李爱君：重要个人信息处理者的特别监管 | 中国政法大学学报202304

【副标题】兼论《中华人民共和国个人信息保护法》第58条

【作者】李爱君（中国政法大学教授，博士生导师）

【来源】北大法宝法学期刊库《中国政法大学学报》2023年第4期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：随着数字经济的发展，个人信息安全事件的发生，各国均将类似“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（以下简称“重要个人信息处理者”）的特别监管作为研究重点和立法内容。互联网平台是数字经济的新业态，个人信息所形成的数据是新业态的重要生产要素。无论是互联网所形成的新业态，还是个人信息处理的实践，都充分证明了对一般个人信息处理者的监管已经无法适应重要个人信息处理者带来的个人信息安全风险的防范。本文针对个人信息处理的实践问题，分析典型国家、地区和我国有关重要个人信息处理者的监管研究，提出我国重要个人信息处理者的特别监管的完善路径，进而实现个人信息安全风险防范，有效维护国家安全、公共利益和个人信息主体权益。

关键词：个人信息；个人信息保护；个人信息安全；重要个人信息处理者；特别监管

目次 一、重要个人信息处理者的认定条件和认定程序 二、重要个人信息处理者个人信息安全的特殊风险 三、重要个人信息处理者特别监管设计

随着数字经济的发展，无论是数字经济的关键生产要素数据的处理，还是互联网载体作用的发挥，以及现代数字技术的应用，无不涉及数据所承载的个人信息权益的保护和个人信息安全的保障。尤其在发展过程中，对一般的个人信息处理者的规范难以防范重要个人信息处理者所带来的个人信息安全的特殊风险。为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，应建立对重要个人信息处理者的特别监管。欧盟在《数字服务法》（Digital Services Act）和《数字市场法》（Digital Markets Act）中也对类似此种性质的大型服务平台进行了特别的监管，如对经济和社会影响较大的在线平台的提供管理、广告和算法流程设置了更高的透明度、责任和义务，以防范其形成的系统风险。且此种责任义务的设定仅限于大的在线平台。我国于2021年8月20通过的《中华人民共和国个人信息保护法》 （以下简称“《个人信息保护法》”）第58条也对 “提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务进行特别规定：一是对个人信息处理者的限定，二是明确了此条限定的个人信息处理者的特别义务。然而《个人信息保护法》第58条，无论是对“个人信息处理者”的限定条件，还是对其特别义务的规定都存在问题，有待完善。

《个人信息保护法》第58条对“个人信息处理者”的限定条件存在的问题。首先，“重要互联网平台服务”“用户数量巨大”和“业务类型复杂”三个要素中的“重要”“用户数量巨大”“复杂”等用语都没有明确界定标准。其次“互联网平台”在我国的法律层面没有定义，《个人信息保护法》中也没有对其定义，因此其主体性质和范围仍具有不确定性。再次，《个人信息保护法》第58条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”中的界定三要素是界定“重要个人信息处理者”的充分条件，还是必要条件缺乏明确的规定。最后，《个人信息保护法》中缺乏对第58条　“重要个人信息处理者”主体界定的认定程序。

《个人信息保护法》第58条对个人信息处理者特别义务的规定存在问题。《个人信息保护法》第58条规定的特别义务包括：“（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（四）定期发布个人信息保护社会责任报告，接受社会监督。”其中，第一款中“外部成员组成的独立机构”的性质缺乏定性，应进一步明确，否则无法实现法律规范的目的。第二款和第三款的规定实质上赋予了重要个人信息处理者执法、立法和监管的“权力”，但《个人信息保护法》中却未对此“权力”进行规范，易导致“权力”滥用。第四款缺乏对“个人信息保护社会责任报告”的具体内容、发布方式和发布期限的具体规定。除此之外，对重要个人信息处理者的特别监管应根据《个人信息保护法》的立法目标和第58条的法律规范目的进一步完善，强化其对个人信息安全风险的防范和特别监管，从而实现保护个人信息权益和促进个人信息合理利用。

一

重要个人信息处理者的认定条件和认定程序

“重要个人信息处理者”是对《个人信息保护法》第58条中的“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”进行本质分析而抽象出的此类主体的概括总称。重要个人信息处理者在个人信息安全方面具有特殊的风险，其主体的认定条件决定着个人信息权益保护和个人信息安全的实现，决定着对其进行的特别监管的公平与正义。

