互联网生态守门人个人信息保护特别义务设置研究

作者｜张新宝/中国人民大学法学院教授
原文首发于《比较法研究》

一、问题的提出

随着个人信息处理方式的数字化转变，如何构建与数字时代相适应的个人信息保护路径，不仅是数据安全保护领域的国际形势所趋，也是我国个人信息保护法律体系需要解决的核心问题。近半个世纪以来，有关个人信息保护的立法已经成为全球范围内最受瞩目和最为活跃的立法领域之一。个人信息保护立法的关键在于借助立法的利益衡量实现对利益关系的“三方平衡”，即个人对个人信息保护的利益、信息业者对个人信息利用的利益和国家管理社会的公共利益之间的平衡。这一过程的重要环节之一是为信息业者收集、存储、处理、利用和传输个人信息活动设定正当性守则，维护信息业者之间的正当公平竞争，避免不当竞争造成劣币驱逐良币的不良效应。因此，如何为信息业者配置合理的权利和义务，是实现信息主体的核心利益和国家在个人信息保护秩序中的公共管理利益的核心环节。

移动互联网时代，个人信息处理者处理个人信息最常见的技术和商业模式是利用互联网移动终端形形色色的互联网应用程序（以下简称“移动 APP”）收集个人信息。截至 2020 年 6 月，我国网民规模达 9.40 亿，其中手机网民规模达 9.32 亿，网民使用手机上网的比例达 99.2%。换言之，几乎所有民众的生活、工作都与移动 APP 息息相关。因此，规范移动 APP 运营者的个人信息处理行为应当成为个人信息保护的主战场之一。

近年来，虽然有关部门对移动 APP 处理个人信息进行了持续治理，取得了一些成效，但总体来看效果不彰，原因在于移动 APP 数量巨大，逐一治理不仅困难且不具有现实可行性；同时，移动 APP 上线的变化和发展过快，行政执法能力和资源跟不上其发展变化。因此，需要考虑更有效的治理手段和方法，即从源头入手，抓住关键环节，通过设置“守门人”的义务，发挥其对一般移动 APP 的管控能力，实现对移动 APP 处理个人信息的有效治理。

“网络空间与现实社会的最大差别之一在于网络空间的基本支撑主体是众多的互联网服务提供商或者中间平台”，面对海量的信息业者和信息服务业务，有效的个人信息保护法律规制需要抓住互联网生态的关键环节，也即区分一般的个人信息处理者与充当“守门人”角色的操作系统、应用程序分发平台、大型平台型 APP 等个人信息处理者。这些“守门人”的共同特征是能够提供第三方移动 APP 的接入（包括分发、下载、更新等），或向第三方移动 APP 运营提供技术资源和信息收集渠道，以及提供市场和用户触达的中介服务。这些“守门人”处于互联网生态处理个人信息的关键环节，管控众多的移动 APP 接入互联网进行个人信息收集及后续处理的必要通道、空间和提供必要的技术资源。目前，我国个人信息保护法正在制定过程中，该法草案第五章虽然对个人信息处理者的义务作出了规定，但草案没有对“守门人”扼守的关键环节设置必要的个人信息保护义务。

二、移动互联网生态关键环节和“守门人”的界定

本部分将论述移动互联网生态中承担“守门人”角色的个人信息处理者对一般移动 APP 的决定与制约作用，并提出“守门人”的定义和类型区分。

（一）守门人的地位：控制了移动互联网生态的关键环节

一个移动 APP 无法独立于技术环境和运营环境而单独存在，因此这两个环境决定或制约了移动 APP 接入互联网和处理个人信息的能力。

1.技术环境移动

APP 需要在智能终端设备中运行，操作系统便成为制约移动 APP 的底层技术环境。目前，移动智能终端搭载的操作系统以安卓（Android）和 iOS 为典型，下文以安卓操作系统为例，阐释操作系统与移动 APP 之间在技术环境方面的制约关系。

在安卓系统的设计理念中，每个移动 APP 实际都可以理解为安卓操作系统的不同用户：默认情况下，安卓系统会为每个应用分配一个唯一的 Linux 用户 ID；同时，移动 APP 运行在独立的安全沙盒内，安卓系统对其中所有文件设置权限，只有对应用户 ID 的移动 APP 才可访问。简言之，移动 APP 作为安卓操作系统的用户，使用操作系统提供的各种资源，才能正常运作。此外，安卓系统还能够实现对移动 APP 所使用系统权限的控制。在默认情况下，移动 APP 在安卓系统中不拥有任何系统权限，无法执行任何对其他应用、操作系统或用户有不利影响的操作，包括读取或修改用户的私有数据（例如通讯录或电子邮件）、读取或写入其他应用程序的文件、执行网络访问等。因此，移动 APP 为了业务功能的需要，需要向安卓系统申请系统权限。根据权限的作用和对个人信息的影响，安卓系统将系统权限分为普通 (normal)、危险 (dangerous)、签名 (signature) 及系统/签名 (signature or system) 等四个级别。其中，普通和危险级别对个人信息保护最为关键：普通级别权限允许移动 APP 访问超出应用沙盒的数据和执行超出应用沙盒的操作，但所访问的数据或执行的操作对用户隐私及对其他应用带来的风险较小，安卓系统在移动 APP 申请此类权限时自动授予，而不提示用户，常见的普通级别权限如访问通知、访问 WIFI、蓝牙等；危险级别权限授予移动 APP“对受限数据的额外访问权限，并允许应用执行对系统和其他应用具有更严重影响的受限操作”，同时危险级别权限能使移动 APP“访问用户私有数据，这是一种特殊的受限数据，其中包含可能比较敏感的信息”，安卓系统在移动 APP 申请此类权限时，会通过弹窗等形式提示用户，由用户自主决定是否授予权限，常见的危险级别权限如日历、通话、摄像头、联系人、地点等。

