網際網路生態「守門人」個人資訊保護特別義務設定研究

摘要強化網路平臺等大型線上企業的治理，配置與其控制力和影響力相適應的個人資訊保護特別義務，正在形成全球普遍共識。我國目前制定個人資訊保護法，適應這一趨勢正當其時，對此等企業的個人資訊保護義務作出特別規定。本文建議在我國正在制定的個人資訊保護法中增加一個條文，設定「守門人」在個人資訊保護方面的特別義務。增設這一特別義務，在立法例上有可供參考的經驗，並具有技術上的可行性和經濟上的合理性。本文對此作出論證，並對建議增加的條文進行了設計，提出了具體的文字方案。

作者｜張新寶/中國人民大學法學院教授原文首發於《比較法研究》

一、問題的提出

隨著個人資訊處理方式的數字化轉變，如何構建與數字時代相適應的個人資訊保護路徑，不僅是資料安全保護領域的國際形勢所趨，也是我國個人資訊保護法律體系需要解決的核心問題。近半個世紀以來，有關個人資訊保護的立法已經成為全球範圍內最受矚目和最為活躍的立法領域之一。個人資訊保護立法的關鍵在於藉助立法的利益衡量實現對利益關係的「三方平衡」，即個人對個人資訊保護的利益、資訊業者對個人資訊利用的利益和國家管理社會的公共利益之間的平衡。這一過程的重要環節之一是為資訊業者收集、儲存、處理、利用和傳輸個人資訊活動設定正當性守則，維護資訊業者之間的正當公平競爭，避免不當競爭造成劣幣驅逐良幣的不良效應。因此，如何為資訊業者配置合理的權利和義務，是實現資訊主體的核心利益和國家在個人資訊保護秩序中的公共管理利益的核心環節。

移動網際網路時代，個人資訊處理者處理個人資訊最常見的技術和商業模式是利用網際網路移動終端形形色色的網際網路應用程式（以下簡稱「移動 APP」）收集個人資訊。截至 2020 年 6 月，我國網民規模達 9.40 億，其中手機網民規模達 9.32 億，網民使用手機上網的比例達 99.2%。換言之，幾乎所有民眾的生活、工作都與移動 APP 息息相關。因此，規範移動 APP 運營者的個人資訊處理行為應當成為個人資訊保護的主戰場之一。

近年來，雖然有關部門對移動 APP 處理個人資訊進行了持續治理，取得了一些成效，但總體來看效果不彰，原因在於移動 APP 數量巨大，逐一治理不僅困難且不具有現實可行性；同時，移動 APP 上線的變化和發展過快，行政執法能力和資源跟不上其發展變化。因此，需要考慮更有效的治理手段和方法，即從源頭入手，抓住關鍵環節，通過設定「守門人」的義務，發揮其對一般移動 APP 的管控能力，實現對移動 APP 處理個人資訊的有效治理。

「網路空間與現實社會的最大差別之一在於網路空間的基本支撐主體是眾多的網際網路服務提供商或者中間平臺」，面對海量的資訊業者和資訊服務業務，有效的個人資訊保護法律規制需要抓住網際網路生態的關鍵環節，也即區分一般的個人資訊處理者與充當「守門人」角色的作業系統、應用程式分發平臺、大型平臺型 APP 等個人資訊處理者。這些「守門人」的共同特徵是能夠提供第三方移動 APP 的接入（包括分發、下載、更新等），或向第三方移動 APP 運營提供技術資源和資訊收集渠道，以及提供市場和使用者觸達的中介服務。這些「守門人」處於網際網路生態處理個人資訊的關鍵環節，管控眾多的移動 APP 接入網際網路進行個人資訊收集及後續處理的必要通道、空間和提供必要的技術資源。目前，我國個人資訊保護法正在制定過程中，該法草案第五章雖然對個人資訊處理者的義務作出了規定，但草案沒有對「守門人」扼守的關鍵環節設定必要的個人資訊保護義務。

二、移動網際網路生態關鍵環節和「守門人」的界定

本部分將論述移動網際網路生態中承擔「守門人」角色的個人資訊處理者對一般移動 APP 的決定與制約作用，並提出「守門人」的定義和類型區分。

（一）守門人的地位：控制了移動網際網路生態的關鍵環節

一個移動 APP 無法獨立於技術環境和運營環境而單獨存在，因此這兩個環境決定或制約了移動 APP 接入網際網路和處理個人資訊的能力。

1.技術環境移動

APP 需要在智慧終端裝置中運行，作業系統便成為制約移動 APP 的底層技術環境。目前，移動智慧終端搭載的作業系統以安卓（Android）和 iOS 為典型，下文以安卓作業系統為例，闡釋作業系統與移動 APP 之間在技術環境方面的制約關係。

在安卓系統的設計理念中，每個移動 APP 實際都可以理解為安卓作業系統的不同使用者：預設情況下，安卓系統會為每個應用分配一個唯一的 Linux 使用者 ID；同時，移動 APP 運行在獨立的安全沙盒內，安卓系統對其中所有檔案設定許可權，只有對應使用者 ID 的移動 APP 才可訪問。簡言之，移動 APP 作為安卓作業系統的使用者，使用作業系統提供的各種資源，才能正常運作。此外，安卓系統還能夠實現對移動 APP 所使用系統許可權的控制。在預設情況下，移動 APP 在安卓系統中不擁有任何系統許可權，無法執行任何對其他應用、作業系統或使用者有不利影響的操作，包括讀取或修改使用者的私有資料（例如通訊錄或電子郵件）、讀取或寫入其他應用程式的檔案、執行網路訪問等。因此，移動 APP 為了業務功能的需要，需要向安卓系統申請系統許可權。根據許可權的作用和對個人資訊的影響，安卓系統將系統許可權分為普通 (normal)、危險 (dangerous)、簽名 (signature) 及系統/簽名 (signature or system) 等四個級別。其中，普通和危險級別對個人資訊保護最為關鍵：普通級別許可權允許移動 APP 訪問超出應用沙盒的資料和執行超出應用沙盒的操作，但所訪問的資料或執行的操作對使用者隱私及對其他應用帶來的風險較小，安卓系統在移動 APP 申請此類許可權時自動授予，而不提示使用者，常見的普通級別許可權如訪問通知、訪問 WIFI、藍芽等；危險級別許可權授予移動 APP「對受限資料的額外訪問許可權，並允許應用執行對系統和其他應用具有更嚴重影響的受限操作」，同時危險級別許可權能使移動 APP「訪問使用者私有資料，這是一種特殊的受限資料，其中包含可能比較敏感的資訊」，安卓系統在移動 APP 申請此類許可權時，會通過彈窗等形式提示使用者，由使用者自主決定是否授予許可權，常見的危險級別許可權如日曆、通話、攝像頭、聯絡人、地點等。