（一）重要个人信息处理者的认定原则

重要个人信息处理者的认定原则，一是认定范围应以客观法为基础，不宜扩大范围。欧盟《数字市场法》提案对“核心平台服务者”应满足的条件进行了明确限定：第一，对内部市场具有重大影响；第二，运营一项核心平台服务，作为商业用户接触终端的重要门户；第三，在运营中具有稳固和持久的地位，或者在可预见的未来能够拥有该等地位。欧盟《数字市场法》提案仅适用于满足以上标准的服务提供商。欧盟《数字市场法》提案采取了定性和定量的标准，定量标准作为定性标准的可推定条件，保证了委员会能够指定对市场公平和竞争具有相同或相似风险的核心平台服务提供商作为特殊监管对象，同时保证特别义务仅适用于核心平台服务提供商。在法国法学家、社会连带主义法学创始人狄骥 （1859-1925）的学说中，客观法是指整个人类社会所固有并必须服从的社会纪律。他说：“一切人类社会都势必服从社会的纪律，这种纪律构成社会的客观法，并且适用于一切自觉的个人、社会集团的成员。”在数字经济发展过程中，个人信息数据关键要素的开发利用对个人信息主体利益，甚至国家安全和公共利益产生了危害。因此应对其采取特别监管，同时实现对个人信息处理者的分类分级监管，既保证安全，又能够建立平等和公平的竞争秩序，进而促进数字经济的发展。，二二是应充分实现《个人信息保护法》的立法目标和第58条的法律规范目的。“目的是全部法的创造者，每条规则的产生都源于一种目的，即一种事实上的动机。”对重要个人信息处理者的认定应围绕《个人信息保护法》的立法目标和第58条的法律规范目的。《个人信息保护法》第1条提出，该法的立法目标是统筹“保护个人信息权益”和“促进个人信息合理利用”。第58条的法律规范目的，是解决在个人信息处理利用的实践中，个人信息处理主体从事“非法收集、使用、加工、传输他人个人信息，非法买卖、提供或者公开他人个人信息；从事危害国家安全、公共利益”的个人信息处理活动时所产生的严重影响个人信息权益、危害社会且救济成本高的个人信息安全风险防范问题。三是重要个人信息处理者的认定条件应具有明确性和可操作性。重要个人信息处理者认定条件的明确性和可操作性是为了避免界定条件不清和无操作性导致的法律规范主体泛化和执法行为无法实施，甚至采取选择性执法的情况发生。四是重要个人信息处理者的认定应主要围绕《个人信息保护法》中“重要”“用户数量巨大”“业务类型复杂”三要素的语义进行相对明确的解释。以此既能够保证《个人信息保护法》立法目标和第58条法律规范目的的实现，又能够充分发挥现行法律的最大效用。遵循以上认定原则的主要目的，是确保不会出现过度监管和监管范围扩大的情况，同时避免监管漏洞和避免发生因歧义、模糊和开放等产生的法律适用的不确定和司法裁决的不统一，进而确保法律实现其公平与正义的价值。

（二）“重要信息处理者”的认定条件

1.“互联网平台”的界定

《个人信息保护法》中没有对“互联网平台”进行定义，我国其他法律也没有对“互联网平台”的定义进行明确。从“互联网平台”的内涵和外延出发，与其类似的表述在我国的法律、法规中有：《中华人民共和国消费者权益保护法》第44条使用“网络交易平台”的表述，但此法中没有对其定义；《中华人民共和国电子商务法》第9条中对“电子商务平台经营者”的定义为“电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织”；2007年商务部《关于网上交易的指导意见（暂行）》中对“网上交易平台”的定义为“平台服务提供者为开展网上交易提供者的计算机信息系统，该系统包括互联网、计算机、相关硬件和软件等”。目前我国只有《关于平台经济领域的反垄断指南》中出现了“互联网平台”，并定义为“通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价值的商业组织形态”对国外典型国家的立法进行考察，欧美国家的立法中没有“互联网平台”的表述，而更多的使用“网络中介”或“网络中间商”。2010年经济合作组织（OECD）发布的《网络中介的经济与社会作用》报告中使用了“网络中介”，并界定为“网络上的双方或多方聚合在一起或为其交易提供便利服务的主体，其可以对第三方制作的内容、产品和服务提供接人、主机服务、传输和检索服务”。综上所述，互联网平台应是利用互联网技术为相互依赖的双边或多边主体提供一定规则下的载体的中介服务的商业模式。其主要特征为互联网平台服务应是一种通过网络提供的服务，互联网平台服务是互联网服务的一种方式，是利用互联网和信息技术为用户提供的服务；互联网平台是中介性质，为双方或多方用户提供中介服务。互联网平台主要包括两类：一类是仅提供平台作为载体，平台上存储或传输的信息、商品或服务都不是平台服务提供者制作的，而是由平台上的用户或第三方提供的；另一类是互联网平台的经营企业既为用户的信息发布提供服务，又提供自己制作的信息或商品。

