从逐项同意到算法规制——浅谈《网络交易监督管理办法》的数据合规亮点
01网络交易中的数据合规要求总览
《办法》从收集消费者个人信息的原则、获取消费者合法有效的授权同意、数据的存储与安全、商业推送等角度对消费者的个人信息权益进行了保护。具体条款总结如下图:
从上述表格可以看出,《办法》虽未提及网络交易经营者删除、销毁消费者个人信息的义务,但重点关注了对消费者个人信息的收集、存储、使用以及对外提供等行为。针对存储义务,《办法》提出“网络交易平台经营者对平台内经营者身份信息的保存时间自其退出平台之日起不少于三年”,同时也对交易信息的内涵进行了列举——包括“支付记录、物流快递、退换货以及售后等”。另外,对于平台服务协议和交易规则,提出了“完整保存修改后的版本生效之日前三年的全部历史版本,并保证经营者和消费者能够便利、完整地阅览和下载”的要求,对《电子商务法》进行了相应完善。
值得注意的是,针对敏感信息的收集,《办法》特别提出,应当逐项取得消费者同意,相较于《网络安全法》《生物安全法》以及《人类遗传资源管理暂行办法》,提出了更高水平的要求。并且,在对平台提出的反垄断、反不正当竞争要求中,还体现了对算法的规制。本文将对上述两则亮点进行分别探讨。
02网络交易场景下收集个人敏感信息,如何进行逐项同意?
在网络交易过程中,基于一些特殊场景的要求,网络交易经营者将需要处理消费者的个人敏感信息。由此,《办法》第13条规定:“网络交易经营者收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。”这里的逐项获得消费者的同意,该如何理解?
首先,由于《个人信息保护法》正式生效后,《办法》将在法律位阶上属于下位法,因而“逐项同意”这一表述,应与《个人信息保护法(草案)》第30条规定中“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意”的“单独同意”表述内涵保持一致。鉴于“单独同意”的外在表现形式在草案中并无解释,我们可以从设置“征得同意”这一义务的目的角度进行探讨。
《个人信息安全规范》5.4 b) 提出,“收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。该条款着重强调了个人信息主体的自主意愿表示。
同样,域外法律,比如欧盟的《通用数据保护条例》(GDPR)及其配套指南对同意的阐释也着重于数据主体的自主性。在EDPB于2020年5月出具的《通用数据保护条例(GDPR)下的同意指南》[1]中指出,同意作为数据处理的合法基础的前提是,个人数据主体对自己的数据有实际的控制权并且有真正的选择(genuine choice)。鉴于同一个服务可能涉及多个数据处理目的,个人数据主体应当对每个处理目的有选择同意与不同意的自由,而不是一次性给出授权同意(a bundle of processing purposes)。同时,在GDPR第32条背景陈述(Recitals)中,也给出说明:同意应当涵盖相同或不同数据处理目的下的所有处理活动。如果涉及到多种数据处理目的的,每一个数据处理目的都应当取得数据主体的同意。第43条背景陈述中再次强调:若数据主体没有权利选择是否给出单独同意(separateconsent)的,则该获取同意的流程将被默认为不合规。
综上,我们认为,逐项同意与单独同意是指,针对每一个数据处理目的下的个人敏感信息处理行为,网络交易经营者都应当取得消费者的同意。这意味着,在网络交易经营者公开的个人信息处理规则中,应当针对处理个人敏感信息的每一项目的列明所有涉及的信息处理活动,并就每一项处理目的征得消费者的同意。虽然此举将在一定程度上提高网络交易经营者的运营成本并降低消费者的“高效”体验,但其可以避免网络交易经营者随意收集消费者的个人敏感信息的行为,有效规避个人敏感信息的滥用以及泄露风险。
03在网络交易背景下,如何进行算法规制以实现消费者保护?
《办法》第32条规定,网络交易平台经营者(以下简称“平台”)不得对平台内经营者的交易进行不合理限制,具体禁止行为包括搜索降权、下架商品、限制经营、屏蔽店铺、提高服务收费等方式,禁止或者限制平台内经营者自主选择在多个平台开展经营活动,或者利用不正当手段限制其仅在特定平台开展经营活动。
在2021年1月7日举办的“网络消费领域算法规则与消费者保护座谈会”上,中消协表示[2],网络购物、交通出行、旅游住宿、订餐外卖、网络游戏等生活消费领域的一些大型平台企业,虽然通过大数据、人工智能等手段为消费者提供了更丰富的产品或服务,但平台也对一些算法进行滥用、限制交易,侵害消费者权益,具体被滥用的算法包括:推荐算法、价格算法、评价算法、排名算法、概率算法以及流量算法。这些算法具有技术性与隐蔽性,潜移默化地影响者消费者的购买决策。若缺乏对这些算法的规制,一方面会使消费者面临数据算法压榨,无形中成为算法歧视的牺牲者,另一方面也不利于市场经济的公平有序竞争。中消协的表态,与《办法》的要求一脉相承,是《办法》尝试对算法进行监管的前奏。下文将从算法监管思路概述、消费者个人权利保护角度及维护公平竞争角度阐述算法的监管方向。
在梳理算法的监管之前,首先需厘清什么是算法。算法从定义上说只是将输入转换成输出的计算步骤的一个序列,实质是为解决某类实际问题而适用的逻辑性流程。算法因其可在几秒内快速整理多方数据并输出清晰的结果,因此常用于自动化决策(包括画像分析)[3]。但自动化决策的结果如何得出难以解释。算法所具有的这种“黑箱”特质,加深了对其监管的难度。总体而言,有四类监管思路:
