?

?

1.互聯(lián)網平臺運營者：《數安條例》第七十三條第（九）款：互聯(lián)網平臺運營者是指為用戶提供信息發(fā)布、社交、交易、支付、視聽等互聯(lián)網平臺服務的數據處理者。

?

2.大型互聯(lián)網平臺運營者：《數安條例》第七十三條第（十）款：大型互聯(lián)網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯(lián)網平臺運營者。

?

3.解讀：

?

（1）法律屬性：《數安條例》中對于互聯(lián)網平臺運營者以及大型互聯(lián)網平臺運營者進行了區(qū)分，其中互聯(lián)網平臺運營者在法律屬性上屬于數據處理者；大型互聯(lián)網平臺運營者，其在法律屬性上既屬于普通數據處理者又屬于重要數據處理者，其義務不僅適用《數安條例》中對于大型互聯(lián)網平臺運營者的特殊規(guī)定，還適用《數安條例》中對于重要數據處理者的特殊規(guī)定。

?

（2）識別與判斷：《數安條例》中并未對互聯(lián)網平臺本身的識別問題進行具體規(guī)定，只給出了基于功能的識別方法，即"提供信息發(fā)布、社交、交易、支付、視聽等互聯(lián)網平臺服務"，相關可能落入"互聯(lián)網平臺運營者"范疇的企業(yè)，應當先行確定其提供的服務是否落入上述功能范圍中，并基于其判斷，梳理后續(xù)是否適用"互聯(lián)網平臺運營者"的特殊合規(guī)義務。對于大型互聯(lián)網平臺運營者的判斷，由于"大量"、"強大"和"市場支配地位"等要素存在許多空間，目前比較明確的是可以根據平臺的用戶量是否"超過五千萬"來識別是否可能屬于大型互聯(lián)網平臺運營者，進而梳理其特殊合規(guī)義務。

?

?

?

《數安條例》第四十三條要求，互聯(lián)網平臺運營者應當對與數據相關的平臺規(guī)則、隱私政策和算法策略這三類規(guī)則建立披露制度。對于前兩類規(guī)則，目前基本所有的互聯(lián)網平臺運營者基于《個人信息保護法》、《數據安全法》等合規(guī)要求已履行披露義務，但對于算法策略的披露，一直是合規(guī)層面的難點。

?

（1）法律層面：此前的《個人信息保護法》對自動化決策的透明度和結果公平、公正進行了規(guī)定，從上位法上對于算法透明度提出了要求，但并未直接且強制要求企業(yè)履行算法策略披露義務。2021年9月17日國家互聯(lián)網信息辦公室在內的九部門聯(lián)合發(fā)布了關于印發(fā)《關于加強互聯(lián)網信息服務算法綜合治理的指導意見》的通知，強調要"推動算法公開透明。規(guī)范企業(yè)算法應用行為，保護網民合理權益，秉持公平、公正原則，促進算法公開透明。督促企業(yè)及時、合理、有效地公開算法基本原理、優(yōu)化目標、決策標準等信息，做好算法結果解釋，暢通投訴通道，消除社會疑慮，推動算法健康發(fā)展。"該規(guī)定也是從監(jiān)管的角度，"督促"企業(yè)及時、合理、有效地公開算法基本原理，《數安條例》與之相比更強調企業(yè)自身的算法強制披露義務。

?

（2）現(xiàn)實可能性層面：對于互聯(lián)網平臺運營者，算法是其核心資產之一，許多互聯(lián)網平臺運營者都基于商業(yè)考量而使算法處于嚴格保密狀態(tài)。故產生了合規(guī)義務與商業(yè)考量之間的矛盾，也產生了算法規(guī)則披露的困難。實踐中，諸如美團、滴滴等互聯(lián)網平臺對業(yè)務中所涉及到的算法原理已經對用戶履行了披露義務，算法披露具有現(xiàn)實可能性，但仍有許多互聯(lián)網平臺運營者基于商業(yè)考量未履行也不愿意履行該披露義務。

?

（3）合規(guī)要求層面：基于《數安條例》要求，互聯(lián)網平臺運營者應當履行該算法披露義務。但算法披露義務的履行，并不意味著互聯(lián)網平臺運營者需要將企業(yè)核心的商業(yè)秘密進行披露，也無需公布代碼，只需要公布算法策略，使得用戶知悉算法的透明度。即在用戶參與下，在算法規(guī)則透明化措施下，不斷優(yōu)化迭代算法技術，基于監(jiān)管的披露要求，促進行業(yè)的良性發(fā)展。

?

?