2.“重要”的界定

“重要”从汉语词义理解是指具有重大影响和具有很大意义。从《个人信息保护法》立法目标和第 58条法律规范的目的分析，“重要互联网平台”的“重要”主要是指“重大影响”。“重大影响”的内涵依据《个人信息保护法》立法目标主要是指对个人信息主体权益、国家安全和公共利益有重要影响。同时，“重要”的认定可借鉴2021年9月1日起施行的《关键信息基础设施安全保护条例》第2条对关键信息基础设施的定义：“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。其中对“关键信息基础设施”中的“关键”，从关键业务、支撑关键业务的信息系统或工业控制系统、关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事故后可能造成的损失方面进行认定。此外，可借鉴欧盟《数字市场法》中所规定的用以认定核心平台服务者为“守门人”的因素：第一，规模，包括核心平台服务者的营业额和市值；第二，依赖于核心平台服务来接触终端用户的商业用户的数量和终端用户数量；第三，源于网络效应的准入障碍和数据驱动优势，特别是提供者访问和收集个人和非个人数据或分析的能力；第四，提供者所收益的包括数据相关的规模和范围的效果；第五，商业用户和终端用户的锁定效用。其中，“控制性”和“依赖”是重要性的核心。因此，对“重要”的认定，一是业务的认定，即个人信息处理业务；二是提供的是技术和基础设施服务系统，即属于《关键信息基础设施确定指南（试行）》中规定的“平台类”；三是对提供的技术和基础设施服务系统的依赖和控制程度；四是个人信息安全事故发生后可能造成损失和影响程度。

3.“用户数量巨大”的界定

“用户数量巨大”的认定首先需要考量是以用户的绝对数量为标准，还是相关市场内的用户相对数量为标准。从可操作性考量，应以“绝对数量”为标准，因为“绝对数量”比“相关市场内的用户相对数量”易操作。从互联网平台的市场特征考量，也应采用“绝对数量”。互联网平台的业务复杂，又呈现双边或多边市场，易导致市场和数量判断的标准不统一，裁决者的自由裁量空间和不确定性较大。从个人信息保护和促进发展的统筹目标考量，数字经济正处在发展初期，互联网平台是主要的数字经济互联网载体商业模式（业态），“重要个人信息主体处理者”的范围不宜扩大，因此从促进数字经济发展的趋势考量也应采用“绝对数量”为宜。从当前我国的各项相关规范文件来看，《数据跨境安全评估办法》第4条规定了五个数据处理者向境外提供数据需要评估的情形，其中有两个采用了绝对数量：“处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。”国家市场监督管理总局发布的《互联网平台落实主体责任指南（征求意见稿）》中对超大型平台的定义也是以绝对数量设定标准：“超大型平台，是指在中国的上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值（或估值）不低于1000亿人民币、具有较强的限制平台内经营者接触消费者（用户）能力的平台。”从国外典型国家的立法考察，欧盟《数字服务法》中对其调整的“超大型平台”的界定条件，除了其应是具有重要影响力的在线平台之外，还限定了其月均活跃服务对象的数量应达到或大于4500万。4500万这一数值标准是基于欧盟人口，依照10%的比例确定的。欧盟《数字市场法》中将定量和定性标准相结合，以指定核心平台服务的提供者。其中定量是指“该企业所属的企业在过去三个财政年度内在欧洲的年均营业额达到或超过65亿欧元，或者该企业所属企业的平均市值或等值市场公允价值在上一个财政年度至少达到650亿欧元，且在至少三个成员国中提供核心平台服务”，“平台提供的核心平台服务有4500万月活跃终端用户建立或位于欧盟境内，并且在过去一个财政年度内有10000家年活跃商业用户建立于欧盟境内。”综上，“用户数量巨大”应根据用户的绝对数量来界定。具体数量应参考国家市场监督管理总局发布的《互联网平台落实主体责任指南（征求意见稿）》中超大型平台的界定，即不低于不低于5000万活跃用户。

