专访张新宝：个人信息保护法落地可先抓大带小 重点治理大型平台企业

21世纪经济报道记者 王俊 尤为 实习生 罗喜英 北京报道

中国个人信息保护法立法路程走过近二十年，这期间，互联网高速发展，大数据时代来到。伴随着高频、高速、高密度的数据交流传输，作为原材料的个人信息滥用问题相伴而至。

个人信息保护的立法呼声越来越高，急需一部专门法律定分止争。2021年8月20日，《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过，自2021年11月1日起施行。

中国人民大学法学院教授张新宝见证并参与了个人信息保护立法的整个过程。现在，《个人信息保护法》颁布已一年，张新宝仍时刻关注着这部法律的实施，并参与相关配套措施的制定中。

在他看来，个人信息乱象的治理方面已经得到了改善，不过对于《个人信息保护法》的执法仍旧任重道远。“我觉得有两只猛虎：一是公权力；第二是大型平台。”个人作为单个主体的力量仍旧渺小，因此应警惕“猛虎”，他认为任何具备收集、处理个人信息的主体都应谨慎地行使权力。

张新宝主张强化大型互联网平台的个人信息保护义务，抓住互联网治理的关键和核心环节，就此引入的“守门人”概念。这一建议也被纳入《个人信息保护法》。

如今，“守门人”相关考量标准尚未成型。他认为，尽管大型互联网企业可能包含几家独立的公司，但只要处于一个平台，就属于统一的“守门人”的规定范畴。

（受访者供图）

个人查询、复制、删除的请求应设置合理性标准

21世纪：《个人信息保护法》颁布这一年来发生了哪些变化？

张新宝：近几年，个人信息保护一直是热点话题。收集、处理个人信息是特别普遍的事情，尤其是大型平台企业，收集个人信息并进行处理是其经营活动的一个重要组成部分。在制定法律的过程中，出现了比如贩卖用户个人信息、算法歧视等广为人知的情况，算是催化剂，促进了这部法律的出台。

《个人信息保护法》出台后，政府部门严格执法，在个人信息滥用乱象的治理方面狠下功夫。但也出现了一些乱象，比如河南赋红码事件，防疫信息包含个人身份信息、人脸、行踪轨迹等，如果被不当处理，限制人身自由，将是极其恶劣的行为，违反了《个人信息保护法》的规定。所以《个人信息保护法》的执法还任重道远。一些地方政府在行使公权力时缺乏相关意识，侵犯了人民群众享有的合法民事权利。

21世纪：《个人信息保护法》给企业带来了哪些影响？

张新宝：尽管《个人信息保护法》规定所有个人信息处理者都须遵循本法的义务，违法的都须承担相应的责任，但是目前的案例来看，《个人信息保护法》约束的主要还是企业经营者。

《个人信息保护法》跟《刑法》不同，所有违反《刑法》的犯罪案件都必须查处，但违法处理个人信息的行为过多，不可能每一件都查出来。所以我认为，应“抓大带小”，以中等规模的企业为基础，先重点治理大型平台企业，小微企业的标准暂时放宽。

因为企业开展强化个人信息保护工作会有高额成本负担。比如企业对用户行使查询权需要开展查询核证工作，尽管使用自动化软件可以减轻部分负担，但仍需要招揽工作人员，有软件后台的运营维护及改进成本以及人工成本。如果有大量请求，会带来高额的成本负担。

所以，相关部门接下来可以考虑是否制定关于个人行使查询、复制、删除等的相关指南。考虑企业的成本，用户行使相关权利的请求不能过于频繁，查询、复制、删除的请求次数要有合理性。例如个人征信查询，个人可以免费查询一定次数，但是如果查询多次则需要负担一定成本。

21世纪：您提到对大型、中小企业设置不同梯度的义务，《个人信息保护法》第58条创设了守门人制度，这也是您当时建议加入法律的，最后被吸纳，设立守门人制度的考量是什么？

张新宝：大型互联网平台企业，是指控制着商业用户（个人信息处理者）触达终端用户（个人信息主体）的主要渠道、用户规模大、计算能力强且产业覆盖面广的互联网平台经营者。在信息产业界，也将大型互联网平台企业称为互联网“头部企业”。治理大型互联网平台企业包括对其个人信息处理活动的监督，是互联网治理的关键和核心环节。

相较于行政机关，这些控制了技术环境和运营环境的“守门人”包括移动终端操作系统、应用程序分发平台和平台型App，更有技术能力规制中小型移动App。

因此，抓住互联网生态个人信息处理的关键环节，可以有效缓解有限的行政资源与多点爆发的违法行为之间的矛盾，起到事半功倍的效果。

“守门人”个人信息保护监督机构相关标准正在制定中

21世纪：哪些平台属于“守门人”，目前仍没有认定标准，说法也不一。

张新宝：《个人信息保护法》第58条中对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”仍缺乏定量的标准。

