本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:陈兵、夏迪旸,编辑:朱弢,原文标题:《如果平台谢幕,数据如何安全离场》,题图来自:视觉中国
2022年7月28日,网传每日优鲜将面临解散,一时间陷入舆论风波。
每日优鲜向媒体回应称,该公司“资金断链无法经营”系虚假信息,除了暂时关闭极速达业务外,目前正在努力保障其他几块业务运营。
无论每日优鲜“解散”的消息是否属实,一个问题引人思考,平台企业退场时,如何实现数据要素安全离场?
《国务院反垄断委员会关于平台经济领域的反垄断指南》第一条规定,“平台”是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态。其中,信息撮合交易、制定交易规则及提供交易场域,是平台企业的主要功能和基本商业模式。
在这一过程中,平台企业倾向于利用数据、算法、技术、资本及平台规则等竞争优势,通过对已经持有的大数据和不断集聚、实时更新数据的分析发现甚或培育用户的喜好,持续推送相关产品或服务信息。同时,利用数据和算法的双轮联动实现跨界竞争,进入新行业,开拓新市场,在帮助其产业数字化转型升级的同时,也实现数字的产业化开发和利用。
因此,平台企业的核心生产要素和竞争力来源显著表现在和浸入于数据及其全周期的行为过程。基于这个特点,平台企业手中掌握着大量的用户数据,既包括个人用户,也包括经营者用户。比如,每日优鲜的财报显示,截至2021年3月31日,其有效用户数为789万。
基于此,当平台企业面临退出市场或者转入其他行业及相关市场时,如何在保障其持有、使用、管理的大量数据安全的同时,实现数据的有序流通和利益分享,保有并释放数据价值,是当下完成平台经济领域整改要求亟待回答的问题,也是促进和支持数字经济规范健康发展需要补足的制度安排。
平台企业退场,数据安全风险高企
在平台企业退场时,首先会面临的风险在于,其持有的大量数据信息不当流出,导致个人用户隐私和商家用户商业秘密泄露,从而严重威胁数据安全。
首先,平台企业沟通并连接资源所有者和资源享用者,掌握着大量经营者与消费者数据,一旦这些数据被恶意窃取或被平台不当利用而泄露,可能带来个人信息和重要数据被不当使用的风险,侵犯个人和企业权益。
其次,数据是数字经济的关键生产要素,一旦处理不当,将会严重危害竞争秩序。平台企业往往凭借海量数据资源与技术创新优势,形成自成一体的生态系统,当其掌握的流量和数据达到一定量级,就可以通过流量和数据变现进一步融资,以扩大平台规模,提高商品或服务的质量和技术水平,以此获取更多流量、数据及资本,形成正向反馈效应,这使使得平台经济领域成为“资本无序扩张”的重灾区。其掌握的数据资源也为其实施数据支撑型的垄断协议行为、数据主导型滥用市场支配地位行为,以及数据驱动型经营者集中行为提供了条件。
同时,也要注意到数据的价值在于流通和复次利用。若是一味出于保障安全的考量,施以较为严格的保护措施,则可能影响数据价值的进一步挖掘。尤其是对于每日优鲜此类规模较大的网络销售类平台,其掌握的数据资源无论是对于企业自身自救、抑或是其他企业的生产经营,都有着巨大的价值。
综上,平台企业在离场时,应当在保障数据安全的基础上,促进数据要素的流通,避免发生数据泄露等安全问题,或是造成数据价值的减损,影响数字经济市场的正常秩序。
平衡安全与开发,维护多方主体利益
在平台企业退场时对其掌握的用户数据如何处理的问题上,依然要坚持场景化的数据权益动态平衡保护,对数据要素进行科学合理的分类,实现不同场景下的合理配置,在保障数据安全的基础上,最大限度地挖掘数据的价值,维护数据安全与数据开发的平衡。
具体来讲,从横向度“数据功能”看,可分为商业数据、工业数据、社会数据、自然数据等,前三类数据主要产生和服务于生产生活各类场景,数据主体包括个人、企业、政府、其他社会团体等;自然数据来自对自然地理环境的特征和流变、自然资源的分布等的自然或分析结果。