4. “业务类型复杂”的界定

重要个人信息者“业务类型复杂”比较难以界定。从法律规定和客观实践的角度考察，业务类型复杂的认定可从互联网平台业务类型多、交易量大、法律关系复杂化、平台经营者集团化和个人信息处理透明度几个维度进行判断。其中，法律关系复杂即“平台是双边或多边主体交互的载体，平台承载着多主体的多种法律关系，形成平台与平台内经营者的纵向关系、平台内经营者之间的横向关系及其与平台参与主体之间的关系。

5.三要素是充分条件亦或必要条件

除了对于各要素的界定，还需明确“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三要素分别是“重要个人信息处理者”认定的充分条件，还是必要条件。三要素分别是充分条件还是必要条件涉及到《个人信息保护法》调整对象的范围和认定的难易程度。若三要素分别作为重要个人信息处理者认定的充分条件，则重要个人信息处理者只要具备三要素之一，就可以被界定为是重要个人信息处理者；若三要素分别是重要个人信息处理者认定的必要条件，则重要个人信息处理者需同时具备“重要互联网平台服务”“用户数量巨大”“业务类型复杂”三个要素，才能被认定为重要个人信息处理者。从《个人信息保护法》保护和促进开发利用的立法目标来看，三要素是重要个人信息处理者认定的必要条件。同时，由于认定“业务类型复杂”的标准缺失，使得该要素的确定性低和可操作性差，进而导致执法成本高和执法标准不统一，三要素中“重要互联网平台服务”和“用户数量巨大”应作为实质判断要件，“业务类型复杂”作为形式判断要件。

（三）“重要信息处理者”的认定程序

“适当的程序时常会比同实际目标有关的实体原则更为重要”。重要个人信息处理者的认定程序是认定主体根据认定的法律依据对其主体资格进行认定所应遵照的法定程序。其目标是确认主体是否应当履行特别义务和受到特别监管，并最终承担相应的责任。依据《个人信息保护法》第60条，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，因此重要个人信息处理者的认定部门应是国家网信部门。具体的认定程序可以借鉴国家《关键信息基础设施安全条例》中“关键信息基础设施”的认定程序。首先，依据《个人信息保护法》第60条，履行个人信息保护职责的部门结合本行业、本领域实际，制定重要个人信息处理者的认定规则，并报国家网信部门备案。制定认定规则应当主要考虑下列因素：一是互联网平台对于本行业、本领域关键核心业务的重要程度；二是互联网平台个人信息数据泄露可能带来的危害程度；三是对其他行业和领域的关联性影响。其次，履行个人信息保护职责的部门根据认定规则负责组织认定本行业、本领域的重要个人信息处理者，并通报国家网信部门。再次，应每年依据认定程序对重要个人信息处理者认定一次，由此保证监管对象明确、执法有效。最后，重要个人信息处理者发生较大变化可能影响其认定结果的，运营者应当及时将相关情况向履行个人信息保护职责的部门报告。履行个人信息保护职责的部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国家网信部门。

二

重要个人信息处理者个人信息安全的特殊风险

（一）社会风险

社会风险是一种导致社会冲突，危及社会稳定和社会秩序的可能性，更直接地说，社会风险意味着爆发社会危机的可能性。一旦这种可能性变成了现实，社会风险就转变成了社会危机，对社会稳定和社会秩序都会造成灾难性的影响。随着现代社会的演进，社会风险有了更多的涵义，现代一般意义上的社会风险意指在一定条件下某种自然现象、生理现象或社会现象是否发生、及对人类社会财富和生命安全是否造成损失和损失程度的客观不确定性。个人信息处理活动具有社会风险，因为它是一种社会现象，且对其处理会带来对人类社会财富和生命安全是否造成损失和损失程度的客观不确定性。