由此可见，在操作系统的设计框架下，移动 APP 需要调用移动终端及操作系统所定义和提供的各种系统权限，才能获取运行所需的特定技术资源。例如导航软件就需要通过申请位置权限来获得 GPS 位置信息，即时通信软件就需要通过申请相册权限才可以访问用户相册中的照片。

2.运营环境

基于设计理念和安全考虑，不论是安卓系统还是苹果 iOS 系统均不倡导用户直接从移动 APP 官方网页下载 APP，而是推荐用户从应用商店下载移动 APP，苹果 iOS 更是仅允许通过苹果官方应用商店 AppStore 下载安装。由此，应用商店所提供的应用分发服务构成移动 APP 运营环境的关键节点。在我国，主流应用商店大致可分为三个类型：第一类是系统运营商的应用商店，如 iOS 用户端的 App Store 和 Android 用户端的 Google Play；第二类是手机厂商的应用商店，如小米、华为、OPPO、VIVO 等应用商店；第三类是第三方应用商店，如 360、应用宝、酷市场、豌豆荚、百度手机助手等。可以说，如果不通过应用软件分发服务，移动 APP 很难触达大量用户及被下载。

随着移动互联网的持续演进发展，新的移动 APP 分发模式——“超级 APP+小程序”——应运而生。2019 上半年开始，超级 APP 也即小程序平台从 2018 年的 2 家扩充至 8 家，腾讯、阿里、百度、字节跳动等多家头部互联网企业开始小程序布局。以微信、支付宝、百度、今日头条等为代表的“超级 APP”开始作为平台，承载第三方小程序。第三方小程序区别于传统的移动 APP，具有功能简单、使用便捷、开发成本低的特点。借助于“超级 APP”，第三方小程序能够有效地触达庞大的用户群体。据统计，2019 年人均使用小程序数量超过 60 个，多于同期人均安装 APP 个数；支付宝小程序用户次日留存率超过六成，微信小程序次日留存率超过五成。截至 2019 年 11 月，小程序总量超过 450 万，日活跃用户突破 3.3 亿。对于“超级 APP”而言，其拥有庞大流量，通过搭载第三方小程序，能够“提升流量资源的分发效率，满足用户多样化需求，进一步挖掘用户价值”；而对于第三方小程序而言，在移动互联网市场规模趋于饱和的趋势下，借助于超级 APP，可以避免 APP 开发推广成本高、周期长、市场生存空间小等不利因素；对于用户而言，则省掉了下载、安装、注册、卸载移动 APP 的过程，实现了“即点即用”。

具体而言，超级 APP 为其所承载的第三方小程序提供了流量资源和技术优势，前者体现在触达用户方面，后者体现在小程序的运营也依赖于“超级 APP”所提供的小程序平台。小程序所获取的系统权限、个人信息等均有赖于超级 APP：小程序只能获取超级 APP 已经从手机系统获取的权限；小程序在获得用户授权后，可以通过“超级 APP”获得用户提供给超级 APP 的个人信息，如昵称、头像、身份证号码等个人信息以及设备信息、统计信息等。与此同时，在涉及到个人信息保护问题时，超级 APP 也通常从数据收集和存储与授权、数据使用规范、数据安全、地理位置等多方面对小程序提出要求。

综上所述，无论是传统的移动 APP，还是新兴的小程序，技术环境和运营环境构成了 APP 运行的关键环节。可以说，在移动互联网生态系统中，控制了技术环境和运营环境的“守门人”，扼守了 APP 运行的关键环节，其对 APP 个人信息保护的技术设置和具体行为具有决定性作用。

（二）移动互联网生态中“守门人”的类型

本文认为，“守门人”是指控制移动互联网生态关键环节（技术环境和运营环境）、有资源或有能力影响其他个人信息处理者处理个人信息能力的互联网营运者。结合当下移动互联网生态的现实环境来看，“守门人”主要包括以下三类：一是应用程序分发平台，通过提供应用分发服务影响移动 APP 触达海量用户进而进行个人信息处理活动的能力；二是移动终端操作系统，通过为移动 APP 提供可调用的系统权限等，影响移动 APP 的个人信息处理能力；三是平台型 APP，平台型 APP 能够在技术资源、运营环境等两个方面显著便利和提升第三方小程序等移动 APP 的个人信息处理能力。

三、设置移动互联网生态“守门人”个人信息处理特别义务的理由

如前所述，从个人信息保护的角度来看，移动互联网生态中确实存在“守门人”的特殊主体类型，他们有能力决定普通移动 APP（包括小程序）触达用户的范围，以及收集使用用户个人信息的渠道和范围。以下将着重讨论针对此类特殊主体施加个人信息处理特别义务的必要性、合理性以及可能性。

