作者:赵精武,北京航空航天大学法学院副教授。
一、问题的提出
从《个人信息保护法》《数据安全法》等法律法规颁布至今,我国数据安全保护立法体系已经初步建立。近年来的立法工作也多是聚焦于数据安全法律制度如何实施、具体条款如何适用等领域,例如已公开个人信息的保护问题、破产企业如何处置客户个人信息、数据分级分类保护的具体方式等。在学理层面,个人信息保护、数据安全保障等领域的研究重心也从以往的制度建构转向了法律适用,这是因为“个人信息保护的正当性基础”“个人信息所承载的权益”以及“个人信息保护方式”等问题已然得到解决,学界对于数据处理者的法定义务及其履行方式并无太大分歧。现有研究更加侧重解决数据财产权与个人信息保护、数据安全保障之间的制度衔接问题,尤其是在复杂的数据交易等处理活动中,各方的数据安全保障义务以及相应的数据财产权如何协调分配。
目前,关于网络平台的数据安全保障义务同样没有太大争议,“平台是否应当有数据安全保障义务”以及“平台应当如何履行数据安全保障义务”等问题得到了充分论证。尽管部分观点试图从数据分级分类保护的角度进一步阐明平台的数据安全保障义务及其履行方式,但从相应的研究成果来看,本质上依然没有超出一般意义上个人信息保护、数据安全保障的义务范畴。即便是以“具体的应用场景”作为前置性条件,试图从行业、场景的特殊性角度论证风险水平、风险类型的特殊性,但最终的结论还是回到既有的数据安全保障研究范畴。风险程度的高低、行业数据的专业性等因素在技术层面或许存在特别治理的需求,但在法学研究视角下,这些因素并不足以支撑相应义务内容特殊性的证成理由。因为义务内容、义务履行方式的特殊性应当是以法律关系的特殊性为前提,而在大部分的应用场景下,数据处理者的数据安全保障义务还是以“用户—网络平台”这类单一法律关系为实践基础。
当然,这并不等同于网络平台的数据安全保障义务问题得到彻底且全面的回应,更值得关注的问题是,平台与第三方之间基于业务关系所产生的数据处理活动是否会对其义务内容、义务履行方式产生相应的影响?《数据安全法》第33条、《个人信息保护法》第21条和第23条等均规定了委托、中介服务等业务活动中平台与第三方之间的数据安全保障义务分配。从实践层面考量,“用户—网络平台—第三方”这类法律关系所对应的数据安全保障义务并未得到充分阐明,其中具有代表性的业务模式便是聚合平台。聚合平台通过整合不同类型的网络平台,使得用户能够在更大范围内选择相应的平台服务。但问题在于,一旦网络平台发生数据泄露等安全事件,聚合平台与这些网络平台究竟是单独承担责任还是连带承担责任尚无定论。如果以分别独自承担论之,用户的行权对象仅限于网络平台,其基于对聚合平台的信任作出的服务选择行为似乎无法得到保障;如果以连带承担论之,聚合平台仅仅是信息服务的“中间人”,促成用户与特定网络平台之间的缔约,此种责任承担又显严苛。尽管有学者主张在个人信息泄露事件中将多个共同处理者视为整体一并承担侵权责任,但这种共同数据处理关系又与“聚合平台—网络平台”之间的法律关系存在显著不同。
为了解决这一实践性问题,则需要从四个方面回应:一是明确聚合平台的法律性质,唯有如此,才能判断聚合平台究竟承担何种程度的数据安全保障义务。二是明确聚合平台在数据安全保障上的注意义务。在法律上要求聚合平台事前审核平台的数据安全保障能力显然强人所难,故而该类注意义务的内容和边界需要予以确认。三是明确聚合平台基于数据提供关系的法定义务及其履行方式,即现行的个人信息保护义务、数据安全保障义务应当如何履行,例如在个人信息泄露后,聚合平台和网络平台承担泄露通知义务。四是明确聚合平台和网络平台的责任承担形态。
二、聚合平台的法律性质:电子商务平台与数据提供关系
在明确聚合平台的数据安全保障义务之前,需要先行确定聚合平台的法律性质。因为这类“平台的平台”的数据安全保障义务争议主要集中于“聚合业务”带来的问题,特别是聚合平台针对入驻的网络平台应当负有何种审查义务,而非自身作为网络平台所固有的数据安全保障义务。
(一)聚合平台定义的学理分歧:两种“聚合”模式
聚合平台的侵权责任问题并非一个全新议题,早已有学者就此展开相应的学理论证,相应研究大致可以分为两个阶段:一是聚合平台著作权侵权责任研究阶段,二是网约车聚合平台侵权责任研究阶段。这两个阶段并不意味着聚合平台侵权责任问题发生了研究重心的偏移,而是“聚合”概念本身发生了偏移。在前一个阶段,多数学者从普通链接、转码、深度链接等角度解释“聚合平台”的基本概念和技术原理。其核心的争议焦点主要表现为:对采用深度链接的聚合平台究竟是适用著作权法规范认定平台侵犯信息网络传播权,还是适用竞争法规范认定平台业务模式构成不正当竞争行为。在解决这一争议焦点时,论证逻辑多是以澄清聚合平台的法律地位为前提,指明该类平台所提供的内容服务主要来源于其他内容网站,其特点是用户可以免于在网络上搜索而直接获取目标内容。并且,还将相应的深度链接解释为不进行页面跳转就可以在聚合平台获取内容的链接技术。在后一个阶段,主要的研究对象是诸如高德等网约车聚合平台,相应的研究重心在于解释“用户—聚合平台—网约车平台—网约车司机”之间的法律关系及其相应的权利义务关系。与之相对应,“聚合平台”概念通常被解释为“平台的平台”或者“第四方平台”,为用户和特定的互联网服务提供交易模式的新型业务模式。
由此观之,“聚合平台”并不是一个目标明确、边界清晰的概念。两个阶段的“聚合平台”虽均以“聚合”为名,其本质内容也是强调将各类平台的信息服务聚合到同一个平台,免去用户逐一搜索、比价的麻烦,但这种“聚合”模式在法律关系上却存在着巨大差异:前一阶段的聚合平台的核心特征在于网络信息内容的整合。作为新闻、视频等行业的“核心竞争力”,这种跨平台的信息内容整合势必会涉及不正当竞争和作品的信息网络传播权侵害。后一阶段的聚合平台因其聚合的并不是网络信息内容本身,而是具体的实体性服务,如网约车、支付、广告等,故而研究重心是聚合平台义务内容的特殊性。尤其是在网约车领域,有关网约车聚合平台的法律争议较大,如乘客投诉面临流程复杂、对象不清晰等问题。因涉及四方法律主体,且该类聚合平台并不直接提供网约车服务,故而难以简单套用网约车平台的义务体系予以规范。然而,对于用户而言,其最直观的感受便是聚合平台提供了外观意义上的“网约车服务”。一旦聚合平台不对聚合的网约车平台资质进行严格管控,并且以自身提供信息服务而非网约车服务为由规避责任,则会使得用户难以行权和获得相应救济。并且,这类聚合平台对于其聚合的平台具有更为直接的管控能力,能够限定用户能够查询和获取的网约车平台类型,如何达成权利义务的一致性也是学者们所争论的核心议题。