由此可見，在作業系統的設計框架下，移動 APP 需要呼叫移動終端及作業系統所定義和提供的各種系統許可權，才能獲取運行所需的特定技術資源。例如導航軟體就需要通過申請位置許可權來獲得 GPS 位置資訊，即時通訊軟體就需要通過申請相簿許可權才可以訪問使用者相簿中的照片。

2.運營環境

基於設計理念和安全考慮，不論是安卓系統還是蘋果 iOS 系統均不倡導使用者直接從移動 APP 官方網頁下載 APP，而是推薦使用者從應用商店下載移動 APP，蘋果 iOS 更是僅允許通過蘋果官方應用商店 AppStore 下載安裝。由此，應用商店所提供的應用分發服務構成移動 APP 運營環境的關鍵節點。在我國，主流應用商店大致可分為三個類型：第一類是系統運營商的應用商店，如 iOS 使用者端的 App Store 和 Android 使用者端的 Google Play；第二類是手機廠商的應用商店，如小米、華為、OPPO、VIVO 等應用商店；第三類是第三方應用商店，如 360、應用寶、酷市場、豌豆莢、百度手機助手等。可以說，如果不通過應用軟體分發服務，移動 APP 很難觸達大量使用者及被下載。

隨著移動網際網路的持續演進發展，新的移動 APP 分發模式——「超級 APP+小程式」——應運而生。2019 上半年開始，超級 APP 也即小程式平臺從 2018 年的 2 家擴充至 8 家，騰訊、阿里、百度、位元組跳動等多家頭部網際網路企業開始小程式佈局。以微信、支付寶、百度、今日頭條等為代表的「超級 APP」開始作為平臺，承載第三方小程式。第三方小程式區別於傳統的移動 APP，具有功能簡單、使用便捷、開發成本低的特點。藉助於「超級 APP」，第三方小程式能夠有效地觸達龐大的使用者群體。據統計，2019 年人均使用小程式數量超過 60 個，多於同期人均安裝 APP 個數；支付寶小程式使用者次日留存率超過六成，微信小程式次日留存率超過五成。截至 2019 年 11 月，小程式總量超過 450 萬，日活躍使用者突破 3.3 億。對於「超級 APP」而言，其擁有龐大流量，通過搭載第三方小程式，能夠「提升流量資源的分發效率，滿足使用者多樣化需求，進一步挖掘使用者價值」；而對於第三方小程式而言，在移動網際網路市場規模趨於飽和的趨勢下，藉助於超級 APP，可以避免 APP 開發推廣成本高、週期長、市場生存空間小等不利因素；對於使用者而言，則省掉了下載、安裝、註冊、解除安裝移動 APP 的過程，實現了「即點即用」。

具體而言，超級 APP 為其所承載的第三方小程式提供了流量資源和技術優勢，前者體現在觸達使用者方面，後者體現在小程式的運營也依賴於「超級 APP」所提供的小程式平臺。小程式所獲取的系統許可權、個人資訊等均有賴於超級 APP：小程式只能獲取超級 APP 已經從手機系統獲取的許可權；小程式在獲得使用者授權後，可以通過「超級 APP」獲得使用者提供給超級 APP 的個人資訊，如暱稱、頭像、身份證號碼等個人資訊以及裝置資訊、統計資訊等。與此同時，在涉及到個人資訊保護問題時，超級 APP 也通常從資料收集和儲存與授權、資料使用規範、資料安全、地理位置等多方面對小程式提出要求。

綜上所述，無論是傳統的移動 APP，還是新興的小程式，技術環境和運營環境構成了 APP 運行的關鍵環節。可以說，在移動網際網路生態系統中，控制了技術環境和運營環境的「守門人」，扼守了 APP 運行的關鍵環節，其對 APP 個人資訊保護的技術設定和具體行為具有決定性作用。

（二）移動網際網路生態中「守門人」的類型

本文認為，「守門人」是指控制移動網際網路生態關鍵環節（技術環境和運營環境）、有資源或有能力影響其他個人資訊處理者處理個人資訊能力的網際網路營運者。結合當下移動網際網路生態的現實環境來看，「守門人」主要包括以下三類：一是應用程式分發平臺，通過提供應用分發服務影響移動 APP 觸達海量使用者進而進行個人資訊處理活動的能力；二是移動終端作業系統，通過為移動 APP 提供可呼叫的系統許可權等，影響移動 APP 的個人資訊處理能力；三是平臺型 APP，平臺型 APP 能夠在技術資源、運營環境等兩個方面顯著便利和提升第三方小程式等移動 APP 的個人資訊處理能力。

三、設定移動網際網路生態「守門人」個人資訊處理特別義務的理由

如前所述，從個人資訊保護的角度來看，移動網際網路生態中確實存在「守門人」的特殊主體類型，他們有能力決定普通移動 APP（包括小程式）觸達使用者的範圍，以及收集使用使用者個人資訊的渠道和範圍。以下將著重討論針對此類特殊主體施加個人資訊處理特別義務的必要性、合理性以及可能性。

