告知同意原则的有效落实是保障个人信息自决权的核心要素。因为只有充分了解同意的内容,个人才能做出有效的同意,对个人信息进行处理。目前,个人信息保护法已明确规定了告知同意原则。但该规定过于宽泛远远不能适应互联网平台经济发展模式的创新,并且过于强调告知同意原则的作用,也会使得个人信息的保护过于僵化。对此,有学者提出,告知同意原则应当受到正当目的原则和必要原则的限制。笔者认为,将正当目的原则与比例原则共同作为告知同意原则的限制更为妥当。正当目的原则对于个人信息保护的重要性,不言而喻。此处不再赘述。就比例原则而言,学界一般认为比例原则包含适当性、必要性和均衡性这三项子原则。相较于必要原则,比例原则发挥的作用更为全面。理由如下:
首先,适当性原则要求收集信息的主体或相关产品服务所采取的措施必须有助于个人信息保护。适当性原则是指所采取的措施必须能够实现目的或有助于目的的实现。该部分限定了收集个人信息的手段,确保收集个人信息措施的有效性。并且,结合目的正当原则的要求,收集个人信息的手段范围进一步限缩。同时,尊龙凯时官方入口此种模式还可以起到进一步治理短信骚扰、“盗号”等平台乱象的效果。
其次,必要性原则要求在诸多可以达成目的的措施中,应选择对个人权益影响最小的措施收集其相关的个人信息。必要性原则又称最小损害原则要求实现目的的措施具有必要性,并对当事人造成的损害最小。具体到个人信息的收集方面,必要性原则的作用主要体现在两个方面。一是在收集个人信息的措施上,应当选择对个人影响最小的措施。二是在收集个人信息的内容上,应以获取的信息量满足目的的需要为基础,收集相关信息,不得恣意扩大信息收集的数量和范围。基于这两方面的考虑,有助于使得收集个人信息时对当事人的影响降至最低水平。
最后,均衡性原则要求在上述的基础上,将收集个人信息采取的措施所取得的收益与其造成个人权益的损失进行对比,判断是否成比例。均衡性原则又称狭义比例原则要求采取措施所获取的利益与其造成的损害成比例。换言之,即使实现目的正当的措施造成的损害最小,但其所获得的利益与其不匹配,对个人信息权益造成不成比例的损害,也不符合均衡性原则的要求。
综上,以正当目的原则和比例原则有机结合,作为告知同意原则的限制更为妥当,既有助于实现个人信息保护的目的,又符合互联网平台经济健康有序发展对个人信息收集的合理需求。此外,在数字时代,财产与个人信息有着紧密的联系,呈现出二者相互交融的状态。保护个人信息也是在一定程度上意味着保护自身的财产权益。
个人信息保护法第58条第1款第3项规定,“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”说明重要互联网平台企业负有及时处理严重违法违规处理个人信息行为的义务。从平台审查此类内容的发展历程上看,平台对非法内容的审查经历了被动审查到主动审查的转变,这种审查义务具有注意义务的意味,并趋向于勤勉尽责的义务标准。鉴于互联网平台中个人信息收集处理具有大量性、复杂性的特点,重要互联网平台企业应建立主动审查处理模式与被动审查处理模式有机统一的处理体系。并且,作为企业个人信息保护的专责部门,平台企业的个人信息保护日常管理部门应作为审查的主体,承担主动审查和被动审查的职责,以起到预防严重违法违规处理个人信息行为的出现,并为个人权益受到侵害后及时进行救济的作用。
尽管个人信息保护法并没有明确规定重要互联网平台企业对严重违法违规行为的主动审查义务,但是从文义解释的角度出发,对第58条第1款第3项规定以及《互联网信息服务管理办法(修订草案征求意见稿)》第21条规定进行解读,互联网服务提供者负有主动采取措施,防范、发现并制止严重违法违规处理个人信息行为的义务。这些规定奠定了重要互联网平台企业主动审查处理模式的规范基础。鉴于主动审查处理模式在预防、识别、制止等个人信息保护方面发挥着越来越重要的作用,其应当在完善落实“守门人”义务和普遍性审查制度两方面下功夫。