首先，重要个人信息处理活动是一种社会现象。社会现象是指所有与人类共同体有关的活动-产生、存在和发展密切联系的现象。人类已进入数字时代，自然人的个人信息处在已被或可能被处理的状态，依据《中华人民共和国宪法》 （以下简称“《宪法》”），个人信息涉及人格权，因此个人信息处理活动与每个自然人的人格权密切相关，且涉及个人信息权益。依据《数据安全法》第3条，个人信息是数据记录（承载）的内容；依据第21条，个人信息数据属于重要数据，“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益”造成危害。此外，互联网平台具有公共产品属性。公共产品是指具有消费或使用上的非竞争性和受益上的非排他性的产品。“公共性则是因其具有支撑网络平台开展公共活动的工具价值，是网络运行的基础资源，且其规模庞大、来源广泛，与国家安全、社会稳定和公民权利保障关系密切。”在互联网平台上，一个人通过注册并使用平台服务并不会排斥他人注册并使用相关服务。互联网的非排他性和非竞争性使得互联网平台只要有可能就可以获得无限多的客户，甚至几乎能够满足所有人的网络社交需求，具有涉众性和广泛性。综上，个人信息处理活动是与人类共同体有关的活动——产生、存在和发展密切联系的现象，即一种社会现象。

其次，重要个人信息处理活动对人类社会财富和生命安全可能造成损失和客观不确定性。重要个人信息处理活动的实践已充分证明，违反《个人信息保护法》第10条会对人类社会财富和生命安全造成损失和客观不确定性，如在各类支付工具以及各类电子锁设备纷纷开始发展人脸识别的背景下，相较于一般的个人信息与隐私信息，人脸信息与个人的金融安全及人身安全往往更紧密牵连。人脸信息的泄露既有可能导致个人金融账户被盗用而造成财产损失，也可能导致各类人脸识别锁被轻易破解，从而危及人身安全。最为典型的个人信息泄露案件“徐玉玉被电信诈骗案”中，信息泄露不仅带来了财产损失，还让一个刚被大学录取的18岁年轻人失去了生命。因此，个人信息的泄露和违法使用存在重大安全隐患，对人身和财产安全均具有一定威胁，会对人类社会财富和生命安全造成损失和客观不确定性。

（二）重要个人信息处理者缺乏个人信息处理透明度的风险

重要个人信息处理者对个人信息处理的透明度的缺乏会导致被处理的个人信息主体丧失知情权，增加个人信息安全管理者和监管者预判和通过监管防范其违法违规行为造成的个人信息安全风险的难度。同时，重要个人信息处理者可能利用个人信息处理的透明度缺乏来掩盖个人信息处理的风险，导致个人信息处理风险隐患的隐蔽性加剧，造成系统性风险。重要个人信息处理者产生缺乏个人信息处理透明度风险的原因主要有：第一，重要个人信息处理者业务类型多、法律关系复杂和平台经营者集团化，其信息处理主体难以确定、个人信息处理的用途是否改变难以观察、处理行为关系不明晰，进而导致了透明度的缺乏；第二，处理技术、传输路径的复杂带来了透明度的缺乏；第三，重要个人信息数据处理者往往存在业务结构多层级、多链条，金字塔控股结构以及复杂的交叉持股等情况，导致其个人信息数据流通路径具有隐蔽性。

（三）重要个人信息处理者“权力”滥用的风险

重要个人信息处理者“权力”滥用的风险会造成公平缺失、竞争性降低和为了维护自身利益限制个人信息合法利用等风险。重要个人信息处理者“权力”的获得，主要是通过利用互联网平台基础设施的优势地位。互联网平台通过提供技术、设施和服务，形成了数字经济的基础设施。个人信息数据只能依托于平台的数字经济基础设施进行，无经济实力和技术能力的企业只能以接入平台的方式获得平台的数字经济基础设施服务并对数据进行处理。互联网平台的优势地位即由此获得。

此外，互联网平台还具有法律赋予的“权力”优势。为了有效保障个人信息处理的安全，发挥互联网平台的专业和技术优势，国家通过法律、法规赋予了互联网平台一定的治理“权力”。此种治理“权力”往往通过技术优势进行扩张，不仅变相的获得了政府的权力让渡，又蚕食着政府权力的运行边界。如《网络安全法》第47条规定“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告”《电子商务法》第27条规定“电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息，进行核验、登记、建立登记档案，并定期核验更新”，赋予了电子商务平台经营者准入审核权，信息收集使用权；《电子商务法》第36条规定“电子商务平台经营者依据平台服务协议和交易规则对平台内经营者违反法律、法规的行为实施警示、暂停或者终止服务等措施的，应当及时公示”，赋予了电子商务平台经营者交易规则的制定权；《电子商务法》第29条规定“电子商务平台经营者发现平台内的商品或者服务信息存在违反本法第十二条、第十三条规定情形的，应当依法采取必要的处置措施，并向有关主管部门报告”，赋予了电子商务平台经营者监督权。《个人信息保护法》第 58条“遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”和“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务”的规定恰恰赋予了互联网平台“权力”。

