App過度收集個人資訊、大數據殺熟、”二選一”…… 伴隨中國首部個人資訊保護領域的專門法律出台，這些數據領域的壟斷和演算法濫用行為將成為監管重點，平臺治理正被按下”加速鍵”。 《中華人民共和國個人信息保護法》（下稱《個人信息保護法》）在耗時18年、歷經三審后，終將於2021年11月1日起施行。

作為中國個人信息保護領域的基礎性法律，它與《數據安全法》《網路安全法》《民法典》共同構建了我國的數據治理立法框架。

值得關注的是，從歷經三次審議到正式發佈，《個人信息保護法》對網路領域的不正當競爭行為、平臺壟斷的關注度不斷提升。

“《個人信息保護法》已觸動互聯網經營者的一根敏感神經。” 中國電子技術標準化研究院網安中心測評實驗室副主任何延哲在接受第一財經採訪時稱，一方面，通過引入個人資訊可攜帶權，強化了個人對於個人資訊的控制權;另一方面，通過加強對個人資訊處理者自動化決策的合規性要求和監管，互聯網平臺的演算法陷阱有望得到約束。

“大型互聯網平臺通過流量、數據等方式所掌握的’權力’不斷被限制、管控，這將成為未來監管工作不變的趨勢之一，相關企業應在挖掘演算法價值和維護個人資訊法益中尋求平衡。” 他說。

增設可攜帶權

《個人信息保護法》塵埃落定后，公民對於個人信息擁有了更強的自主權。

根據《個人信息保護法》第四十五條，對傳統的查閱複製權進行擴張，增設有限的可攜帶權，即”個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑”。

所謂可攜帶權（Right to Data Portability），最早由歐盟《通用數據保護條例》（GDPR）正式提出，包括個人數據副本獲取權以及個人數據移轉權。 業界普遍認為，這一權利不僅讓個人資訊跨平臺轉移將有法定依據，還有利於打破平臺封禁，有效回應大型互聯網平臺”數據壟斷”現象，促進資訊流通。

在中國，個人資訊可攜帶權首次出現在個人信息保護法草案（三次審議稿）中。

北京清律律師事務所首席合夥人、清華大學法學院互聯網法律與政策研究中心秘書長熊定中對第一財經透露，此前，個人資訊可攜帶權一直是業界關注的焦點，但由於個人數據被互聯網企業視為重要資產，該項權利的確立，將造成互聯網平台的使用者流失，增加其運營成本，故而長時間不被產業界接受，僅止步於理論探討的範疇，難以落實到實際立法中。

“雖然，目前《個人信息保護法》中的’個人資訊可攜帶權’更大程度上仍是一個宣示性條款，尚未有細則出臺，但這已經是一個巨大的進步，意味著互聯網巨頭在數據上的壟斷優勢被打破。” 熊定中稱。

他還指出，個人資訊可攜帶權是”有範圍”的，即可轉移數據應為個人主動提供或被收集的原始數據，不包括企業經演算法處理的用戶畫像或包含第三方信息的數據副本。

“這就對互聯網企業技術的可實現性、經濟成本把控的合理性提出了更多要求，也需要監管機關在設定規則、打造典型案例的過程中，不斷豐富數據可攜帶權的實現途徑和方式。” 北京師範大學網路法治國際中心執行主任、中國互聯網協會研究中心副主任吳沈括進一步對第一財經分析稱。

但個人信息轉移權的確立，並不意味著使用者與平臺、平臺與平臺的對立。

中國資訊通信研究院雲計算與大數據研究所副所長魏凱告訴第一財經，通過使用者主導發起的個人資訊跨平臺轉移，有利於增強平臺間競爭，激發數據要素活力。 “在這個過程中，互聯網企業或存在短期陣痛，但從長遠來看，其仍可以通過優化服務，來留住使用者，是具有正向的經濟意義。”

責任加重、監管趨嚴

作為個人信息處理者，互聯網平臺是個人資訊保護的關鍵環節，將面臨來自《個人信息保護法》的多方面約束。

其中，大型個人信息處理者的監管與其對個人信息保護特別義務被不斷強化。

中國資訊通信研究院互聯網法律研究中心高級研究員、個人信息保護立法研究團隊負責人楊婕指出，這一責任加重的趨勢首先體現在草案二審稿中，其創設性規定了”中國版的數位守門人條款”，即明確提供基礎性互聯網平臺服務、用戶數量巨大、業務類型複雜的個人信息處理者，應當承擔額外的個人資訊保護義務。

