摘 要:随着政府对平台监管需求的不断变化和对平台所掌握数据资源需求的不断增加,当前我国已初步围绕政府获取平台数据建成了差异化的政策法规体系,并在实践中形成了个案调取、数据报送、端口接入、调取公共数据等数据获取形态。由于“法定职责”定义模糊、比例原则难以适用、限权性规范不足等问题,不同场景下政府行使权力的边界尚不清晰。此外,政府获取平台数据的行为增加了个人信息泄露的风险,加重了平台的负担,致使实践中政府获取平台数据受阻事件频发。需要对政府获取平台数据的行为进行规范,细化法定职责,落实比例原则,通过明示平台权利、完善政企互动渠道、鼓励签订补偿协议等方式,寻求赋权公共行政与保障私主体权利之间的平衡。
关键词:平台监管;数据调取;数据报送;个人信息
随着数字经济的不断发展,互联网平台成为最主要的资源配置和组织方式,互联网平台连接供需双方,通过提供服务获取了大量用户数据,逐步形成了行业内的竞争优势。数据不仅是互联网平台的核心企业竞争力,也是政府治理和决策的“生命之源”。政府获取平台数据不仅有利于加强对平台本身经营行为的监管,也有助于提高政府风险预测、智慧决策的科学性与合理性。2015年6月,国务院办公厅出台《关于运用大数据加强对市场主体服务和监管的若干意见》,奠定了行政机关运用大数据提高政府服务水平,加强事中事后监管的政策基础。2022年12月2日,中共中央和国务院联合发布了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),其中第5条指出:“政府部门履职可依法依规获取相关企业和机构数据,但须约定并严格遵守使用限制要求。”
在实践中,政府机构通过多种途径,如个案调取、数据报送、即时传输和公共数据获取等,广泛收集来自不同行业的网络平台数据,其介入程度在不同行业间存在显著差异。在政府利用大数据赋能公共行政的现实背景下,政府获取平台数据的行为越发频繁和深入。对此,平台则需要耗费大量的成本予以配合,承受了较重的经营负担。同时,由于调取数据可能涉及商业秘密或敏感个人信息,平台出于保护用户信息、维持企业竞争优势等目的,往往对政府获取数据行为存在抵触情绪,最终形成了“给的不想要,要的不想给”的实践僵局。究其原因,立法对政府获取平台数据的行为约束过于粗放,学理上对不同场景下政府获取平台数据的权力边界有待厘清,实践中政企沟通不畅、平台损失难以受偿的问题也亟待解决。
本报告着眼于政府获取平台数据的立法与实践,首先梳理了政府获取平台数据现有的规范体系和特征,进而对我国目前已有规范体系存在的问题和由此造成的实践困境进行检视,最后提出相应的完善建议,以期为厘清政府获取平台数据的权力边界和化解实践困境提供思路借鉴。
一、政府获取平台数据的规范体系及其特征
(一)政策演进概览
目前,政府获取平台数据的政策演进经历了个案调取、规模化获取与实时传输三个阶段。早期政府获取平台数据的实践以个案调取为主,此时平台承担的是被动提供相关数据的义务,这一数据调取的协助义务同时面向刑事司法与行政执法。随着互联网平台的快速发展,监管力量与市场主体数量的对比越发悬殊,传统监管方式已无法满足规模化行业监管的需求,部分监管机关寻求通过大数据赋能行政监管来提高自身的监管效能。在这一背景下,行政机关通过平台数据报送、与平台签订数据采购协议等规模化获取平台数据的方式应运而生。2018年8月“浙江乐清滴滴顺风车乘客遇害案”引发舆论哗然。警方称曾多次与滴滴平台联系,希望获得车主联系方式和车牌号,但滴滴以正在审核等为由未能在第一时间提供。这一事件直接导致顺风车业务被整顿,也成为政府加强网约车平台数据监管的契机,开放数据接口使监管部门对网约车平台的数据获取实现了自动化和实时化。整体观之,不同领域的监管部门获取互联网平台企业数据的实践总是处于上述阶段中的一个,并有从较低阶段向较高阶段发展的趋势,体现为获取数据范围持续扩展,获取的方式朝着自动化、实时化方向发展。
