【来源】北宝法学期刊库《中国政法大学学报》2023年第4期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

　　内容提要：随着数字经济的发展，个人信息安全事件的发生，各国均将类似“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（以下简称“重要个人信息处理者”）的特别监管作为研究重点和立法内容。互联网平台是数字经济的新业态，个人信息所形成的数据是新业态的重要生产要素。无论是互联网所形成的新业态，还是个人信息处理的实践，都充分证明了对一般个人信息处理者的监管已经无法适应重要个人信息处理者带来的个人信息安全风险的防范。本文针对个人信息处理的实践问题，分析典型国家、地区和我国有关重要个人信息处理者的监管研究，提出我国重要个人信息处理者的特别监管的完善路径，进而实现个人信息安全风险防范，有效维护、公共利益和个人信息主体权益。

　　目次 一、重要个人信息处理者的认定条件和认定程序 二、重要个人信息处理者个人信息安全的特殊风险 三、重要个人信息处理者特别监管设计

　　随着数字经济的发展，无论是数字经济的关键生产要素数据的处理，还是互联网载体作用的发挥，以及现代数字技术的应用，无不涉及数据所承载的个人信息权益的保护和个人信息安全的保障。尤其在发展过程中，对一般的个人信息处理者的规范难以防范重要个人信息处理者所带来的个人信息安全的特殊风险。为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，应建立对重要个人信息处理者的特别监管。欧盟在《数字服务法》（Digital Services Act）和《数字市场法》（Digital Markets Act）中也对类似此种性质的大型服务平台进行了特别的监管，如对经济和社会影响较大的在线平台的提供管理、广告和算法流程设置了更高的透明度、责任和义务，以防范其形成的系统风险。且此种责任义务的设定仅限于大的在线通过的《中华人民共和国个人信息保》 （以下简称“《个人信息保》”）第58条也对 “提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务进行特别规定：一是对个人信息处理者的限定，二是明确了此条限定的个人信息处理者的特别义务。然而《个人信息保》第58条，无论是对“个人信息处理者”的限定条件，还是对其特别义务的规定都存在问题，有待完善。

　　《个人信息保》第58条对“个人信息处理者”的限定条件存在的问题。首先，“重要互联网平台服务”“用户数量巨大”和“业务类型复杂”三个要素中的“重要”“用户数量巨大”“复杂”等用语都没有明确界定标准。其次“互联网平台”在我国的法律层面没有定义，《个人信息保》中也没有对其定义，因此其主体性质和范围仍具有不确定性。再次，《个人信息保》第58条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”中的界定三要素是界定“重要个人信息处理者”的充分条件，还是必要条件缺乏明确的规定。最后，《个人信息保》中缺乏对第58条“重要个人信息处理者”主体界定的认定程序。

　　《个人信息保》第58条对个人信息处理者特别义务的规定存在问题。《个人信息保》第58条规定的特别义务包括：“（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（四）定期发布个人信息保护社会责任报告，接受社会监督。”其中，第一款中“外部成员组成的独立机构”的性质缺乏定性，应进一步明确，否则无法实现法律规范的目的。第二款和第三款的规定实质上赋予了重要个人信息处理者执法、立法和监管的“权力”，但《个人信息保》中却未对此“权力”进行规范，易导致“权力”滥用。第四款缺乏对“个人信息保护社会责任报告”的具体内容、发布方式和发布期限的具体规定。除此之外，对重要个人信息处理者的特别监管应根据《个人信息保》的立法目标和第58条的法律规范目的进一步完善，强化其对个人信息安全风险的防范和特别监管，从而实现保护个人信息权益和促进个人信息合理利用。

　　“重要个人信息处理者”是对《个人信息保》第58条中的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”进行本质分析而抽象出的此类主体的概括总称。重要个人信息处理者在个人信息安全方面具有特殊的风险，其主体的认定条件决定着个人信息权益保护和个人信息安全的实现，决定着对其进行的特别监管的公平与正义。

　　重要个人信息处理者的认定原则，一是认定范围应以客观法为基础，不宜扩大范围。欧盟《数字市场法》提案对“核心平台服务者”应满足的条件进行了明确限定：第一，对内部市场具有重大影响；第二，运营一项核心平台服务，作为商业用户接触终端的重要门户；第三，在运营中具有稳固和持久的地位，或者在可预见的未来能够拥有该等地位。欧盟《数字市场法》提案仅适用于满足以上标准的服务提供商。欧盟《数字市场法》提案采取了定性和定量的标准，定量标准作为定性标准的可推定条件，保证了委员会能够指定对市场公平和竞争具有相同或相似风险的核心平台服务提供商作为特殊监管对象，同时保证特别义务仅适用于核心平台服务提供商。在法国法学家、社会连带主义法学创始人狄骥 （1859-1925）的学说中，客观法是指整个人类社会所固有并必须服从的社会纪律。他说：“一切人类社会都势必服从社会的纪律，这种纪律构成社会的客观法，并且适用于一切自觉的个人、社会集团的成员。”在数字经济发展过程中，个人信息数据关键要素的开发利用对个人信息主体利益，甚至和公共利益产生了危害。因此应对其采取特别监管，同时实现对个人信息处理者的分类分级监管，既保证安全，又能够建立平等和公平的竞争秩序，进而促进数字经济的发展。，二二是应充分实现《个人信息保》的立法目标和第58条的法律规范目的。“目的是全部法的创造者，每条规则的产生都源于一种目的，即一种事实上的动机。”对重要个人信息处理者的认定应围绕《个人信息保》的立法目标和第58条的法律规范目的。《个人信息保》第1条提出，该法的立法目标是统筹“保护个人信息权益”和“促进个人信息合理利用”。第58条的法律规范目的，是解决在个人信息处理利用的实践中，个人信息处理主体从事“非法收集、使用、加工、传输他人个人信息，非法买卖、提供或者公开他人个人信息；从事危害、公共利益”的个人信息处理活动时所产生的严重影响个人信息权益、危害社会且救济成本高的个人信息安全风险防范问题。三是重要个人信息处理者的认定条件应具有明确性和可操作性。重要个人信息处理者认定条件的明确性和可操作性是为了避免界定条件不清和无操作性导致的法律规范主体泛化和执法行为无法实施，甚至采取选择性执法的情况发生。四是重要个人信息处理者的认定应主要围绕《个人信息保》中“重要”“用户数量巨大”“业务类型复杂”三要素的语义进行相对明确的解释。以此既能够保证《个人信息保》立法目标和第58条法律规范目的的实现，又能够充分发挥现行法律的最大效用。遵循以上认定原则的主要目的，是确保不会出现过度监管和监管范围扩大的情况，同时避免监管漏洞和避免发生因歧义、模糊和开放等产生的法律适用的不确定和司法裁决的不统一，进而确保法律实现其公平与正义的价值。

