第58条对“守门人”义务主体的描述是“个人信息处理者”,同时为义务主体的界定设定了三个条件,即“提供重要互联网平台服务”“用户数量巨大”和“业务类型复杂”。
(一)第58条规定的义务主体并非通常意义上的“个人信息处理者”
第58条对规制对象的描述是“个人信息处理者”,但从立法史和权威释义来看,第58条的规制对象是大型平台,而并非通常意义上的“个人信息处理者”。从立法史来看,“守门人”条款是在《个人信息保护法》(二次审议稿)中引入的,宪法与法律委员会就《个人信息保护法》(二次审议稿)在向全国人大常委会的报告中,阐述了“守门人”条款引入的原因:“有的部门、专家建议,强化超大型互联网平台的个人信息保护义务,并加强监督。宪法和法律委员会经研究,建议增加一条规定:提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:……”从宪法与法律委员会的阐述来看,“守门人”条款的义务主体是“超大型互联网平台”。全国人大常委会法工委经济法室副主任杨合庆在《个人信息保护法》权威释义书中指出,第58条“是关于大型互联网平台个人信息特别保护义务的规定”。因此,从立法史和权威释义可以看出“守门人”条款的规制对象是大型平台。大型平台是不是个人信息处理者呢?这个问题可以从两个层面来回答:其一,大型平台通常都是个人信息处理者,因为大型平台通常情况下,都会自行处理平台用户的个人信息,从而成为个人信息处理者。其二,在第58条语境下,大型平台扮演“守门人”的角色,大型平台并非个人信息处理者。第58条规制的是大型平台的管理行为,即以“守门人”身份管理平台内经营者处理个人信息的行为,而非其自身的个人信息处理行为。在这种情况下,大型平台通常并没有参与平台内经营者处理用户个人信息的过程,更无法决定平台内经营者处理个人信息之目的、方式,这些都是由平台内经营者自主决定的。因此,在第58条语境下,大型平台扮演“守门人”角色,其并非个人信息处理者。结合上述论证可知,第58条在描述规制对象时,实际上是在第一个层面即宽泛意义上,使用了“个人信息处理者”的概念:并非是指大型平台扮演“守门人”角色,其仍是个人信息处理者。值得思考的是,立法者为什么不采用更加准确的“大型互联网平台经营者”而是用并不十分精准的“个人信息处理者”来描述第58条的义务主体?这与“守门人”条款在《个人信息保护法》中的特殊性有关。整部《个人信息保护法》是以规制个人信息处理者的个人信息处理行为作为中心,而“守门人”条款规制的则是大型平台的管理行为而非个人信息处理行为。从结构上而言,除第1章总则和第8章附则外,《个人信息保护法》第2章和第3章是关于个人信息处理规则及跨境提供规则,第4章是个人在个人信息处理活动中的权利,第5章是个人信息处理者的义务,第6章是履行个人信息保护职能的部门,第7章是法律责任。在上述各章的标题下,如果以“大型互联网平台经营者”作为“守门人”条款的义务主体,则将第58条放到上述任何一章都是不合适的。相反,用“个人信息处理者”作为义务主体,则可以将“守门人”条款置于第5章,这也正是现行立法所采用的方案。但必须要指出的是,“守门人”条款为大型平台设立的义务与第5章其他条款为个人信息处理者设立的义务具有明显的不同,因此权威释义将大型平台的义务称之为“个人信息保护的特别义务”,即用“特别”两字区分大型平台的义务和第五章其他个人信息处理者的义务。
(二)“提供重要互联网平台服务”的界定
