如果平臺謝幕，數(shù)據(jù)如何安全離場

陳兵　夏迪旸

2022年7月28日，網(wǎng)傳每日優(yōu)鮮將面臨解散，一時間該公司陷入輿論風波。

每日優(yōu)鮮向媒體回應稱，該公司“資金斷鏈無法經(jīng)營”系虛假信息，除了暫時關閉極速達業(yè)務，目前正在努力保障其他幾塊業(yè)務運營。

無論每日優(yōu)鮮“解散”的消息是否屬實，一個問題引人思考，平臺企業(yè)退場時，如何實現(xiàn)數(shù)據(jù)要素安全離場？

《國務院反壟斷委員會關于平臺經(jīng)濟領域的反壟斷指南》第一條規(guī)定，“平臺”是指通過網(wǎng)絡信息技術，使相互依賴的雙邊或者多邊主體在特定載體提供的規(guī)則下交互，以此共同創(chuàng)造價值的商業(yè)組織形態(tài)。

其中，信息撮合交易、制定交易規(guī)則及提供交易場域，是平臺企業(yè)的主要功能和基本商業(yè)模式。

在這一過程中，平臺企業(yè)傾向于利用數(shù)據(jù)、算法、技術、資本及平臺規(guī)則等競爭優(yōu)勢，通過對已經(jīng)持有的大數(shù)據(jù)和不斷集聚、實時更新數(shù)據(jù)的分析發(fā)現(xiàn)甚或培育用戶的喜好，持續(xù)推送相關產(chǎn)品或服務信息。同時，利用數(shù)據(jù)和算法的雙輪聯(lián)動實現(xiàn)跨界競爭，進入新行業(yè)，開拓新市場，在幫助其產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級的同時，也實現(xiàn)數(shù)據(jù)的產(chǎn)業(yè)化開發(fā)和利用。

因此，平臺企業(yè)的核心生產(chǎn)要素和競爭力來源顯著表現(xiàn)在和浸入于數(shù)據(jù)及其全周期的行為過程。

基于這個特點，平臺企業(yè)手中掌握著大量的用戶數(shù)據(jù)，既包括個人用戶，也包括經(jīng)營者用戶。比如，每日優(yōu)鮮的財報顯示，截至2021年3月31日，其有效用戶數(shù)為789萬。

基于此，當平臺企業(yè)面臨退出市場或者轉(zhuǎn)入其他行業(yè)及相關市場時，如何在保障其持有、使用、管理的大量數(shù)據(jù)安全的同時，實現(xiàn)數(shù)據(jù)的有序流通和利益分享，保有并釋放數(shù)據(jù)價值，是當下完成平臺經(jīng)濟領域整改要求亟待回答的問題，也是促進和支持數(shù)字經(jīng)濟規(guī)范健康發(fā)展需要補足的制度安排。

平臺企業(yè)退場數(shù)據(jù)安全風險高企

在平臺企業(yè)退場時，首先面臨的風險在于，其持有的大量數(shù)據(jù)信息不當流出，導致個人用戶隱私和商家用戶商業(yè)秘密泄露，從而嚴重威脅數(shù)據(jù)安全。

首先，平臺企業(yè)溝通并連接資源所有者和資源享用者，掌握著大量經(jīng)營者與消費者數(shù)據(jù)，一旦這些數(shù)據(jù)被惡意竊取或被平臺不當利用而泄露，可能帶來個人信息和重要數(shù)據(jù)被不當使用的風險，侵犯個人和企業(yè)權益。

其次，數(shù)據(jù)是數(shù)字經(jīng)濟的關鍵生產(chǎn)要素，一旦處理不當，將會嚴重危害競爭秩序。平臺企業(yè)往往憑借海量數(shù)據(jù)資源與技術創(chuàng)新優(yōu)勢，形成自成一體的生態(tài)系統(tǒng)。當其掌握的流量和數(shù)據(jù)達到一定量級，就可以通過流量和數(shù)據(jù)變現(xiàn)進一步融資，以擴大平臺規(guī)模，提高商品或服務的質(zhì)量和技術水平，并獲取更多流量、數(shù)據(jù)及資本，形成正向反饋效應，這使得平臺經(jīng)濟領域成為“資本無序擴張”的重災區(qū)。其掌握的數(shù)據(jù)資源也為其實施數(shù)據(jù)支撐型的壟斷協(xié)議行為、數(shù)據(jù)主導型濫用市場支配地位行為，以及數(shù)據(jù)驅(qū)動型經(jīng)營者集中行為提供了條件。