除上述三个阶段所呈现的数据获取方式以外,上海、成都等地出台的公共数据管理办法中逐渐形成了有关公共数据采集规范的独立体系,其中便包含政府获取平台公共数据的相关规范。下文中,本报告亦对这一新兴领域的规范进行了梳理。
(二)规范体系
1.个案调取
目前,国家机关在个案调取场景下的规范体系以刑事法律规范为主体,根据《刑事诉讼法》第54条的规定,人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取数据,有关单位和个人应当如实提供证据。2016年,最高人民法院、最高人民检察院、公安部联合印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,其中第13条规定了公安机关办理刑事案件调取电子数据的程序。2017年施行的《网络安全法》第28条规定:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”2019年公安部发布的《公安机关办理刑事案件电子数据取证规则》进一步将“调取电子数据”明确列举为收集、提取电子数据的5种措施之一,并且在第41条规定了公安机关向有关单位和个人调取电子数据的具体程序,即调取数据应当经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。2021年《数据安全法》施行后,第35条同样明确了公安机关、国家安全机关调取数据的权力。
随着个人信息持续向平台转移,平台事实上存储并垄断了大量的个人数字轨迹,这成为行政机关开展行政调查的关键载体,加之互联网平台经营过程中的违法行为日益增多,行政机关在执法过程中调取平台数据的实践需求日益增加,关于个案调取的行政法律规范亦逐渐完善。起初,行政机关在个案场景中调取平台数据的权力,多来自对《行政处罚法》第54条中“行政调查权”的解释。2019年施行的《电子商务法》规定了电子商务经营者的数据提供义务,即“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供”(第25条)。2021年《数据安全法》首次从正面明确规定了行政机关调取数据的权力,第38条规定“国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行”。同年出台的《个人信息保护法》第34条规定“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,其中对个人信息的处理便包括个人信息的收集、存储、使用、加工等过程(第4条)。此外,第35条还规定了国家机关处理个人信息应履行“有限度的告知义务”。交通运输部、工业和信息化部等多个部门于2016年共同制定,2019年和2022年两次修正的《网络预约出租汽车经营服务管理暂行办法》第5条明确了申请从事网约车经营需要满足“具备供交通、通信、公安、税务、网信等相关监管部门依法调取查询相关网络数据信息的条件”。第29条规定了“出租汽车行政主管、公安等部门有权根据管理需要依法调取查阅管辖范围内网约车平台公司的登记、运营和交易等相关数据信息”。
2.数据报送
2019年1月1日施行的《电子商务法》第28条规定“电子商务平台经营者应当按照规定向市场监督管理部门报送平台内经营者的身份信息”,这是中央法律层面对平台数据报送义务的首次明确规定。随后,各部门围绕数据报送出台了相应部门规章或规范性文件。例如,在网络直播领域,2022年国家互联网信息办公室、国家税务总局、国家市场监督管理总局出台的《关于进一步规范网络直播营利行为促进行业健康发展的意见》中提及“网络直播平台应当每半年向所在地省级网信部门、主管税务机关报送存在网络直播营利行为的网络直播发布者个人身份、直播账号、网络昵称、取酬账户、收入类型及营利情况等信息”。在网络交易领域,2021年国家市场监督管理总局发布的《网络交易监督管理办法》明确要求“网络交易平台经营者应定期向市场监管部门报送平台内经营者的身份、地址、联系方式、网店名称、网址链接、许可等信息”(第25条)以及“特定时段、特定品类、特定区域的商品或者服务的价格、销量、销售额等数据信息”(第22条)。在快递领域,2019年国家邮政局、商务部共同发布的《关于规范快递与电子商务数据互联共享的指导意见》中提及“要加强电子商务与快递数据政府监管”,此后,快递企业向邮政主管部门提供运单号、寄件时间、身份证号、电话号码等交易数据逐步成为行业惯例。