（一）对“守门人”施加特别义务的必要性

随着移动 APP 的广泛应用，移动 APP 强制授权、过度索权、超范围收集个人信息的问题也为监管部门所重视。自 2017 年《中华人民共和国网络安全法》（以下简称《网络安全法》）施行以来，移动 APP 的监管成为个人信息保护工作的重点内容。2017 年，中央网信办、工信部、公安部、国家标准委等四部门以移动 APP 隐私条款评审为重点，着手开展个人信息保护提升行动之隐私条款的专项工作。2019 年，针对移动 APP 违法违规收集使用个人信息问题，中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合开展 APP 违法违规收集使用个人信息专项治理，通过设立举报渠道、接受网民举报确定评估对象，并编制评估技术规范文件，依托专业评估机构对 APP 隐私政策和个人信息收集使用情况进行评估，2020 年四部门继续推进专项治理工作。在上述四部门联合治理之外，工信部、公安部、市场监管总局也各自开展了移动 APP 治理的专项工作，如 2019 年工信部开展“电信和互联网行业提升网络数据安全保护能力专项行动”、“APP 侵害用户权益专项整治工作”，公安部开展“净网 2019”专项行动等，均涉及移动 APP 收集使用个人信息的监管。经过持续的治理行动，移动 APP 没有隐私政策、未说明收集使用个人信息的规则、以默认同意隐私政策等非明示方式征求用户同意、要求用户一次性同意打开多个可收集个人信息的权限等违法违规收集使用个人信息的问题得到遏制。但整体来看，仅仅依靠执法监管的 APP 治理成效难谓显著。

一方面，APP 体量之大使得仅仅依靠执法监管的 APP 治理难以做到全面覆盖。以 2019 年为例，2019 年全年，中央网信办等四部门联合成立的 APP 违法工作组完成了下载量大、用户常用的千余款 APP 评估，向 256 款移动 APP 的运营者通报问题，建议有关监管部门下架未落实整改要求的移动 APP 共 11 款。2019 年，工信部开展“电信和互联网行业提升网络数据安全保护能力专项行动”、“APP 侵害用户权益专项整治工作”，共对 236 款 APP 运营者下发整改通知书，公开通报 56 款 APP、下架 3 款 APP；公安部开展“净网 2019”专项行动，共检测评估 3.1 万余款 APP，依法整改 2090 款 APP，依法查处 1121 款 APP，集中曝光 100 款存在违法违规收集使用个人信息行为的 APP。统计起来，以 2019 年为例，各部门对外公开检测的 APP 数量共计不超过 5 万，通报的问题 APP 数量共计不超过 3000 个。与之相对的是，根据工信部统计数据显示，我国市面上活跃的移动 APP 数量约为 346 万款，而全球活跃的移动 APP 数量约为 450 万款。不难发现，纳入监管范畴的 APP 数量与体量巨大的 APP 总量相比，陷入杯水车薪的困境。与此同时，在短时间内最大限度动员执法资源，也容易陷入运动式执法。中央及各地主管部门竞相开展 APP 治理，中央各部门之间、中央和地方主管部门之间，在认定 APP 违法违规收集使用信息时，基于监管资源、监管风格的差异，众多监管主体之间难以做到统一标准，在事实上还可能会导致甚至加剧“多头”治理，导致个人信息保护行业生态发展无所适从的尴尬局面。

另一方面，广大网民也对 APP 违法违规收集使用个人信息问题反映强烈。从相关媒体报道来看，移动 APP 隐私政策模糊的问题始终为民众所诟病，信息不对称导致用户判断困难，用户既难以快速知晓 APP 收集的个人信息范围，也难以判断移动 APP 是否存在超范围收集个人信息的情形。与此同时，移动 APP 通过隐秘方式（如偷听、偷拍）收集用户个人信息，在获得用户授权后私自读取、上传或删除用户信息，“程序化广告”跨平台推送广告等移动 APP 收集使用个人信息的新现象、新问题，也极大地破坏了民众的安全感。移动 APP 收集使用个人信息的方式本身在不断地演变，仅仅依靠政府主导的执法监管往往不能及时发现 APP 收集使用个人信息行为的最新问题，并且在回应 APP 违法违规收集使用个人信息行为时存在一定的滞后性。政府主导的执法监管活动有赖于事先编制评估技术规范文件，确定评估 APP 收集使用个人信息行为的判断标准，进而由专业评估机构依据评估标准开展评估，但 APP 收集使用个人信息的方式随着技术发展不断变化，而行政监管执法行为的特殊性，要求监管部门必须依据事先确定的评估要点，导致监管部门无法快速动态回应 APP 治理的发展变化。

因此，移动互联网生态个人信息保护的实际情况决定了现有的监管思路——“一个一个去评估”和“一个一个去整改”，并不适应目前海量移动 APP 收集、使用个人信息的客观情况。更有效的监管路径应该是从前文所述的，控制着一般移动 APP 技术和运营环境的“守门人”。通过对移动互联网生态中的“守门人”施加额外的义务，就能够对移动 APP 收集、使用个人信息的行为产生“卡脖子”效应，起到事半功倍的效果。

（二）对“守门人”设置特别义务在技术上的可能性

与依靠监管执法“一个一个去评估”、“一个一个去整改”的外部治理相比，通过“守门人”能够在移动互联网生态内实现高效地规范、管控移动 APP 收集、使用个人信息的行为。前述媒体和民众热议的 APP 违法违规收集、使用个人信息行为，“守门人”能够从技术层面实现治理和突破。苹果公司同时提供了手机操作系统和应用程序分发两项服务，以下将结合前述 APP 监管治理中的难题和苹果公司隐私保护的最新实践，说明对“守门人”设置特别义务在技术上的可能性。