（1）用戶話語權的增強：基于以往的平臺規(guī)則和隱私政策制定實踐，互聯(lián)網平臺運營者大多基于監(jiān)管要求與平臺運營實際，單方面更新平臺規(guī)則、隱私政策后，再讓用戶重新勾選同意選項以告知用戶并獲取用戶對于制定或更新的規(guī)則的同意。用戶在規(guī)則制定程序中多為被動的受通知者與不得已的同意者，用戶是否同意制定或更新的規(guī)則的內容，并不會影響到規(guī)則本身的效力，只會影響到用戶自己是否可以使用相關服務。在《數安條例》第四十三條的規(guī)定中，將公開征求意見與公眾監(jiān)督作為平臺規(guī)則、隱私政策制定的必經程序，一定程度上加大了用戶在平臺規(guī)則與隱私政策制定中的話語權。

?

（2）"對用戶權益有重大影響"的空間：并非所有的平臺規(guī)則和隱私政策的修訂都需要經過公示，只有"對用戶權益有重大影響"的修訂，才需要適用公示、征求意見程序。但究竟何為"對用戶權益有重大影響"，在《數安條例》中并未明確。筆者認為，對于互聯(lián)網平臺運營者而言，可以關注其修訂的內容是否可能造成用戶權利嚴重限縮或可能對用戶造成損害，從權利減損的角度，在相關規(guī)則修訂時完成自行評估，認為可能不構成"對用戶權益有重大影響"的，形成書面記錄，或與監(jiān)管部門溝通確認，以確保合規(guī)。

?

（3）提前三十日的公開要求：《數安條例》強調互聯(lián)網平臺運營者對于平臺規(guī)則、隱私政策的公開期限為不得少于三十個工作日，這一期限要求得十分嚴格，在此前的立法中，只有商務部2011年第18號《第三方電子商務交易平臺服務規(guī)范》公告中對于"平臺經營者應制定并公布交易規(guī)則。交易規(guī)則的修改應當至少提前30日予以公示。"這一提前公示要求進行了規(guī)定，其他的法律中并未對互聯(lián)網平臺運營者施加以提前30日公開的義務?！稊蛋矖l例》的該規(guī)則如果正式通過，將改變平臺規(guī)則、隱私政策的制定模式，不排除會成為一個由互聯(lián)網平臺運營者主導，用戶參與程度很高的雙方參與模式。同時，平臺規(guī)則、隱私政策的更新也不會如此前一次性修改即可完成，可能需要多次修改，產品設計的相關告知、同意規(guī)則以及彈窗設置也需要進行相應調整。

?

?

對于大型互聯(lián)網平臺運營者，并非都適用該特殊合規(guī)義務，只有"日活用戶超過一億"的大型互聯(lián)網平臺才適用"外部評估+監(jiān)管部門同意"的合規(guī)義務。由于其平臺規(guī)則、隱私政策關涉大量的個人信息與重要數據，故對其要求更為嚴格，合規(guī)義務更重。但是"日活"本身為一個商業(yè)詞匯，本身界定存在很多維度，并非為特定法律用語，因此平臺在界定和適用上會形成較大困擾，建議相關部門對此出臺進一步的具體規(guī)定加以指引。

?

?

?

《數安條例》第四十四條中的"接入其平臺的第三方產品和服務"，筆者認為應該理解為在該第三方產品和服務具備收集個人信息或數據的功能，并且用戶通過互聯(lián)網平臺使用該第三方產品和服務。

?

?

《個人信息保護法》對個人信息處理者與第三方的關系進行了界定，即在第三方接入場景下，個人信息處理者與第三方可能構成共同處理與委托處理兩種法律關系。在共同處理法律關系中，依據《個人信息保護法》第二十條的規(guī)定，對個人信息主體權益造成損害的，應當最終由共同處理者雙方依法承擔連帶責任；在委托處理法律關系中，依據《個人信息保護法》第二十一條和第五十九條的規(guī)定，筆者理解，受托方僅為受委托處理個人信息的主體，并不是《個人信息保護法》中規(guī)定的個人信息處理者，僅"協(xié)助"個人信息處理者履行《個人信息保護法》下的義務，如果對個人信息主體權益造成損害的，最終的責任承擔者仍為委托方。

?

因此，互聯(lián)網平臺運營者可能因其承擔的角色不同，法律關系不同，而"最終"承擔不同的法律責任。

?

?

該場景下不同的法律屬性與責任劃分，解決的是"最終"法律責任應當由誰承擔的問題，而《數安條例》第四十四條解決的是法律責任"先行"由誰承擔的問題，最終責任的承擔與追責問題在所不問。《數安條例》下的"先行賠償義務"與前述最終責任承擔進行了銜接，對于用戶來說，無需區(qū)分互聯(lián)網平臺運營者與接入其平臺第三方的復雜的數據處理關系，一旦發(fā)生損害，可直接請求互聯(lián)網平臺運營者承擔先行賠償義務，權利行使更為便利；對于互聯(lián)網平臺運營者而言，這一規(guī)定無疑加重了平臺義務，互聯(lián)網平臺運營者在諸如侵權場景下的"避風港規(guī)則"，在數據安全問題中，并不能有效適用。涉及侵權場景，互聯(lián)網平臺運營者需無過錯地承擔先行賠付義務。

?