从纵向度“数据来源”来看,可以分为原始数据、衍生数据与创生数据。其中,衍生数据是对原始数据进行加工、处理并具有财产价值和增值价值的一类数据,创生数据则是在数据服务行为或(和)应用行为中对衍生数据的二次或多次利用或深度加工处理形成的各类数据。
当平台企业退出市场时,对于不同类型的数据应当采取不同的处理方式,在确保数据安全的基础上,保障数据要素的流通,实现不同主体间的利益平衡。具体而言:对于原始数据,在处理时应当将用户隐私作为保护的重点,若原始数据构成个人信息,则应遵循《个人信息保护法》与平台隐私政策的相关规定。
依据《个人信息保护法》第22条,个人信息处理者因解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。
若是原始数据构成敏感个人信息,则企业在处理时应当取得用户的单独同意,还应当向用户告知处理敏感个人信息的必要性以及对用户权益的影响。
根据每日优鲜的《隐私政策》, “在涉及合并、收购或破产清算时,如涉及到合并、收购或破产清算时,如涉及到个人信息转让,我们会向您告知接收方的名称或者姓名和联系方式并要求新的持有您个人信息的公司、组织继续接受此隐私政策的约束,否则我们将要求该公司、组织重新向您征求授权同意”。也就是说,假如每日优鲜破产,该公司很可能将其掌握的用户数据转让给第三方,同时承担着将第三方的名称或姓名、联系方式告知用户的义务。第三方若变更处理目的、处理方式,则应重新获得用户的授权同意。
在判断接收方是否变更处理目的、处理方式时,可以结合横向的“数据功能”分类进行判断。若是商业数据被用于工业场景,毫无疑问就属于变更处理目的与处理方式。
此外,对“变更”的判断还可以结合《互联网平台分类分级指南(征求意见稿)》(下称《平台分类分级指南》)进一步细化。《平台分类分级指南》依据平台的连接对象和主要功能将其分为六大类:网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台、计算应用类平台。根据这一分类,每日优鲜属于网络销售类平台中的商超团购类平台,若是其日后将用户数据出售给其他类型平台,则属于变更处理目的与方式。
对于衍生数据,则需要在保障企业竞争性财产权益的同时,保留用户对仍具有个人信息可识别性的数据享有自决的权益。考虑到企业在数据的收集、利用与分析中付出了大量成本,因此应当强化企业财产权益的保护,实现数据的流通,充分挖掘数据的价值。考虑到衍生数据是由原始数据加工而来,因此当企业退出市场时,应当在对个人隐私予以脱敏或匿名化处理后再进行处理。
创生数据相对而言,其与用户的个人隐私关联较弱,因此在处理时,以最大化挖掘数据价值为原则即可,以公共利益为先,实现数据的流通与共享。
依法合规处理数据,保障数字经济安全运营
受国际形势和疫情影响,国内外发展环境发生深刻变化,对于平台企业的经营也带来了一定的挑战。即便如此,平台企业在收集、使用与处理用户数据时,仍应当树立牢固的安全意识与底线意识,坚持“以高水平安全保障高质量发展”,规范开展数据处理活动,保障数据安全,促进数据开发利用。
具体来讲,在处理构成个人信息的用户数据时,应当遵守《个人信息保护法》等法律法规,遵循“告知+同意”这一基本原则,遵循合法、正当、必要和诚信原则,具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,不过度收集个人信息。
同时,应公开个人信息处理规则,明示处理的目的、方式和范围。在处理敏感个人信息时,应当取得用户的单独同意,同时告知处理敏感个人信息的必要性以及对个人权益的影响。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。
在数据安全方面,应充分遵循《数据安全法》中的相关规定,履行数据安全管理制度建立、数据安全教育培训、数据风险监测、数据风险评估等方面的义务,重要数据处理者则应当明确数据安全负责人和管理机构,同时对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。在处理涉及数据出境的问题时,若企业属于向境外提供重要数据、作为关键信息基础设施运营者或处理个人信息达到规定数量的个人信息处理者,在向境外提供个人信息时,应当进行安全评估。
