高富平
□《个人信息保护法》第58条规定较为原则,真正设立并运营个人信息保护监督委员会的网络平台至今屈指可数。《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》试图在制度规则上廓清监委会的职责,落实大型平台的个人信息保护法义务。
□相较于地位的独立性,个人信息保护监委会应更注重其专业判断的能力。“制度规则+问题监督”可能是对监委会有效运行比较可行的安排。若平台运营存在安全或合规风险等潜在问题,则触发监督。
□依照“征求意见稿”的制度设计,监委会充当着监管部门与社会需要“媒介”的作用。这种设计考虑到了监委会监督的乏力,需要借助监管部门的力量;同时,监管部门需要监督监委会工作,以贯彻监管部门意志,补强监委会的监督短板。
设立和运行个人信息保护监督委员会(下称“监委会”)是《个人信息保护法》第58条规定的大型网络平台的一项法定义务。早在2021年11月实施后,一些大型网络平台就将落实第58条义务提上议事日程,物色人选,酝酿设立监委会。但是,真正设立并运营监委会的平台却寥寥无几。今年9月12日,国家互联网信息办公室就《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》(下称“征求意见稿”)向社会公开征求意见,将监委会再次引入公众视野。
个人信息保护监督委员会缘何被暂时搁置
为何2021年《个人信息保护法》实施至今,真正设立并运营个人信息保护监督委员会的网络平台屈指可数?就笔者理解,暂时搁置监委会设立的重要原因是第58条的规定比较原则。
首先,哪些网络平台应当设立监委会就难以确定。法律仅明确“提供重要互联网平台服务、用户数量巨大、业务类型复杂的”个人信息处理者,而“重要”“巨大”“复杂”都是描述性词汇,缺失量化标准。即使头部互联网公司肯定落入“大型”范畴,但是在相当一段时间,各大平台均相互观察,不愿意成为“头羊”。
其次,法律仅规定“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”,至于内外人员比例、具体监督职责、日常如何运行等都需要细化等都不明确。因此,监委会的设立就出现相当一段时间的“冷静期”。显然,“征求意见稿”试图在制度规则上廓清监委会的职责,落实大型平台的个人信息保护法义务。
大型平台监督委员会的由来和定位
在法渊上,将大型平台视为守门人,施加特殊义务的做法源自于欧盟《数字市场法》(简称DMA)。依据DMA,凡是提供核心服务的平台或企业均被称为“守门人”,其平台服务受到更多限制。这是一项为数字市场引入的事前监管制度,旨在为创新者和科技初创企业提供竞争和创新的机会。
我国将DMA的守门人制度移植于个人信息保护法,更多是基于大型互联网平台的治理角色。张新宝教授在《大型互联网平台企业个人信息保护独立监督机构研究》一文中提出,“为大型互联网平台企业施加个人信息保护特别义务是构建治理主体多元、工具多样的社会治理网络的必然要求”,是在弥补“政府失灵”。的确,大型网络平台具有庞大数字基础设施、强大的技术能力和复杂治理体系,其对于个人信息收集和使用的流程、方式、目的等普通用户甚至监管机构都难以洞察。设置由法律、技术等领域的外部专家组成的独立监督机构,可以弥补政府在监管专业性和渗透力的不足,更好对其个人信息保护情况进行监督。
从第58条及“征求意见稿”对监委会地位和职责的规定来看,监委会与欧盟《通用数据保护条例》(简称GDPR)的数据保护官制度类似,强调对数据处理行为合法性独立监督。差异在于GDPR的数据保护官是对所有数据控制者和处理者的普遍要求,其主要职责是独立地监督控制者和处理者对个人数据处理的合规性,一方面对数据主体负责,另一方面充当监管机构的联络点,赋予数据保护官独立监督人的地位。而设立监委会则是大型平台的特殊义务,其出发点是将平台的治理责任延伸至个人信息保护,以独立机构的方式对平台个人信息保护情况进行监督。无论哪一种制度,能否有效地监督取决于监督者的独立性和监督能力。
监委会应更多应发挥专业判断能力
监委会能否发挥作用,关键在于其独立性,能够以独立的专业判断提出监督建议。“征求意见稿”也对此重点着墨,规定了以下内容:一是监委会及其成员独立性:要求外部成员占比不低于三分之二(第3条),成员设有明确的限制条件且有应当保持身份和履行职责的独立性要求(第4条);建立任期制度,连任不得超过两届(第10条);监督委员会主任由外部成员担任(第9条),明确监督委员会独立履职不受干扰(第22条);监委会有权向平台提出监督意见(第18-20条),监督委员会独立履职不受干扰(第22条),平台应当提供履行职责所需的工作条件和协助(第23条)。显然,这些规定旨使监委会的委员和监督工作的独立性。但是,监委会的委员是由平台选聘的,监委会成员是接受平台委任进行监督工作的,在履职过程中不可能不考虑这种选聘关系。再加上,成员还可以适当取酬(第7条),这使得委员与平台仍然存在“站位”问题。