（一）對「守門人」施加特別義務的必要性

隨著移動 APP 的廣泛應用，移動 APP 強制授權、過度索權、超範圍收集個人資訊的問題也為監管部門所重視。自 2017 年《中華人民共和國網路安全法》（以下簡稱《網路安全法》）施行以來，移動 APP 的監管成為個人資訊保護工作的重點內容。2017 年，中央網信辦、工信部、公安部、國家標準委等四部門以移動 APP 隱私條款評審為重點，著手開展個人資訊保護提升行動之隱私條款的專項工作。2019 年，針對移動 APP 違法違規收集使用個人資訊問題，中央網信辦、工業和資訊化部、公安部、市場監管總局等四部門聯合開展 APP 違法違規收集使用個人資訊專項治理，通過設立舉報渠道、接受網民舉報確定評估物件，並編制評估技術規範檔案，依託專業評估機構對 APP 隱私政策和個人資訊收集使用情況進行評估，2020 年四部門繼續推進專項治理工作。在上述四部門聯合治理之外，工信部、公安部、市場監管總局也各自開展了移動 APP 治理的專項工作，如 2019 年工信部開展「電信和網際網路行業提升網路資料安全保護能力專項行動」、「APP 侵害使用者權益專項整治工作」，公安部開展「淨網 2019」專項行動等，均涉及移動 APP 收集使用個人資訊的監管。經過持續的治理行動，移動 APP 沒有隱私政策、未說明收集使用個人資訊的規則、以默認同意隱私政策等非明示方式徵求使用者同意、要求使用者一次性同意開啟多個可收集個人資訊的許可權等違法違規收集使用個人資訊的問題得到遏制。但整體來看，僅僅依靠執法監管的 APP 治理成效難謂顯著。

一方面，APP 體量之大使得僅僅依靠執法監管的 APP 治理難以做到全面覆蓋。以 2019 年為例，2019 年全年，中央網信辦等四部門聯合成立的 APP 違法工作組完成了下載量大、使用者常用的千餘款 APP 評估，向 256 款移動 APP 的運營者通報問題，建議有關監管部門下架未落實整改要求的移動 APP 共 11 款。2019 年，工信部開展「電信和網際網路行業提升網路資料安全保護能力專項行動」、「APP 侵害使用者權益專項整治工作」，共對 236 款 APP 運營者下發整改通知書，公開通報 56 款 APP、下架 3 款 APP；公安部開展「淨網 2019」專項行動，共檢測評估 3.1 萬餘款 APP，依法整改 2090 款 APP，依法查處 1121 款 APP，集中曝光 100 款存在違法違規收集使用個人資訊行為的 APP。統計起來，以 2019 年為例，各部門對外公開檢測的 APP 數量共計不超過 5 萬，通報的問題 APP 數量共計不超過 3000 個。與之相對的是，根據工信部統計資料顯示，我國市面上活躍的移動 APP 數量約為 346 萬款，而全球活躍的移動 APP 數量約為 450 萬款。不難發現，納入監管範疇的 APP 數量與體量巨大的 APP 總量相比，陷入杯水車薪的困境。與此同時，在短時間內最大限度動員執法資源，也容易陷入運動式執法。中央及各地主管部門競相開展 APP 治理，中央各部門之間、中央和地方主管部門之間，在認定 APP 違法違規收集使用資訊時，基於監管資源、監管風格的差異，眾多監管主體之間難以做到統一標準，在事實上還可能會導致甚至加劇「多頭」治理，導致個人資訊保護行業生態發展無所適從的尷尬局面。

另一方面，廣大網民也對 APP 違法違規收集使用個人資訊問題反映強烈。從相關媒體報道來看，移動 APP 隱私政策模糊的問題始終為民眾所詬病，資訊不對稱導致使用者判斷困難，使用者既難以快速知曉 APP 收集的個人資訊範圍，也難以判斷移動 APP 是否存在超範圍收集個人資訊的情形。與此同時，移動 APP 通過隱祕方式（如偷聽、偷拍）收集使用者個人資訊，在獲得使用者授權後私自讀取、上傳或刪除使用者資訊，「程式化廣告」跨平臺推送廣告等移動 APP 收集使用個人資訊的新現象、新問題，也極大地破壞了民眾的安全感。移動 APP 收集使用個人資訊的方式本身在不斷地演變，僅僅依靠政府主導的執法監管往往不能及時發現 APP 收集使用個人資訊行為的最新問題，並且在迴應 APP 違法違規收集使用個人資訊行為時存在一定的滯後性。政府主導的執法監管活動有賴於事先編制評估技術規範檔案，確定評估 APP 收集使用個人資訊行為的判斷標準，進而由專業評估機構依據評估標準開展評估，但 APP 收集使用個人資訊的方式隨著技術發展不斷變化，而行政監管執法行為的特殊性，要求監管部門必須依據事先確定的評估要點，導致監管部門無法快速動態迴應 APP 治理的發展變化。

因此，移動網際網路生態個人資訊保護的實際情況決定了現有的監管思路——「一個一個去評估」和「一個一個去整改」，並不適應目前海量移動 APP 收集、使用個人資訊的客觀情況。更有效的監管路徑應該是從前文所述的，控制著一般移動 APP 技術和運營環境的「守門人」。通過對移動網際網路生態中的「守門人」施加額外的義務，就能夠對移動 APP 收集、使用個人資訊的行為產生「卡脖子」效應，起到事半功倍的效果。