這一規(guī)定本身，從立法本意考量可能是為了加強互聯(lián)網平臺對于其接入的第三方的監(jiān)管義務，但實踐中，互聯(lián)網平臺運營者對于第三方產品和服務的控制力，尤其是數據與個人信息安全方面的控制力難以延伸過遠，互聯(lián)網平臺運營者對于第三方的監(jiān)管能力與監(jiān)管效果恐難以實現(xiàn)立法所期待的效果。嚴苛的無過錯先行賠付義務在對互聯(lián)網平臺提出更多困難與挑戰(zhàn)的同時，也可能限制平臺內第三方的進入，從長遠上來講，無論是互聯(lián)網平臺還是平臺內第三方所多付出的監(jiān)管成本，都可能在用戶的產品與服務的價格上進行補足。該條款的涉訴性，也會進一步影響到司法層面的裁判規(guī)則與用戶行權路徑。

?

?

針對《數安條例》第四十五條所鼓勵的"個人/非個人通信區(qū)分選擇"問題，可以參考2021年11月12日全國信息安全標準化技術委員會組織制定的《即時通信服務平臺個人信息認定指南》（征求意見稿）的相關內容。其對于個人信息認定為：即時通信服務平臺中，發(fā)送者發(fā)送給特定接收者，且接收者不能進行再轉發(fā)的信息可以被認定為個人信息。對于非個人信息認定為：超過50人的群組內的信息或除發(fā)送者外的其他群組成員可以向群外轉發(fā)的信息。

?

該指南的認定雖然具有一定的合理性，但是在個人信息的認定層面卻會導致混淆。筆者認為，對于個人信息認定，不應當超過《個人信息保護法》中的定義和范疇，而在群組內發(fā)送的有關信息，可以通過信息主體自愿公開的認定，判斷其是否為公開信息，從而適用公開信息的利用規(guī)則，避免法律上的沖突。

?

?

?

《數安條例》第四十六條第一項體現(xiàn)了監(jiān)管對"大數據殺熟"違法行為的重視，此類違法行為不僅在包括《電子商務法》等法律法規(guī)進行了規(guī)范，而且最近頒布的一系列重磅規(guī)定如《關于平臺經濟領域的反壟斷指南》（"反壟斷指南"）中對此均有相關規(guī)則。如在《反壟斷指南》第十七條中主要明確了差別待遇的構成條件，即只有具有市場支配地位的平臺，在"無正當理由對交易條件相同的交易相對人實施差別待遇，排除、限制市場競爭"時，才會觸發(fā)合規(guī)紅線。但值得注意的是：新法不僅取消了市場支配地位這一前提條件，而且把損害后果——"排除限制市場競爭"也一并拿掉，從"結果犯"轉化成"行為犯"，故監(jiān)管機構對于平臺合規(guī)運營的門檻有了更高要求。

?

?

《數安條例》第四十六條第二項涉及對"最低價銷售"和"平臺自我優(yōu)待"等不合規(guī)行為的規(guī)制，而這些行為將會對公平競爭產生不利影響。對于平臺的"最低價銷售"，存在多種表現(xiàn)形式，如聯(lián)合上下游供應商簽署的"最惠國"條款，可能導致企業(yè)合謀產生，從而限制競爭，損害消費者福利。最明顯的例子莫過于"蘋果電子書"一案。當然，"最惠國"條款是促進競爭，還是損害競爭，是個業(yè)界討論已久且非常復雜的話題。對于平臺而言，建議在利用平臺數據，進行類似商業(yè)安排的時候，提前做好"影響評估機制"，對有關影響予以較為充分的論證和提前應對，以符合監(jiān)管要求。

?

?

《數安條例》第四十六條第三項是基于《個人信息保護法》中對個人信息主體"行權機制"的保護，避免平臺利用掌握的大數據優(yōu)勢，違背信息主體的意愿處理用戶數據。該項呼應了《個人信息保護法》中多項對于信息主體行權透明度的要求，其中莫過于第24條關于"自動化決策機制"中的"三公"要求——公平、公正、公開（透明度）。當然，其中最難把握的就是"公開"原則，公開多少才不會構成"誤導用戶"，還需要在實踐中觀察。結合《數安條例》第四十三條規(guī)定，平臺可以與"算法披露要求"一并理解此項合規(guī)義務。

?

?

《數安條例》中比較有亮點的規(guī)定為第四十六條第四項，該條實際上通過限制性規(guī)定，賦予了平臺內經營者獲取平臺有關行業(yè)、市場等數據的權利，但是在具體實操中仍會帶來很多疑問的地方，如：如何界定"中小型企業(yè)"；對于非"平臺之上"的其他經營者權益如何保護等。從該項的規(guī)定本意來看，實際為限制平臺反競爭行為，以期達到消除創(chuàng)新阻礙。但在具體條文中，卻做了范圍限定，可能最后很難達到監(jiān)管效果。

?