相较于信息内容的聚合平台,本文侧重关注实体性服务的聚合平台。因为前者本身的法律地位已经构成独立的网络信息服务提供者,无论是个人信息泄露,还是其他的数据安全问题,均可直接按照一般的个人信息处理者或数据处理者标准予以确认对应的义务和责任。但是,后一阶段的聚合平台在业务层面与网络平台存在着一定关联性,这也导致彼此之间的法律义务和对应的责任也存在某种程度的“关联性”。诚然,在理想状态下,谁泄露个人信息、谁过度收集个人信息等问题由直接的义务主体承担责任即可,本文所提出的问题似乎也不过是一种“空想”。但是,对于用户而言,实践中往往难以直接明确究竟是谁导致了数据泄露等安全事件的发生,并且在诉讼阶段,聚合平台、网约车平台只能择其一行权无疑会增加用户的诉讼成本。更何况,如果聚合平台未能对平台进行必要的资质审核,同样会使得用户的个人信息安全处于相当程度的不确定状态。此外,如果将聚合平台与其聚合的平台视为“共同的个人信息处理者”,按照《个人信息保护法》第20条的规定,彼此之间应当约定各自的权利和义务,一旦侵害了个人信息权益,应当承担连带责任。那么,我们就有必要阐明实体性服务的聚合平台与其聚合的平台之间如何分配各自的数据安全保障义务。
(二)聚合平台的法律性质:四类主张
以最常见的网约车聚合平台为例,聚合平台的业务流程大致可以归结为三个步骤:第一步,用户将自身的出行信息上传,聚合平台根据出行信息将不同网约车平台报价反馈至用户;第二步,用户根据显示的网约车平台报价信息进行选择,若选择数个网约车平台,则会根据聚合平台与网约车平台之间的既定规则开始派单和抢单;第三步,不同网约车平台的司机开始抢单并确定开始提供客运服务。基于对此种业务实践的考量,聚合平台的法律性质存在“承运人”“网络信息服务提供者”“中介服务提供者”“电子商务平台经营者”四类认定路径:1.“承运人”立场将整个聚合网约车派单业务视为一个整体性的客运服务,尽管聚合平台没有直接提供客运服务,但是其业务活动是客运服务不可或缺的一环。2.“网络信息服务提供者”立场以聚合平台所提供的实际业务类型为基础,其业务模式是根据用户用车需求提供更大范围的用车选择,且与用户之间仅仅构成信息服务法律关系。3.“中介服务提供者”立场侧重将聚合平台的业务性质界定为“撮合用户与网约车平台达成客运服务合同”。例如,2022年发布的团体标准《网络预约出租汽车聚合平台运营服务规范》在“3.1 网络预约出租汽车聚合平台经营者”中,将该类业务模式描述为“依托互联网技术,与网约车平台公司合作,面向乘客并匹配供需信息,共同提供网络预约出租汽车服务”。4.“电子商务平台经营者”立场将聚合平台与常见的电商平台作类比,因为在排除自营模式后,两者均是以“用户—平台(入驻商家、入驻网约车平台)”为业务核心。尽管电商平台的商家与网约车平台从事的业务不同,但在法律关系层面,本质上均属于提供特定商品或服务的“卖方”。
除了“承运人”难以与现行立法契合外,其他三类法律性质认定也都存在不同程度的法律适用问题:其一,聚合平台作为“承运人”无法与《民法典》第809条规定的运输合同概念契合。因为第809条强调了“承运人将旅客或者货物从起运点运输到约定地点”,聚合平台并不直接涉及旅客的运输服务。而且,2022年第二次修正的《网络预约出租汽车经营服务管理暂行办法》第2条第2款将“网约车经营服务”界定为“以互联网技术为依托构建服务平台,整合供需信息,适用符合条件的车辆和驾驶员,提供非巡游的预约出租汽车服务的经营活动”。换言之,网约车平台并没有被视为法律意义上的“承运人”,更何况是作为“平台的平台”的聚合平台。第二,聚合平台作为网络信息服务提供者虽然可能使得其承担更为全面的个人信息保护义务、数据安全保障义务,但是在人身安全保障领域,这种法律性质认定反而使得聚合平台不必作为交通事故责任主体,进而使得受害者的权益救济渠道受限。第三,聚合平台作为中介服务提供者与其作为网络信息服务提供者存在同样的问题,因为《民法典》第961条所规定的“中介合同”属于一种媒介服务,聚合平台属于提供“网络通信技术支持和服务”的特殊法律主体,用户与网约车平台之间的侵权责任纠纷难以“涵盖”聚合平台。并且,即便是网络信息聚合平台,也难以被直接认定为单纯的信息中介服务提供者。第四,聚合平台作为“电子商务平台”难以直接证成聚合平台具有事前审核网约车平台数据安全能力的义务。因为《电子商务法》第24条仅仅提及了电商平台自身对用户的个人信息保护义务,且第38条所提及的电商平台对平台经营者的审核义务也仅仅限于“关系消费者生命健康的商品或者服务”。
诚然,聚合平台在不同程度上满足这四类法律主体的基本特征,但在数据安全保障层面,电子商务平台这一主体定位更加契合聚合平台的业务特征。一方面,《电子商务法》第9条第2款所界定的“电子商务平台经营者”恰有提及“为交易双方或多方提供网络经营场所、交易撮合、信息发布等服务”,这与网约车聚合平台作为“网约车平台”的平台特征最为贴近。并且,在明确该法律性质之后,其与数据安全相关的注意义务则可以通过《电子商务法》第23条的转介条款予以解释,即聚合平台在处理个人信息时,应当“遵守法律、行政法规有关个人信息保护的规定”,亦即回到《数据安全法》《个人信息保护法》等法律文本予以解释。另一方面,其他三类主体定位并不能作为细化聚合平台数据安全保障义务的实践基础。例如,网络信息服务提供者这类主体定位仅仅侧重聚合平台作为平台方的数据安全保障义务,难以作为解释聚合平台与其他网络平台之间数据安全保障义务承担方式的正当性依据。再如,中介服务提供者仅仅能体现“用户—聚合平台—入驻网络平台”之间的中介服务合同关系,而无法更加精准地反映聚合平台与入驻网络平台之间的数据提供关系。
(三)聚合平台与网络平台的法律关系