在“守门人”义务方面,重要互联网平台企业应当借助平台规则、技术资源等优势条件,在互联网应用程序运营者收集个人信息时,对其收集行为进行审查,把好个人信息保护的“第一关”。以“超级App+小程序”为例。随着互联网平台商业模式的持续发展,部分大型平台在其应用中搭载第三方小程序的模式已成为人们获取互联网服务的主要载体。在二者的关系上,目前所有小程序必须依托小程序平台搭建的入口进入,而小程序能够获取的信息范围受限于平台规则。换言之,小程序通过平台获取信息,而平台为个人信息保护工作对小程序提出要求。基于此种模式,重要互联网平台企业可以根据小程序获取个人信息的请求内容进行审查,综合考虑请求内容的合法性、合理性等因素做出判断,以在个人信息保护的源头把好“第一关”。在其他平台经济模式中,重要互联网平台企业也可依照此种模式,对个人信息收集的行为进行规范。
在普遍性审查制度方面,鉴于个人信息收集、使用行为的复杂性、多变性的特点,重要互联网平台企业应当秉持全面审查的理念,形成完备的主动审查工作制度。在审查的范围上,普遍性审查应当涵盖涉及个人信息保护的所有领域,以形成全方位、多领域、无死角的个人信息保护全面审查体系。这既是有效保障个人信息免受损害的应有之义,也是防止因部分个人信息保护领域缺失而引起系统性防线的必然要求。此外,在审查工作中应当坚持日常化巡查与重点领域审查相结合的工作体制。日常化巡查是实现个人信息保护领域审查全覆盖的必然要求。此种工作方式一方面可以查漏补缺,通过日常巡查工作,发现个人信息保护领域存在的有关问题,另一方面可以起到警示作用,促使平台内运营者依法收集使用用户的个人信息。在此基础上,为提高审查的效率,应当对可能存在风险的个人信息保护领域实施重点审查,以起到防微杜渐的作用。
在上述审查实施的过程中,还要及时对已发现的问题,督促平台内运营者整改,满足个人信息保护的要求。在遇到运营者没有整改、严重侵害个人信息权益等特殊情况时,平台企业可以视情况采取停止服务等制止措施。涉嫌网络违法犯罪时,还应当保存有关记录,并及时向公安、网信、电信等监管部门报告。借此,监管部门可以采取责令停止、发布风险提示等处理措施,以实现多元法律责任机制协同处理的目的。
与主动审查处理模式项对应,被动审查处理模式主要是对除企业内部成员以外的主体发现的个人信息保护领域的问题进行审查并做出处理的工作机制。为保障该工作机制有效运行,被动审查处理模式应当建立健全投诉审查处理机制和处理结果反馈机制两个重要方面,形成“投诉——审查处理——反馈”的工作流程。
第一,投诉审查处理机制是启动被动审查处理模式的先决条件。重要互联网平台企业的个人信息保护部门作为实施被动审查的专责部门,应提供邮箱、电话、小程序等多种联系方式,为平台内发现或受到个人信息权益侵害的运营者、用户以及其他利害关系者提供投诉的渠道。为提高审查资源的有效利用,对投诉的内容,应建立“过滤性”初步审查机制。也即,在接到投诉后,个人信息保护日常管理部门应及时对投诉的内容进行初步的审查,以决定是否启动被动审查处理程序。为便于投诉内容的初步核实,该部门应联系投诉人,了解有关事实。在可能涉及问题严重、情况紧急的事件时,个人信息保护部门可根据情况直接采取产品下架、停止服务等紧急措施,预防可能发生的危险或阻止危险进一步扩大,并在事后及时通知受到影响的相关当事人。在上述对投诉的内容进行初步审查之后,初步审查结果可分为以下两种。一是投诉内容合法合规,如有其他证据或线索提供,可进一步审查。二是投诉内容确有违法违规事实或很大可能存在非法侵害个人信息权益的风险,需要对其进行深入调查处理。无论审查结果如何,在初步审查结束后,该部门都应当将初步审查结果告知投诉人,以便于其了解审查的具体情况,并据此做好相应的准备。在经过投诉内容“过滤性”初步审查后,该部门可将合理调配审查资源,对可能存在或已经存在个人信息保护问题的投诉事项进行调查,并依法做出审查处理决定,并据此采取通知停止、责令整改、产品下架、停止服务等措施,制止严重违法违规侵害个人信息权益的行为。
