数安条例百问81、82、83：关于反不正当竞争、应用程序分发管理和数据互通

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动：

（一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；
（二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为；
（三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据；
（四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。

解读
《条例》第四十六条是对不正当竞争或不当限制所作的禁则。当前，平台治理是一个重要话题，美欧等国家和地区也几乎步调一致地加强了对大型互联网平台的监管，屡屡开出巨额罚单，甚至一度传出要将某些企业分拆的猜测。国内也不例外，重点开展了对“二选一”、恶意屏蔽、开屏广告等行为的整治。
  
《条例》从自身定位出发，并不拟针对所有的平台乱象进行规范，而是突出与数据有关的平台行为。这样的处理也是为了与市场监管部门正在开展的工作以及相关的立法活动区分开。
  
2021年2月7日，国务院反垄断委员会印发了《关于平台经济领域的反垄断指南》（国反垄发〔2021〕1号）。其中列举了以下与数据有关的垄断行为：
  
“具有竞争关系的平台经济领域经营者可能通过下列方式达成固定价格、分割市场、限制产（销）量、限制新技术（产品）、联合抵制交易等横向垄断协议：
（一）利用平台收集并且交换价格、销量、成本、客户等敏感信息；
（二）利用技术手段进行意思联络；
（三）利用数据、算法、平台规则等实现协调一致行为；
（四）其他有助于实现协同的方式。”
  
“平台经济领域经营者与交易相对人可能通过下列方式达成固定转售价格、限定最低转售价格等纵向垄断协议：
（一）利用技术手段对价格进行自动化设定；
（二）利用平台规则对价格进行统一；
（三）利用数据和算法对价格进行直接或者间接限定；
（四）利用技术手段、平台规则、数据和算法等方式限定其他交易条件，排除、限制市场竞争。”
  
“具有市场支配地位的平台经济领域经营者，可能滥用其市场支配地位，无正当理由拒绝与交易相对人进行交易，排除、限制市场竞争。分析是否构成拒绝交易，可以考虑以下因素：
……
（四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，使交易相对人难以开展交易；
……”
  
“具有市场支配地位的平台经济领域经营者，可能滥用市场支配地位，无正当理由对交易相对人进行限定交易，排除、限制市场竞争。分析是否构成限定交易行为，可以考虑以下因素：
（一）要求平台内经营者在竞争性平台间进行“二选一”，或者限定交易相对人与其进行独家交易的其他行为；
……”
  
《条例》充分考虑了已有文件中对平台垄断行为所作的相关规定。但鉴于“垄断”的认定有着严格标准，很多平台乱象不一定属于垄断行为，故《条例》不限定于反垄断，而是对与数据相关的垄断、不正当竞争、不当限制等行为一并作了规范。

对应条款
第四十七条 提供应用程序分发服务的互联网平台运营者，应当按照有关法律、行政法规和国家网信部门的规定，建立、披露应用程序审核规则，并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序，应当采取拒绝上架、督促整改、下架处置等措施。

解读
《条例》第四十七条对应用程序分发服务提供者提出了要求。作为一种特殊的平台，应用程序分发服务提供者为用户下载应用程序提供了入口。此前，监管部门的注意力主要集中在应用程序收集使用用户个人信息的合规性。如果应用程序存在问题怎么办呢？一般都是由主管部门通知应用程序分发服务提供者对其下架。随着个人信息保护工作的深入，人们逐渐认识到这是不够的，应用程序分发服务提供者不能只是被动地接受监管部门的通知。一个很简单的逻辑是，既然提供平台服务，当然就应当对于平台上物项的合法性负责。
  