聚合平台与常见的电子商务平台相比,其共同点在于,两者均将不同规模、不同体量的“平台内经营者”聚合在一起。用户之所以愿意选择这些入驻“商家”,有一小部分原因是基于对聚合平台的信任。因此,聚合平台不能仅仅基于“用户—聚合平台”之间的信息服务合同关系而拒绝承担对其平台内“商家”的合理注意义务。并且,《数据安全法》《个人信息保护法》也对具有数据处理业务关联的法律主体设定了“一体性”的数据安全保障义务。进一步而言,为了明确这些一般性注意义务和狭义的法定义务内容,除了需要明确聚合平台的法律性质之外,还需要明确聚合平台与网络平台之间的法律关系。因为两者之间的业务关联和相应的法律关系决定了聚合平台注意义务和狭义的法定义务的具体内容和履行方式。以聚合配送为例,其业务模式是将多家物流企业聚合,商家可以进行“一键比价”,形成“用户—聚合平台—物流企业—配送员”的业务架构。在此种模式下,聚合平台与物流企业之间的业务关系表面上仅以直接的物流配送为限,相应的数据安全保障义务并不涉及对物流企业的相应数据安全资质审查,但是从业务实践考量,如若仅由小型物流企业自行建构平台招揽物流服务,可能会因自身体量等因素而不被用户选择。这种基于信任产生的业务关联性使得聚合平台与网络平台之间的法律关系反倒类似于“柜台租赁者”与“商场经营者”之间的法律关系。
在解析聚合平台与网络平台的法律关系时,现有研究多集中于论述网约车聚合平台与相关主体的法律关系。在聚合打车服务交易中,有学者将内在的法律关系分解为基础性、主导型、辅助性的法律关系,即信息服务法律关系是基础性法律关系,运输服务法律关系是主导型法律关系,劳动关系等法律关系属于辅助性法律关系。这些法律关系的拆解目的是明确发生侵权事件时聚合平台承担侵权责任的正当性基础:一方面,聚合平台只是从事信息服务,用户也可以直接看到自己下单了哪个平台的网约车服务,而非像在接受网络信息内容服务时那样“只知聚合平台,不知第三方网络平台”,这也导致用户要求聚合平台承担侵权责任难寻法律依据。另一方面,聚合平台确实促成了用户与入驻平台之间的合同订立,那么在数据安全保障方面,聚合平台与入驻平台处于相同的数据处理周期环节,分别承担个人信息保护义务虽具有正当性,但这无疑会加剧用户的实际举证难度。因为在这类涉及多个数据处理者的侵权事件中,用户往往难以直接证明何者导致了个人信息泄露等侵权事件的发生。
在数据安全保障层面,聚合平台与网络平台之间的法律关系本质上属于“基于履行合同目的之必要”而形成的数据传输服务(数据提供)法律关系,《个人信息保护法》《数据安全法》等法律法规所提及的委托、共同处理等数据处理业务关系难以用于解释聚合平台与网络平台之间的法律关系。倘若将两者的法律关系解释为委托合同关系,则与聚合平台的实际业务特征并不相符。例如,网约车聚合平台将用户订单信息传输给网约车平台,其行为并不是构成委托网约车平台处理用户个人信息,网约车平台对用户订单信息的处理也仅仅是提供报价和派单,之后再根据用户选择而进入“用户—网约车平台”这一层面的数据处理活动。倘若将两者的法律关系解释为“共同处理者”,这又与《个人信息保护法》第20条提及的“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式”相悖。因为两者在事实层面并不构成“共同决定”,而是在信息撮合服务层面约定彼此的数据安全保障义务。进一步而言,如果按照《个人信息保护法》第23条的规定,将两者的法律关系解释为聚合平台(个人信息处理者)向网络平台(其他个人信息处理者)提供其处理的个人信息,那么聚合平台的个人信息业务和规则会对网络平台产生影响,即网络平台作为“接收方”,应当按照事先约定的数据处理方式处理个人信息。
三、民法视角下的聚合平台注意义务:以聚合业务为基础
聚合平台的数据安全保障义务来源既包括侵权责任法视角下的注意义务,也包括数据安全法视角下的法定义务。在实践中,聚合平台在开展聚合业务过程中可能产生各类数据安全风险,而其作为电子商务平台,在一定程度上能够采取有效措施避免部分数据安全事件的发生,故而其也负有民法意义上的注意义务。尽管安全保障义务确属注意义务范畴,但现有论争存在将安全保障义务扩张性适用于平台数据安全保障义务领域的误区,故而有必要先行澄清安全保障义务的适用偏差,后阐明基于聚合业务所形成的注意义务内容。
(一)聚合平台安全保障义务的适用偏差
在《电子商务法》的制定过程中,对于适用于实体机构的安全保障义务能否继续适用于网络平台存有争议,最终的成文形式则是选择将网络平台的安全保障义务限定为“关涉用户生命健康的商品或服务”。在部分学者看来,该类义务较之于一般的审核义务而言,《电子商务法》第38条第2款所提及的“审核义务”履行标准更高。并且,之所以该类义务能够从传统的实体经营场所延伸至线上的网络平台,原因之一便是,电子商务平台所提供的信息服务存在威胁用户人身安全的风险,用户并不像平台那般能够对所有的平台内经营者进行合理判断,平台在人身安全保障方面理应承担更为严格的义务履行要求。在论证平台的安全保障义务时,有学者将相应的正当性基础总结为“平台具有社会公共性”“平台具有部分行政监管权”和“平台具有公法属性”,并就此延伸出“损害预防和协助救助是电子商务平台安全保障的常规义务”“资质审核是电子商务平台安全保障的固有义务”等结论。由此可见,安全保障义务的延伸适用是以电子商务平台的特殊性为前提,这也是为了解决安全保障义务难以在多方法律关系中适用的局限性。不过,也有学者指出,《民法典》第1198条规定的安全保障义务实质上限制其只能在特定的侵权责任中适用,故而更需要在理论层面“重新建构更具一般意义的注意义务体系”,该义务体系可以更为全面地回应网络平台不作为侵权责任的认定难题。
然而,随着平台义务研究的深入,部分学者试图将安全保障义务的适用范围予以扩张,提出网络空间中的安全保障义务保护的权益范围包括“非物质形态的民事权益”,进而将之作为平台对个人信息进行保护的理论基础或法律依据。部分学者基于“纾解损害认定困难,扩大侵权救济可能性”的考量,主张将个人信息泄露、算法歧视风险视为新型损害,一并列入违反电子商务平台安全保障义务的侵权责任救济范围。更有学者直言,《民法总则》第111条对网络服务提供商设定了对个人信息的安全保障义务,并认为违反安全保障义务是“过错”的事实构成。但是,该条仅仅规定了个人信息保护义务,而非传统民法意义上的“安全保障义务”。并且,将个人信息保护义务理解为字面意义上的“安全保障义务”,无疑会使得个人信息权利理论缺失必要性,因为完全可以将基于“社会交往安全”而延伸的安全保障义务理论作为个人信息保护的理论基础,而不是将之归结为个人信息自决权等理论。当然,也有部分学者试图抛弃《民法典》第1198条和《电子商务法》第38条的束缚,试图在学理层面以一般性的注意义务体系取代“安全保障义务”,其目的也是让安全保障义务回归到最初的“过错”判断依据和不作为义务认定标准的制度功能。例如,基于“安全保障义务越来越向普遍化方向发展,甚至成为侵权领域行为义务统称”的考虑,有学者将安全保障义务解释为特定主体承担的注意义务(作为义务)。但是,这种“一般+特殊”的注意义务体系依然不可避免地要回答“特殊”的注意义务究竟是以何为依据,尤其是在用于解释“个人信息处理者防免下游损害的安全保障义务”等个人信息保护领域时,为何个人信息保护能够与传统意义上的生命健康权等同等地作为“特殊”注意义务的具体内容。
