数安条例百问74、75、76、77、78：关于平台规则、隐私政策和算法策略

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。

平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

解读
首先明确一个概念，《条例》第四十三条不是针对所有的数据处理者，而是特指“互联网平台运营者”。《条例》的“附录”对此给出了定义：指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

这一定义反映了互联网平台运营者的两个特点：（1）他们首先是互联网平台，因此在组织规模、数据量、服务能力、交互关系等方面与一般的个人信息处理者不同；（2）他们提供特定的服务，如信息发布、社交、交易、支付、视听等，这些服务无一例外都是热门互联网服务，用户量大、与公众日常生产生活直接相关。
  
这也能说明《条例》为什么要设立第六章“互联网平台运营者义务”。互联网平台运营者本身是数据处理者，当然要遵循此前其他章节的规定。但其在提供平台服务的过程中，有很多与数据利用有关的行为（如“大数据杀熟”），还涉及到平台上的多种角色（如第三方程序），故其中与安全有关的很多事项需要作出专门规定。这是第六章的立法目的。
  
在第六章中，为什么要设立第四十三条，对平台运营者的平台规则、隐私政策、算法提出要求呢？这是因为，平台直接面向社会提供服务，其运行直接关系公共利益，不能任由企业“为所欲为”。我们都知道，政府部门在履行社会管理职能时，其政策法规文件的制定过程越来越公开透明，往往会多轮次征求社会意见，西方为此发明了“多利益攸关方”这个词汇。互联网平台显然是一种“多利益攸关方”场景，企业何以就自己说了算呢？为什么不顾及“多利益攸关方”的感受呢？
  
正是从上述考虑出发，《条例》第四十三条规定，平台运营者的平台规则、隐私政策、算法应当及时披露，制定时或者有重大修订时需征求社会意见。不仅如此，特殊情况下还要经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。该条的规定说明，平台型互联网企业再也不能认为平台运营是企业自己的事情了，企业要担负起更多的社会责任。
  
有的人提出，互联网平台那么多，事无巨细都要征求社会意见甚至有关部门同意吗？这当然不是的。第四十六条规范的是“数据相关的平台规则、隐私政策和算法策略”。即，“平台规则”只限于“与数据相关”；“隐私政策”自然也是直接关系个人信息保护；而“算法策略”指的是处理数据、利用数据的“算法策略”，主要与用户个人信息权和用户在经济社会中的合法权益有关，不是指所有的算法。例如，企业发明了一种提高图像精度或视频信号处理速度的算法，这当然是企业的知识产权，一般情况下不需要披露。

对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。

平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

解读
在首次制定与数据相关的平台规则、隐私政策和算法策略时，或者以前未曾公开，那么互联网平台运营者应当按要求公开征求社会意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。虽然互联网平台业务发展迅速，但如能事先规划，这个“三十个工作日”一般是不会影响业务的。但一旦处于运行状态，平台规则、隐私政策和算法策略往往会有较快的更新，或者一些更新需要立刻发挥作用，这时候再要求征求意见且时长不短于三十个工作日，可能就不是很现实了。

考虑到以上客观情况，《条例》专门规定，并非逢修订必征求意见，而是发生“对用户权益有重大影响的修订”时才需征求社会意见。至于何为“对用户权益有重大影响”，这需要由互联网平台运营者自行判断。但如互联网平台运营者认为有关修订并不构成对用户权益有重大影响，其应当具备充分理由，并能向监管部门说明。

对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

解读
《条例》第四十三条提到，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见。这种描述方式引出了一个问题：这里的“官方网站”和“个人信息保护相关行业协会互联网平台”是并列关系还是选择关系？
  
很明确，他们是并列关系。
  
随时而来的另一个问题是，“个人信息保护相关行业协会”是谁？为什么要到其平台上征求社会意见？
  
答案在《条例》的第五十九条第二款：
  
国家支持成立个人信息保护行业组织，开展以下活动：
（一）接受个人信息保护投诉举报并进行调查、调解；
（二）向个人提供信息和咨询服务，支持个人依法对损害个人信息权益的行为提起诉讼；
（三）曝光损害个人信息权益的行为，对个人信息保护开展社会监督；
（四）向有关部门反映个人信息保护情况、提供咨询、建议；
（五）违法处理个人信息、侵害众多个人的权益的行为，依法向人民法院提起诉讼。
  
下一步，待《条例》通过后，国家将落实上述要求，推动成立个人信息保护行业组织，这就是《条例》第四十三条所指的“个人信息保护相关行业协会”。该协会是面向社会公众的社团组织，集中在其上开设对互联网平台规则、隐私政策和算法策略的征求意见专栏，有利于聚焦社会注意力，有利于提高征求意见的社会参与度和效率。

对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

解读
《条例》第四十三条规定，日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。这被有的人认为政府“越俎代庖”，甚至认为这是在给互联网发展戴上“紧箍咒”。
  
以上认识有所偏颇。该条强调“日活用户超过一亿”，这在互联网平台中只是极小的一部分，对绝大数互联网平台没有影响。但当平台用户规模确实达到这种程度时，其早就成为了社会运转的“基础设施”，动辄感冒发烧恐怕都会引起极大影响。甚至在某些时候，这类平台拥有了“超政府权力”，为国家安全和社会治理带来巨大挑战。例如，以前人们常常听说有人到政府部门“上访”，但近年来到互联网头部企业上访的中小企业主和个人屡见不鲜，甚至催生了一条灰色产业链。更为极端的是，当有平台修改支付结算规则时，竟然引发了平台上商户的集体抗议，险些造成群体性事件。
  
《条例》并不能解决平台经济发展过程中遇到的所有问题。但与数据有关的问题属于《条例》规范对象。鉴于前述情况，日活用户一亿以上大型互联网平台的平台规则、隐私政策不仅要公开征求社会意见，还应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。这样做的目的，是加强对重大社会风险的防控，制约互联网平台的“超政府权力”。

对应条款
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订，互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见，征求意见时长不得少于三十个工作日，确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见，修改完善平台规则、隐私政策，并以易于用户访问的方式公布意见采纳情况，说明未采纳的理由，接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

解读
《个人信息保护法》第五十八条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：
  
（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；
（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；
（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；
（四）定期发布个人信息保护社会责任报告，接受社会监督。
  
该条第（一）项提出了“由外部成员组成的独立机构”要求，引起了社会极大关注，被普遍认为是借鉴了西方的“守门人义务”。人们自然会关心：“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”如何认定，这几个定语之间是并列关系还是选择关系？
  
《个人信息保护法》对以上问题并未给出答案，很多人寄希望于《条例》能对此予以说明。
  
但《条例》没有使用《个人信息保护法》的三个定语（重要互联网平台服务、用户数量巨大、业务类型复杂），而是直接在第四十三条第三款引出了“日活用户超过一亿的‘大型互联网平台运营者’”。至于什么是大型互联网平台运营者，《条例》的“附则”部分作了定义：指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
  
于是新的问题产生了：《条例》中的“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”与《个人信息保护法》中的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”什么关系？
  
准确说，不排除两者之间会有重复的对象，但这两个定义不是等同或从属的，其间并无必然联系。因此，在落实《个人信息保护法》第五十八条要求时，不需要依照《条例》第四十三条。
  
但有两点需要说明：
  
一是，《个人信息保护法》第五十八条中的“用户量巨大”可以参照《条例》中“用户超过五千万”的描述。
  
二是，《条例》中的“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”也出现了三个定语。这三个定语是选择关系。

【下期预告】
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任？
80、什么叫做个人通信和非个人通信选择？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？

  总编辑|小贝