对于移动 APP 收集个人信息范围不清的问题，可行的路径是通过应用程序分发平台要求上架的 APP 以固定格式明确个人信息的常见类型及所指代的信息内容。自 2020 年 12 月开始，苹果的 AppStore 产品页面新增了一个隐私处理说明版块，以简洁易读的格式向用户提供移动 APP 自行报告的摘要，帮助用户了解移动 APP 如何收集和使用个人信息，如位置、浏览历史和联系人等信息。用户可以了解 APP 可能收集的一些信息类型，以及这些信息是否用于与用户关联或追踪的目的。此举既能够提高 APP 收集、使用个人信息透明度，也能够让用户对个人信息有更好的掌控。

对于移动 APP 通过隐秘方式（如偷听、偷拍）收集个人信息的问题，可行的路径是由移动终端操作系统增加对用户即时提示的相关设置。从目前的实践来看，APP 偷听存在较高的技术和商业成本，并且伴随巨大的法律风险，但由于广告推送商品与用户对话内容相关，而被民众质疑 APP 存在偷听行为。化解用户疑虑的可行路径是当 APP 调用麦克风、摄像头权限时，移动设备操作系统应在屏幕上通过显著标识向用户实时提示（如图标闪烁、状态栏提示、自定义提示条等），并支持用户通过点击标识以即时关闭权限。苹果在 iOS 14 操作系统中新增了个人信息保护功能，当麦克风或摄像头被占用时，会在屏幕右上角出现“圆点”，提示用户有 APP 占用麦克风或摄像头，并支持用户通过点击“圆点”以了解正在调用权限的 APP。这个功能可有效应对 APP 涉嫌偷听用户对话，进而推送商品广告的问题。

对于移动 APP 获得权限后进行滥用且偷偷读取、上传、删除信息的问题，可行的路径是由移动终端操作系统对敏感操作进行提示或再次征求用户同意；操作系统限制移动 APP 可访问相册、存储区的时机、范围；每隔一定的时间（例如 180 天），移动设备操作系统应主动向用户提示是否关闭 APP 已获得的麦克风、摄像头、地理位置、通讯录、相册、短信等权限。“拼多多 APP 远程删除照片事件”说明安卓系统中 APP 获得“存储”等权限后，具备随时读取和删改手机中文件的能力。与之相对，苹果在 iOS 14 操作系统中允许用户可以选择只向应用授权相册中的部分照片。如允许 APP 访问的权限设置为“选中的照片”时，便无法通过应用读取或发送相册中的其他图片；如权限设置为“仅添加照片”时，则只能新增照片，不能访问相册，从而避免权限滥用现象。

对于基于个人信息进行跨站、跨 APP、跨平台推送广告的问题，可行的路径是移动设备操作系统应默认开启 MAC 地址随机化功能，禁止 APP 获得不可变更的设备识别码，并支持用户选择是否将可变更的设备识别码向 APP 开放；手动重置或每三个月自动重置可变更的设备识别码，如广告标识符。苹果在 iOS 14 系统中开始强制要求所有 APP 在收集广告 ID 用于广告追踪前单独弹窗告知用户，征求用户对于广告追踪的许可，用户可以允许或拒绝不同 APP 对广告 ID 的收集。征求追踪许可的措施将原本隐藏于后台的广告追踪设置推到了前台，不仅让更多用户了解广告追踪的存在，也让用户全面掌握了这一权限的“生杀大权”，相当于阻断了原来“默认开启”的追踪功能。该项功能可有效降低用户经常抱怨的跨站、跨 APP、跨平台推送广告的现象。

（三）设置特别义务的法理与经济合理性

1.法理：控制者义务理论

法治的一般原理认为，任何人对自己控制的场所等负有相应的安全保障义务。在物理世界，不动产的所有人（或者作为保有人的实际控制人）对不动产负有适度的安全保证义务，避免损害的发生。于动产，所有人或者使用人对动物、机动车等负有适度的管控义务，避免造成损害。我国 2009 年侵权责任法第 37 条规定了公共场所管理者和群众性活动组织者的安全保障义务。《中华人民共和国民法典》侵权责任编规定了经营场所的经营者、公共场所的管理者以及群众性活动的组织者的安全保障义务（第 1198 条），还规定了较为全面具体的网络侵权责任（第 1194—1197 条），体现了网络服务提供者对其管控的网络空间负有适度管控和注意义务的理念。控制者义务理论的内核在于遵循收益与风险相一致以及危险控制理念。一方面，控制者作为利益享有者，其面向社会提供产品或服务，从事以获利为目的的营利性活动，从危险源中获取经济利益者也经常会被视为是具有制止危险义务的人；另一方面，控制者作为管理者，具有专业知识、能力、技术，能够预见可能发生的危险和损害，更有可能采取必要的措施防止损害的发生或减轻损害，“监督者控制潜在危险的义务通常来源于他对危险源的控制能力”。

同理，对移动互联网生态具有强大控制力和影响力的“守门人”承担与技术发展水平相适应且在经济上具有合理性的适当安全保障义务也是必要的。具有“守门人”地位的操作系统、应用程序分发平台、大型平台 APP 为第三方 APP 或小程序提供了运行所需的技术环境和运营环境，借助技术和管理优势在互联网生态系统中具有强大控制力，在权力结构上具有“公”的属性。因此，赋予“守门人”特殊的安全保障义务，要求此类主体对其支配的个人信息进行特殊保护和管理，是应对信息风险社会行之有效的治理路径。此外，要求“守门人”对借助其所提供的环境开展运营的移动 APP 进行合理的监督，包括个人信息保护方面的合理监督、审查、处理和救济，可以避免治理力量分散导致的效率低下，实现个人信息保护治理效果的最优。