对于聚合平台而言,以安全保障义务推导出其相应的个人信息保护注意义务始终存在论据不足的问题。因为传统民法中的安全保障义务始终是一类较为特殊的注意义务,并且,该义务最初的制度目的还是以保障人身安全、财产安全等基础性权益为主。个人信息权益虽然同样重要,但在损害结果方面显然不能与损害生命健康权的结果相提并论。更何况安全保障义务标准高于一般的注意义务,以此为基础,反而可能推导出聚合平台承担更高标准的数据安全保障义务这一失之偏颇的结论。
(二)聚合平台注意义务的理论基础
从业务实践来看,聚合平台业务之所以能够兴起,原因有二:一是聚合平台利用自身的平台优势,扩展了诸多中小网络平台的业务范围和用户规模。这也意味着聚合平台所聚合的网络平台存在良莠不齐的风险,尤其是涉及网约车聚合平台时,行车安全风险使得学界普遍赞成网约车聚合平台应当对网约车平台在事前阶段进行必要的资质审核。《交通运输部办公厅、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅、国家互联网信息办公室秘书局关于切实做好网约车聚合平台规范管理有关工作的通知》也明确提及,网约车聚合平台应对相关网约车平台公司落实合规责任,不得接入未在当前取得网约车经营许可的网约车平台公司。二是聚合平台扩大了用户的选择范围,用户根据自己的需求能够选择价格合适、服务满意的网络平台服务。但是,这种选择范围的扩大本质上还是以聚合平台所聚合的平台范围为限,且用户对于聚合的各类网络平台往往缺乏足够的了解,默认聚合平台所聚合的网络平台已经进行过某种筛选,聚合平台能够保障网络平台的可靠性和安全性。
如此来看,聚合平台在数据安全保障层面的注意义务应当以其所带来的数据安全风险为限。虽然最终的法律关系仍然是以“用户—网络平台”的法律关系为主,但是,对于用户而言,其有合理理由相信聚合平台所聚合的平台具备必要的运营资质,且这种运营资质不限于特定业务领域的行业许可、市场准入条件,还包括能够保护用户个人信息安全等内容。聚合平台最核心的法律特征在于“聚合性”,其次才是“撮合性”或“中介性”。倘若聚合平台是将市面上所有从事同类业务的网络平台予以聚合,并事前以显著方式告知用户,那么其当然免除网络平台侵权可能导致的连带责任。然而,事实情况却是,聚合平台所聚合的网络平台终究是有限的,吸纳所有网络平台反而会使得聚合平台难以落实内部管理制度,潜在的业务合规风险也难以控制。聚合平台的“聚合性”实际上包含了“筛选”和“聚合”两个步骤。其中的“筛选”则是聚合平台结合商誉、规模、经营状况等要素筛选合适的入驻网络平台,确保其后续的“聚合”服务质量。而且,聚合平台的盈利方式也是通过聚合多个网络平台,减少用户检索和挑选时间。如若允许聚合平台以从事撮合服务、中介服务等为由,完全独立于用户与网络平台之间的法律纠纷之外,显然存在“只享权益,不担风险”的问题。
因此,聚合平台的注意义务本质上属于“聚合”行为的注意义务。聚合平台对于入驻的网络平台是否负有相应的事前审核义务,取决于聚合平台的事前筛选标准。网约车聚合平台对于入驻网约车平台的资质负有事前审核义务,是因为“聚合”的前提是入驻的网约车平台应当确保用户的行车安全。在数据安全层面,入驻的网络平台应当满足《数据安全法》《个人信息保护法》等一般层面的数据安全监管要求。倘若聚合平台不对网络平台安全保障能力进行事前审核,必然会直接致使用户个人信息面临严重的安全风险。《个人信息保护法》第七章法律责任部分也提及,未能履行个人信息保护义务的法律主体可能面临“吊销营业执照”“停业整顿”等行政处罚措施。换言之,确保个人信息安全是聚合业务开展的前提条件。因此,聚合平台理应至少在形式层面确保入驻的网络平台能够满足数据安全保障的基本要求。聚合平台的“撮合性”“中介性”并不能直接作为免除数据安全相关法律责任的合理事由,因为即便回归到《民法典》的基本原则,诚实信用原则也意味着聚合平台应当确保其撮合的交易活动符合双方最基本的交易安全需求,个人信息安全亦是“交易安全”的应有之义。只不过需要明确的是,聚合平台的事前审核义务不是事无巨细地审核,而是更多表现为形式意义上的审核。
(三)聚合平台注意义务的具体内容
针对网络平台的一般性注意义务内容,多数意见还是倾向依据平台的实质功能、平台对各主体之间交易结构的介入程度、平台自身的管控能力等要素进行区分。有关注意义务的判断标准常以“善良管理人”或“一般理性人”为主,即按照义务主体所属群体在认知能力、知识经验、技术能力等方面的平均程度作为标准,判断网络平台究竟是否能够预见相当的危险发生,故而注意义务也越来越广泛地被用于解释侵权行为中的“过错”。在网络平台发展早期,注意义务理论的探讨多集中于著作权保护领域,“避风港规则”“红旗规则”便是最好的例证。虽然网络平台应当对其平台内的各类业务活动负有管理能力,但是用户、网络信息数量的激增,使得网络平台自身也逐渐难以全面管控平台内的各类信息发布活动。此时,对于平台内涉及侵犯他人著作权、名誉权等情况,究竟是否应当由平台承担法律责任,不经具体场景去衡量,只会导致“平台责任过重”或“平台免于担责”两类极端化结果。所以,就需要结合网络平台自身的情况划定其注意义务的履行边界。如部分学者以新闻传播行业为例认为,网络平台对其用户发布的新闻信息所负有的注意义务虽然高于传统媒体,但平台本身毕竟不是从事新闻传播的主体,故而与专业的新闻媒体相比,其承担的注意义务标准相对较低。