（二）對「守門人」設定特別義務在技術上的可能性

與依靠監管執法「一個一個去評估」、「一個一個去整改」的外部治理相比，通過「守門人」能夠在移動網際網路生態內實現高效地規範、管控移動 APP 收集、使用個人資訊的行為。前述媒體和民眾熱議的 APP 違法違規收集、使用個人資訊行為，「守門人」能夠從技術層面實現治理和突破。蘋果公司同時提供了手機作業系統和應用程式分發兩項服務，以下將結合前述 APP 監管治理中的難題和蘋果公司隱私保護的最新實踐，說明對「守門人」設定特別義務在技術上的可能性。

對於移動 APP 收集個人資訊範圍不清的問題，可行的路徑是通過應用程式分發平臺要求上架的 APP 以固定格式明確個人資訊的常見類型及所指代的資訊內容。自 2020 年 12 月開始，蘋果的 AppStore 產品頁面新增了一個隱私處理說明版塊，以簡潔易讀的格式向用戶提供移動 APP 自行報告的摘要，幫助使用者瞭解移動 APP 如何收集和使用個人資訊，如位置、瀏覽歷史和聯絡人等資訊。使用者可以瞭解 APP 可能收集的一些資訊類型，以及這些資訊是否用於與使用者關聯或追蹤的目的。此舉既能夠提高 APP 收集、使用個人資訊透明度，也能夠讓使用者對個人資訊有更好的掌控。

對於移動 APP 通過隱祕方式（如偷聽、偷拍）收集個人資訊的問題，可行的路徑是由移動終端作業系統增加對使用者即時提示的相關設定。從目前的實踐來看，APP 偷聽存在較高的技術和商業成本，並且伴隨巨大的法律風險，但由於廣告推送商品與使用者對話內容相關，而被民眾質疑 APP 存在偷聽行為。化解使用者疑慮的可行路徑是當 APP 呼叫麥克風、攝像頭許可權時，移動裝置作業系統應在螢幕上通過顯著標識向用戶實時提示（如圖示閃爍、狀態列提示、自定義提示條等），並支援使用者通過點選標識以即時關閉許可權。蘋果在 iOS 14 作業系統中新增了個人資訊保護功能，當麥克風或攝像頭被佔用時，會在螢幕右上角出現「圓點」，提示使用者有 APP 佔用麥克風或攝像頭，並支援使用者通過點選「圓點」以瞭解正在呼叫許可權的 APP。這個功能可有效應對 APP 涉嫌偷聽使用者對話，進而推送商品廣告的問題。

對於移動 APP 獲得許可權後進行濫用且偷偷讀取、上傳、刪除資訊的問題，可行的路徑是由移動終端作業系統對敏感操作進行提示或再次徵求使用者同意；作業系統限制移動 APP 可訪問相簿、儲存區的時機、範圍；每隔一定的時間（例如 180 天），移動裝置作業系統應主動向使用者提示是否關閉 APP 已獲得的麥克風、攝像頭、地理位置、通訊錄、相簿、簡訊等許可權。「拼多多 APP 遠端刪除照片事件」說明安卓系統中 APP 獲得「儲存」等許可權後，具備隨時讀取和刪改手機中檔案的能力。與之相對，蘋果在 iOS 14 作業系統中允許使用者可以選擇只嚮應用授權相簿中的部分照片。如允許 APP 訪問的許可權設定為「選中的照片」時，便無法通過應用讀取或傳送相簿中的其他圖片；如許可權設定為「僅新增照片」時，則只能新增照片，不能訪問相簿，從而避免許可權濫用現象。

對於基於個人資訊進行跨站、跨 APP、跨平臺推送廣告的問題，可行的路徑是移動裝置作業系統應預設開啟 MAC 地址隨機化功能，禁止 APP 獲得不可變更的裝置識別碼，並支援使用者選擇是否將可變更的裝置識別碼向 APP 開放；手動重置或每三個月自動重置可變更的裝置識別碼，如廣告標識符。蘋果在 iOS 14 系統中開始強制要求所有 APP 在收集廣告 ID 用於廣告追蹤前單獨彈窗告知使用者，徵求使用者對於廣告追蹤的許可，使用者可以允許或拒絕不同 APP 對廣告 ID 的收集。徵求追蹤許可的措施將原本隱藏於後臺的廣告追蹤設定推到了前臺，不僅讓更多使用者瞭解廣告追蹤的存在，也讓使用者全面掌握了這一許可權的「生殺大權」，相當於阻斷了原來「預設開啟」的追蹤功能。該項功能可有效降低使用者經常抱怨的跨站、跨 APP、跨平臺推送廣告的現象。

（三）設定特別義務的法理與經濟合理性

1.法理：控制者義務理論

法治的一般原理認為，任何人對自己控制的場所等負有相應的安全保障義務。在物理世界，不動產的所有人（或者作為保有人的實際控制人）對不動產負有適度的安全保證義務，避免損害的發生。於動產，所有人或者使用人對動物、機動車等負有適度的管控義務，避免造成損害。我國 2009 年侵權責任法第 37 條規定了公共場所管理者和群眾性活動組織者的安全保障義務。《中華人民共和國民法典》侵權責任編規定了經營場所的經營者、公共場所的管理者以及群眾性活動的組織者的安全保障義務（第 1198 條），還規定了較為全面具體的網路侵權責任（第 1194—1197 條），體現了網路服務提供者對其管控的網路空間負有適度管控和注意義務的理念。控制者義務理論的核心在於遵循收益與風險相一致以及危險控制理念。一方面，控制者作為利益享有者，其面向社會提供產品或服務，從事以獲利為目的的營利性活動，從危險源中獲取經濟利益者也經常會被視為是具有制止危險義務的人；另一方面，控制者作為管理者，具有專業知識、能力、技術，能夠預見可能發生的危險和損害，更有可能採取必要的措施防止損害的發生或減輕損害，「監督者控制潛在危險的義務通常來源於他對危險源的控制能力」。

