互联网巨头的数据垄断破防!这部法律的影响力有多大
App过度收集个人信息、大数据杀熟、“二选一”……伴随中国首部个人信息保护领域的专门法律出台,这些数据领域的垄断和算法滥用行为将成为监管重点,平台治理正被按下“加速键”。
《中华人民共和国个人信息保护法》(下称《个人信息保护法》)在耗时18年、历经三审后,终将于2021年11月1日起施行。作为中国个人信息保护领域的基础性法律,它与《数据安全法》《网络安全法》《民法典》共同构建了我国的数据治理立法框架。
值得关注的是,从历经三次审议到正式发布,《个人信息保护法》对网络领域的不正当竞争行为、平台垄断的关注度不断提升。
“《个人信息保护法》已触动互联网经营者的一根敏感神经。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受第一财经采访时称,一方面,通过引入个人信息可携带权,强化了个人对于个人信息的控制权;另一方面,通过加强对个人信息处理者自动化决策的合规性要求和监管,互联网平台的算法陷阱有望得到约束。
“大型互联网平台通过流量、数据等方式所掌握的‘权力’不断被限制、管控,这将成为未来监管工作不变的趋势之一,相关企业应在挖掘算法价值和维护个人信息法益中寻求平衡。”他说。
增设可携带权
《个人信息保护法》尘埃落定后,公民对于个人信息拥有了更强的自主权。
根据《个人信息保护法》第四十五条,对传统的查阅复制权进行扩张,增设有限的可携带权,即“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径” 。
所谓可携带权(Right to Data Portability),最早由欧盟《通用数据保护条例》(GDPR)正式提出,包括个人数据副本获取权以及个人数据移转权。业界普遍认为,这一权利不仅让个人信息跨平台转移将有法定依据,还有利于打破平台封禁,有效回应大型互联网平台“数据垄断”现象,促进信息流通。
在中国,个人信息可携带权首次出现在个人信息保护法草案(三次审议稿)中。
北京清律律师事务所首席合伙人、清华大学法学院互联网法律与政策研究中心秘书长熊定中对第一财经透露,此前,个人信息可携带权一直是业界关注的焦点,但由于个人数据被互联网企业视为重要资产,该项权利的确立,将造成互联网平台的用户流失,增加其运营成本,故而长时间不被产业界接受,仅止步于理论探讨的范畴,难以落实到实际立法中。
“虽然,目前《个人信息保护法》中的‘个人信息可携带权’更大程度上仍是一个宣示性条款,尚未有细则出台,但这已经是一个巨大的进步,意味着互联网巨头在数据上的垄断优势被打破。”熊定中称。
他还指出,个人信息可携带权是“有范围”的,即可转移数据应为个人主动提供或被收集的原始数据,不包括企业经算法处理的用户画像或包含第三方信息的数据副本。
“这就对互联网企业技术的可实现性、经济成本把控的合理性提出了更多要求,也需要监管机关在设定规则、打造典型案例的过程中,不断丰富数据可携带权的实现途径和方式。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括进一步对第一财经分析称。
但个人信息转移权的确立,并不意味着用户与平台、平台与平台的对立。
中国信息通信研究院云计算与大数据研究所副所长魏凯告诉第一财经,通过用户主导发起的个人信息跨平台转移,有利于增强平台间竞争,激发数据要素活力。“在这个过程中,互联网企业或存在短期阵痛,但从长远来看,其仍可以通过优化服务,来留住用户,是具有正向的经济意义。”
责任加重、监管趋严
作为个人信息处理者,互联网平台是个人信息保护的关键环节,将面临来自《个人信息保护法》的多方面约束。
其中,大型个人信息处理者的监管与其对个人信息保护特别义务被不断强化。
中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕指出,这一责任加重的趋势首先体现在草案二审稿中,其创设性规定了“中国版的数字守门人条款”,即明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当承担额外的个人信息保护义务。
随后,《个人信息保护法》第五十八条进一步完善了这项“守门人”条款。
“其一,将提供基础性互联网平台服务修改为提供重要互联网平台服务;其二,补充了按照国家规定建立健全个人信息保护合规制度体系的义务;其三,单独增加了一项‘守门人’义务,即遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。”杨婕称。