2.经济上的合理性

一方面，在“守门人”上的监管资源投入，比在无数分散环节和场景投入资源保护个人信息更具有经济合理性，“在多数情况下，使用第三方义务主体去监督、发现为数众多的违法行为，远比由行政机关来监督、发现为数众多的违法行为更符合成本收益分析”。面对百万级的 APP 运营者，移动互联网生态中的守门人数量有限。我国国内常用的应用分发平台不超过 10 个；移动终端操作系统不超过 10 种；具搭载小程序的“超级 APP”平台目前不超过 8 个。与其面对海量的 APP 一个个进行监管，为提升效率更好的做法是将部分的监管责任前移到关键环节的守门人身上。他们有技术能力、有人力资源来审核希望借助其技术和运营环境的海量 APP，以较低成本、高效率地为个人信息保护构筑起一道闸门。

另一方面，全行业的义务设置不影响“守门人”之间的公平竞争。部分关注个人信息保护的“守门人”已经采取了一些自发的措施，如美国的苹果公司和国内的小米公司。但面对立场和取向不同的“守门人”，出于竞争的考量，其推动个人信息保护的力度和创新程度会有所延缓或小心翼翼。通过对所有的“守门人”设定统一的个人信息保护义务，有利于树立行业取向，以及拉平合规底线。由法律给所有“守门人”设置特定的和必要的个人信息保护义务，虽然可能增加少量经营成本，但是将全行业置于同样起跑线的竞争环境，不会影响企业之间的公平竞争。而增加的此等经营成本是可以通过定价机制精选分配和转移的。

（四）对欧美实践经验的考察

1.欧美有关移动互联网生态治理的观察

针对移动互联网生态治理问题，虽然未在欧美的立法中予以明确规定不同的法律责任，但欧美相关数据保护机构一直以来保持对“守门人”的密切观察。

2013 年，欧盟第 29 条工作组发布《关于智能设备应用程序的意见》在考虑智能设备应用程序的数据保护风险时，便已深入 APP 可能涉及的各方主体，包括应用程序开发人员、应用程序所有者、应用商店、设备及操作系统制造商，以及其他参与数据处理的第三方。在如何提升 APP 的数据保护水平时，第 29 条工作组指出，虽然数据保护义务主要由 APP 开发者承担，但为了达到最高的隐私和数据保护标准，APP 开发者应当与应用程序领域的其他各方合作，并强调不同主体的法律责任。针对应用商店，第 29 条工作组指出应用商店除了在处理用户数据时构成数据控制者之外，还应当强化对于 APP 开发者义务的遵守，要求其说明所访问的数据类型及目的，以及是否会与第三方进行数据共享；同时，第 29 条工作组还建议应用商店建立 APP 接受公众声誉机制的约束，并为用户提供报告 APP 中有关隐私保护或安全问题的反馈渠道等。针对操作系统，第 29 条工作组也明确其应当建立对访问的控制机制，确保 APP 开发者仅能访问其 APP 运行所必需的数据，并建立适当的机制向用户告知 APP 的功能及其所访问的数据。

美国联邦贸易委员会（FTC）作为消费者保护机构也在 2013 年发布了《移动手机隐私披露——通过透明度建立信任》的报告，以改善“收集生态系统”的隐私披露为目标，向参与手机生态系统的主要参与方提出针对性建议。对于诸如苹果、谷歌、微软、黑莓等平台，FTC 明确指出其作为 APP 市场的看门人，在改善移动设备隐私披露方面拥有最大的变革能力，认为平台有能力向 APP 开发商提出要求，甚至能够拒绝未满足相应要求的应用程序。FTC 建议平台通过及时披露、隐私控制面板等方式实现对消费者的充分告知，借助于设计和使用图标等方式向用户传达关键术语和概念，并呼吁利益相关方开发适用于移动设备的禁止追踪机制（DNT）。

２.欧盟就“守门人”的最新立法动向

事实上，除了在移动互联网生态的个人信息保护领域存在“守门人”的角色，在整个舆论公共空间乃至数字经济中，也存在类似的“守门人”角色，并且引起了立法和监管的特别关注。2020 年 12 月，欧盟最新提出的《数字服务法（草案）》《数字市场法（草案）》，即反映了这一立法趋势。可以预见的是，这两个法案一旦获得立法通过，将与欧盟《通用数据保护条例》（GDPR）一样，成为影响全球互联网发展的重要法律制度。因此，我们应当及时研究，在参考借鉴的基础上未雨绸缪作出对应。

《数字服务法（草案）》旨在为数字中介服务提供者建立非法信息内容的明确、全面的程序性义务规则，在确定数字中介服务提供者的义务时，欧盟特别关注到了超大型在线平台（very large online platform）。欧盟委员会认为：随着在线平台的规模及其在日常生活中越来越多的存在，它们有时可以被比作表达和经济交易的公共空间。它们是促进互联网上信息交流和行使言论自由的关键行为者，它们带来了最高的社会和经济风险。具体来说，一方面，在线平台的商业模式主要是在不断增加的信息量、商品和服务中抓住用户的注意力。平台业务模式的核心是为用户匹配与之最相关的信息。这些服务凭借强大的网络效应、规模经济和无可比拟的用户数据获取能力，为其带来利益。用户数量的规模，使得相对较少的在线平台能够实现自我加油式的指数增长，导致用户和市场力量的极度集中。同时，超大型在线平台的算法设计的选择，将会对用户在线安全、舆论和话语的塑造以及在线交易产生重大影响。通过平台传播的非法内容可以被扩散触达广泛的受众。当内容通过平台以惊人的速度和规模传播时，就会引发特别的挑战。另一方面，在线平台也对外提供匹配、触达特定群体用户的服务，以扩大营利。总之，欧盟认为“超大型在线平台在放大或塑造网络信息流方面发挥着系统性的作用”。

