个人信息保护法历经三审耗时18年终于落地

2021-08-25 13:45:33 来源：第一财经

App过度收集个人信息、大数据杀熟、“二选一”……伴随中国首部个人信息保护领域的专门法律出台，这些数据领域的垄断和算法滥用行为将成为监管重点，平台治理正被按下“加速键”。

《中华人民共和国个人信息保护法》（下称《个人信息保护法》）在耗时18年、历经三审后，终将于2021年11月1日起施行。作为中国个人信息保护领域的基础性法律，它与《数据安全法》《网络安全法》《民法典》共同构建了我国的数据治理立法框架。

值得关注的是，从历经三次审议到正式发布，《个人信息保护法》对网络领域的不正当竞争行为、平台垄断的关注度不断提升。

“《个人信息保护法》已触动互联网经营者的一根敏感神经。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲在接受记者采访时称，一方面，通过引入个人信息可携带权，强化了个人对于个人信息的控制权；另一方面，通过加强对个人信息处理者自动化决策的合规性要求和监管，互联网平台的算法陷阱有望得到约束。

“大型互联网平台通过流量、数据等方式所掌握的‘权力’不断被限制、管控，这将成为未来监管工作不变的趋势之一，相关企业应在挖掘算法价值和维护个人信息法益中寻求平衡。”他说。

增设可携带权

《个人信息保护法》尘埃落定后，公民对于个人信息拥有了更强的自主权。

根据《个人信息保护法》第四十五条，对传统的查阅复制权进行扩张，增设有限的可携带权，即“个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径”。

所谓可携带权（Right to Data Portability），最早由欧盟《通用数据保护条例》（GDPR）正式提出，包括个人数据副本获取权以及个人数据移转权。业界普遍认为，这一权利不仅让个人信息跨平台转移将有法定依据，还有利于打破平台封禁，有效回应大型互联网平台“数据垄断”现象，促进信息流通。

在中国，个人信息可携带权首次出现在个人信息保护法草案（三次审议稿）中。

北京清律律师事务所首席合伙人、清华大学法学院互联网法律与政策研究中心秘书长熊定中对记者透露，此前，个人信息可携带权一直是业界关注的焦点，但由于个人数据被互联网企业视为重要资产，该项权利的确立，将造成互联网平台的用户流失，增加其运营成本，故而长时间不被产业界接受，仅止步于理论探讨的范畴，难以落实到实际立法中。

“虽然，目前《个人信息保护法》中的‘个人信息可携带权’更大程度上仍是一个宣示性条款，尚未有细则出台，但这已经是一个巨大的进步，意味着互联网巨头在数据上的垄断优势被打破。”熊定中称。

他还指出，个人信息可携带权是“有范围”的，即可转移数据应为个人主动提供或被收集的原始数据，不包括企业经算法处理的用户画像或包含第三方信息的数据副本。

“这就对互联网企业技术的可实现性、经济成本把控的合理性提出了更多要求，也需要监管机关在设定规则、打造典型案例的过程中，不断丰富数据可携带权的实现途径和方式。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括进一步对记者分析称。

但个人信息转移权的确立，并不意味着用户与平台、平台与平台的对立。

中国信息通信研究院云计算与大数据研究所副所长魏凯告诉记者，通过用户主导发起的个人信息跨平台转移，有利于增强平台间竞争，激发数据要素活力。“在这个过程中，互联网企业或存在短期阵痛，但从长远来看，其仍可以通过优化服务，来留住用户，是具有正向的经济意义。”

责任加重、监管趋严

作为个人信息处理者，互联网平台是个人信息保护的关键环节，将面临来自《个人信息保护法》的多方面约束。

其中，大型个人信息处理者的监管与其对个人信息保护特别义务被不断强化。

中国信息通信研究院互联网法律研究中心高级研究员、个人信息保护立法研究团队负责人杨婕指出，这一责任加重的趋势首先体现在草案二审稿中，其创设性规定了“中国版的数字守门人条款”，即明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当承担额外的个人信息保护义务。