同理，對移動網際網路生態具有強大控制力和影響力的「守門人」承擔與技術發展水平相適應且在經濟上具有合理性的適當安全保障義務也是必要的。具有「守門人」地位的作業系統、應用程式分發平臺、大型平臺 APP 為第三方 APP 或小程式提供了運行所需的技術環境和運營環境，藉助技術和管理優勢在網際網路生態系統中具有強大控制力，在權力結構上具有「公」的屬性。因此，賦予「守門人」特殊的安全保障義務，要求此類主體對其支配的個人資訊進行特殊保護和管理，是應對資訊風險社會行之有效的治理路徑。此外，要求「守門人」對藉助其所提供的環境開展運營的移動 APP 進行合理的監督，包括個人資訊保護方面的合理監督、審查、處理和救濟，可以避免治理力量分散導致的效率低下，實現個人資訊保護治理效果的最優。

2.經濟上的合理性

一方面，在「守門人」上的監管資源投入，比在無數分散環節和場景投入資源保護個人資訊更具有經濟合理性，「在多數情況下，使用第三方義務主體去監督、發現為數眾多的違法行為，遠比由行政機關來監督、發現為數眾多的違法行為更符合成本收益分析」。面對百萬級的 APP 運營者，移動網際網路生態中的守門人數量有限。我國國內常用的應用分發平臺不超過 10 個；移動終端作業系統不超過 10 種；具搭載小程式的「超級 APP」平臺目前不超過 8 個。與其面對海量的 APP 一個個進行監管，為提升效率更好的做法是將部分的監管責任前移到關鍵環節的守門人身上。他們有技術能力、有人力資源來稽核希望藉助其技術和運營環境的海量 APP，以較低成本、高效率地為個人資訊保護構築起一道閘門。

另一方面，全行業的義務設定不影響「守門人」之間的公平競爭。部分關注個人資訊保護的「守門人」已經採取了一些自發的措施，如美國的蘋果公司和國內的小米公司。但面對立場和取向不同的「守門人」，出於競爭的考量，其推動個人資訊保護的力度和創新程度會有所延緩或小心翼翼。通過對所有的「守門人」設定統一的個人資訊保護義務，有利於樹立行業取向，以及拉平合規底線。由法律給所有「守門人」設定特定的和必要的個人資訊保護義務，雖然可能增加少量經營成本，但是將全行業置於同樣起跑線的競爭環境，不會影響企業之間的公平競爭。而增加的此等經營成本是可以通過定價機制精選分配和轉移的。

（四）對歐美實踐經驗的考察

1.歐美有關移動網際網路生態治理的觀察

針對移動網際網路生態治理問題，雖然未在歐美的立法中予以明確規定不同的法律責任，但歐美相關資料保護機構一直以來保持對「守門人」的密切觀察。

2013 年，歐盟第 29 條工作組釋出《關於智慧裝置應用程式的意見》在考慮智慧裝置應用程式的資料保護風險時，便已深入 APP 可能涉及的各方主體，包括應用程式開發人員、應用程式所有者、應用商店、裝置及作業系統製造商，以及其他參與資料處理的第三方。在如何提升 APP 的資料保護水平時，第 29 條工作組指出，雖然資料保護義務主要由 APP 開發者承擔，但為了達到最高的隱私和資料保護標準，APP 開發者應當與應用程式領域的其他各方合作，並強調不同主體的法律責任。針對應用商店，第 29 條工作組指出應用商店除了在處理使用者資料時構成資料控制者之外，還應當強化對於 APP 開發者義務的遵守，要求其說明所訪問的資料類型及目的，以及是否會與第三方進行資料共享；同時，第 29 條工作組還建議應用商店建立 APP 接受公眾聲譽機制的約束，併為使用者提供報告 APP 中有關隱私保護或安全問題的反饋渠道等。針對作業系統，第 29 條工作組也明確其應當建立對訪問的控制機制，確保 APP 開發者僅能訪問其 APP 運行所必需的資料，並建立適當的機制向用戶告知 APP 的功能及其所訪問的資料。

美國聯邦貿易委員會（FTC）作為消費者保護機構也在 2013 年釋出了《移動手機隱私披露——通過透明度建立信任》的報告，以改善「收集生態系統」的隱私披露為目標，向參與手機生態系統的主要參與方提出針對性建議。對於諸如蘋果、谷歌、微軟、黑莓等平臺，FTC 明確指出其作為 APP 市場的看門人，在改善移動裝置隱私披露方面擁有最大的變革能力，認為平臺有能力向 APP 開發商提出要求，甚至能夠拒絕未滿足相應要求的應用程式。FTC 建議平臺通過及時披露、隱私控制面板等方式實現對消費者的充分告知，藉助於設計和使用圖示等方式向用戶傳達關鍵術語和概念，並呼籲利益相關方開發適用於移動裝置的禁止追蹤機制（DNT）。

２.歐盟就「守門人」的最新立法動向

事實上，除了在移動網際網路生態的個人資訊保護領域存在「守門人」的角色，在整個輿論公共空間乃至數字經濟中，也存在類似的「守門人」角色，並且引起了立法和監管的特別關注。2020 年 12 月，歐盟最新提出的《數字服務法（草案）》《數字市場法（草案）》，即反映了這一立法趨勢。可以預見的是，這兩個法案一旦獲得立法通過，將與歐盟《通用資料保護條例》（GDPR）一樣，成為影響全球網際網路發展的重要法律制度。因此，我們應當及時研究，在參考借鑑的基礎上未雨綢繆作出對應。