第二,处理结果反馈机制是被动审查处理模式长期运行有效的关键环节。通知投诉人最后的处理结果的程序设置绝非仅仅起到形式意义上的作用。其还能够督促个人信息保护日常管理部门的作用,促使其积极处理投诉问题。并且,因为最后的处理结果需要向投诉人反馈,该部门必然会认真对待,仔细审查投诉的内容,做出相应的处理决定,以便在反馈时向投诉人说明调查的事实、审查处理的结果、处理的依据与理由等重要内容。从长远角度来考虑,处理结果反馈机制的有效运行可以引导更多的发现或受到个人信息权益侵害的运营者、用户以及其他利害关系者通过投诉,采用及时、有效、成本低的方式维护个人信息权益。对于重要互联网平台企业而言,这种处理机制不仅会可以实现及时有效保护个人信息,实现合规经营的目的,而且从成本效益的角度考虑,也大幅度减少了公关资源的使用,降低了此类事件对企业的不利影响。因此,应建立“一投诉一反馈”和处理结果满意度评价制度,以保障处理结果反馈机制的贯彻落实。对于每一项投诉,个人信息保护日常管理部门都应当给予反馈。在此基础上,为提高处理的效果和反馈的质量,该部门还应当设立非常满意、一般满意、不满意等不同程度的反馈质量评价标准,鼓励投诉人对投诉处理的效果进行评价,并据此对负责处理投诉工作的人员进行考核监督,以提高投诉处理的效率和质量。
综上,在当前主要依赖“基于权利的方法”对个人信息进行保护的情况下,主动审查模式与被动审查模式相结合的处理体系从风险防控的角度出发,对个人信息保护相关的风险进行识别、评估、处理,加强个人信息保护。
基于平台活动嵌入社会的情景下,互联网平台企业的社会责任应与其平台的社会影响力相一致。个人信息保护法第58条第1款第4项规定,“定期发布个人信息保护社会责任报告,接受社会监督”说明重要互联网平台企业负有定期发布个人信息保护社会责任报告,接受社会监督的义务。定期发布个人信息保护社会责任报告是在数字时代个人信息权益遭受非法侵害的严峻形势下,回应社会关切、提高公众对个人信息保护的重要方式之一。兼顾保障公众对个人信息保护情况的知情权与平台企业个人信息保护现状两方面的考虑,作为定期发布个人信息保护社会责任报告的主体重要互联网平台企业应在定期时间、内容范围、审批制度三个方面下功夫,以提高报告的质量,及时回应社会关切并接受其监督。
发布企业社会责任报告是平台承担社会责任,接受社会监督,实现自我管理、自我优化的重要表现形式之一。定期发布个人信息保护社会责任报告是对重要互联网平台企业所做出的时间要求。该制度要求企业在一定的时间段内,对自身的个人信息保护情况进行核查并总结归纳,形成一份完整的个人信息保护社会责任报告,并向社会公众公布、接受其监督。
基于互联网平台发展具有多变性的特点,重要互联网平台企业应建立以年度报告为主体,季度报告和特殊专项报告为选择补充的报告时间安排制度。从整个流程来看,报告至少需要经过草案的拟定、核查调查、审批通过、社会公布四个主要程序。换言之,每一份报告的形成以及公布都必然会消耗不少人力物力。考虑到年度报告制度已广泛应用于政府、法院、上市公司等国家机关和社会团体工作领域范围内。因此,重要互联网平台企业应与之相衔接,对个人信息保护社会责任报告实行年度报告制度,以实现便于行政监管和与公司管理事项相适应的双重目的。考虑到便于社会监督、提高内部审查监管效率等特殊目的,重要互联网平台企业也可根据自身情况考虑,决定是否执行季度报告制度,以加强个人信息保护工作。此外,在出现大规模个人信息泄露、电信网络诈骗犯罪等严重侵害个人信息权益的特殊情况时,重要互联网平台企业应发布个人信息保护社会责任特殊专项报告,说明已发生的事实、采取的措施、取得的效果、潜在的风险等内容,以及时回应社会关切,防止引发更大的不利影响。