聚合平台的注意义务内容和边界同样遵循相类似的逻辑,即结合聚合平台自身的业务范围、技术能力等要素进行判断和解释。在数字法学研究中,学者们对于网络平台注意义务内容的论证会以数字守门人、安全保障义务等理论为依据,进而推导出网络平台需要进行事前必要的审核。数字守门人理论在外观上确实与聚合平台的市场地位较为相似,即随着聚合平台规模扩张,对于中小型网络平台而言,该类平台在事实层面确实构成了其获得用户、开拓业务市场的“守门人”。不过,回顾“数字守门人”理论演进来看,该理论所指向的“守门人”实际上包含了两层含义:一是网络平台能够在事实层面决定用户、其他企业所能获取的信息,欧盟《数字市场法》中的“守门人”亦是指向这类具备决定消费者与其他企业接触能力的网络平台。二是平台能够借由内部管理制度、技术筛选机制等方式限定企业进入相关市场。当然,也有学者认为还有第三层含义,即网络平台积极通过偏好性和目的性推荐系统塑造全新的“守门方式”。两相比较,不难发现聚合平台对于用户与其他网络平台接触的控制能力在现阶段难以认定为“守门”。例如,网约车聚合平台也仅仅是将用户订单信息发送给网约车平台,并由用户自行选择,其自身并不干预。因此,对聚合平台的注意义务不适宜按照“数字守门人”标准设置过高的事前审核或事后预防损失扩大义务。
总结而言,聚合平台的注意义务标准还是应当以聚合平台向其他网络平台发送用户需求信息和为用户事前筛选网络平台为基础。一方面,针对聚合平台的事前筛选行为,相对应的注意义务应当是事前审核入驻网络平台是否能够依法履行数据安全保障义务。履行标准并不是对其进行实质性的能力评估,而是要求入驻网络平台事前以合同义务等方式约定自身的数据安全保障义务,又或者根据网络平台的内部管理制度、隐私协议等能够合理相信平台能够依法保护个人信息,例如提供个人信息保护业务合规审计报告等。另一方面,针对聚合平台的订单发送行为,其注意义务的内容则应当是确保订单信息的有效性和订单发送行为的安全性。前者侧重用户订单应当采取必要的脱敏技术措施,与业务活动关联性不高的用户信息不应当一并发送至网络平台;后者则更加侧重技术层面的安全性,即聚合平台所发送的订单信息应当仅以特定业务需求范围内的网络平台为限,而不是直接发送至所有的网络平台。
四、数据安全立法视角下的聚合平台特定义务:以数据提供关系为基础
除了注意义务之外,聚合平台还需要承担《数据安全法》《个人信息保护法》《网络数据安全管理条例》所规定的特定义务。不过,聚合平台的数据处理会涉及第三方网络平台,又迥异于常见的委托加工处理、共同处理等数据处理活动。所以,需要结合聚合平台与入驻网络平台之间的数据处理关系,确定数据安全立法中所对应的特定义务及其履行方式。
(一)聚合平台与网络平台之间的数据提供关系
在判断聚合平台与网络平台的侵权责任形态时,除了需要判断聚合平台是否未能履行相应的注意义务之外,还需要判断聚合平台本身是否明显违反现行立法明确规定的数据安全保障义务即狭义的法定义务。当然,仅仅判断聚合平台是否违反数据安全保障义务,直接依据《数据安全法》《个人信息保护法》的相关规定进行皆可,并无学理探讨的必要性。不过,这里需要讨论的法定义务并不是聚合平台基于个人信息处理者、数据处理者身份而承担的数据安全保障义务,而是基于聚合平台与网络平台之间的业务关系而产生的特殊义务。正如前文所提及的,聚合平台与网络平台之间既不构成数据委托处理关系,也不构成数据共同处理关系,而是构成《个人信息保护法》第23条所提及的数据“提供”关系。现有研究成果鲜有提及所谓“提供”的法律内涵,究竟是个人信息发生实质性的转移即构成“提供”,还是只有基于法定事由或约定事由而发生转移才构成“提供”,以及个人信息跨境传输是否属于“提供”行为,这些问题尚无定论。不过,也有学者专门对“共同处理”与“提供个人信息”予以区分,认为前者是指数个数据处理者具有数据处理目的相似、相互访问彼此的数据库等特征,后者则属于“多数主体参与处理行为”,并不存在“一起”实施的共同处理行为。“提供”行为的法律内涵在一定程度上决定了聚合平台的数据安全保障义务的具体内容。进一步而言,聚合平台狭义的法定义务既包括基于“用户—聚合平台”双方法律关系的数据安全保障义务,也包括基于“用户—聚合平台—网络平台”多方法律关系的数据安全保障义务。
根据《个人信息保护法》第4条第2款来看,“提供”与收集、存储、使用、加工、删除等个人信息处理行为并列,故而不宜对“提供”作广义解释,尤其是将“传输”与“提供”相提并论,这也意味着“提供”与“传输”应当属于两种不同的个人信息处理行为。尽管现行立法并没有对这些个人信息处理行为作出明确的概念界定,但是相关的技术标准对此有所提及,这些不具有法律强制力的技术标准在一定程度上可以间接推导出这些个人信息处理行为之间的差异性。例如,《个人金融信息保护技术规范(JR/T 0171—2020)》中的“4.3 个人金融信息生命周期”部分将“传输”界定为“个人金融信息在终端设备、信息系统内或信息系统间传递的过程”。但在作出这类界定时,该技术标准仅仅将“收集、传输、存储、使用、删除、销毁”予以列举并作为个人金融信息生命周期,并未提及“提供”行为。而在《信息安全技术 个人信息安全规范(GB/T 35273—2020)》附件B中,“非法提供”被用于判断是否属于个人敏感信息,相应的描述为“某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险”。按照该技术标准的界定,“提供”更加侧重描述个人信息的扩散状态。
由此观之,在个人信息生命周期层面,个人信息“传输”与“提供”均涉及个人信息管控者发生实质性变化,但两者依然存在细微差别:“传输”行为更加侧重个人信息从一个个人信息处理者转移至另一个个人信息处理者,故而相应的法律关系大多涉及两方法律主体,即“一对一”的关系。“提供”则更加侧重一方个人信息主体对外提供个人信息的状态,故而相应的法律关系涉及多方法律主体,即“一对多”的关系。在个人信息保护层面,“传输”行为因为仅仅涉及两方法律主体,相应的个人信息保护义务内容是以传输过程的保密性和个人信息不被毁损为前提;“提供”行为因为涉及多方法律主体,且个人信息对外扩散状态是以单个个人信息处理者为起点,故而需要从风险可控性、风险来源等角度考量,对外提供个人信息的个人信息处理者需要对提供方式、提供对象等承担相应的数据安全保障义务。并且,《个人信息保护法》第23条所描述的“提供”行为也是“个人信息处理者向其他个人信息处理者提供其处理的个人信息”这类“一对多”的方式,也与聚合平台向入驻的多家网络平台转移用户订单信息这一业务实践相契合。此外,需要说明的是,“转让”与“提供”均具有个人信息转移之特征,但“转让”更暗含了权益归属转移的含义,属于《个人信息保护法》第22条所规定的“因合并、分离、解散、被宣告解散等原因需要转移个人信息”的情形。