同時，也要注意到數(shù)據(jù)的價值在于流通和復次利用。若是一味出于保障安全的考量，施以較為嚴格的保護措施，則可能影響數(shù)據(jù)價值的進一步挖掘。尤其是對于每日優(yōu)鮮此類規(guī)模較大的網(wǎng)絡銷售類平臺，其掌握的數(shù)據(jù)資源無論是對于企業(yè)自身自救，抑或是其他企業(yè)的生產(chǎn)經(jīng)營，都有著巨大的價值。

綜上，平臺企業(yè)在離場時，應當在保障數(shù)據(jù)安全的基礎上，促進數(shù)據(jù)要素的流通，避免發(fā)生數(shù)據(jù)泄露等安全問題，或是造成數(shù)據(jù)價值的減損，影響數(shù)字經(jīng)濟市場的正常秩序。

平衡安全與開發(fā)維護多方主體利益

在平臺企業(yè)退場時對其掌握的用戶數(shù)據(jù)如何處理的問題上，依然要堅持場景化的數(shù)據(jù)權益動態(tài)平衡保護，對數(shù)據(jù)要素進行科學合理的分類，實現(xiàn)不同場景下的合理配置，在保障數(shù)據(jù)安全的基礎上，最大限度地挖掘數(shù)據(jù)的價值，維護數(shù)據(jù)安全與數(shù)據(jù)開發(fā)的平衡。

具體來講，從橫向度“數(shù)據(jù)功能”看，可分為商業(yè)數(shù)據(jù)、工業(yè)數(shù)據(jù)、社會數(shù)據(jù)、自然數(shù)據(jù)等，前三類數(shù)據(jù)主要產(chǎn)生和服務于生產(chǎn)生活各類場景，數(shù)據(jù)主體包括個人、企業(yè)、政府、其他社會團體等;自然數(shù)據(jù)來自對自然地理環(huán)境特征和流變、自然資源的分布等的自然或分析結果。

從縱向度“數(shù)據(jù)來源”來看，可以分為原始數(shù)據(jù)、衍生數(shù)據(jù)與創(chuàng)生數(shù)據(jù)。其中，衍生數(shù)據(jù)是對原始數(shù)據(jù)進行加工、處理并具有財產(chǎn)價值和增值價值的一類數(shù)據(jù)，創(chuàng)生數(shù)據(jù)則是在數(shù)據(jù)服務行為或（和）應用行為中對衍生數(shù)據(jù)的二次或多次利用或深度加工處理形成的各類數(shù)據(jù)。

當平臺企業(yè)退出市場時，對于不同類型的數(shù)據(jù)應當采取不同的處理方式，在確保數(shù)據(jù)安全的基礎上，保障數(shù)據(jù)要素的流通，實現(xiàn)不同主體間的利益平衡。具體而言：對于原始數(shù)據(jù)，在處理時應當將用戶隱私作為保護的重點，若原始數(shù)據(jù)構成個人信息，則應遵循個人信息保護法與平臺隱私政策的相關規(guī)定。

依據(jù)個人信息保護法第22條，個人信息處理者因解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，應當向個人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應當繼續(xù)履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當重新取得個人同意。

若是原始數(shù)據(jù)構成敏感個人信息，則企業(yè)在處理時應當取得用戶的單獨同意，還應當向用戶告知處理敏感個人信息的必要性以及對用戶權益的影響。

平臺企業(yè)在離場時，應當避免發(fā)生數(shù)據(jù)泄露等安全問題，或是造成數(shù)據(jù)價值的減損。圖/視覺中國

根據(jù)每日優(yōu)鮮的《隱私政策》，“在涉及合并、收購或破產(chǎn)清算時，如涉及個人信息轉(zhuǎn)讓，我們會向您告知接收方的名稱或者姓名和聯(lián)系方式并要求新的持有您個人信息的公司、組織繼續(xù)接受此隱私政策的約束，否則我們將要求該公司、組織重新向您征求授權同意?！币簿褪钦f，假如每日優(yōu)鮮破產(chǎn)，該公司很可能將用戶數(shù)據(jù)轉(zhuǎn)讓給第三方，同時承擔著將第三方的名稱或姓名、聯(lián)系方式告知用戶的義務。第三方若變更處理目的、處理方式，則應重新獲得用戶的授權同意。

在判斷接收方是否變更處理目的、處理方式時，可以結合橫向的“數(shù)據(jù)功能”分類進行判斷。若是商業(yè)數(shù)據(jù)被用于工業(yè)場景，毫無疑問就屬于變更處理目的與處理方式。此外，對“變更”的判斷還可以結合《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》（下稱《平臺分類分級指南》）進一步細化?！镀脚_分類分級指南》依據(jù)平臺的連接對象和主要功能將其分為六大類：網(wǎng)絡銷售類平臺、生活服務類平臺、社交娛樂類平臺、信息資訊類平臺、金融服務類平臺、計算應用類平臺。根據(jù)這一分類，每日優(yōu)鮮屬于網(wǎng)絡銷售類平臺中的商超團購類平臺，若是其日后將用戶數(shù)據(jù)出售給其他類型平臺，則屬于變更處理目的與方式。