《數字服務法（草案）》旨在為數字中介服務提供者建立非法資訊內容的明確、全面的程式性義務規則，在確定數字中介服務提供者的義務時，歐盟特別關注到了超大型線上平臺（very large online platform）。歐盟委員會認為：隨著線上平臺的規模及其在日常生活中越來越多的存在，它們有時可以被比作表達和經濟交易的公共空間。它們是促進網際網路上資訊交流和行使言論自由的關鍵行為者，它們帶來了最高的社會和經濟風險。具體來說，一方面，線上平臺的商業模式主要是在不斷增加的資訊量、商品和服務中抓住使用者的注意力。平臺業務模式的核心是為使用者匹配與之最相關的資訊。這些服務憑藉強大的網路效應、規模經濟和無可比擬的使用者資料獲取能力，為其帶來利益。使用者數量的規模，使得相對較少的線上平臺能夠實現自我加油式的指數增長，導致使用者和市場力量的極度集中。同時，超大型線上平臺的演算法設計的選擇，將會對使用者線上安全、輿論和話語的塑造以及線上交易產生重大影響。通過平臺傳播的非法內容可以被擴散觸達廣泛的受眾。當內容通過平臺以驚人的速度和規模傳播時，就會引發特別的挑戰。另一方面，線上平臺也對外提供匹配、觸達特定群體使用者的服務，以擴大營利。總之，歐盟認為「超大型線上平臺在放大或塑造網路資訊流方面發揮著系統性的作用」。

鑑於超大型線上平臺的關鍵作用，《數字服務法（草案）》不僅規定了適用於所有提供商品、服務和資訊中介服務的數字服務商的一般性義務，而且針對具有重大社會和經濟影響的超大型線上平臺（在歐盟至少有 4500 萬用戶，佔總人口的 10%）專門提出了增強的管理系統性風險的安全義務，對這些平臺創設了強有力的透明度要求和問責機制。超大型線上平臺的特殊義務包括系統性風險評估義務、接受外部獨立審計的義務、配合調查人員提供資料訪問權的義務以及額外的透明度義務等方面。此外，在授權歐盟委員會對線上平臺進行干預、監督和調查方面，《數字服務法（草案）》建立了明確的事前監管機制、事中干預機制和事後處罰機制。

《數字市場法（草案）》更是牢牢抓住關鍵環節，其條文僅適用於根據法案中的客觀標準被認定為「守門人」的大型線上平臺，即成為連線消費者和其他企業的主要通道並提供服務，同時利用作為主要通道的角色進一步鞏固和擴大自己的主導地位的線上平臺企業。「守門人」企業的典型特徵是：「有能力創造和塑造新的市場，挑戰傳統市場，並在收集、處理和編輯大量資料的基礎上組織新的參與形式或開展業務。在多邊市場中運作，但對使用者群體之間的直接互動有不同程度的控制。受益於網路效應。依靠資訊和通訊技術即時和便捷地接觸使用者，從規模經濟和範圍經濟中獲益。它們在數字價值創造中發揮著關鍵作用，特別是獲取重大價值（包括通過資料積累），促進新的商業投資，並創造新的戰略依賴。」由於這些服務在數字市場中不可被繞過，因此一些提供上述服務的企業成為守門人，不僅對整個平臺生態系統行使控制權，而且進一步擴大和鞏固其在多邊市場上的存在，例如圍繞其核心業務建立擴張性資料驅動型生態系統，通常通過其他業務的資料或收入補貼某項業務。導致的結果是現有的或新的市場參與者基本上不可能與之競爭。由於這些大型企業面臨的競爭壓力較弱，數字市場不能良性運作或者即將難以良性運作的可能性隨之增大，因而存在守門人的數字市場可能無法在價格、質量、選擇和創新方面為消費者提供最佳結果。另一方面，由於眾多企業越來越依賴守門人，導致在許多情況下雙方議價能力嚴重失衡，進而使得企業使用者接受在正常情形中不會接受的不公平商業條件。議價能力的失衡，加之眾多企業使用者和消費者對守門人的經濟依賴，使得守門人能夠獲得在運作良好和競爭性市場情況下無法獲得的條件。

歐盟在《數字市場法（草案）》中進一步提出，如果被證實核心平臺服務的提供者：（1）對內部市場有重大影響，（2）經營一個或多個重要消費者通道，（3）享有或預期獲得根深蒂固和持久的經營地位，則構成《數字市場法（草案）》中的守門人。對於這三個概括性的條件，《數字市場法（草案）》提出了下列數量上的閾值：第一，影響內部市場的規模，即企業在過去三個財政年度在歐洲經濟區（EEA）實現的年營業額等於或超過 65 億歐元，或者在上一財政年度其平均市值或等值公平市價至少達 650 億歐元，並在至少三個成員國提供核心平臺服務。第二，控制著企業使用者通向終端使用者的重要門戶：如果公司運營的核心服務平臺在上一財政年度在歐盟建立或位於歐盟的月活躍終端使用者超過 4500 萬，並且在歐盟建立的年活躍商業使用者超過 1 萬。第三，享有或在不久的將來預期享有穩固而持久的地位：企業在過去三個財政年度中的每個年度都符合其他兩個標準。即便上述條件沒有得到全部滿足，那麼歐盟委員有權通過市場調查來評估特定企業的具體情況，並有權在定性評估的基礎上作出將其認定為守門人的決定。

為了確保資料市場的公平性和開放性，《數字市場法（草案）》為被認定為守門人的平臺施加了一系列額外的具體義務，既包括守門人在日常運營過程中實施某些行為的積極義務，也包括避免從事某些不公平行為的禁止性義務。守門人應當積極履行的義務主要包括：守門人應在特定情況下允許第三方與自己的服務進行互動操作；守門人應為在其平臺上投放廣告的公司提供訪問守門人的效能衡量工具以及獨立驗證所需的資訊；守門人應允許其企業使用者在守門人平臺之外推廣其服務並與客戶簽訂合同；守門人應為企業使用者提供訪問守門人平臺上的活動所生成的資料許可權；等等。守門人不得從事的不公平行為主要包括：守門人不得再阻止使用者解除安裝任何預裝軟體或應用程式；守門人不得使用從其企業使用者獲得的資料與之競爭；守門人不得限制其使用者訪問其可能在守門人平臺之外獲得的服務；等等。