此外,《数据出境安全评估办法》将于2022年9月1日正式施行,其中对“重要数据”的定义予以了明确的界定:“重要数据”是指,一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《数据出境安全评估办法》明确,数据处理者有下列情形之一的,应当申报数据出境安全评估:向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;以及国家网信部门规定的其他需要申报数据出境安全评估的情形。
综上,平台企业在处理数据时,应当严格遵守法律法规,在保障数据安全的基础上促进数据流通。尤其是涉及到数据跨境的问题时,关键信息基础设施运营者、重要数据处理者与数据处理量较大的平台,应当依据相关规定,充分履行相应的安全评估、风险评估义务。
严格落实主体责任,保障数据处理安全合规
安全是发展的前提,数据处理中依然要坚持“以高水平安全保障高质量发展”的基本原则。目前,中国法律对于数据处理过程中可能出现的信息泄露等问题作出了较为严格的规定,企业或相关负责人一旦出现相关问题,需要承担刑事责任或行政责任。
依据《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
依据《个人信息保护法》的规定,违法处理个人信息或未履行规定的个人信息保护义务,会被责令改正,给予警告,并没收违法所得。对违法处理个人信息的应用程序,责令暂停或者终止提供服务;若拒不改正,则会对公司和负责人员处以罚款。若情节严重,则会被处以数目较大的罚款,并可以责令暂停相关业务或者停业整顿、或吊销相关业务许可或者吊销营业执照,同时可以禁止有关负责人在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
此外,《个人信息保护法》还规定了个人信息处理者可能承担的民事责任:个人信息泄露后造成个人信息权益损害的,个人信息处理者不能举证证明自己没有过错的,就应当承担损害赔偿的侵权责任。依据第70条,个人信息泄露后个人信息处理者可能面临公益诉讼的风险。
依据《数据安全法》的规定,开展数据处理活动的组织、个人不履行数据安全保护、数据风险监测、数据风险评估方面义务的,有关部门应责令改正,给予警告,企业与直接责任人员均可能被处以罚款;若拒不改正或造成大量数据泄露等严重后果的,则会被处以金额较大的罚款,同时可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
可见,目前对于在数据处理过程中出现信息泄露等问题,企业或相关负责人应当承担的法律责任主要以刑事与行政责任为主。这也体现了“以高水平安全保障高质量发展”的基本原则,体现了对于数据安全的重视。而有关主体在数据泄露中应承担的民事责任,也体现了经济法“实质正义”的基本理念:企业相对于个人,拥有技术、资源上的优势,故在归责时应适用过错推定原则,避免发生原告举证困难而无力追责的情形。
值得注意的是,在新《反垄断法》正式实施之际,最高人民检察院印发了《关于贯彻执行〈中华人民共和国反垄断法〉积极稳妥开展反垄断领域公益诉讼检察工作的通知》,要求积极稳妥开展反垄断领域公益诉讼检察工作,重点关注互联网、公共事业、医药等民生保障领域。对平台经济领域来说,不仅涉及反垄断规制,还为平台领域用户群体多、聚焦扩散效应强等特征所引发的多元利益主体维权难提供了参照,即为当事人提供了公益诉讼这一维权追责渠道。
根据上述分析来看,平台企业承担了保障数据安全的主体责任,即使在退场之时,也需要严格遵守相关法律法规的要求,避免造成数据信息泄露,给用户造成二次损害,否则将承担更为严重的责任。
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:陈兵(南开大学法学院副院长、教授)、夏迪旸(南开大学竞争法研究中心研究人员)