当前位置:资讯 > 正文
个人信息保护进入立法时代 互联网平台还须承担自身责任接受社会监督
2021-12-24 14:48:14 来源: 人民邮电报

鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其扮演“守门人”角色,并承担更多责任,主要包括:应按照国家规定建立健全个人信息保护合规制度体系;成立主要由外部成员组成的独立机构进行监督;遵循公开、公平、公正的原则制定平台规则;对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;定期发布个人信息保护社会责任报告并接受社会监督等。

《个人信息保护法》的重要互联网平台“守门人”制度在其他规范性文件中也屡屡强调。2021年10月29日,国家市场监督管理总局就《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》公开征求意见。《互联网平台分类分级指南(征求意见稿)》根据用户规模、业务种类、限制能力,将互联网平台分为以下三级:超级平台、大型平台和中小平台,其中超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。其中,超大用户规模,即平台上年度在中国的活跃用户不低于5亿;超广业务种类,即平台核心业务至少涉及两类平台业务,该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用六大方面;超高经济体量,即平台上年底市值(估值)不低于10000亿元人民币;超强限制能力,即平台具有超强的限制商户接触消费者(用户)的能力。

《互联网平台落实主体责任指南(征求意见稿)》明确了超大型平台经营者的八大主体责任:一是公平竞争的示范责任,超大型平台经营者具有规模、数据、技术等优势,应当发挥公平竞争示范引领作用;二是平等治理的责任,超大型平台经营者应当遵守公平和非歧视原则,平等对待平台自身(或关联企业)和平台内经营者,不实施自我优待;三是开放生态的责任,超大型平台经营者应当在符合安全以及相关主体权益保障的前提下,推动其提供的服务与其他平台经营者提供的服务具有互操作性;四是数据管理的责任,超大型平台经营者应当建立健全数据安全审查与内控机制,对涉及用户个人信息的处理、数据跨境流动,涉及国家和社会公共利益的数据开发行为,必须严格依法依规进行,确保数据安全;五是内部治理的责任,超大型平台经营者应当设置平台合规部门,不断完善平台内部合规制度和合规机制,响应监管部门的监管要求,并建立平台内部预防腐败机制;六是风险评估的责任,超大型平台经营者应当至少每年进行一次风险评估,重点识别、分析和评估由其提供的互联网平台服务可能引起的各种风险,并定期发布风险评估报告;七是安全审计的责任,超大型平台经营者应定期委托第三方独立机构对《互联网平台落实主体责任指南》所规定的主体责任的遵守情况进行审计,并由第三方独立机构发布书面审计报告;八是促进创新的责任,超大型互联网平台经营者应当充分利用数据、资金、人才、用户和技术等资源优势,加大创新投入,提升技术水平,组织核心技术攻关,加快技术迭代,扶持中小科技企业创新,不断激发平台经济领域创新发展活力。

为了保证“守门人”制度实施,确保个人信息处理者遵守个人信息保护之义务,严格规范个人信息的处理活动,《个人信息保护法》设置了严格的行政和民事法律责任。

《个人信息保护法》第六十六条对违法处理个人信息,或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任,一是由履行个人信息保护职责的部门责令改正、给予警告、没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;二是拒不改正的,并处一百万元以下罚款;三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

如果有上述规定的违法行为,且情节严重的,设定两项更严格的法律责任,一是由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;二是对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

特别是“并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”,这项处罚是非常严厉的。我们可以对比GDPR对违反信息披露和保护个人信息违规实施的处罚:严重违约罚款2000万欧元或全球营业额的4%(以较高者为准);轻微违约罚款1000万欧元或全球营业额的2%(以较高者为准),比如苹果公司最近几年的收入都超过了2000亿美元,那么按照“全球营业额的4%”计算,罚金就有可能高

达80亿美元。可见,我国《个人信息保护法》的处罚金额与GDPR的罚金是一个等量级的,不过GDPR对违反信息披露和保护个人信息的经济处罚责任重点强调违约罚款,特别强调了是“全球营业额”的罚款比例。我国《个人信息保护法》已经设立了域外效力,因此法律责任的适用也应当具有全球视野。

标签: 互联网平台 个人信息保护 社会监督 权益保护

责任编辑: jkl2