(二)基于数据提供关系的聚合平台特定义务
聚合平台与网络平台之间的数据提供关系是以“履行合同目的之必要”为基础。因为聚合平台所提供的网络信息服务属于撮合性、中介性信息服务类型,聚合平台向网络平台提供用户个人信息的行为是为了促成用户与网络平台之间缔结合同之必要。然而,这里也就产生了另外一个法律适用问题:按照《个人信息保护法》第13条的规定,如果属于“订立、履行个人作为一方当事人的合同所必需”,个人信息处理者可以在不取得个人同意的情况下处理个人信息。这显然与《个人信息保护法》第23条要求的个人信息提供方、接收方应当获得个人同意相悖,进而意味着第23条所规定的数据提供方、接收方义务不适用于聚合平台业务场景。因此,需要解释的是,《个人信息保护法》第13条所规定的“合同必要”与聚合业务必要存在本质区别:第13条的“合同必要”仅限于个人与个人信息处理者之间,并且所处理的个人信息是合同缔结成立或履行的必要信息,如个人的身份信息等。换言之,如果没有这些信息,按照《民法典》合同编的相关规则,合同也就无法成立或履行。“聚合业务之必要”则是指聚合平台与网络平台之间的个人信息转移行为,自然人并非聚合平台与网络平台之间合同的当事人。
《个人信息保护法》第23条明确提及个人信息处理者应当向个人告知个人信息对外提供的基本情况,例如接收方名称、联系方式、处理目的等,并获取个人的单独同意。按照该基本情况,接收方仅能根据既定的处理目的、处理方式等处理个人信息。如果接收方需要变更原先的“基本情况”,则需要重新获得个人同意。在聚合平台业务场景下,该条规范实际上延伸出两项义务内容:一是聚合平台作为个人信息提供方,应当事前明确个人信息对外提供的目的、方式和范围,并获得个人的单独同意。结合《个人信息保护法》的关联性规定,聚合平台所收集的用户订单信息应当满足最小必要原则,向入驻的网络平台提供用户订单信息仅以实现特定合同目的为限。如聚合支付平台涉及的“合同目的”是支付,依据《常见类型移动互联网应用程序必要个人信息范围规定》所列举的网络支付类App的必要个人信息,相应的订单信息应当仅以用户的移动电话号码、姓名、证件号码、银行卡号码等为限。二是网络平台作为个人信息的接收方,应当与聚合平台事前明确约定彼此的个人信息保护义务,明确在整个“提供”环节中各自的法律责任。双方的约定内容不仅需要涉及《个人信息保护法》第51条规定的个人信息保护措施,还需要明确聚合平台对网络平台的监督方式,预防网络平台超出合同约定的方式处理个人信息。
与聚合平台的注意义务相比,狭义的法定义务虽然同样涉及对入驻网络平台数据安全保障的监督,但是注意义务更加侧重侵权结果发生或防止损害扩大,故而相应的义务履行标准仅限于形式层面的审核。基于数据提供关系的法定义务则更加强调聚合平台有义务主动要求其聚合的网络平台按照合同约定采取必要措施保护个人信息。这类义务表面上似乎扩大了聚合平台的数据安全保障义务范围;但是,聚合平台的核心特征始终是聚合性和撮合性,其向网络平台提供的用户个人信息范围与用户直接向网络平台提供的个人信息范围存在显著差异。以高德为例,在其网约车聚合平台提供的《用车信息服务个人信息处理规则》中提及,向第三方用车服务提供商提供的信息包括手机号后四位、虚拟手机号、行程信息、用车特别需求信息。相对地,用户与网约车之间所涉及的用户个人信息范围则可能更多,不仅包括用车订单信息,还包括支付信息等其他内容。两相比较,聚合平台的数据安全保障义务内容并没有实质性扩张。此外,在聚合业务中,个人信息安全风险主要来源于数据提供行为,故而聚合平台在该环节需要承担高于一般标准的数据安全保障义务。
(三)数据安全立法视角下聚合平台义务的阶段划分
结合聚合平台的业务实践来看,该场景下的数据安全保障义务大致可以分为三个阶段:第一个阶段是与用户和聚合平台的法律关系对应的数据安全保障义务。该类义务属于一般意义上的数据安全保障义务。聚合平台应当履行《个人信息保护法》等现行立法所规定的个人信息处理法定义务,诸如设置个人信息保护责任人、定期进行个人信息保护合规升级等。例如,在用户注册阶段,聚合平台应当按照“知情—同意”规则的要求向用户告知个人信息收集的目的、范围和方式等信息,并获得用户明确同意。特别是在向网络平台提供用户个人信息时,还需要征得用户的单独同意。在实践中,部分聚合平台直接将收集用户个人信息和向第三方转移用户个人信息的平台规则一并呈现给用户,并没有凸显所谓的“单独同意”。若结合聚合平台的业务模式来看,其核心业务便是撮合用户与网络平台缔结合同。这种“合并式”的平台规则展示方式看似没有履行“征得个人单独同意”之要求,但用户在注册阶段实质上已经作出了单独同意,因为其所同意的“数据处理活动”便是“由聚合平台向网络平台提供个人信息,再由网络平台与用户之间达成交易”。
第二个阶段是与聚合平台和网络平台的法律关系对应的数据安全保障义务。该类义务属于基于数据提供关系的特殊数据安全保障义务,其法律依据是《个人信息保护法》第23条。此时,聚合平台的数据安全保障义务主要是以网络平台的业务活动为中心。当然,直接要求聚合平台干涉网络平台内部的数据安全管理措施已然超出法律规范调整的范围,这里的“以网络平台的业务活动为中心”更侧重强调聚合平台需要“尽最大努力”采取“所有的合理措施”,确保网络平台能够按照事前约定实施数据安全保障措施。例如,定期对入驻的网络平台的数据安全保障情况进行评估,对于近期内出现个人信息泄露等安全事件的网络平台,则需要以弹窗风险提示、限制订单数量等措施予以约束。再如,以违约金条款等方式约束网络平台超出范围处理用户个人信息。诚然,这些数据安全保障措施似乎具有“行政执法”的外观,但这些义务内容均可以在现行立法中找到相应的法律依据。例如,近期刚公布的《网络数据安全管理条例》第12条就明确提及,网络数据处理者向其他网络数据提供者提供个人信息时,应当通过合同等方式约定安全保护义务,并对网络数据接收方履行义务的情况进行监督。