重要个人信息处理者“权力”的获得，不仅赋予了其对整个互联网平台生态系统的控制权，且进一步扩大和巩固了其在多边市场上的优势地位。由此，重要个人信息处理者围绕其核心业务建立扩张性数据驱动型生态系统，最终导致公平性、竞争性降低和对个人信息合法利用的限制。

三

重要个人信息处理者特别监管设计

（一）建立双层个人信息安全治理结构

重要个人信息处理者是重要的互联网平台服务经营者，为互联网平台内的经营者和用户提供基础设施和技术服务。个人信息处理活动中，个人信息处理者包括重要个人信息处理者自身和互联网平台内的经营者，因此重要个人信息处理者的个人信息安全治理结构应进行双层设计。第一层是重要个人信息处理者本身的个人信息安全治理结构，第二层是重要个人信息处理者对平台内商家的个人信息安全治理结构。

《个人信息保护法》第58条的规定本身即体现了对重要个人信息处理者双层个人信息安全治理结构的构建。但《个人信息保护法》第58条对重要个人信息处理者特别监管的双层设计还存在不足，应进一步根据重要个人信息处理者的特殊个人信息安全风险进一步完善。

一是建立第一层个人信息处理安全治理结构。《个人信息保护法》第58条规定“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”，目的应是以外部成员组成的独立机构确保重要个人信息处理机构监督的中立性、客观性和独立性，进而保障个人信息安全，保护个人信息权益。由此解决重要互联网平台服务内部结构复杂性，数据处理专业性、隐蔽性，个人信息数量巨大，业务类型复杂等特征给外部监管带来的困难和挑战；解决重要个人信息处理机构数据处理获利和风险承担相分离所引发的道德风险和社会风险。另外，应如何界定此机构与董事会、监事会之间的关系与内部权责划分？“独立机构”的定性及与其他内部机构之间的关系都影响着其功能和作用的发挥。因此，对重要个人信息处理机构建立第一层个人信息处理安全治理结构的设计，应覆盖机构业务经营、风险管理和内部控制流程中的全部个人信息数据，通过组织架构实现数据增值和资产化过程中的个人信息安全。个人信息处理安全治理结构从四个维度建立：决策架构、管理架构、执行架构和监督架构。为了能够实现个人信息安全的目的，四个维度的架构应具有明确、合理的职责分工，建立相互衔接的运行机制。决策架构主要负责制定个人信息处理治理战略，进行个人信息治理架构人员设置。具体责任部门在我国主要应是董事会，负责制定数据战略、审批数据治理事项、承担最终责任。管理架构主要负责对本组织内部个人信息安全治理工作进行管理，其以决策架构制定的治理战略为基础和指导，建立该组织内部的治理体系和治理制度。同时，管理架构还需要制定并实施具体的治理问责机制与激励机制，并据此对治理工作进行问责与激励，以督促数据治理工作高效运行。具体应设制数据治理委员会或设立首席数据官，负责建立数据治理体系，确保数据治理资源配置，制定和实施问责和激励机制，建立数据质量控制机制，组织评估数据治理的有效性和执行情况，定期向董事会报告。执行架构主要是在决策架构和管理架构的指导下开展工作，负责贯彻落实决策架构的治理战略，同时在业务和技术层面开展组织内部的治理工作。具体可设置业务专员或专门数据委员会等。监督架构是治理的保障机制之一，主要负责对治理过程中的治理行为以及机构设置等进行监督，主要通过监事会对董事会和高管履职情况进行监督。