3.实时传输
交通运输部于2018年制定、2022年修订的《网络预约出租汽车监管信息交互平台运行管理办法》要求平台直接接入网约车行业监管平台,以便实时传输基础静态数据和运营动态数据,这也是目前唯一明确要求端口接入的行政规范性文件。实践中,交通运输部也已建立部级、省级、市级三级架构的网约车监管信息交互平台,可以实时展示网约车驾驶员、营运车辆、日订单数量分布、乘客投诉和评价以及经营户等信息。在网络交易领域,2021年国家市场监督管理总局发布的《网络交易监督管理办法》明确“鼓励平台与市场监管部门建立开放数据接口等形式的自动化信息报送机制”(第25条)。在互联网金融领域,2018年中国人民银行、中国银行保险监督管理委员会(已撤销)、中国证券监督管理委员会共同发布的《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》第6条规定:“金融机构、非银行支付机构以外的其他从业机构应当通过网络监测平台进行反洗钱和反恐怖融资履职登记。金融机构和非银行支付机构根据反洗钱工作需要接入网络监测平台,参与基于该平台的工作信息交流、技术设施共享、风险评估等工作。”
4.调取公共数据
公共数据因其数量大、质量高、标准相对统一等特点,日益成为数据要素市场和数据经济发展的新领域。实践中,政府通过财政出资的方式委托服务范围广、数据采集能力较强的互联网平台企业进行数据采集工作。平台企业因承担政府和公共事业相关系统建设运维,形成并获取了大量的数据资源。此类公共数据亦成为政府调取的对象。值得注意的是,2021年11月国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》中曾规定“国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的”(第52条),然而,该条款在2024年最终公布的条例文本中并未出现。尽管修改原因不得而知,但也从侧面反映出对公共数据的定义和互联网平台在采集和提供公共数据方面的角色定位还存在进一步明确的空间。
在地方层面,围绕公共数据采集,成都市于2018年6月6日最先公布并于7月1日实施了《成都市公共数据管理应用规定》,随后上海市于2018年9月30日公布并于11月1日施行了《上海市公共数据和一网通办管理办法》。此后,吉林省、四平市、丽水市、上海市普陀区、上海市长宁区、哈尔滨市、江门市、新疆维吾尔自治区、枣庄市先后出台本地区的公共数据管理办法,其中均以专章形式对公共数据采集进行规范。各办法大致围绕“数据责任部门”“公共数据资源目录”“数据采集原则和要求”“被采集人的权利义务”等方面进行规定。
随着中央和地方相关立法的不断完善,公共数据采集逐渐形成政府获取平台数据中一套独立的规范体系。区别于以往以“法定职责”“比例原则”等对行政机关权力进行制约的方式,公共数据采集规范引入了“公共数据资源目录”“公共数据采集地方标准”“被采集人的权利”等操作性较强的方式对行政机关采集公共数据的边界进行厘清。
(三)规范体系的特征
1.规范演进:权力行使样态与场景的渐次析出