從上述歐盟的最新立法實踐中可以看出，無論是降低公共資訊空間中的違法資訊風險，還是維持數字市場的可競爭性和公平性，歐盟的著力點均放在了處於關鍵環節的超大型線上平臺和守門人。

四、作為立法建議的具體法律條文設計

（一）「守門人」的界定標準

直觀地說，「守門人」應當是在整個生態系統中的特定領域具有主導地位乃至控制權的，同時具有極大的經濟規模和極強的網路效應的組織。如前文所述，移動網際網路生態中個人資訊保護領域的守門人，現階段較為突出的是移動終端作業系統、應用分發平臺、平臺型的超級 APP。在歐盟語境中，公共資訊空間中的守門人是使用者量超過一定數量的超大型線上平臺，數字經濟中的守門人是影響、掌握的消費者通道以及經營地位特殊的線上中介服務、線上搜尋引擎、社交網路、視訊共享平臺服務等。

但顯然，鑑於數字行業的動態變化性質，對「守門人」地位的判斷也應結合技術條件和商業形勢的變化而作出調整。為了確保必要的公平性和法律確定性，這種評估應基於在適當的時間和程式框架內所進行的市場調查。因此，歐盟在《數字服務法（草案）》和《數字市場法（草案）》中率先提出了可資借鑑的法律和數量標準的同時，也都為未來隨著形勢變化作出調整預留了空間。

例如《數字市場法（草案）》第 3 條第 5 款提出，圍繞這三項定性標準，歐盟委員會有權具體規定達到這些標準的數量閾值，並在必要時根據市場和技術的發展定期調整。而且，特定企業即便未達到《數字市場法（草案）》當前提出的具體數量閾值，歐盟委員可以綜合考慮以下要素及其可預期性，包括：核心平臺服務提供者的規模（包括營業額和市值）、業務和地位；業務使用者數，取決於核心平臺服務觸達終端使用者的數量；因網路效應和資料驅動優勢而產生的進入壁壘，特別是在供應商獲取和收集個人和非個人資料或分析能力方面；服 務提供者所受益於的規模和範圍效應，包括在資料方面的規模和範圍效應；企業使用者或終端使用者鎖定；其他結構性市場特徵等。在此基礎上，歐盟委員會可以認定特定企業為守門人企業。此外，歐盟委員會還應對守門人地位進行定期（至少每兩年一次）審查，以認定特定企業為守門人所依據的任何事實是否發生了重大變化，並持續公佈和更新守門人名單和核心平臺服務名單。類似地，《數字服務法（草案）》在第 25 條第 3 款中也提出：歐盟委員會應根據第 69 條通過授權法案，調整本條第 1 款中提到的聯盟中每月平均接受服務的人數（即前文所述的 4500 萬用戶——筆者注）。同樣，該草案第 25 條第 4 款規定，線上平臺所在地的數字服務協調員應至少每 6 個月核實一次在其管轄下的線上平臺平均每月活躍的服務物件數量是否等於或高於本條第 1 款所述的數量。

歐盟《數字市場法（草案）》和《數字服務法（草案）》為我國在未來評估和審查我國移動網際網路生態中個人資訊保護領域的「守門人」提供了有益借鑑。但是對於我國而言，由於個人資訊保護法仍處在制定階段，對於「守門人」地位的具體界定方法不宜大幅出現在個人資訊保護法中，但是可以通過行業標準、其他規範性檔案或其他形式作出。在這一過程中，適宜通過有關專家論證會，綜合考慮促進數字領域創新、數字產品和服務的質量、公平競爭以及數字經濟發展等因素。

（二）「守門人」的具體義務設計

如前文所述，當前移動終端作業系統、應用分發平臺、平臺型的超級 APP 等守門人企業，管控著一般的移動 APP 處理個人資訊的技術和運營環境。考慮到將來隨著技術和業態的持續演進，很可能會出現新興類型的守門人。因此，筆者建議將技術和運營環境，抽象成「通道、空間、技術等資源」，並從事前、事中、事後等三個方面，完整地設計守門人在個人資訊保護方面的特殊義務。具體來說，建議在《個人資訊保護法（草案）》「第五章個人資訊處理者的義務」第 51 條之後增加如下條文，規定「守門人」保護個人資訊的特別義務：

第五十一條 A （「守門人」的特別義務）

控制個人資訊處理的關鍵環節，為其他個人資訊處理者處理個人資訊提供通道、空間、技術等資源的網路運營者，除遵循本法和其他法律的相關規定特別是本法第五十條和第五十一條的規定外，對個人資訊保護承擔以下特別義務：

（一）制定符合國家法律法規等規定要求的個人資訊保護標準的准入規範，不得為不達標的個人資訊處理者使用其所管控的通道、空間和其所提供的技術服務。

（二）利用必要的技術手段，對使用其所管控的通道、空間和使用其所提供的技術服務的個人資訊處理者的日常個人資訊處理行為進行監管，於必要時提出警告和整改意見。

（三）建立相關的投訴受理和處置機制。

（四）配合國家個人資訊保護機構對違反個人資訊保護法律法規的個人資訊處理者的調查處理。

（五）下架違法違規處理個人資訊的網際網路應用程式。

（三）「守門人」義務的性質討論

１.與國家網際網路管理相對應的行政法上的義務

「守門人」作為政府指定的私人主體，承擔採取阻止性措施防止有害行為發生或者將有害行為相關資訊提供給政府的義務，這種由提供服務、產品的私人主體或僱主承擔幫助行政機關發現或阻止違法行為的義務，屬於行政法上的「第三方義務」。藉助於私人主體發現違法行為的幫助，能夠緩解行政資源有限而無法全面實施法律的困境。這種「代理式」監管思路在我國整個網際網路監管歷史上並不陌生，我國在引入網際網路監管時，針對海量資訊傳輸帶來的內容監管問題，便確立了代理式監管思路，由企業來承擔對傳播資訊的審查責任，如對於網路運營者而言，《網路安全法》等法律法規明確要求其應當加強對使用者釋出的資訊的管理，發現有法律、行政法規禁止釋出或者傳輸的資訊的，應當立即停止傳輸該資訊，採取消除等處罰措施，防止資訊擴散，儲存有關記錄，並向有關主管部門報告。

