21世纪经济报道记者 王俊 杭州报道
2021年8月20日,《个人信息保护法》颁布,创设性提出了“守门人”条款,在58条以4个款项200余字,规定了“守门人”平台需承担的义务与责任,以期抓住个人信息保护的关键和核心环节。
(资料图)
《个人信息保护法》实施一年后,“守门人”条款仍存在一定的适用性难题。2022年11月,中国社会科学院法学研究所与南方财经全媒体集团共同组成课题组研发“守门人”社会责任指标体系,并对18家大型平台企业的代表性APP做出测评,根据公开的可查询渠道,严格依据指标,对这些“守门人”平台的社会责任履行情况做出判断。
根据测评报告,多数企业未能落实成立“由外部成员组成的独立机构”这一款项,也缺乏个人信息社会责任报告的公示。
近日,蚂蚁集团迈出了探索的一步路。记者了解到,蚂蚁集团个人信息保护监督委员会(以下简称“监委会”)于3月22日举行2023年度首次会议。该监委会设立于2022年下旬,由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立,作为独立机构对公司个人信息保护情况进行监督,进一步健全个人信息保护评价和监督机制。
本次会议,监委会讨论通过了2023年委员会工作计划,包括委托第三方机构通过认证、技术测评、外部审计等对蚂蚁个人信息保护合规情况进行监督,主题性举办现场会议审议工作阶段性进展、研讨行业趋势,此外将在年底撰写《个人信息保护报告》提请董事会审议。
蚂蚁设立监委会 对平台规则、隐私政策的重大修订等监督、指导互联网平台对于促进数字经济发展发挥着重要作用,但随着互联网平台企业的壮大,逐渐出现了一些超级平台利用数据优势阻碍竞争、侵害用户权益等现象,加强对互联网平台特别是超级平台的治理已经成为全球共识。这种情况下,《个人信息保护法》加入“守门人”条款被视为是有必要的。
中国人民大学法学院教授张新宝主张强化大型互联网平台的个人信息保护义务,抓住互联网治理的关键和核心环节,就此引入“守门人”概念,被纳入《个人信息保护法》。《个人信息保护法》第五十八条对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”课以特别义务。
但“守门人”条款在实践中存在适用性的问题。首先的考验来自标新立异的法律规定。《个人信息保护法》第58条第一款规定,“守门人”平台应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
这个规定让不少互联网平台望而却步。面对全新的事物,此前除腾讯、携程发布了相关招募启事外,多数大型平台企业都保持沉默。
记者获悉,蚂蚁集团对此进行了落地。2022年下旬,蚂蚁监委会成立,由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立,作为独立机构对公司个人信息保护情况进行监督,进一步健全个人信息保护评价和监督机制。
根据监委会工作规则,委员有权对平台规则、隐私政策的重大修订、个人信息保护合规审计报告等进行监督和指导;撰写个人信息保护相关监督报告,并对拟提交董事会的个人信息保护议案提供意见和建议等。
监委会也有权就认为需采取的措施或改善的事项向蚂蚁集团报告,并提出建议,公司应将评估情况进行反馈。
同时规则也规定,公司需为监委会提供必要的工作条件,包括指定隐私保护办公室作为专门人员承担委员会的日常联络和议事材料准备等。当监委会履行职责时,公司相关部门也须积极予以配合。
2023年将撰写个人信息保护社会责任报告《个人信息保护法》58条明确规定“守门人”企业需定期发布个人信息保护社会责任报告,接受社会监督。
通过发布社会责任报告的方式,用户可以从平台企业经营理念、商业走向、业务线关系等角度进一步了解其个人信息保护情况,丰富数据合规自律与他律的维度。
此次蚂蚁监委会还讨论通过了2023年委员会工作计划,其中也提及了将在撰写《个人信息保护社会责任报告》,作为蚂蚁ESG报告的专项子报告在2023年下半年向社会发布。此外还将撰写《个人信息保护监督报告》,在年底提请董事会审议。
2023年蚂蚁还将委托第三方机构通过认证、技术测评、外部审计等对蚂蚁个人信息保护合规情况进行监督,主题性举办现场会议审议工作阶段性进展、研讨行业趋势等。
“独立的外部监督是辅助作用,关键是企业的合规文化。企业贯彻个人信息保护理念,在产品设计、业务流程中一以贯之才是关键。”监委会委员、华东政法大学教授高富平表示。
蚂蚁集团也指出,隐私是用户的基本权利。保护隐私不仅是企业的法律义务,也是数字时代企业的核心竞争力。无论是在中国还是全球,蚂蚁集团都积极遵守本地法律法规,构建适应于当地法律的隐私合规框架,全力守护用户的数据和隐私安全。
在保障隐私前提下 激活数据要素潜能伴随“数据二十条”出台,数据作为新型生产要素,成为数字经济的创新引擎,其中支持浙江等地区和有条件的行业、企业先行先试。蚂蚁集团通过设立个人信息保护监督委员会,在保障数据安全和隐私的前提下,更大力度激活数据要素潜能,促进数字经济创新发展。
高富平建议,全社会的数字化转型,本质上就是将数据作为资产转型,在兼顾数据安全性的基础上,进一步探索数据的价值。在数据利用与个人信息保护之间,匿名化或许是一种平衡的手段,因而如何实现数据匿名化制度的落地、落实,也是蚂蚁这样的科技企业可以探索的方向之一。
监委会委员、对外经济贸易大学法学院副教授许可认为,蚂蚁集团“科技守护信任”理念切中了个人信息保护和数据安全的实质——解决“信任”的问题。对于企业而言,可以从提升算法透明度、助力平台内经营者保护能力提升两方面入手,进一步加强企业与用户、监管机构之间的信任关系。