“提供重要互联网平台服务”意指平台服务应该是基础性的,对于社会生产生活十分重要,往往是人民群众日常生活所必须、很难绕过的,是控制用户个人信息的“必经通道”。该条件是义务主体界定中“质”的因素:其一,从这个条件的发展源流来看,“重要互联网平台服务”指的是基础性的、关键性的互联网平台服务。《个人信息保护法》(二次审议稿)的表述为“提供基础性互联网平台服务”,最终通过的《个人信息保护法》的表述为“提供重要互联网平台服务”。有学者认为,之所以这样修改,是因为基础性互联网平台服务的提法,很容易与关键信息基础设施相混淆,故将“基础”改为了“重要”。因此,虽然表述有所不同,但含义并无变化,重要互联网平台服务的含义仍然意指基础性的、关键的互联网平台服务。其二,“重要互联网平台服务”的认定标准。核心标准应该至少有两个:一是不可或缺性。即该服务是人民群众日常生活所必须,很难绕过,这决定了提供该项服务的平台经营者处于用户个人信息的“必经通道”上,具有发挥关键影响的可能性。二是具有控制力。这里的控制力是指互联网平台经营者应当对平台内经营者处理用户个人信息的行为具有控制力,能够防止平台内经营者侵害用户个人信息权益。控制力中尤为重要的是能够采取针对特定平台内经营者措施的能力,即可以精确地针对严重违法的平台内经营者采取停止提供服务措施,而同时又不“伤及无辜”。例如基础电信运营商获知某个移动应用经营者严重违法,但是该移动应用运营于某个公用云上,基础电信运营商如果要停止提供服务,只能断开整个公有云的网络连接,此举势必导致该公有云上的其他移动应用也被“断网”,伤及无辜的经营者。因此,基础电信运营商往往不具有控制力。从这个意义上讲,基础电信服务通常情况下不应被认定为提供“重要互联网平台服务”。其三,“重要互联网平台服务”的具体认定。从立法程序上而言,具体认定哪些平台服务属于“重要互联网平台服务”,有赖于监管部门出台配套性的实施细则予以确定。在这方面,可以参考国内已有的相关实践。如,移动应用商店经营者已经被工业与信息化部等部门要求履行个人信息领域的“守门人”义务,因此,移动应用商店服务属于“重要互联网平台服务”应无太大争议。
(三)“用户数量巨大”的界定
顾名思义,“用户数量巨大”是对义务主体用户数量的要求,是义务主体界定中“量”的因素:其一,“用户数量”的衡量指标。从文义上说,用户数量是指使用平台服务的用户总数。但是,用户总数包含不活跃用户、重复用户,因此并不能有效说明相应互联网平台服务的规模和价值。国家市场监督管理总局起草的《互联网平台落实主体责任指南(征求意见稿)》在界定“超大型平台”时,使用的衡量指标是“年活跃用户”。从域外经验来看,欧盟的《数字服务法》(草案)和《数字市场法》(草案)(以下简称“欧盟两个草案”)也为“超大型在线平台”和“守门人”设定了特别义务,虽然这个义务并非个人信息保护方面的特别义务,但是中国《个人信息保护法》引入“守门人”条款时很大程度上参考了欧盟两个草案的设计。因此,欧盟两个草案对“超大型在线平台”和“守门人”的界定我们可以借鉴。在衡量用户规模是否达到“超大型在线平台”或“守门人”门槛时,欧盟两个草案使用的用户概念是“月活跃用户”。因此,可以考虑使用“年活跃用户”或者“月活跃用户”作为“用户数量”的衡量指标。此外,还要考虑的问题是,不同的年份或者月份,“活跃用户”的数量是不同的,《互联网平台落实主体责任指南(征求意见稿)》要求的是上一个年度的“年活跃用户”。欧盟的《数字市场法》(草案)是采用一个财政年度大部分时间“月活跃用户”数量的平均值。监管部门在出台实施细则,确定“用户数量”的衡量指标时,可以考虑参考上述方法。其二,多少数量可以称为“巨大”。正如有学者指出的,具体多少数量能够达到巨大的要求,必然有赖于监管部门来明确。在这方面,我们也可以参考相关监管部门制定的立法文本草案。例如国家市场监督管理总局在《互联网平台落实主体责任指南(征求意见稿)》中将承担特别义务的“超大型平台”之用户数量界定为不低于5000万。国家网信办在《网络数据安全管理条例(征求意见稿)》中,也是用超过5000万用户来界定承担特别义务的“大型互联网平台运营者”。从域外经验来看,欧盟两个草案所设定的数量门槛是4500万,即欧盟人口的百分之十。按照人口百分比作为衡量数量巨大的指标,也是一个可以考虑的方法。其三,定期评估。互联网平台经营者的用户数量会经常变动,这种变动使得特定的互联网平台经营者会动态地达到(达不到)法定的数量门槛。因此,监管部门有必要对互联网平台的用户数量进行定期评估,以决定是否要求其承担“守门人”义务。《互联网平台落实主体责任指南(征求意见稿)》对用户数量的衡量指标是“上一个年度”的年活跃用户数,这在一定程度上可以解读为以年为单位进行定期评估。从域外经验来看,欧盟《数字服务法》(草案)要求至少每半年进行一次评估,看互联网平台经营者的用户数量是否等于或者高于法定数量的要求,以决定是否将其认定为“超大型在线平台”进行管理。