具體來說，國家通過立法明確「守門人」負有發現並阻止違法行為的義務，表現為「守門人」與個人資訊處理者、使用者以及監管機關之間的多維關係。首先，「守門人」基於法律法規的規定，在為個人資訊處理者提供通道、空間、技術等資源時，負有對個人資訊處理者的審查義務，確保個人資訊處理者收集、使用個人資訊行為符合合法、正當、必要的要求，不得為存在非法收集、使用個人資訊行為的個人資訊處理者提供相應的服務，發現個人資訊處理者存在違法違規收集、使用個人資訊行為時基於「守門人」對通道、空間、技術等資源的優勢控制力，可警告存在違法違規收集、使用個人資訊行為的個人資訊處理者，並要求其作出整改。其次，「守門人」還應當對監管機構開展個人資訊保護相關的執法行動予以配合和協助，在知道或應當知道移動 APP 已被監管機構確認存在違法違規收集、使用個人資訊行為的，應當及時下架相應的移動 APP。最後，「守門人」作為移動 APP 觸達使用者的重要途徑，也應當為使用者投訴和反饋移動 APP 違法違規收集、使用個人資訊線索提供渠道，進而能夠及時、動態地發現相應違法違規收集、使用個人資訊的行為。

２.與自然人個人資訊保護權益相對應的義務

我國民法典從民事基本法的高度確認自然人個人資訊保護的民事權利（權益），並將個人資訊確立為自然人的人身非財產性質的人格權（權益）且具有支配性特徵，明確義務主體負有相應的作為和不作為義務，包括應當合法取得和確保資訊保安的作為義務，以及不得非法收集、使用、加工、傳輸、買賣、提供或者公開他人資訊的不作為義務。同時，我國民法典在人格權編第 1034—1039 條明確了個人資訊的概念、處理個人資訊的條件、免責事由等事項，從義務主體行為規範的角度明確了自然人個人資訊受法律保護的具體內容。

從保障自然人個人資訊民事權益的角度而言，「守門人」自身也是個人資訊民事權益的義務主體，需要為使用者提供符合個人資訊保護要求的產品或服務環境。與此相對，「守門人」所負有的特別義務則主要與防範、制止移動 APP 等第三方對使用者個人資訊的侵害行為有關，屬於法定的積極作為義務。一方面，「守門人」所負有的特別義務以法定義務為原則。由以個人資訊保護法為核心的個人資訊保護相關法律、行政法規、規章等對「守門人」特別義務的具體內容和認定標準作出規定，構成判斷「守門人」法定個人資訊保護義務的主要依據和基本要求，「守門人」不能通過隱私政策等格式條款排除特別義務的適用。另一方面，「守門人」所負有的義務以積極作為義務為原則。「守門人」需要為積極的作為行為，保障使用者的個人資訊，如進行必要的提示和說明等，消極不作為往往構成對特別義務的違反，如「守門人」沒有盡到對 APP 的稽核義務等。「守門人」一旦違反特別義務的規定，其所面臨的民事賠償責任主要是指「守門人」沒有防範、制止移動 APP 侵害使用者個人資訊的行為而承擔的侵權責任。

３.個人資訊保護法的「領域性」決定了其所歸檔的權利（權益）和義務的跨部門性

隨著資訊社會的高速發展和社會關係的日益複雜，個人資訊保護問題所具有的整合性、交叉性、複雜性，決定了個人資訊保護問題構成典型的「問題領域」。相應地，個人資訊保護法與環境法、財稅法等類似，屬於典型的「領域法」，具有跨越傳統法律部門、多元特徵混合、公私法融合的特點，單一部門法的制度工具、責任機制無法單獨解決個人資訊保護問題。由是觀之，個人資訊保護法規定的資訊主體各項權利以及個人資訊處理者的各項義務，也具有跨部門性的特點，應當從跨部門性的現實特點出發，構建綜合性的法律保護框架和責任機制。具體說來，個人資訊保護法作為個人資訊保護領域的基礎性法律，由其明確個人資訊處理的基本原則、資訊主體各項權利邊界、個人資訊處理者各項義務內容、保障機制等基本事項。同時，由民法、行政法、刑法進行相應的銜接，藉助綜合法律框架，共同制裁相應的違法行為。就「守門人」的特別義務而言，「守門人」違反特別義務，可能導致各類法律責任，既包括民法框架下對使用者的侵權責任，也包括違反特別義務的合規要求導致的行政責任乃至刑事責任。此外，從多元法律責任機制的協同視角觀察，考慮到民事侵權損害賠償制度難以獲得有效救濟以及刑罰的「最後手段性」，應著重考慮「守門人」特別義務的行政責任。

五、簡短的結論與建議

在網際網路技術不斷迭代發展的過程中所形成的對網際網路生態具有極強控制力和影響力的大型線上企業，成長為有能力管控特定網路空間個人資訊收集和處理行為的「守門人」。給此等企業設定與其能力相適應的特別個人資訊保護義務以區別於一般個人資訊處理者的個人資訊保護義務，既具有法理基礎和經濟上的合理性，也符合網際網路治理的世界潮流，能夠更有效地保護自然人的個人資訊。因此，建議正在制定的我國個人資訊保護法增加上述內容的條文，對作為「守門人」的企業設定此等義務。

對於守門人的具體條件，如經濟規模和影響力等方面的要求，可以由法律作出原則性的規定，在法律實施中由國家網路資訊主管部門（網信辦）會同產業主管部門（工信部）等加以規範和認定。