第三阶段是与用户和网络平台的法律关系对应的数据安全保障义务。在认定聚合平台的数据安全保障义务时,需要将第二阶段和第三阶段的两类义务予以区分,因为两者所对应的基础法律关系明显不同,而聚合业务的特征又使得这两类义务容易混淆。在用户完成网络平台服务的选择之后,数据安全保障义务的义务履行主体就已经从聚合平台转移至网络平台,虽然此时网络平台获得了用户个人信息,但是这种获取方式的实践基础并不相同。在第二阶段,网络平台获取用户个人信息的方式是聚合平台的数据提供行为,相应的安全风险始于聚合平台,故而聚合平台需要承担有别于一般意义上的数据安全保障义务。但是,在第三阶段,数据提供行为已经完成,网络平台获取更大范围的用户个人信息是基于用户与网络平台所达成的服务合同,相应的数据安全风险与聚合平台并没有直接关联。即便以用户基于对聚合平台“筛选聚合”行为的信任才选择特定的网络平台为由,主张聚合平台应当与网络平台承担连带责任,但只要聚合平台对网络平台的数据安全保障情况进行了必要的事前审核,且对于与自身业务相关的数据安全事件也采取了相应的预防损失扩大措施,这就足以视为聚合平台已经履行了相应的数据安全保障义务。在第三阶段继续要求聚合平台与网络平台一同作为个人信息保护的义务主体,显然缺乏相应的法律依据。
五、聚合平台的法律责任承担形态
在明确聚合平台在民法视角下的注意义务和数据安全立法视角下的特定义务之后,则需要进一步对责任承担形态问题予以回应。因为聚合业务的特殊性,数据安全事件的发生可能是由入驻网络平台、外部网络攻击等多方面导致,所以聚合平台究竟是承担连带责任还是承担补充责任需要结合违反的义务类型、因果关系等要件进行类型化分析。
(一)聚合平台法律责任承担形态的一般性考量
人们对网络平台承担的数据安全保障义务并没有太大争议,现行立法以及司法实践均对平台义务的内容和边界形成了较为清晰的范围。在实践中,数据安全风险最为常见的环节之一便是基于业务合作关系所构成的多方主体处理个人信息或数据。基于委托加工、数据标注等业务活动,用户个人信息可能同时处于多个数据处理者控制之下。尽管《个人信息保护法》对于数据处理者发生变更、对外提供个人信息等情形均明确提及应当征得用户同意,却未能对各自的数据安全保障义务及其义务履行边界予以明确。《个人信息保护法》第20条规定了共同处理个人信息的个人信息处理者应当对侵害个人信息权益依法承担连带责任。该条也仅仅能够适用于构成“共同处理”这一种情形,“共同持有”个人信息等其他类型则无法涵盖其中。为此,《网络数据安全管理条例》第40条针对类似聚合平台的数据处理业务关系,明确了平台服务提供者对于平台内的第三方产品和服务提供者负有两个层次的义务:一是明确网络数据安全保护义务,二是督促加强第三方产品和服务提供者的网络数据安全管理的义务。前一种义务的内容包括在事前阶段通过风险评估报告、合同约定等方式确保第三方产品和服务提供者具备数据安全保护的能力以及在实际的业务活动中按照法律和合同约定采取必要的数据安全保护措施。后一种义务的内容则是一种典型的作为义务,即采取相应措施促使第三方产品和服务提供者能够持续保持与合同约定相一致的数据安全保护能力。
《网络数据安全管理条例》第40条所对应的义务内容和前文所提及的基于电子商务平台性质、数据提供关系所延伸出的义务内容呈现出层次化关系。前一种义务内容实际上与注意义务、狭义的法定义务相互重叠,但是后一种义务有别于其他义务类型。第40条采用的是“应当……督促”这样的表述,而“督促”一词本身具有很大的弹性空间:平台服务提供者以电子邮件形式提醒第三方需要加强数据安全保护义务属于义务履行方式,而以口头形式通知亦是义务履行方式。相较于一般的数据安全保障义务而言,这种“督促”义务更加侧重相应的行为已经作出,而不关注行为的实施效果如何。因为“督促”并非属于传统意义上的行政监管行为,而是基于事实层面的平台权力而延伸出的平等主体“干预”行为,所以相应的义务履行标准也只能以履行作出符合“督促”内涵的相应行为为限,而不能强制要求“督促”能够起到强制督促对象从事特定行为的效果。并且,第40条所对应的义务内容是“加强数据安全管理”,而“加强”本身亦是一种不确定的动态过程。因此,在法律责任承担形态层面,显然不能仅因聚合平台未能履行督促义务就要求其与入驻网络平台一并承担连带责任,否则只会导致聚合平台和与其关联的其他网络平台构成事实意义上的“共同处理者”。
之所以强调对聚合平台数据安全保障义务进行层次划分,是因为这些义务所对应的制度目标、功能定位有所不同。对于注意义务而言,其核心目的是预防风险和控制损失扩大,所以不能因发生数据泄露等安全事件而直接要求聚合平台和其他网络平台一并承担连带责任。对于狭义的法定义务而言,其设置的正当性基础是聚合平台的法律定位、业务特征、风险来源、风险控制能力等要素,属于聚合平台自身的义务范畴。对于督促业务而言,其设置的正当性基础则是数据安全的全生命周期治理理论。因为数据安全保障义务的履行标准处于动态发展阶段,与数据安全态势保持同步状态。考虑到聚合平台与其他网络平台之间数据提供关系的特殊性,更适宜以督促行为作为相应的义务履行标准,而不是要求聚合平台能够实质性确保与其关联的网络平台采取切实有效的数据安全保护技术措施。
(二)未尽到注意义务和督促义务的补充责任
聚合平台具有与一般电子商务平台相类似的法律性质,只不过其平台内的第三方属于独立的网络平台,故而在数据安全保护层面的注意义务内容和履行边界更为特殊。如前文所提及的,聚合平台在事前阶段应当对与其合作的网络平台数据安全保障义务进行必要的审核。只不过从实际能力层面考量,这种资质审核更多地属于形式意义上的审核,即从行为外观上使得聚合平台有理由相信入驻的网络平台具备最基本的数据安全保护义务。例如,入驻网络平台依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规所作出的风险评估等级较低,短期内入驻的网络平台通过了网络安全审查等。倘若入驻网络平台明显不具备数据安全保障能力,甚至近期因数据安全事件而招致行政处罚,聚合平台依然将其作为聚合的网络平台,显然没有履行合理的高风险预防义务。虽然《电子商务法》第38条第2款直接规定,电子商务平台未尽到审核义务,造成消费者损害的,应当承担相应的责任。但是,该款的前置性条件是“关系消费者生命健康的商品或者服务”,相应的“审核义务”属于传统民法意义上的安全保障义务范畴,通常适用于网约车聚合平台致人伤亡等情形。相对地,在数据安全保护层面,聚合平台的审核义务更应当回归到因果关系层面。