如上所述,在个案调取场景下,相关法律规范以刑事侦查为主,而行政执法中数据调取的权力来源多从《行政处罚法》等基础性规范关于“行政调查”的规定中析出。2019年施行的《电子商务法》规定了电子商务经营者的数据提供义务(第25条),并未对行政调查或检查予以权力形态的定性。2021年《数据安全法》与《个人信息保护法》对与数据有关的权力行使样态分别采用了“收集、使用数据”(第38条)和“处理个人信息”(第34条)的表述,这些规范在一定程度上也成为政府获取平台数据行为的概括授权。
具体监管领域的部门立法推动了具体形态的数据获取行为的授权,权力行使的场景也逐渐明确化、具象化。例如《网络预约出租汽车经营服务管理暂行办法》采用了“调取数据”(第29条)的表述,《网络预约出租汽车监管信息交互平台运行管理办法》采用了“实时传输相关数据”(第7条、第8条)的表述,《网络交易监督管理办法》(第25条)和《关于进一步规范网络直播营利行为促进行业健康发展的意见》均采用了“报送信息”的表述,《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》(第6条)则采用了“接入”的表述。
由此可见,现有的规范文本围绕政府获取平台数据的权力经历了从通过对“行政检查权”解释获得的宽泛授权,到规范文本明确对“收集/处理行为”的概括授权,最终到对“调取、报送、实时传输”等特定场景的具体授权,相应的规范层级也从中央立法向部门规章、规范性文件逐步下沉。
2.介入程度:行业间存在显著差异
不同监管领域对获取平台数据的主体、方式、范围、条件和救济方式等存在显著差异。总的来说,数据采集较为频繁且大规模的行业主要包括网约车服务、在线交易、网络支付、在线直播和互联网金融等,其中网约车监管部门和市场监管机构对数据监管的把控尤为严格。
首先,从规范层级而言,目前只有网约车领域和网络交易领域存在部门规章,其他领域则以出台的行政规范性文件为主。其次,从数据获取主体而言,一般是该行业的行政主管部门,但是在部分规范文本的表述中,亦明确了其他相关监管部门的数据调取权限。例如,网约车行业的数据获取主体不仅包括交通运输部,还包括通信、公安、税务、网信等相关监管部门。再次,从数据获取方式而言,网约车平台监管明确要求进行数据的实时传输,网络交易监管则鼓励建立开放数据接口等形式的自动化信息报送机制,互联网金融机构根据反洗钱工作需要接入实时的网络监测平台,网络直播等领域则以常态化报送为主要的数据获取方式。又次,从数据获取的条件而言,网约车领域和网络交易领域的相关规定较为完善。以网络交易领域为例,《网络交易监督管理办法》中对数据获取主体的级别要求为住所地省级市场监督管理部门,时间要求为每年1月和7月,范围限制为平台内经营者的身份信息。其他领域对数据获取的条件则鲜有具体规定。最后,从数据传输系统的完备程度而言,相较于支付、消费等网络平台,行政机关在网约车平台领域已经构建了部级、省级、市级三级架构的网约车监管平台。目前,全国网约车监管信息交互平台已实现实时接收上百家网约车平台公司传输的数据,并实现与各省、市监管平台的数据分发服务,已经构建起完备的数据传输系统。
3.规范内容:授权规范较多,限权规范较少
在规范内容层面,规范对于行政机关获取平台数据几乎是“一揽子”授权,多数规范仅要求行政机关满足“为履行法定职责”即可。例如《电子商务法》第25条对有关主管部门获取电子商务经营者的数据信息进行了广泛授权,其制约要件为“依照法律、行政法规的规定”以及“履行保密义务”;《数据安全法》第38条对国家机关收集、使用数据也进行了广泛授权,其制约要件为“为履行法定职责”与“履行保密义务”;《个人信息保护法》第34条对国家机关处理个人信息的制约要件为“为履行法定职责”“符合比例原则”“履行告知义务”。