一是强制企业公开算法。但鉴于企业研究算法的投入成本巨大,很多已形成了商业秘密,强制公开将造成对商业秘密的侵犯,也不利于促进创新。同时,即使公开了算法,由于存在技术壁垒,机器学习的黑箱决策使得设计人员可能也难以解释机器选择原理,导致理解算法也颇有难度,因而可实现性极低。
二是实施对算法的认证机制。通过第三方机构对算法的审计或认证,实现对算法公正性的规制。然而,对算法进行审计会带来极高的财务要求,这对于刚进入市场的中小型企业造成了过度的压力,不利于中小企业进入市场、良性发展,一定程度上阻碍了自由市场的实现,因而可实现性也较低。
三是DPO与外部数据活动监管双轨制。通过对数据控制者数据使用行为的监管,建立数据处理活动的风险评估机制,来实现对算法的监控。如欧盟的《数字服务法案》,提出了对超大型平台(very large platforms)的要求[4]。超大型平台有义务对其所提供的服务进行风险评估,并提交风险评估报告。《个人信息保护法(草案)》第54条也要求个人信息处理者利用个人信息进行自动化决策的,应当在事前进行风险评估,并对处理情况进行记录。
四是通过对算法结果的控制及对算法权力运行的合理限制来对算法进行规制。该种方法的实现路径共有三条,也是各国普遍采用的一种监管机制:
(3) 配置个人权利以对抗算法权力。该条分为事前的个人数据权利及事后的救济权利。事前的个人数据权利如GDPR的第13、14条规定数据控制者有事前告知义务,而非事后解释义务;第22条第3款数据主体对自动决策的防御权等。事后的救济权利则是退出算法决策的权利,如更改、修正数据,撤回同意等。
虽然上述三条路径均有监管部门予以采纳,但第三条路径较为不同,其通过为消费者配置个人权利的举措,为算法运行控制者设置了合规义务,一定程度上打开了动态监管的大门,能够相对降低滥用算法的损害。下文将以常见算法为例,探讨该种模式的可行性。
(二)为消费者配置个人权利对抗算法权力的模式:以我国对推荐算法的规制为例
推荐算法主要是通过监测分析消费者的消费行踪轨迹[5],如浏览过的页面、广告、商品服务、话题等,有针对性的对消费者进行商业营销。这类推荐算法利用消费者的数据画像,实施所谓精准推送,致使消费者误以为自己看到的与旁人无异,从而导致了并无实质意义上的知情同意。对这类算法的监管,即从消费者个人对抗“定向推送”的权利角度着手。从2018年出台的《电子商务法》到2020年的《个人信息保护法(草案)》,我国对推荐算法的监管总结如下表:
由上图可知,这种给消费者配置个人权利的监管方式,给平台设置了相应的义务,如平台应当给消费者提供退出定向推送的选择/渠道,并应建立相应删除/销毁数据的内控机制等。若平台违反上述义务,则将面临《网络安全法》第64条所规定的处罚,如由相关主管部门责令改正,根据情节单处或者并处警告、没收违法所得或处100万元以下罚款等。而当《个人信息保护法》得到正式通过并实施后,平台可能遭受处罚的金额将大幅度提升。正如实践中针对提供平台的APP运营方的违规行为,工信部会定期公布责令整改名单一样,对平台合规义务是否履行的监管将是一种动态的方式,较高的罚额也将会在一定程度上给平台带来务须合规的震慑力,有助于平台致力消除算法的人为偏见。
(三)我国《反垄断法》对算法的规制:以“中心辐射式场景”与“预测代理人场景”算法的规制为例
与保护消费者权利角度相对的,是通过对平台进行反垄断监管来实现对算法的规制。在大数据时代,平台不必再通过人为的方式来实现共谋,共谋可以轻易地通过算法的方式实现。阿里尔·扎拉奇在《算法的陷阱》一书中对算法促成共谋的场景[6]进行了分类,我们摘录如下:
虽然可以通过对平台垄断行为的调查与处罚反向对算法的恶意运用进行规制,但目前我国反垄断监管的缺点是具有滞后性,当监管机构发现具有垄断可能性时,算法往往已经对消费者以及市场造成了较大的损害。而欧盟在2020年12月提出的《数字市场法案》则设置了另一种监管思路:即对平台设置合规义务,通过监管义务是否得到履行来进行反垄断监管。
具体而言,《数字市场法案》提出了“守门人”(gatekeeper)的概念,将满足一定条件的大型平台(largeonline platform)界定为守门人,通过对“守门人”设置一系列合规义务的方式来监管大型平台采取的限制竞争的行为。如果守门人不遵守相关义务,则将面临被处以该公司全球年营业额10%的罚款或者最高可达平均每日营业额5%的定期罚款。该种预先设置义务的方式,与配置个人权利以进行算法规制的思路相似,使得对平台日常运营的动态监管成为可能,能够相应补足《反垄断法》规制手段的滞后性,是一种可能有效规制算法的路径,值得我国在今后对算法进行统一、成体系监管时进行借鉴。
04企业合规建议
近年来,在各部门出台的规章中,有关数据合规的章节和条款越来越多,如《商业银行互联网贷款管理暂行办法》《网络招聘服务管理规定》及《征信业务管理办法(征求意见稿)》等。上述部门规章和《办法》的监管思路较为一致,均对个人信息的收集、对外提供、使用等行为做出了规制,在《网络安全法》以及《民法典》的基础上提出了更具行业针对性的要求,体现了我国各个行业主管部门对于个人信息保护的重视程度的不断提升。而《办法》中的数据合规条款中尤为值得注意的是,网络交易经营者需根据不同场景中收集的个人敏感信息,逐项获得消费者的个人同意,同时还需规避滥用算法的行为。具体而言,网络交易经营者在履行合规义务中应注意:
[1]详见“Guidelines 05/2020 on consentunder Regulation 2016/679 Version 1.1”