隨後，《個人信息保護法》第五十八條進一步完善了這項”守門人”條款。

“其一，將提供基礎性互聯網平臺服務修改為提供重要互聯網平臺服務;其二，補充了按照國家規定建立健全個人資訊保護合規制度體系的義務;其三，單獨增加了一項’守門人’義務，即遵循公開、公平、公正的原則，制定平臺規則，明確平臺內產品或者服務提供者處理個人資訊的規範和保護個人資訊的義務。” 楊婕稱。

而針對大型互聯網平臺以歧視性定價為主要表現的「大數據殺熟」現象，《個人信息保護法》進一步明確，「個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。 ”

北京斐石律師事務所管理合夥人周照峰告訴第一財經，由於大型互聯網平臺具有強大的支配力，該條目旨在增加互聯網經營者的合規意識，避免自動化決策結果對該個人造成的不利影響。

“其實互聯網經營者對於想得到什麼樣的結果是有預期的，也是根據這些預期才有的自動化決策的演算法。 所以，企業要想判斷結果公平公正並非難事。 “周照峰稱。

根據《個人信息保護法》中的合規要求，當利用個人資訊進行自動化決策的情形發生時，個人信息處理者應當事前進行個人資訊保護影響評估，並對處理情況進行記錄;個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

但「歧視性定價」並不能與「差異定價」畫等號，以合法為前提，「合理的差異定價」仍為一種可允許的行銷手段。 海問律師事務所數據合規團隊認為，「大數據殺熟」現象與數據使用行為直接相關，但其規制並不限於數據使用環節。 差別待遇的合法前提覆蓋使用管理、使用者告知、結果公平、合規評估。

四部法律、三個體系

在《個人信息保護法》出臺之前，「大數據殺熟」「二選一」等互聯網平台的數據壟斷行為已引起反壟斷、反不正當競爭等層面的立法重視，但缺少個人資訊保護的視角。

2018年修訂施行的《反不正當競爭法》，專門增設針對網路領域不正當競爭行為的規定，對利用網路，尤其是利用技術手段實施的不正當競爭行為，明確了規制路徑。

8月17日，市場監督管理總局發佈《禁止網路不正當競爭行為規定（公開徵求意見稿）》，進一步增強了《反不正當競爭法》的適用性，對互聯網經營者利用技術手段影響使用者選擇，實行平臺封禁、大數據殺熟、向使用者頻繁彈窗等新型網路不正當競爭行為進行了分類規制。

《反壟斷法》第十七條也提出，禁止具有市場支配地位的經營者從事濫用市場支配地位的行為。

清華大學國家戰略研究院特約研究員劉旭告訴第一財經，《反壟斷法》和《反不正當競爭法》是從市場監管的角度出發，來約束”大數據殺熟”行為，二者的區別在於適用物件有所不同，而《個人信息保護法》中對於自動化決策的相關規定，則是從市場主體運營方式的角度出發，聚焦個人信息處理者的合規性。

“《個人信息保護法》威懾力度有限，此外，即便在賦予平臺使用者’個人資訊可攜帶權’后，也難以打破互聯網平臺一家獨大的格局。” 劉旭稱，當平臺間原本的數據介面不相容時，個人轉移未必成功，在此背景下，有著更成熟、多元服務內容的大型互聯網平臺，更具有使用者黏性。

但劉旭也認為，由於《個人信息保護法》的覆蓋面更廣，且網信部門作為執法部門更具有技術能力去調查平台運營是否存在”大數據殺熟”行為，所以其對”大數據殺熟”的約束作用也難以被替代。

“加上《價格法》，目前，至少已有四部法律對於’大數據殺熟’行為進行監管，涉及三個執法部門，即各級網信部門、各級市監部門、省一級或國家市場監督管理總局的反壟斷執法機構。” 劉旭稱，在這一背景下，如何形成法律間的協同效應、實現社會綜合治理成為關鍵，當前仍缺少案件移轉、法律競合與協調的細則，這或會影響企業合規責任的履行和使用者個人信息保護的效率。