主管部门出台的部门规章和规范性文件亦对获取平台数据进行了广泛授权,相较而言,对获取数据的条件、频度等内容的制约较少,更鲜有程序上的规范限制。例如《网络交易监督管理办法》第25条规定了网络交易平台对市场监督管理部门的数据报送义务。《网络预约出租汽车经营服务管理暂行办法》第29条赋予了相关部门查询平台数据的权限。同时,《网络预约出租汽车监管信息交互平台运行管理办法》规定平台需接入监管系统,以实现基础静态数据和运营动态数据的即时传输。《关于进一步规范网络直播营利行为促进行业健康发展的意见》提及“网络直播平台应当每半年向所在地省级网信部门、主管税务机关报送存在网络直播营利行为的网络直播发布者个人身份、直播账号、网络昵称、取酬账户、收入类型及营利情况等信息”。上述规范均是对行政机关获取平台数据的广泛授权,只有《网络交易监督管理办法》在第25条概括规定了获取数据的条件,而对于获取数据的程序,各规范均鲜有涉及。
相较而言,公共数据采集的相关规范针对政府调取平台公共数据的权力建立了相对完备的制约体系。以《上海市公共数据和一网通办管理办法》为例,其通过“数据集中统一管理”“数据责任部门”“资源目录”“数据采集原则和要求”“数据采集方式”等规范内容对政府获取数据的权力进行制约;第6条规定还强调了“建立公共数据采集地方通用性标准”的重要性,这一方面可以促进公共数据和“一网通办”的规范化管理,另一方面则能够通过传输标准统一来减轻被调取对象的负担。就此意义而言,公共数据采集规范通过建立“资源目录”、明确“数据责任部门”等类似权责清单的形式将“法定职责”进行细化,有助于强化对政府获取平台数据权力的体系化制约。
二、政府获取平台数据的规范难题与实践困境
(一)“法定职责”定义模糊,“比例原则”难以适用,公民知情权难以保障
如上所述,无论是《数据安全法》还是《个人信息保护法》,均以“履行法定职责”作为政府获取平台数据的前提条件,《个人信息保护法》进一步明确了比例原则的要求,即“不得超出履行法定职责所必需的范围和限度”。然而,“法定职责”中对“法”的界定尚不清晰。目前,我国法律规范对于行政机关法定职责规定得较为笼统,对法定职责的内涵尚未形成统一的认识。考虑到行政机关现实中面临着纷繁复杂的执法与监管任务,宽泛的立法语言在一定程度上有助于保持立法弹性,但同时也导致难以对行政机关权力起到有效的制约作用。在“某公司诉福州市××区人民政府不履行法定职责案”中,最高人民法院指出法定职责还包括行政机关因先行行为、行政承诺、行政协议而产生的职责。实践中还存在以“公共利益”“公共安全”“突发事件应对”等对法定职责进行泛化解释的倾向。
若“法定职责”难以清晰界定,行政机关处理个人信息是否超出“必需的范围和限度”便难以判断。
在政府获取涉及公民个人信息的平台数据时,《个人信息保护法》第35条对其施加了告知义务,即“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务”。无论在学理上还是在实践中,政府均无须以获得个人同意作为其获取平台数据的正当基础。换言之,相较“知情-同意”框架下的实体性同意权,第35条的规定已经将公民享有的同意权降格为程序性的知情权。即便如此,由于信息处理行为的隐蔽性与不可知性,实践中公民仅有的程序性知情权也难以得到保障。目前政府获取平台数据的实践,尤其是端口接入的方式,导致适用程序规则的空间几乎缩减为零,政府履行告知义务的范围和程度均不得而知。自端口接入的那一刻开始,数据便发生了瞬时转移,使得政府的程序控制变成了“自我规制”的黑箱,公民拥有的知情权和其他程序性参与权利实际上处于被虚置的状态。
(二)不同场景下政府权力边界难以厘清
政府获取平台数据的不同场景杂糅了不同类型的公权力,如行政调查、行政检查和新型权力样态,由此产生了法依据析出难题和传统权力约束规范在新场景下的准用难题。具体来说,个案数据调取涉及两种情况。首先,当平台涉嫌违规时,政府会获取数据以收集证据,此时平台有责任配合调查,提供必要信息。其次,平台可能作为第三方协助执法机构获取平台上商家或用户的违规证据,这种情况下,平台不是被调查对象,承担的是协助执法的责任。在以上两种情况下,个案数据调取是行政调查权力的一部分。而在大规模数据获取和实时传输的情况下,监管机构可能没有具体的案件线索或嫌疑人,其仅是对监管对象的合规性进行检查和监督,权力性质从行政调查转变为行政检查。随着大数据技术的应用,政府利用大数据和复杂算法分析大量数据,实时监控平台的合规性,并以预防风险为目的,通过预测特定领域的发展趋势,进行基于数据的风险评估和决策制定。此时,政府的权力形态从一般意义上的“行政检查”剥离而向更新的形态转变,权力的作用形态和内部结构也发生了变化。