我认为范围还包括移动终端操作系统、应用程序分发平台和平台型App，同时，要强调的一点是，《个人信息保护法》第58条规定的是平台而不是公司，不是以法人独立的单位划分的，而是以平台划分的。大型互联网平台企业可能是几家独立的公司，但是只要处于一个平台就属于规定范畴内。

去年，市场监管总局发布的《互联网平台分类分级指南（征求意见稿）》将平台分为超级平台、大型平台、中小型平台。我认为《个人信息保护法》第58条“大型互联网平台企业”对标超级平台经营者与大型平台经营者。因为超大平台只有几个，只管超大平台那法律条文便失去意义，《指南》里提到的大型平台也应属于第58条的规定范畴。

有了58条的这项规定，将来可以再继续制定实施细则，或者通过法院的案件审判来明确具体的裁量标准。

21世纪：58条要求守门人设立“独立机构”，但目前来看大多数平台基本还是按兵不动?

张新宝：据我所知，不少平台在积极研讨。我认为这个机构应是内设于大型互联网平台企业，与企业的日常经营管理部门隔离，独立进行个人信息保护监督的机构，而不应该是独立的社会监督机构或者国家机关。

作为企业内设机构的“独立监督机构”，要独立于企业的日常经营管理机构（如总经理）、产品或者服务研发推广机构等业务部门。因为这些机构和部门往往会以利润导向进行管理和经营而忽视个人信息保护。“独立监督机构”是大型互联网企业公司治理的重要组成部分，是一个创新的制度，主要是通过引入外部成员对企业的个人信息保护情况进行监督，确保企业在个人信息保护方面合规运行。

目前，相关部门正在起草“大型互联网企业个人信息保护监督机构”相关国家标准。

“守门人”必须在公平、公开、公正基础上制定平台规则

21世纪：有声音担心大型平台将义务滥用为垄断或者不正当竞争操作的工具，守门人制度被滥用。

张新宝：《个人信息保护法》第58条的“守门人”制度分四项，第一项主要涉及到的是守门人平台自身的合规建设，要求他们“建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。

第二项要求“遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”，是对滥用争议的回应，在个人信息保护法草案二审稿时增加了这一项。

当时有两个理由，第一个理由是《电子商务法》里面有类似的规定，另一个理由就是决策者认为，要在公平、公开、公正的基础上来制定平台规则，平台规则不能够成为自身实施不正当竞争、强化垄断的工具。

有资格制定规则的大型平台的数量是比较少的，制定平台规则之后，国家需要审查平台规则是否达到了公平、公正、公开的要求，是否贯彻了个人信息保护法的原则和精神。

21世纪：第58条规定守门人平台对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务，这个实践中是否会被滥用？

张新宝：首先要要配合执法，对于相关部门的指示要第一时间处理、封存相关资料、配合有关部门调查。

但如果对判断标准不明的，下架可能会有争议。毕竟是民事主体，所以做出处罚的时候，应该是慎重的。

21世纪：《个人信息保护法》颁布一年，有哪些新的进展？

张新宝：目前，国家网信办、市场监管总局、工信部等相关部委在紧锣密鼓地进行配套措施的制定和颁布。网信办已经制定了《数据出境安全评估办法》、《个人信息出境标准合同规定(征求意见稿)》，6月9日印发的《关于开展数据安全管理认证工作的公告》表明数据安全管理认证工作也在进行当中。市场监管总局发布了《互联网平台分类分级指南（征求意见稿）》、《互联网平台落实主体责任指南（征求意见稿）》。相关部门对《个人信息保护法》第 58 条也在起草配套的规范性文件。监管部门进行了大量日常执法和监管活动，工信部定期和不定期公布违反处理个人信息的企业和其APP。网信办查出了滴滴全球公司大案，处以高达80.26亿元罚款，并处罚了相关个人。

21世纪：您认为接下来有哪些可以作为重要抓手推动《个人信息保护法》的落地？

张新宝：整体来看，执法方面在向着健康的方向发展，不过随着技术、产业的发展，特别在防疫的特殊阶段，问题也在不断地显现。

首先，过去做的很多工作仍需继续推进，比如对App的集中治理、常态化整治。

第二，要加强生物识别信息，比如人脸识别信息方面的监管，从装备设置、信息采集处理要全方面监管。算法推荐产生的问题仍然是需要治理的重点。

第三，在政府依法行使职权方面，把个人信息保护作为重要的内容，加强监督和处罚力度。大量个人信息掌握在政府手中，很多都是敏感个人信息，要加强对公权力的监管和约束。