而针对大型互联网平台以歧视性定价为主要表现的“大数据杀熟”现象,《个人信息保护法》进一步明确,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”
北京斐石律师事务所管理合伙人周照峰告诉第一财经,由于大型互联网平台具有强大的支配力,该条目旨在增加互联网经营者的合规意识,避免自动化决策结果对该个人造成的不利影响。
“其实互联网经营者对于想得到什么样的结果是有预期的,也是根据这些预期才有的自动化决策的算法。所以,企业要想判断结果公平公正并非难事。”周照峰称。
根据《个人信息保护法》中的合规要求,当利用个人信息进行自动化决策的情形发生时,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录;个人信息保护影响评估报告和处理情况记录应当至少保存三年。
但“歧视性定价”并不能与“差异定价”划等号,以合法为前提,“合理的差异定价”仍为一种可允许的营销手段。海问律师事务所数据合规团队认为,“大数据杀熟”现象与数据使用行为直接相关,但其规制并不限于数据使用环节。差别待遇的合法前提覆盖使用管理、用户告知、结果公平、合规评估。
除了规范大型互联网企业的合规行为、增强其保护个人信息的责任外,《个人信息保护法》也对其监管提出了更高的要求。《个人信息保护法》第五十八条指出,“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。”
吴沈括认为,设立这样一个保护机构,旨在将社会性监督和企业自身的组织治理之间形成一个协同运行的关系。“当前,《公司法》正在修订,对于这一条目的细则或将在《公司法》中给出进一步的落地方案,其中需要特别注重的是,要通过相应的机制设计来保证这个机构的中立性和专业性。”
四部法律、三个体系
在《个人信息保护法》出台之前,“大数据杀熟”“二选一”等互联网平台的数据垄断行为已引起反垄断、反不正当竞争等层面的立法重视,但缺少个人信息保护的视角。
2018年修订施行的《反不正当竞争法》,专门增设针对网络领域不正当竞争行为的规定,对利用网络,尤其是利用技术手段实施的不正当竞争行为,明确了规制路径。
8月17日,市场监督管理总局发布《禁止网络不正当竞争行为规定(公开征求意见稿)》,进一步增强了《反不正当竞争法》的适用性,对互联网经营者利用技术手段影响用户选择,实行平台封禁、大数据杀熟、向用户频繁弹窗等新型网络不正当竞争行为进行了分类规制。
《反垄断法》第十七条也提出,禁止具有市场支配地位的经营者从事滥用市场支配地位的行为,如“没有正当理由,限定交易相对人只能与其进行交易或者只能与其指定的经营者进行交易”等行为。
清华大学国家战略研究院特约研究员刘旭告诉第一财经,《反垄断法》和《反不正当竞争法》是从市场监管的角度出发,来约束“大数据杀熟”行为,二者的区别在于适用对象有所不同,而《个人信息保护法》中对于自动化决策的相关规定,则是从市场主体运营方式的角度出发,聚焦个人信息处理者的合规性。
刘旭认为,由于《反垄断法》的处罚力度最高,所以,出现“大数据杀熟”行为,使用该法进行约束,更为有效。
“从这个角度来看,《个人信息保护法》威慑力度有限,此外,即便在赋予平台用户‘个人信息可携带权’后,也难以打破互联网平台一家独大的格局。”刘旭称,当平台间原本的数据接口不兼容时,个人信息转移未必成功,在此背景下,有着更成熟、多元服务内容的大型互联网平台,更具有用户黏性。
但刘旭也认为,由于《个人信息保护法》的覆盖面更广,且网信部门作为执法部门更具有技术能力去调查平台运营是否存在“大数据杀熟”行为,所以其对“大数据杀熟”的约束作用也难以被替代。
他进一步指出,“大数据杀熟”分为既遂和未遂。当该行为已产生积累性的效果、范围广,则适用于《反不正当竞争法》或者《反垄断法》;而如若未对市场产生实质性影响,但没有履行个人信息处理者利用个人信息进行自动化决策的相关义务,被当事人提出异议,则可通过《个人信息保护法》第二十四条进行约束。
“加上《价格法》,目前,至少已有四部法律对于‘大数据杀熟’行为进行监管,涉及三个执法部门,即各级网信部门、各级市监部门、省一级或国家市场监督管理总局的反垄断执法机构。”刘旭称,在这一背景下,如何形成法律间的协同效应、实现社会综合治理成为关键,当前仍缺少案件移转、法律竞合与协调的细则,这或会影响企业合规责任的履行和用户个人信息保护的效率。