尽管明确不同场景下的权力属性符合传统行政法以“行政行为”为核心的限权逻辑,但政府权力行使的边界并非一目了然。传统行政法围绕行政处罚、行政许可等典型行政行为已经构建了相对完备的规范体系,但针对行政调查和行政检查权行使的规范体系尚未充分建立,遑论新型权力样态的规范匮乏。这使得传统行政法规范无法适配政府获取平台数据权力行使的逻辑转变,法律保留原则也未能充分发挥事前限制作用,不同场景下政府权力行使的边界仍有待厘清。
(三)数据报送的差异化加重了平台的经营负担
由于互联网平台业务的交叉性,多个部门均承担着对互联网平台的监管职责。除行业主管部门如市场监督管理、工业和信息化部门外,公安机关、税务机关、国家互联网信息办公室以及互联网平台治理专项工作组等也有获取平台数据的需求。实践中,互联网平台往往面临多个行政机关频繁获取其平台数据的情况。由于不同部门目前尚未形成统一的数据传输标准,平台往往受累于对原始数据的加工、提炼和清洗,以便满足不同部门关于数据结构化、可视化的要求。针对某一特定事件,由于其可能涉及多层次、多领域的监管部门,平台往往面临不同级别、不同地域、不同领域的行政机关要求其多次、反复提供同样的数据内容的情况,这也极大增加了平台的运营成本。此外,由于政府调取的数据有范围限制,对于平台来说,将政府调取的数据范围从众多数据中进行分离也需要消耗人力和时间,甚至有的平台缺少提取相应数据的技术能力,而倘若不对超范围提供的数据进行分离,则可能侵犯用户数据权利,从而产生节约成本与隐私保护的悖论。
当前,政府在获取平台数据时所产生的费用基本由平台方承担,法律尚未明确规定对数据报送成本的补偿和报销制度,这导致了对平台数据合规性的负面影响。对于规模较小的平台企业而言,它们可能缺乏必要的数据提取和处理能力来满足报送要求,而高昂的合规成本实际上成为其进入市场的障碍。
(四)政府获取平台数据受阻事件频发,企业抵触情绪较大
政府获取平台数据受阻的事件频繁见诸媒体报道。例如,2017年5月27日,深圳发生了一起事故,一名女性骑ofo共享自行车时不慎撞倒行人并逃离。深圳交警在调查事故时表示,ofo公司拒绝提供相关材料和信息。2018年5月,“滴滴顺风车”案发生后,民警在被害人朋友报案后多次与滴滴平台沟通调取顺风车车主有关信息,滴滴平台以正在审核等为由也没有在第一时间提供。2024年,国家税务总局嘉兴市税务局第一稽查局在查处一起电商企业隐匿收入偷逃税款案件时,检查人员查明反映涉案企业隐匿网上销售收入的资金流后,向某电商平台索取涉案企业网店的电子销售订单,以进一步印证有关违法事实,但被某电商平台以涉及其他企业商业机密为由予以拒绝。类似的受阻事件也发生在司法场域。例如,2017年5月8日,面对法院调取平台数据的协查需求,腾讯公司拒绝了该调取要求,并在《调查函回函》中答复称,由于微信聊天记录的加密技术保存等原因,聊天记录只能在用户端查看而腾讯公司并不保存该记录,并指出“我方既无权也无法查看”,因此无法协助法院的调查。当然,上述公开报道仅反映出实践中政府和平台之间因数据获取而产生的紧张关系的冰山一角,政府频繁获取平台数据的行为可能因此成为优化营商环境的掣肘因素。从域外实践的对比来看,政府与平台之间的紧张关系有过之而无不及。例如,2016年,美国联邦调查局为了破解一个恐怖分子所持的苹果手机,获得了法院搜查令后,要求苹果公司协助破解密码,却遭到了苹果公司的强硬拒绝,由此引发了旷日持久的诉讼,政府也为此付出了高昂的代价。据悉,联邦调查局最终通过购买第三方服务的方式破解了手机,为此付出了高达100万美元的代价。苹果公司的高调姿态为其赢得了“抵制老大哥”的商业声誉和网民支持,民调显示支持和反对苹果公司行为的民众基本持平。