在个人信息保护频繁出现问题的时代背景下,作为个人信息保护领域的专项报告,公众对其有着较高的期望标准。为回应社会需求,重要互联网平台企业应当在报告中涵盖个人信息保护的目的与理念、企业自身为履行个人信息保护义务投入的资源情况、其他相关主体履行个人信息保护义务的情况、涉及平台规则制定、修改以及实施的情况、对投诉处理以及反馈的情况等方面的内容。除此之外,为更好地发挥个人信息保护社会责任报告的作用,报告的内容还应当包括以下三个方面。第一,与上一年度的对比情况。通过对比最近两个年度的个人信息保护情况,公众可以明显直观地看出重要互联网平台企业在履行个人信息保护义务、承担社会责任方面的变化。此种方式可以促使平台企业把个人信息保护工作放在重要位置加以考虑,并且很容易通过对比分析发现个人信息保护工作中存在的不足,补足相应的短板。第二,总结个人信息保护工作存在的问题,并提出相应改善优化的建议,制定具有可行性的计划。这种方式可以直接体现企业的社会责任感。通过制定具体的计划不仅需要企业对发现的问题,进行深入的理论研究,并分析得出相应的解决办法,还明确了接下来个人信息保护工作的重点内容。第三,对上一年度优化个人信息保护工作计划的执行情况。之所以要求报告中含有此部分内容,主要有三方面原因。一是对上一年度报告中制定的计划的回应。二是起到督促个人信息保护日常管理部门按照计划的安排采取相应措施予以落实的作用。三是强化社会监督的公开性、实质性,提高监督的效果。
尽管个人信息保护社会责任报告最终是以重要互联网平台企业自身的名义向社会公布的,但是为提高个人信息保护社会责任报告的可信度和质量,还应当建立严格的内部审批制度。首先,报告需要先经过个人信息保护日常管理部门的审批通过。该部门负责企业个人信息保护工作,对工作的情况最为了解。由其作为报告审批的“第一关”,可以提高报告内容的真实性,便于接下来审批工作的进行。其次,报告应通过合规审计程序。个人信息保护法第54条规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”说明重要互联网平台企业负有定期对自身个人信息保护情况进行合规审计的义务。为实现个人信息保护法内部之间的体系统一,报告在公布之前也应通过合规审计程序,以从法律法规的角度审查报告内有关内容的合法性。再次,报告应通过独立监督机构审查通过。独立监督机构虽为企业的内设机构,却依法独立于企业的其他部门,负有对企业个人信息保护情况进行监督的法定职责。并且,其主要由法律、合规审计、信息技术等具有专门知识的外部成员组成。因而,由其审批报告,可实现对个人信息保护范围内涉及法律、合规、信息技术等领域的覆盖审查。此外,由于主要由外部成员组成并依法独立行使职权的特点,其审批通过的报告还能够起到增强报告可信度的效果。最后,由董事会协调各方,负责最后审批报告的工作,把好“最后一关”。在层层审批的过程中,很有可能出现因存在不确定事项、审查标准不同等情况产生争议的局面。董事会作为公司的常设决策机构,由其负责协调各方的意见最为妥当。基于此,董事会应是最终确定个人信息保护社会责任报告内容,并批准向社会公众公布的适格主体。
在数字时代,个人信息保护涉及自然人的民事权益保护和互联网平台企业的数据活动自由关系之间的协调。结合互联网平台治理的现状,二者之间更应重视对个人信息权益的保护,落实重要互联网平台企业“守门人义务”。本文运用法律解释的方法,对个人信息保护法第58条进行解读,并在总结已有经验的基础上,在建立健全独立监督机构工作体制、规范平台内个人信息保护规则的制定、建立违法违规行为的处理体系、完善个人信息保护社会责任报告信息公开制度四个方面展开有益探索,以此构建重要互联网平台企业个人信息保护的企业合规制度。此外,个人信息保护不仅需要重要互联网平台的参与,还需要行政机关、行业协会、社会公众等主体共同参与其中,形成协同治理的格局,以实现互联网平台个人信息保护的有效治理,为个人信息保护和数据利用的有效平衡提供坚实的保障。
原标题:《闫海丨论重要互联网平台企业个人信息保护的企业合规制度体系——以个人信息保护法第58条为中心》
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。