鉴于超大型在线平台的关键作用，《数字服务法（草案）》不仅规定了适用于所有提供商品、服务和信息中介服务的数字服务商的一般性义务，而且针对具有重大社会和经济影响的超大型在线平台（在欧盟至少有 4500 万用户，占总人口的 10%）专门提出了增强的管理系统性风险的安全义务，对这些平台创设了强有力的透明度要求和问责机制。超大型在线平台的特殊义务包括系统性风险评估义务、接受外部独立审计的义务、配合调查人员提供数据访问权的义务以及额外的透明度义务等方面。此外，在授权欧盟委员会对在线平台进行干预、监督和调查方面，《数字服务法（草案）》建立了明确的事前监管机制、事中干预机制和事后处罚机制。

《数字市场法（草案）》更是牢牢抓住关键环节，其条文仅适用于根据法案中的客观标准被认定为“守门人”的大型在线平台，即成为连接消费者和其他企业的主要通道并提供服务，同时利用作为主要通道的角色进一步巩固和扩大自己的主导地位的在线平台企业。“守门人”企业的典型特征是：“有能力创造和塑造新的市场，挑战传统市场，并在收集、处理和编辑大量数据的基础上组织新的参与形式或开展业务。在多边市场中运作，但对用户群体之间的直接互动有不同程度的控制。受益于网络效应。依靠信息和通信技术即时和便捷地接触用户，从规模经济和范围经济中获益。它们在数字价值创造中发挥着关键作用，特别是获取重大价值（包括通过数据积累），促进新的商业投资，并创造新的战略依赖。”由于这些服务在数字市场中不可被绕过，因此一些提供上述服务的企业成为守门人，不仅对整个平台生态系统行使控制权，而且进一步扩大和巩固其在多边市场上的存在，例如围绕其核心业务建立扩张性数据驱动型生态系统，通常通过其他业务的数据或收入补贴某项业务。导致的结果是现有的或新的市场参与者基本上不可能与之竞争。由于这些大型企业面临的竞争压力较弱，数字市场不能良性运作或者即将难以良性运作的可能性随之增大，因而存在守门人的数字市场可能无法在价格、质量、选择和创新方面为消费者提供最佳结果。另一方面，由于众多企业越来越依赖守门人，导致在许多情况下双方议价能力严重失衡，进而使得企业用户接受在正常情形中不会接受的不公平商业条件。议价能力的失衡，加之众多企业用户和消费者对守门人的经济依赖，使得守门人能够获得在运作良好和竞争性市场情况下无法获得的条件。

欧盟在《数字市场法（草案）》中进一步提出，如果被证实核心平台服务的提供者：（1）对内部市场有重大影响，（2）经营一个或多个重要消费者通道，（3）享有或预期获得根深蒂固和持久的经营地位，则构成《数字市场法（草案）》中的守门人。对于这三个概括性的条件，《数字市场法（草案）》提出了下列数量上的阈值：第一，影响内部市场的规模，即企业在过去三个财政年度在欧洲经济区（EEA）实现的年营业额等于或超过 65 亿欧元，或者在上一财政年度其平均市值或等值公平市价至少达 650 亿欧元，并在至少三个成员国提供核心平台服务。第二，控制着企业用户通向终端用户的重要门户：如果公司运营的核心服务平台在上一财政年度在欧盟建立或位于欧盟的月活跃终端用户超过 4500 万，并且在欧盟建立的年活跃商业用户超过 1 万。第三，享有或在不久的将来预期享有稳固而持久的地位：企业在过去三个财政年度中的每个年度都符合其他两个标准。即便上述条件没有得到全部满足，那么欧盟委员有权通过市场调查来评估特定企业的具体情况，并有权在定性评估的基础上作出将其认定为守门人的决定。

为了确保数据市场的公平性和开放性，《数字市场法（草案）》为被认定为守门人的平台施加了一系列额外的具体义务，既包括守门人在日常运营过程中实施某些行为的积极义务，也包括避免从事某些不公平行为的禁止性义务。守门人应当积极履行的义务主要包括：守门人应在特定情况下允许第三方与自己的服务进行交互操作；守门人应为在其平台上投放广告的公司提供访问守门人的性能衡量工具以及独立验证所需的信息；守门人应允许其企业用户在守门人平台之外推广其服务并与客户签订合同；守门人应为企业用户提供访问守门人平台上的活动所生成的数据权限；等等。守门人不得从事的不公平行为主要包括：守门人不得再阻止用户卸载任何预装软件或应用程序；守门人不得使用从其企业用户获得的数据与之竞争；守门人不得限制其用户访问其可能在守门人平台之外获得的服务；等等。

从上述欧盟的最新立法实践中可以看出，无论是降低公共信息空间中的违法信息风险，还是维持数字市场的可竞争性和公平性，欧盟的着力点均放在了处于关键环节的超大型在线平台和守门人。