反观我国实践,平台拒绝国家机关调取数据一般出于如下理由或考虑。首先,平台不存储相关数据,事实上无法提供。以腾讯公司拒绝提供微信聊天记录为例,尽管腾讯公司在技术上是否无法破解用户聊天记录尚存商榷余地,但此事件反映出政府与平台之间存在信息差。在事实层面,平台所掌握和可提供的数据范围是有限的,相应地,权力机关要求平台提供的数据须以其事实上可控制的数据为限。其次,政府所欲调取的数据涉及商业机密。如果监管机构过度索取涉及其商业秘密的平台数据,甚至要求企业提交全部原始数据,这实质上是要求企业将其生存和发展所依赖的资产与政府共享。平台出于维护自身竞争利益的考量,往往拒绝政府的调取请求。最后,为了避免因泄露用户数据而涉诉进而影响到企业形象,针对敏感个人信息的调证请求,平台往往也不愿配合。由于数据传输技术的限制,平台运营者在实际操作中经常采用“移动介质拷贝”或通过互联网发送电子邮件的方式来传输数据。这些方法依赖于员工的线下交接,而不是在网络上实现闭环的电子传输,从而增加了数据泄露的风险。政府接收企业报送的大量原始数据后,由于自身缺乏处理原始数据的技术能力,往往委托第三方运维单位进行分析、加工。在这一过程中,部分运维单位利用政府数据违规牟利,而这部分数据中又包含大量个人信息和敏感数据,一旦流入市场,极易被不法分子利用,造成个人隐私泄露和财产损失。此外,平台用户可能担心政府对已调取的平台数据进行更密集的调查,进而加剧用户使用该平台的紧张氛围,损害平台基于搜索的广告销售,以及用户和平台之间的信义关系。
三、规范政府获取平台数据的政策建议
为了实现政府规范获取、平台积极响应的良性局面,如何在政府获取平台数据的不同场景中划定权力边界、平衡政企利益成为亟待解决的问题。结合上文讨论,本报告提出如下建议。
(一)细化法定职责,落实比例原则
“为履行法定职责”是规范政府获取平台数据权力的重要依据。针对目前规范体系组成的合法性框架需要具体化法定职责,避免法定职责泛化造成比例原则的适用困境。法定职责的具体化在逻辑上有两种选择。一是细化规则,通过法律规范层面对行政机关权责的梳理,促成法定职责的具体化,例如实践中的权责清单制度,就是对抽象的权责进行细分和具体化。二是借鉴目前公共数据采集规范中法定职责的细化途径,明确“数据责任部门”和“资源目录”,根据各部门的法定职责,明确相应的责任部门,由其编制本系统公共数据资源目录及制定本系统公共数据采集规范。以此为参照,政府获取平台数据应当遵循合法、必要、适度原则,按照对应责任部门的采集规范要求,在数据资源目录的范围内采集数据。
落实比例原则,需在细化法定职责的基础上,要求行政机关向互联网平台说明获取平台数据的理由。具体说明理由的内容应当围绕目的正当和手段必要两个方面展开。考虑到行政机关调取平台数据的效率问题,说明理由义务的履行可限缩为行政机关调取个人数据的场景,这也符合《个人信息保护法》第35条的规定。首先,行政机关对于目的正当性的阐述应当围绕法定职责展开,具体表现为阐述法定职责与调取行为目的之间的关联性。其次,在手段必要性层面,行政机关可以围绕获取方式、获取内容如何能够服务上述目的展开说理,同时也可以通过说明若不采取该获取方式得到上述数据便无法达成以上目的进行反向证成。总之,说理的目的是让互联网平台以通俗易懂的方式理解政府获取平台数据的必需性,从而进行更加有针对性的内部审查。
(二)通过赋权平台推动调取行为的规范化