二是建立第二层个人信息安全治理结构。我国《个人信息保护法》第58条规定“遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”，“对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务”。规定体现了重要个人信息处理者对平台内商家的个人信息安全治理结构。但这两项规定应进一步完善，否则不但难以达到立法目标，还会引发问题。由重要个人信息处理者制定、明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务，并“对平台内严重违反法律、行政法规的处理个人信息的产品或者服务提供者停止提供服务”，的规定，虽能发挥重要个人信息处理者管理中的信息优势和技术管理优势，为外部监管机构的执法形成有益补充，但实质上只赋予了重要个人信息处理机构“立法权力”“执法权力”和“监管权力”，而没有对其“权力”进行约束，极易导致垄断和“权力”滥用带来的公平缺失、降低竞争和限制个人信息合理利用的问题。因此应在此条款基础之上建立完善的第二层个人信息安全治理结构。首先，明确重要个人信息处理者和平台内处理个人信息的产品或者服务提供者之间的法律关系。重要个人信息处理者和平台内处理个人信息的产品或者服务提供者之间，其法律关系是平等的服务法律关系，而非管理和被管理的法律关系。其次，法律、法规赋予重要个人信息处理者的“管理”权限是代理国家相关部门进行管理，因此其“权力”应在法律规定的范围内行使。再次，应建立对重要个人信息处理者行使法律、法规赋予的管理权的监督、举报和投诉机制。最后，重要个人信息处理者就平台内产品或者服务提供者制定的，个人信息的处理规范和明确保护个人信息义务的协议，应是国家个人信息监管机构的监管内容。

（二）明确重要个人信息处理机构“权力”与国家对个人信息处理机构的监管权力的边界

明确重要个人信息处理机构的“权力”与国家对个人信息处理机构的监管权力的边界，以及其权力范围的问题。创建个人信息处理机构的权力清单制度，以权力清单形式全面列示政府、重要个人信息处理机构的个人信息安全治理权力，明确权力主体的监督执法范围、程序、方式和内容，确保各种权力的运行都在法律框架之内。此外，建立重要个人信息处理机构处理个人信息安全治理的授权机制、秩序，过程监督机制，执行效果评估机制，责任追究机制等。

（三）重要个人信息处理机构公司治理结构特别设计

重要个人信息处理机构与传统的经营主体在经营模式、法律关系、风险等方面都有着本质的不同，因此应对其公司治理结构进行特殊设计。重要个人信息处理机构的公司治理结构特殊设计，主要体现于公司治理结构层面，通过对个人信息主体与股东、管理层的利益平衡，实现防范重要个人信息处理机构个人信息数据处理获益和风险承担相分离所带来的道德风险和社会风险。重要个人信息处理机构的治理以股东利益与个人信息安全、国家安全和公共利益的平衡为核心，改变传统公司治理为保护股东利益而设计的、对经营者进行监督和制衡的机制，由此保障个人信息安全、国家安全和公共利益。重要个人信息处理者应明确董事会、监事会和高管层的个人信息处理安全职责权限，评估机构存在的个人信息处理风险因素，明确个人信息处理安全治理目标，制定个人信息处理安全治理风险防控措施，督促管理层落实相关个人信息处理工作。如《个人信息保护法》第9条规定的“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。”

为保障个人信息安全，重要个人信息处理者的公司治理结构可借鉴《银行业金融机构数据治理指引》中对金融机构公司治理的特殊规定。重要个人信息处理者应在传统的维护股东利益的目标基础之上，针对个人信息处理的相关利益主体合法权益的保护进行设计：一是设定董事、监事和高级管理人员的数据相关专业背景或从业经验要求；二是就董事会的职权内容增加制定个人信息保护治理方案；三是成立个人信息保护伦理委员会，负责落实董事会制定的个人信息安全治理方案；四是聘任有数据科学相关专业背景或从业经验的外部董事。

其次，应加强董事会个人信息安全责任机制建设。加强董事会个人信息安全责任机制建设是实现个人信息保护的重要保证。根据《公司法》第46条，董事会有权决定公司的经营计划和投资方案，决定公司内部管理机构的设置，制定公司的基本管理制度和公司章程规定的其他职权。因此，董事有权决定与个人信息安全紧密相关的事项。应提高董事会个人信息安全意识和职责设计，以促进个人信息开发利用决策的科学性。应明确强调董事会对个人信息处理全权负责，其职责包括审议个人信息处理安全治理管理规定、安全战略目标、风险处置方案、治理流程以及伦理文化，并对机构高管层进行监督管理。同时，高管层应在董事会的监督和指导下，确保个人信息安全。机构董事长要与 CEO 的任职主体保持独立，由不同人员任职，以此来保证董事会负责人和管理层负责人职责分离。