(四)“业务类型复杂”的界定
业务类型复杂是指大型平台提供的平台服务中,交易业务的架构是多样且复杂的。例如大型电子商务平台提供的业务,往往既有提供虚拟经营场所、进行交易撮合等业务,也涉及物流、支付等业务环节。当然,业务类型复杂还可能是大型平台提供两种以上不同类型的平台服务。参照《互联网平台分类分级指南》(征求意见稿),不同类型的平台服务包括:网络销售类、生活服务类、社交娱乐类、信息资讯类、金融服务类、计算应用类。需要指出的是,“业务类型复杂”是否与前两个条件一样,成为界定义务主体的实质性条件,存在不同意见。第一种观点认为,虽然从文义解释的角度,三个条件是并列关系,需要同时满足,但“业务类型复杂”不应完全与前两个条件并列,而应被理解为辅助性、形式化的条件,实质性的条件仅为前两个条件。第二种观点认为,必须同时满足上述三个条件才能被界定为“守门人”,这也就意味着“业务类型复杂”同样是实质性条件。笔者认同前一种观点,即“业务类型复杂”应是辅助性、形式化的条件。理由是:其一,“业务类型复杂”与“守门人”界定之间关系不明晰,严格按照“业务类型复杂”条件进行界定,会使得实质上符合条件的互联网平台经营者逃脱“守门人”义务。“守门人”概念强调其对平台内个人信息保护活动具有很强的控制力和支配力,处于个人信息保护的关键环节。这个关键环节可以从“质”和“量”两个方面来考虑。“质”的方面强调的是平台服务应该是基础性的,是用户与平台内经营者之间的“重要通道”。“量”是对服务所覆盖用户规模的要求。三个条件中的“提供重要互联网平台服务”和“用户数量巨大”分别对应了“守门人”界定中“质”和“量”的要求。但是,第三个条件“业务类型复杂”与“守门人”界定之间的关系并不明晰。业务类型复杂为何会使得相应的互联网平台经营者处于个人信息保护的“关键环节”呢?反过来说,业务类型单一的互联网平台经营者就不能处于个人信息保护的“关键环节”吗?至少从逻辑上来看,并不是这样。例如,一个仅经营移动应用商店业务的互联网平台经营者,其用户数量巨大,对于用户个人信息无疑有着强大的控制力和支配力,完全可以认为其属于个人信息保护的“关键环节”。如果仅因为该经营者不满足“业务类型复杂”的条件,而不将其界定为“守门人”,则无疑会使“守门人”条款的适用出现明显的漏洞。其二,如果将“业务类型复杂”视为与前两个条件并行的实质性条件,将会极大增加监管难度和成本。也许有观点会认为,对上述监管漏洞,担扰是不必要的,因为在中国,互联网平台经营者经营多种互联网业务是常态,几乎很难找到仅经营单一业务的互联网平台。因此,“业务类型复杂”的条件极容易满足,不会造成适用上的漏洞。笔者认为这种观点有一定道理,但也忽视了一个问题,即互联网平台经营者会使用不同的法律主体去运营不同的互联网业务,单个法律主体运营单一的互联网业务实属正常。在实际执法过程中,监管者的执法动作必然针对具体的法律主体,而具体的法律主体就可能只运营单一而非复杂的互联网业务类型。这时,为实现监管目标,监管者需要进行“穿透式监管”,将运营多个互联网业务的关联公司联系起来,进行整体认定,但这无疑极大地增加了监管的难度和成本。其三,从比较法的角度来看,“守门人”条款所借鉴的欧盟两个草案中对“超大型在线平台”和“守门人”的界定,并未有“业务类型复杂”的条件。“提供重要平台服务”和“用户规模巨大”两个条件,在欧盟两个草案中都有所体现,但是“业务类型复杂”的条件,则是欧盟两个草案中所未有的。综上,“业务类型复杂”不是与前两个条件并列的实质性条件,而仅是辅助性的、形式化的条件。在实际执法过程中,监管部门对此应尽量保持宽松的认定标准。