　　《个人信息保》中没有对“互联网平台”进行定义，我国其他法律也没有对“互联网平台”的定义进行明确。从“互联网平台”的内涵和外延出发，与其类似的表述在我国的法律、法规中有：《中华人民共和国消费者权益保》第44条使用“网络交易平台”的表述，但此法中没有对其定义；《中华人民共和国电子商务法》第9条中对“电子商务平台经营者”的定义为“电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织”；2007年商务部《关于网上交易的指导意见（暂行）》中对“网上交易平台”的定义为“平台服务提供者为开展网上交易提供者的计算机信息系统，该系统包括互联网、计算机、相关硬件和软件等”。目前我国只有《关于平台经济领域的反垄断指南》中出现了“互联网平台”，并定义为“通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态”对国外典型国家的立法进行考察，欧美国家的立法中没有“互联网平台”的表述，而更多的使用“网络中介”或“网络中间商”。2010年经济合作组织（OECD）发布的《网络中介的经济与社会作用》报告中使用了“网络中介”，并界定为“网络上的双方或多方聚合在一起或为其交易提供便利服务的主体，其可以对第三方制作的内容、产品和服务提供接人、主机服务、传输和检索服务”。综上所述，互联网平台应是利用互联网技术为相互依赖的双边或多边主体提供一定规则下的载体的中介服务的商业模式。其主要特征为互联网平台服务应是一种通过网络提供的服务，互联网平台服务是互联网服务的一种方式，是利用互联网和信息技术为用户提供的服务；互联网平台是中介性质，为双方或多方用户提供中介服务。互联网平台主要包括两类：一类是仅提供平台作为载体，平台上存储或传输的信息、商品或服务都不是平台服务提供者制作的，而是由平台上的用户或第三方提供的；另一类是互联网平台的经营企业既为用户的信息发布提供服务，又提供自己制作的信息或商品。

　　“重要”从汉语词义理解是指具有重大影响和具有很大意义。从《个人信息保》立法目标和第 58条法律规范的目的分析，“重要互联网平台”的“重要”主要是指“重大影响”。“重大影响”的内涵依据《个人信息保》立法目标主要是指对个人信息主体权益、和公共利益有重要影响。同时，“重要”的认定可借鉴2021年9月1日起施行的《关键信息基础设施安全保护条例》第2条对关键信息基础设施的定义：“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害、国计民生、公共利益的重要网络设施、信息系统等”。其中对“关键信息基础设施”中的“关键”，从关键业务、支撑关键业务的信息系统或工业控制系统、关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事故后可能造成的损失方面进行认定。此外，可借鉴欧盟《数字市场法》中所规定的用以认定核心平台服务者为“守门人”的因素：第一，规模，包括核心平台服务者的营业额和市值；第二，依赖于核心平台服务来接触终端用户的商业用户的数量和终端用户数量；第三，源于网络效应的准入障碍和数据驱动优势，特别是提供者访问和收集个人和非个人数据或分析的能力；第四，提供者所收益的包括数据相关的规模和范围的效果；第五，商业用户和终端用户的锁定效用。其中，“控制性”和“依赖”是重要性的核心。因此，对“重要”的认定，一是业务的认定，即个人信息处理业务；二是提供的是技术和基础设施服务系统，即属于《关键信息基础设施确定指南（试行）》中规定的“平台类”；三是对提供的技术和基础设施服务系统的依赖和控制程度；四是个人信息安全事故发生后可能造成损失和影响程度。

　　“用户数量巨大”的认定首先需要考量是以用户的绝对数量为标准，还是相关市场内的用户相对数量为标准。从可操作性考量，应以“绝对数量”为标准，因为“绝对数量”比“相关市场内的用户相对数量”易操作。从互联网平台的市场特征考量，也应采用“绝对数量”。互联网平台的业务复杂，又呈现双边或多边市场，易导致市场和数量判断的标准不统一，裁决者的自由裁量空间和不确定性较大。从个人信息保护和促进发展的统筹目标考量，数字经济正处在发展初期，互联网平台是主要的数字经济互联网载体商业模式（业态），“重要个人信息主体处理者”的范围不宜扩大，因此从促进数字经济发展的趋势考量也应采用“绝对数量”为宜。从当前我国的各项相关规范文件来。