四、作为立法建议的具体法律条文设计

（一）“守门人”的界定标准

直观地说，“守门人”应当是在整个生态系统中的特定领域具有主导地位乃至控制权的，同时具有极大的经济规模和极强的网络效应的组织。如前文所述，移动互联网生态中个人信息保护领域的守门人，现阶段较为突出的是移动终端操作系统、应用分发平台、平台型的超级 APP。在欧盟语境中，公共信息空间中的守门人是用户量超过一定数量的超大型在线平台，数字经济中的守门人是影响、掌握的消费者通道以及经营地位特殊的在线中介服务、在线搜索引擎、社交网络、视频共享平台服务等。

但显然，鉴于数字行业的动态变化性质，对“守门人”地位的判断也应结合技术条件和商业形势的变化而作出调整。为了确保必要的公平性和法律确定性，这种评估应基于在适当的时间和程序框架内所进行的市场调查。因此，欧盟在《数字服务法（草案）》和《数字市场法（草案）》中率先提出了可资借鉴的法律和数量标准的同时，也都为未来随着形势变化作出调整预留了空间。

例如《数字市场法（草案）》第 3 条第 5 款提出，围绕这三项定性标准，欧盟委员会有权具体规定达到这些标准的数量阈值，并在必要时根据市场和技术的发展定期调整。而且，特定企业即便未达到《数字市场法（草案）》当前提出的具体数量阈值，欧盟委员可以综合考虑以下要素及其可预期性，包括：核心平台服务提供者的规模（包括营业额和市值）、业务和地位；业务用户数，取决于核心平台服务触达终端用户的数量；因网络效应和数据驱动优势而产生的进入壁垒，特别是在供应商获取和收集个人和非个人数据或分析能力方面；服 务提供者所受益于的规模和范围效应，包括在数据方面的规模和范围效应；企业用户或终端用户锁定；其他结构性市场特征等。在此基础上，欧盟委员会可以认定特定企业为守门人企业。此外，欧盟委员会还应对守门人地位进行定期（至少每两年一次）审查，以认定特定企业为守门人所依据的任何事实是否发生了重大变化，并持续公布和更新守门人名单和核心平台服务名单。类似地，《数字服务法（草案）》在第 25 条第 3 款中也提出：欧盟委员会应根据第 69 条通过授权法案，调整本条第 1 款中提到的联盟中每月平均接受服务的人数（即前文所述的 4500 万用户——笔者注）。同样，该草案第 25 条第 4 款规定，在线平台所在地的数字服务协调员应至少每 6 个月核实一次在其管辖下的在线平台平均每月活跃的服务对象数量是否等于或高于本条第 1 款所述的数量。

欧盟《数字市场法（草案）》和《数字服务法（草案）》为我国在未来评估和审查我国移动互联网生态中个人信息保护领域的“守门人”提供了有益借鉴。但是对于我国而言，由于个人信息保护法仍处在制定阶段，对于“守门人”地位的具体界定方法不宜大幅出现在个人信息保护法中，但是可以通过行业标准、其他规范性文件或其他形式作出。在这一过程中，适宜通过有关专家论证会，综合考虑促进数字领域创新、数字产品和服务的质量、公平竞争以及数字经济发展等因素。

（二）“守门人”的具体义务设计

如前文所述，当前移动终端操作系统、应用分发平台、平台型的超级 APP 等守门人企业，管控着一般的移动 APP 处理个人信息的技术和运营环境。考虑到将来随着技术和业态的持续演进，很可能会出现新兴类型的守门人。因此，笔者建议将技术和运营环境，抽象成“通道、空间、技术等资源”，并从事前、事中、事后等三个方面，完整地设计守门人在个人信息保护方面的特殊义务。具体来说，建议在《个人信息保护法（草案）》“第五章个人信息处理者的义务”第 51 条之后增加如下条文，规定“守门人”保护个人信息的特别义务：

　　第五十一条 A （“守门人”的特别义务）

控制个人信息处理的关键环节，为其他个人信息处理者处理个人信息提供通道、空间、技术等资源的网络运营者，除遵循本法和其他法律的相关规定特别是本法第五十条和第五十一条的规定外，对个人信息保护承担以下特别义务：

　　（一）制定符合国家法律法规等规定要求的个人信息保护标准的准入规范，不得为不达标的个人信息处理者使用其所管控的通道、空间和其所提供的技术服务。

　　（二）利用必要的技术手段，对使用其所管控的通道、空间和使用其所提供的技术服务的个人信息处理者的日常个人信息处理行为进行监管，于必要时提出警告和整改意见。

　　（三）建立相关的投诉受理和处置机制。

　　（四）配合国家个人信息保护机构对违反个人信息保护法律法规的个人信息处理者的调查处理。

　　（五）下架违法违规处理个人信息的互联网应用程序。

（三）“守门人”义务的性质讨论

１.与国家互联网管理相对应的行政法上的义务

“守门人”作为政府指定的私人主体，承担采取阻止性措施防止有害行为发生或者将有害行为相关信息提供给政府的义务，这种由提供服务、产品的私人主体或雇主承担帮助行政机关发现或阻止违法行为的义务，属于行政法上的“第三方义务”。借助于私人主体发现违法行为的帮助，能够缓解行政资源有限而无法全面实施法律的困境。这种“代理式”监管思路在我国整个互联网监管历史上并不陌生，我国在引入互联网监管时，针对海量信息传输带来的内容监管问题，便确立了代理式监管思路，由企业来承担对传播信息的审查责任，如对于网络运营者而言，《网络安全法》等法律法规明确要求其应当加强对用户发布的信息的管理，发现有法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处罚措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