对于电子商务平台与其他平台经营者之间的法律责任承担形态而言,常见类型包括补充责任、连带责任或者按份责任。在侵权责任领域,对于网络平台究竟是承担连带责任还是承担补充责任,有学者认为两者的差别在于,权利人是否受到责任顺位的法定限制,连带责任意味着平台和直接侵权人可被列为共同被告,补充责任则意味着不能完全获得补偿时才能向平台主张赔偿。在聚合平台和入驻网络平台法律责任承担形态层面,首先需要排除按份责任,因为其适用前提是多个行为人的行为共同导致损害的发生,而聚合平台未履行注意义务并不会直接导致数据安全事件的发生。其次可以排除连带责任。一方面,连带责任的前提是多个行为人的行为均可以独立导致损害的发生,而聚合平台未能履行审核义务与数据安全事件发生之间显然不存在法律意义上的因果关系;另一方面,依据《电子商务法》第38条第1款规定的连带责任适用情形,聚合平台“知道或者应当知道”入驻网络平台存在侵权行为,且未采取必要措施。最后,聚合平台未尽到注意义务与数据安全事件发生之间属于间接的因果关系。因为未履行审核义务在事实层面增加了用户个人信息权益受损害的可能性,所以应当认定聚合平台承担相应的补充责任。
聚合平台督促义务的设置并不是为了增加该类法律主体的义务内容,而是为了确保聚合平台履行义务的法律效果能够实质性地达成数据安全保护目标。入驻网络平台应当确保其数据安全保障能力处于法律所要求的范畴之内,而不是仅以数据处理的某一环节为标准。相对应地,聚合平台对于入驻网络平台的实际管控能力主要局限于数据安全保障能力的形式审查,其本身不具备实质审核入驻网络平台技术能力、管理制度的能力。在一般情形下,聚合平台未履行督促义务和数据安全事件发生之间并不存在因果关系,即便未督促入驻网络平台加强网络数据安全管理,也不会当然地增加数据安全事件发生的可能性。《网络数据安全管理条例》第40条第1款所涉及的“加强网络数据安全管理”与“明确网络数据安全保护义务”在风险预防层面表现为“风险控制能力强化”与“能够预防风险”的区别。所以,聚合平台违反督促义务时,更多面临的是行政责任。根据《网络数据安全管理条例》第55条的规定,违反该法第40条第1款和第2款规定的,聚合平台将面临警告、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可证等行政处罚。在特殊情形下,即聚合平台的事前审核义务和督促义务可通过同一行为方式履行完毕时,则可认定其应当对损害结果承担补充责任。
(三)未采取必要保护措施的连带责任
《网络数据安全管理条例》第40条第3款提及了第三方产品和服务提供者违反法律法规、平台规则、合同约定开展数据处理活动时的法律责任,这里的责任采用的是“相应责任”这类笼统表述。原因在于,根据平台经营者的过错程度以及违反义务类型,相应的责任承担形态也有所区别。倘若聚合平台知道或者应当知道入驻网络平台存在显著的违约行为,但未采取必要措施予以制止,仍然将其作为聚合的网络平台向用户提供信息服务,则构成了实质意义上的帮助侵权行为,理应与入驻网络平台承担连带责任。并且,基于聚合平台的“知道或应当知道”的状态,其行为与损害事件之间构成直接的因果关系,故而应当对全部损失承担连带责任。不过,实践中这种情况较为少见,更多的情形是,聚合平台并不知道入驻的网络平台存在违反法律法规与合同约定的数据处理活动。因为聚合平台的核心业务是撮合用户与网络平台达成信息服务合同关系,所以其所能发现的违法数据处理活动仅限于“显著违法”,例如收到相关举报并附有证据证明入驻的网络平台存在违法处理数据的情形。聚合平台在收到能够合理证明入驻网络平台存在显著违法的数据处理行为时,应当采取必要措施予以制止,如果依旧未采取相应措施,则应当与入驻网络平台承担连带责任。但是,如果聚合平台所收到的对违法处理数据的投诉、举报缺乏必要的证据证明,并未采取必要措施,即便发生了数据泄露事件,只要履行了相应的注意义务,聚合平台则不应当对此承担相应的法律责任。
事实上,在判断聚合平台是否承担连带责任时,其关键判断要素在于,聚合平台对于《网络数据安全管理条例》第40条第3款所提及的违反法律法规、平台规则、合同约定的情形是否能够合理预见。在“聚合平台—网络平台”阶段,其数据安全保障义务内容包括对于网络平台数据处理活动的监督。但这种监督不属于共同数据处理者之间基于相同数据处理目的的监督范畴,而是一种更为宽松的监督义务。一是在判断入驻网络平台是否存在违反法律法规的情形时,聚合平台的监督范畴表现为,网络平台是否能按照法律法规要求履行其相应的数据安全保障义务,倘若网络平台以难以直接发现的方式开展违法数据处理活动,则不属于聚合平台能够监督的范畴。二是在判断入驻网络平台是否存在违反平台规则的情形时,因为聚合平台作为平台规则的制定者、平台业务活动的实际管理者,其监督范围更为明确,即监督网络平台的数据处理行为是否符合平台规则的基本要求。三是在判断入驻网络平台是否存在违约行为时,聚合平台的监督范围仅以显著违约为限。在实践中,一方当事人对于另一方当事人能否依约履行合同义务难以预见,即便明确违约责任条款,也无法真正有效预防违约行为的发生。基于上述的聚合平台监督范畴的考量,即可判断聚合平台是否对第三方产品和服务提供者(入驻网络平台)的违法处理数据行为处于“知道或应当知道”的状态。
结 语
从《个人信息保护法》《数据安全保护法》的制定到实施,我国数据安全立法体系愈发成熟。特别是围绕网络平台经营者、网络信息服务提供者、电子商务平台等主体的个人信息保护义务、数据安全保障义务的学理论证也相当充分。然而,近期发布的《网络数据安全保护条例》等规范性文件无不在说明数据安全立法仍处于“进行时”。对于诸如聚合平台等特殊义务主体,如何明确其相应的数据安全保障义务及其履行标准是当下学术研究需要解决的法律适用问题。平台经济的发展离不开聚合平台这类业务模式的支撑。无论是对于用户而言,还是对于各类中小型网络平台经营者而言,聚合平台使得市场准入的实质门槛有所降低。因此,更需要确保聚合平台以良性合规的方式发展,避免重蹈网络平台发展初期存在的各类侵权风险。聚合平台作为“平台的平台”,其业务模式并不属于纯粹的“平台中立”,而是“筛选”和“撮合”的结合体。因此,聚合平台的数据安全保障义务需要拆解成两个观察维度:在民法学视角下,聚合业务(“聚合”与“筛选”)延伸出聚合平台的一般性注意义务;在数据安全立法视角下,聚合平台与入驻网络平台之间的数据提供关系则延伸出聚合平台的特定的法定义务。
(原文刊载于《法制与社会发展》2024年第6期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。