從近幾年的案例來看，平臺可以利用其平臺規(guī)則和有關約定（包括robots協(xié)議等），在數據利用層面進行很多限制，其中爭議最多的就有與網絡抓取有關的系列法律問題。而且在實踐中，平臺利用其數據優(yōu)勢，在商業(yè)模式上對經營者進行反向模仿的案例也不勝枚舉。如何真正讓平臺數據合理、合法的得到利用，避免互聯(lián)網創(chuàng)新"荒漠化"的問題，是需要監(jiān)管部門在有關立法中予以重視和完善的地方。

?

?

?

《數安條例》第四十七條對于提供應用程序分發(fā)服務的互聯(lián)網平臺運營者的強制性安全審核義務進行了明確，《數安條例》施行后，該類互聯(lián)網平臺運營者應當履行該義務。該款規(guī)定解決了此前關于應用程序分發(fā)服務安全審核義務的法律規(guī)定的層級低、內容混亂、適用標準不一的問題。在此前《移動互聯(lián)網應用程序信息服務管理規(guī)定》、《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》、《移動互聯(lián)網應用程序個人信息保護管理暫行規(guī)定（征求意見稿）》、《應用商店App個人信息收集使用上架審核和管理規(guī)范（征求意見稿）》、《中華人民共和國反電信網絡詐騙法（草案）》等法律文件或征求意見稿中雖然對該問題進行了不同內容的零散的規(guī)定，但在實踐中，仍未形成明確的監(jiān)管依據，《數安條例》的該條款將成為日后應用程序分發(fā)服務監(jiān)管的有效依據。

?

?

本款不僅要求提供應用程序分發(fā)服務的互聯(lián)網平臺運營者建立、披露應用程序審核規(guī)則，還要求真正將規(guī)則落到實處，真正對應用程序履行審核要求。在實踐層面，司法裁判已經先行對不履行相關義務的應用程序分發(fā)商要求其對應用程序的著作權侵權責任承擔連帶責任（如(2013)魯民三終字第36號），后續(xù)如果本款正式施行，不排除會影響司法層面的裁判規(guī)則。此外，相關企業(yè)已經建立了優(yōu)秀的行業(yè)實踐可供基于本款規(guī)定需要履行安全審核業(yè)務的互聯(lián)網平臺運營者參考，如某應用商店在APP上架、巡檢下架處罰全路徑都制定了詳細的規(guī)則規(guī)范，包括：《APP審核規(guī)范》、《APP巡檢處理流程及規(guī)則》、《嫌疑風險APP識別規(guī)則》、《特殊行業(yè)類資質要求》、《賬號處罰規(guī)則》、《APP違規(guī)處罰規(guī)則》，并積極將以上規(guī)則落到實處，值得提供應用程序分發(fā)服務的其他互聯(lián)網平臺運營者借鑒。

?

?

?

《數安條例》第四十八條針對的是互聯(lián)網平臺運營者在運營中無正當理由限制用戶訪問或向其他互聯(lián)網平臺傳輸文件的行為。該監(jiān)管要求旨在實現(xiàn)對于消費者選擇權的尊重，縮減網絡支付和分享的交易成本，維護良性的互聯(lián)網競爭秩序。工信部有關業(yè)務部門也曾就該問題，對部分互聯(lián)網平臺運營者進行"屏蔽網址鏈接問題"的行政指導。目前，實現(xiàn)數據互通為監(jiān)管趨勢所向。

?

?

就《數安條例》第四十八條的內容而言，并非強制要求所有互聯(lián)網平臺運營者都應當互通，而是加以了多重限定：主體限定為面向公眾提供即時通信服務的互聯(lián)網平臺運營者，對方限定為其他提供即時通信服務的互聯(lián)網平臺運營者，條件限定為按照國務院電信主管部門的規(guī)定，并留有了基于"正當理由"的數據不互通的空間?？梢姳O(jiān)管層面并未對此一刀切地要求數據互通，而是給予了互聯(lián)網平臺運營者必要的操作空間，在迎合數據互通監(jiān)管趨勢的同時，針對性地結合自身的特點進行針對性調整，并在實際的數據互通中留有一定的余地。

?

在實踐中，數據互通的操作離不開互聯(lián)網平臺運營者對成本與收益的基礎考量，也可能會涉及互通標準、互通費用、互通協(xié)議安排問題以及數據互通的風險防范等問題。對于該條款的細化解釋以及互聯(lián)網平臺運營者的具體數據互通安排都是這一條款后續(xù)需要重點關注的問題。

?

?

?

?