具体来说，国家通过立法明确“守门人”负有发现并阻止违法行为的义务，表现为“守门人”与个人信息处理者、用户以及监管机关之间的多维关系。首先，“守门人”基于法律法规的规定，在为个人信息处理者提供通道、空间、技术等资源时，负有对个人信息处理者的审查义务，确保个人信息处理者收集、使用个人信息行为符合合法、正当、必要的要求，不得为存在非法收集、使用个人信息行为的个人信息处理者提供相应的服务，发现个人信息处理者存在违法违规收集、使用个人信息行为时基于“守门人”对通道、空间、技术等资源的优势控制力，可警告存在违法违规收集、使用个人信息行为的个人信息处理者，并要求其作出整改。其次，“守门人”还应当对监管机构开展个人信息保护相关的执法行动予以配合和协助，在知道或应当知道移动 APP 已被监管机构确认存在违法违规收集、使用个人信息行为的，应当及时下架相应的移动 APP。最后，“守门人”作为移动 APP 触达用户的重要途径，也应当为用户投诉和反馈移动 APP 违法违规收集、使用个人信息线索提供渠道，进而能够及时、动态地发现相应违法违规收集、使用个人信息的行为。

２.与自然人个人信息保护权益相对应的义务

我国民法典从民事基本法的高度确认自然人个人信息保护的民事权利（权益），并将个人信息确立为自然人的人身非财产性质的人格权（权益）且具有支配性特征，明确义务主体负有相应的作为和不作为义务，包括应当合法取得和确保信息安全的作为义务，以及不得非法收集、使用、加工、传输、买卖、提供或者公开他人信息的不作为义务。同时，我国民法典在人格权编第 1034—1039 条明确了个人信息的概念、处理个人信息的条件、免责事由等事项，从义务主体行为规范的角度明确了自然人个人信息受法律保护的具体内容。

从保障自然人个人信息民事权益的角度而言，“守门人”自身也是个人信息民事权益的义务主体，需要为用户提供符合个人信息保护要求的产品或服务环境。与此相对，“守门人”所负有的特别义务则主要与防范、制止移动 APP 等第三方对用户个人信息的侵害行为有关，属于法定的积极作为义务。一方面，“守门人”所负有的特别义务以法定义务为原则。由以个人信息保护法为核心的个人信息保护相关法律、行政法规、规章等对“守门人”特别义务的具体内容和认定标准作出规定，构成判断“守门人”法定个人信息保护义务的主要依据和基本要求，“守门人”不能通过隐私政策等格式条款排除特别义务的适用。另一方面，“守门人”所负有的义务以积极作为义务为原则。“守门人”需要为积极的作为行为，保障用户的个人信息，如进行必要的提示和说明等，消极不作为往往构成对特别义务的违反，如“守门人”没有尽到对 APP 的审核义务等。“守门人”一旦违反特别义务的规定，其所面临的民事赔偿责任主要是指“守门人”没有防范、制止移动 APP 侵害用户个人信息的行为而承担的侵权责任。

３.个人信息保护法的“领域性”决定了其所归档的权利（权益）和义务的跨部门性

随着信息社会的高速发展和社会关系的日益复杂，个人信息保护问题所具有的整合性、交叉性、复杂性，决定了个人信息保护问题构成典型的“问题领域”。相应地，个人信息保护法与环境法、财税法等类似，属于典型的“领域法”，具有跨越传统法律部门、多元特征混合、公私法融合的特点，单一部门法的制度工具、责任机制无法单独解决个人信息保护问题。由是观之，个人信息保护法规定的信息主体各项权利以及个人信息处理者的各项义务，也具有跨部门性的特点，应当从跨部门性的现实特点出发，构建综合性的法律保护框架和责任机制。具体说来，个人信息保护法作为个人信息保护领域的基础性法律，由其明确个人信息处理的基本原则、信息主体各项权利边界、个人信息处理者各项义务内容、保障机制等基本事项。同时，由民法、行政法、刑法进行相应的衔接，借助综合法律框架，共同制裁相应的违法行为。就“守门人”的特别义务而言，“守门人”违反特别义务，可能导致各类法律责任，既包括民法框架下对用户的侵权责任，也包括违反特别义务的合规要求导致的行政责任乃至刑事责任。此外，从多元法律责任机制的协同视角观察，考虑到民事侵权损害赔偿制度难以获得有效救济以及刑罚的“最后手段性”，应着重考虑“守门人”特别义务的行政责任。

五、简短的结论与建议

在互联网技术不断迭代发展的过程中所形成的对互联网生态具有极强控制力和影响力的大型在线企业，成长为有能力管控特定网络空间个人信息收集和处理行为的“守门人”。给此等企业设置与其能力相适应的特别个人信息保护义务以区别于一般个人信息处理者的个人信息保护义务，既具有法理基础和经济上的合理性，也符合互联网治理的世界潮流，能够更有效地保护自然人的个人信息。因此，建议正在制定的我国个人信息保护法增加上述内容的条文，对作为“守门人”的企业设置此等义务。

对于守门人的具体条件，如经济规模和影响力等方面的要求，可以由法律作出原则性的规定，在法律实施中由国家网络信息主管部门（网信办）会同产业主管部门（工信部）等加以规范和认定。