考虑到目前的法律规范对行政调查或检查权的规范尚不完备,可通过对平台赋权的方式推动调取行为的规范化,即可在规范文本中明示平台的权利即被采集人的权利。《个人信息保护法》第四章规定了“个人在个人信息处理活动中的权利”,具体包括知情权、决定权、更正权、删除权、要求解释说明权等。在政府调取平台数据的情形下,由于个人可能并不知晓国家机关调取行为的存在,上述权利面对国家机关实际上是虚置的。当政府规模化调取平台个人数据时,客观上也难以允许众多个人行使其权利。参考上述思路,平台作为被采集人在这一过程中享有的知情权、要求解释说明权等程序参与权以及获得救济的权利可在规范中通过专章予以明示。由此,一方面,由于平台数据与个人信息的不可分性,平台可依据上述权利对其自身存储的商业数据进行保护,避免政府机关过度介入带来的负担;另一方面,通过赋权平台程序参与权可以强化政府机关的说理义务,明晰政府获取平台数据时的程序规范。
在上述框架下,当政府机关调取平台数据涉及个人信息时,需要履行告知义务,而告知义务的履行对应了平台对调取行为的知情权,告知的内容应当包括该调取行为符合法定职责与比例原则的要求。与此同时,若平台对行政机关的调取行为存在异议,其也享有要求解释说明权,即要求行政机关对调取行为的目的以及调取数据的范围等进行解释说明。因政府获取平台数据行为产生的争议,通过明确平台的救济权利予以保障,进而实现法定途径的定分止争。
(三)优化政府与平台的对接流程,塑造良性政企关系
从行政机关的角度而言,应首先明确数据获取的书面函件这一形式要求,避免通过任何“后门”或非正式形式直接调取或访问平台数据。其次,对函件进行规范化,根据获取数据类型对函件格式和内容进行标准化设计,如对法定职责、权力依据、获取数据的范围和理由的说明等,明确行政机关内部的负责人批准等内部控制程序。最后,行政机关获取平台数据后,应在系统内部建立必要的防火墙,避免将自身获取的数据无限制地分享给并无法定职责的其他部门。鼓励大的平台企业形成数据范围和披露技术上的“最佳实践”,以获取监管机构的认可,形成持续的互动反馈。
从平台的角度而言,建议确立内部的审查规则和流程说明,向相应的主管部门或公众披露。在审查规则上,可以明确政府调取请求的程序审查、目的性审查、相关性审查、范围审查等内容,从而决定是否提供以及提供哪些数据。若政府的调取请求过于宽泛或模糊,或所需数据与个案不具有充分的相关性,可与相应的政府机构进行再次沟通,要求其细化内容或进行解释说明。确立紧急事件的特别处理程序,确立不同情况下处理政府请求的优先次序,畅通紧急沟通渠道。
平台可以通过发布透明度报告优化政企互动方式,强化来自公众的外部监督。自谷歌2010年发布第一份平台透明度报告以来,越来越多的平台加入定期发布透明度报告行列。透明度报告中重要的内容之一便是公开披露政府部门向平台发出的披露数据的请求以及平台作出的回应。2013年斯诺登事件的发酵进一步加速了该项披露的步伐,因为公众意识到科技公司和政府可能的“密谋”给自身利益带来威胁,大平台也将透明度报告作为赢得公众信任和向政府部门施压的方式。正如优步在其《透明度报告》页面所声称的那样:“我们想[通过这样的方式]激发公众对为什么以及何时要求公司向政府机构披露数据的讨论。”
(四)探索数据获取的补偿机制
将互联网平台协助提供数据的成本纳入制度设计的考量范围,不仅有利于提升公私合作的实效,也是对平台合法权益的保障。既有研究已注意到建立数据获取补偿机制对于平衡政企权益、激励企业数据报送的重要性。建议逐步试点推进建立数据调取的补偿机制,补足平台因配合相关部门执法而承担的额外支出。对成本的计算,应当以平台支出的必要的和直接的成本为限。鼓励行政机关与互联网平台之间签订数据补偿协议,协议约定补偿标准。以美国雅虎公司为例,其公示的收费标准为:(1)用户基本记录,第一个ID 20美元,之后每个ID 10美元;(2)社区基本信息,单一版主的社区约为20美元;(3)用户账户内容,包括电子邮件,每个用户30~40美元;(4)社区内容,每个社区40~80美元。我国互联网平台也可参考上述标准,结合技术处理成本,尽快建立数据估值模型以确定补偿标准,推进补偿机制的建立。此外,为了构建政府与平台之间的合作治理结构,可以考虑通过政府采购途径增加平台对政府履行公共职能所需数据的供应。