（四）信息披露制度设计

《个人信息保护法》第 58条规定重要个人信息处理者应定期发布个人信息保护社会责任报告，接受社会监督。此规定不仅是社会责任的体现，更具有信息披露作用。因此应充分发挥该条法规在防范重要个人信息处理机构的特殊风险、保护个人信息安全方面的作用。具体制度设计应包括以下内容：首先，对履行社会责任的义务进行规定，如履行社会责任的具体内容；完善社会监督机制，为社会参与网络平台监督提供便捷方式和渠道；明确平台定期发布个人信息保护社会责任报告的内容和期限。其次，完善对个人信息处理信息披露机制的建设，要求互联网平台以通俗易懂的语言主动公开个人信息收集和分析等行为的规模数量、数据来源、处理方式、风险评估，以及审计报告、治理结构、内部治理制度和责任机制等，确保互联网平台个人信息自治公开透明，保障个人信息主体的知情权。再次，重要个人信息处理者应对平台服务协议、交易规则和管理规则进行披露，应当保证经营者和用户能够便利完整地下载读取互联网平台的协议、交易规则和管理规则，服务协议、交易规则和管理规则的修改应当公开征求意见，保证各方主体充分参与。

-向上滑动，查看完整目录-

《中国政法大学学报》2023年第4期要目

【研究阐释党的二十大精神】

1.新时代对中国特色社会主义理论体系的理论认同研究

王静修（5）

【法治文化】

2.《唐律》之赓续与新生：蒙元“旧例”考

谭天枢（20）

【热点聚焦|数字、数据与信息保护专题】

3.数字经济时代的数据要素流通

——以产权“结构性分置”为视角的分析

郭雳、尚博文（42）

4.重要个人信息处理者的特别监管

——兼论《中华人民共和国个人信息保护法》第58条

李爱君（56）

5.数字经济治理体系中企业衍生数据法律保护研究

——以北京市为例

唐建国（68）

6.私密信息的范围界定与法律保护的完善

张革新（84）

7.元宇宙信息治理面临的新挑战及其法律应对

包晓丽（97）

8.侵犯公民个人信息罪中“公民个人信息”可识别性的意蕴重释

黄陈辰（111）

9.非法获取型数据犯罪的实务反思与规则重塑

金鸿浩（128）

10.域名买卖合同的客体定位及其履行规则

——以《德国民法典》的修订作为比较

王伟伟（145）

11.数字时代运动员个人信息保护的国际法规制研究

卢成（159）

12.虚拟货币相关刑事犯罪的惩治困境与法律保障

吕晗（173）

【私法前沿】

13.美国网络民商事案件管辖权判断标准及启示

于品显（185）

14.所有权保留出卖人取回权论

——形式主义与功能主义担保观的统合

关华鹏（197）

【公法视点】

15.论主观化证明于认罪案件中的司法适用

步洋洋（213）

16.证据评价的自由与规范法理

熊晓彪（225）

17.民事执行救济制度体系研究

张哲浩（242）

18.论我国一般反避税条款的体系化

贺燕（255）

【文学艺术】

19.孟子的同感思想及其美学内涵

曾仲权（274）

20.中印故事再研究

——钟敬文与季羡林合作的一段学术史

董晓萍（284）

《中国政法大学学报》创办于2007年9月，是由国家教育部主管、中国政法大学主办、《学报》编辑部负责编辑出版的综合性人文社会科学学术刊物。现为双月刊，大16开本，每期160页，逢单月10日出版，设有：“法治文化”、“学术论衡”、“学人讲坛”等栏目。《学报》坚持学术自由、兼容并包的编辑取向，崇尚扎实创新的学风，积极推进学术交流与对话，得到了学术界、期刊界同行的充分肯定，对中国的法治建设和法学发展发挥着积极的作用和影响。创刊以来，《学报》首发论文被人大复印资料等刊物转载的篇次在国内政法类院校学报中名列前茅。其中我刊重点、特色栏目“法治文化”编发文章近百篇，已有二十篇文章被《新华文摘》等转载，产生了良好社会反响。近年来，环境资源法学的论文也正在成为我刊编发文章的又一个亮点，引起学界的广泛关注。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 王睿

审核人员 | 张文硕 范阿辉

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。