在笔者看来,既然监委会是从平台治理责任出发的一种设计,那么监委会更多应发挥专业判断能力,以帮助平台更好地开展个人信息保护合规和安全管理工作,使平台在个人信息保护方面有实质性的改善。因此,对于监委会的独立性不能期待过高,相较于地位的独立性,应更注重其专业判断的能力,能够期待的是,监委们能够依据法律精神和要求对平台的合规性作出中立的判断。
发现潜在风险和问题是监委会有效运行的关键
个人信息保护是一项复杂工作,渗入到企业业务各个环节,对于个人信息保护的监督需要一定的专业知识和专业能力。“征求意见稿”对监委会成员提出了资质要求(第5、第6条),以确保监委会成员具备实施监督履职的能力。例如,成员应“具备履行职责的专业素质,熟悉个人信息保护、数据安全相关法律法规、国家标准等,从事个人信息保护相关工作不少于3年”。为了落实监委会工作,“征求意见稿”明确列举监委会监督事项(第13条,共14项)和监督委员会成员职责(第14条)。
问题在于,有能力的监委会成员是否真的可以履行这些监督职责。需要考虑这样的可能性:第13条列举的监督事项涵盖了个人信息合规的主要环节,对这些事项的监督相当于企业内部合规委的工作,是常设机构才能胜任的职能。以外部人员为主的独立机构的工作方式为会议形式(按第15条规定,监督委员会应当至少每三个月召开一次定期会议),尽管有临时会议安排,但是要胜任日常监督事项,对监委会而言可谓一大挑战。也许,“制度规则+问题监督”可能是监委会比较可行的安排。也就是说,监委会的常规监督事项主要限于平台制定的或实施的各项制度规则或政策是否合法合规。若平台运营存在安全或合规风险等潜在问题,则触发监督。让监委会主动发现问题,实施监督的可能性几乎很小。而发现潜在风险和问题是监委会有效运行的关键,这可能需要依赖平台自身主动提出或者由外部投诉触发监委会的监督。监委会能否预判潜在问题,是监督作用得以有效发挥的关键。
监委会在治理体系中的角色定位
与GDPR 的数据保护官制度不同,我国的监委会是从大型平台特殊的治理责任出发的一种制度设计,因而应当进一步思考监委会在治理体系中角色和定位。人们已经认识到,个人信息保护问题本质上是要协调个人信息处理中的个人隐私保护和企业利用的矛盾,因而这就不是一个简单的执行法律或合规的问题,更重要的是要在实质性地保护个人信息权益基础上,允许企业(包括大型平台)合规利用个人信息,以实现数据社会价值。因此,平台监委会应当成为一种独特的平台治理角色,构建既能平衡个人信息权益,又能实现个人信息要素化利用的治理框架和体系。毕竟,平台集聚和形成了大规模可用数据资源,如何发挥这些数据资源的社会价值,也是当前我国实现数智化转型的迫切任务。在这方面,我国还没有形成可为各利益相关方接受的治理规则,平台无疑担负着数据社会化利用探路者的角色。
依照“征求意见稿”的制度设计,监委会充当着监管部门与社会需要“媒介”的作用。“征求意见稿”规定:监委会向平台提出监督意见在得不到有效处理时,监委会可以向所在地省级网信部门报告(第19、第20条);网信部门对监委会的设立、运行和工作情况履行监督职责(第25-28条)。显然,这种设计考虑到了监委会监督的乏力,需要借助监管部门的力量;同时,监管部门需要监督监委会工作,以贯彻监管部门意志,补强监委会的监督短板。若此种力量传导和补强作用能够得到有效发挥,无疑将形成从治理角度定位的确保大型平台监委会作用有效发挥的一项重要机制。但需要注意的是,这一机制不应一味地维护个人权益,还应当维护社会整体利益——最大化实现平台数据的社会价值。因为,平台治理及个人数据治理本质上是协同不同利益相关者利益,使平台在追求商业利益的同时,符合社会整体利益。
在这方面,《个人信息保护法》第58条规定平台应当“定期发布个人信息保护社会责任报告,接受社会监督”,也被“征求意见稿”转接至监委会应当接受社会监督(第24条)。但这里的监督并不能单纯地理解为仅关注个人利益,而是应当包括各社会主体对平台数据的需求或者平台数据社会化利用的诉求。也许这样的转接可以进一步强化监委会治理角色,让其成为社会利益的代表者参与平台治理。不过,这可能会改变或超越第58条的初衷,完全从治理角度出发定位监委会角色。
综上,我国的大型平台监委会制度借鉴于数字市场治理,而目标是监督平台个人数据利用合规,无论是从保护个人权益,还是保护社会利益出发,监委会的独立性和监督能力是关键。若要使监委会成为平台数据的社会化利用治理框架的一员,则需要超越“个保法”在更高层面进行制度设计。
【作者系华东政法大学法律学院教授、博士生导师,互联网法治研究院(杭州)常务副院长】