随后，《个人信息保护法》第五十八条进一步完善了这项“守门人”条款。

“其一，将提供基础性互联网平台服务修改为提供重要互联网平台服务；其二，补充了按照国家规定建立健全个人信息保护合规制度体系的义务；其三，单独增加了一项‘守门人’义务，即遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。”杨婕称。

而针对大型互联网平台以歧视性定价为主要表现的“大数据杀熟”现象，《个人信息保护法》进一步明确，“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”

北京斐石律师事务所管理合伙人周照峰告诉记者，由于大型互联网平台具有强大的支配力，该条目旨在增加互联网经营者的合规意识，避免自动化决策结果对该个人造成的不利影响。

“其实互联网经营者对于想得到什么样的结果是有预期的，也是根据这些预期才有的自动化决策的算法。所以，企业要想判断结果公平公正并非难事。”周照峰称。

根据《个人信息保护法》中的合规要求，当利用个人信息进行自动化决策的情形发生时，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录；个人信息保护影响评估报告和处理情况记录应当至少保存三年。

但“歧视性定价”并不能与“差异定价”画等号，以合法为前提，“合理的差异定价”仍为一种可允许的营销手段。海问律师事务所数据合规团队认为，“大数据杀熟”现象与数据使用行为直接相关，但其规制并不限于数据使用环节。差别待遇的合法前提覆盖使用管理、用户告知、结果公平、合规评估。

四部法律、三个体系

在《个人信息保护法》出台之前，“大数据杀熟”“二选一”等互联网平台的数据垄断行为已引起反垄断、反不正当竞争等层面的立法重视，但缺少个人信息保护的视角。

2018年修订施行的《反不正当竞争法》，专门增设针对网络领域不正当竞争行为的规定，对利用网络，尤其是利用技术手段实施的不正当竞争行为，明确了规制路径。

8月17日，市场监督管理总局发布《禁止网络不正当竞争行为规定（公开征求意见稿）》，进一步增强了《反不正当竞争法》的适用性，对互联网经营者利用技术手段影响用户选择，实行平台封禁、大数据杀熟、向用户频繁弹窗等新型网络不正当竞争行为进行了分类规制。

《反垄断法》第十七条也提出，禁止具有市场支配地位的经营者从事滥用市场支配地位的行为。

清华大学国家战略研究院特约研究员刘旭告诉记者，《反垄断法》和《反不正当竞争法》是从市场监管的角度出发，来约束“大数据杀熟”行为，二者的区别在于适用对象有所不同，而《个人信息保护法》中对于自动化决策的相关规定，则是从市场主体运营方式的角度出发，聚焦个人信息处理者的合规性。

“《个人信息保护法》威慑力度有限，此外，即便在赋予平台用户‘个人信息可携带权’后，也难以打破互联网平台一家独大的格局。”刘旭称，当平台间原本的数据接口不兼容时，个人转移未必成功，在此背景下，有着更成熟、多元服务内容的大型互联网平台，更具有用户黏性。

但刘旭也认为，由于《个人信息保护法》的覆盖面更广，且网信部门作为执法部门更具有技术能力去调查平台运营是否存在“大数据杀熟”行为，所以其对“大数据杀熟”的约束作用也难以被替代。

“加上《价格法》，目前，至少已有四部法律对于‘大数据杀熟’行为进行监管，涉及三个执法部门，即各级网信部门、各级市监部门、省一级或国家市场监督管理总局的反垄断执法机构。”刘旭称，在这一背景下，如何形成法律间的协同效应、实现社会综合治理成为关键，当前仍缺少案件移转、法律竞合与协调的细则，这或会影响企业合规责任的履行和用户个人信息保护的效率。

标签：个人信息保护法平台治理数据领域平台垄断