因此，目前在个人信息保护工作中，开始要求应用程序分发服务提供者担负起对平台上应用程序的审核职责，这是《条例》第四十七条的立法目的。
  
对该项规定，人们可能会提出三个方面的问题：
  
一是，审核规则依据什么制定？原则上，由应用程序分发服务提供者建立、披露应用程序审核规则。但这是一项专业性比较强的工作，应用程序分发服务提供者依据什么来制定审核规则呢？审核规则的正确性、完备性如何保证呢？实践中，可能还是要由政府部门或标准化机构、行业组织为审核规则提供统一的标准，各应用程序分发服务提供者可以根据具体情况裁剪。
  
二是，每个应用程序分发平台上往往有海量的程序，第四十七条的规定是否加重了应用程序分发服务提供者的负担？客观上，这确实是一个比较大的工作量，因此应用程序分发服务提供者应当提升技术检测能力，例如部署自动化检测工具，或购买第三方检测服务。虽然这会增加一些运营成本，但却是企业应当担负的基本责任。
  
三是，如果应用程序分发服务提供者滥用这一审核权力怎么办？当然不排除会有这种情况。但也要看到，如果应用程序分发服务提供者滥用权力，完全不必等到对应用程序进行数据安全审核的时候，其本来就对应用程序上架有具体要求。因此，对应用程序的审核要求至少没有加大应用程序分发服务提供者滥用权力的动机。况且，应用程序开发者如果认为应用程序分发服务提供者有滥用审核权的情况，可以进行投诉举报。

对应条款
第四十八条 互联网平台运营者面向公众提供即时通信服务的，应当按照国务院电信主管部门的规定，为其他互联网平台运营者的即时通信服务提供数据接口，支持不同即时通信服务之间用户数据互通，无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。

解读
即时通信是一种基础性的互联网服务。日益增多的即时通信工具使人们生活丰富多彩，提高了沟通联络和生产效率。目前除了专门的即时通信工具，越来越多的平台服务中都增加了即时通信功能或模块。但与手机、座机在不同运营商之间可无障碍通话不一样，一款即时通信工具在设计之初很少考虑与其他即时通信工具的互通。这导致用户常常不得不在不同工具或平台之间切换，不但操作不便，也增大了沟通成本，与信息技术互联互通的天然特性背道而驰。
  
最近一段时间以来，工业和信息化部开展了平台互联互通专项工作，首要一步是确保合法合规的网址能够正常访问，不会被平台恶意屏蔽。《条例》第四十八条的立法目的，就是为了对此类工作提供上位法依据。
  
对《条例》第四十八条的规定，有必要强调两点：
  
一是如何理解“即时通信”？通信是平台的基本功能，随着互联网业态的丰富，通信的“即时性”和“非即时性”的界限正在逐渐模糊，例如很多邮件类App提供的交互功能事实上已经接近“即时”。因此，第四十八条的规定不是只针对人们常用的微信等程序，而是面向更为广泛的平台通信功能。当然，如果“即时通信”使人容易误解，可以考虑不突出这个词。
  
二是如何理解“互联互通”？平台之间不愿互联互通的根本原因是平台间的生态竞争，而生态竞争的本质是流量争夺。在“流量为王”的时代，企业对此锱铢必较。这其中存在客观的商业规律，不可能违背规律要求企业放弃商业利益。因此，“互联互通”有一个方式和程度的问题。例如，通过一款即时通信工具与另一款工具直接聊天，这是最彻底的“互联互通”，但多数时候无法实现，也没有必要这样做。再例如，“阿里”旗下的App在支付时可以选择微信支付，这种功能的开放也是一种互通，这便是可以实现且有意义的。《条例》第四十八条主要强调了两种互通：（1）不得限制用户访问其他互联网平台，禁止屏蔽合法网址便属于此类；（2）不得限制用户从一个平台向其他平台传输文件，例如在某应用中向微信传一张图片。因此，第四十八条主要关注的是“数据互通”。目前，该条并未要求两个平台之间能够进行即时通信。

【下期预告】
84、如何理解对个性化推荐所提的要求？
85、为什么要求个性化推荐时征得“单独同意”？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任？
80、什么叫做个人通信和非个人通信选择？

  总编辑|小贝