對于衍生數(shù)據(jù)，則需要在保障企業(yè)競爭性財產(chǎn)權益的同時，保留用戶對仍具有個人信息可識別性的數(shù)據(jù)享有自決的權益?？紤]到企業(yè)在數(shù)據(jù)的收集、利用與分析中付出了大量成本，因此應當強化企業(yè)財產(chǎn)權益的保護，實現(xiàn)數(shù)據(jù)的流通，充分挖掘數(shù)據(jù)的價值?？紤]到衍生數(shù)據(jù)是由原始數(shù)據(jù)加工而來，因此當企業(yè)退出市場時，應當在對個人隱私予以脫敏或匿名化處理后再進行處理。

創(chuàng)生數(shù)據(jù)相對而言，其與用戶的個人隱私關聯(lián)較弱，因此在處理時，以最大化挖掘數(shù)據(jù)價值為原則即可，以公共利益為先，實現(xiàn)數(shù)據(jù)的流通與共享。

依法合規(guī)處理數(shù)據(jù)保障數(shù)字經(jīng)濟安全運營

受國際形勢和疫情影響，國內(nèi)外發(fā)展環(huán)境發(fā)生深刻變化，給平臺企業(yè)的經(jīng)營也帶來一定的挑戰(zhàn)。即便如此，平臺企業(yè)在收集、使用與處理用戶數(shù)據(jù)時，仍應當樹立牢固的安全意識與底線意識，堅持“以高水平安全保障高質(zhì)量發(fā)展”，規(guī)范開展數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用。

具體來講，在處理構成個人信息的用戶數(shù)據(jù)時，應當遵守個人信息保護法等法律法規(guī)，遵循“告知+同意”這一基本原則，遵循合法、正當、必要和誠信原則，具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式，不過度收集個人信息。

同時，應公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。在處理敏感個人信息時，應當取得用戶的單獨同意，同時告知處理敏感個人信息必要性以及對個人權益的影響。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息。

在數(shù)據(jù)安全方面，應充分遵循數(shù)據(jù)安全法相關規(guī)定，履行數(shù)據(jù)安全管理制度建立、數(shù)據(jù)安全教育培訓、數(shù)據(jù)風險監(jiān)測、數(shù)據(jù)風險評估等方面的義務，重要數(shù)據(jù)處理者則應當明確數(shù)據(jù)安全負責人和管理機構。同時對其數(shù)據(jù)處理活動定期開展風險評估，并向有關部門報送風險評估報告。若企業(yè)屬于向境外提供重要數(shù)據(jù)、作為關鍵信息基礎設施運營者或處理個人信息達到規(guī)定數(shù)量的個人信息處理者，在向境外提供個人信息時，應當進行安全評估。

此外，《數(shù)據(jù)出境安全評估辦法》將于2022年9月1日正式施行，其中對“重要數(shù)據(jù)”的定義予以了明確的界定：“重要數(shù)據(jù)”是指，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。

《數(shù)據(jù)出境安全評估辦法》明確，數(shù)據(jù)處理者有下列情形之一的，應當申報數(shù)據(jù)出境安全評估：向境外提供重要數(shù)據(jù);關鍵信息基礎設施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;以及國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。

綜上，平臺企業(yè)在處理數(shù)據(jù)時，應當嚴格遵守法律法規(guī)，在保障數(shù)據(jù)安全的基礎上促進數(shù)據(jù)流通。尤其是涉及數(shù)據(jù)跨境的問題時，關鍵信息基礎設施運營者、重要數(shù)據(jù)處理者與數(shù)據(jù)處理量較大的平臺，應當依據(jù)相關規(guī)定，充分履行相應的安全評估、風險評估義務。

嚴格落實主體責任保障數(shù)據(jù)處理安全合規(guī)

安全是發(fā)展的前提，數(shù)據(jù)處理中依然要堅持“以高水平安全保障高質(zhì)量發(fā)展”的基本原則。目前，中國法律對于數(shù)據(jù)處理過程中可能出現(xiàn)的信息泄露等問題作出了較為嚴格的規(guī)定，企業(yè)或相關負責人一旦出現(xiàn)相關問題，需要承擔刑事責任或行政責任。

依據(jù)刑法第253條規(guī)定，違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。單位犯罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照該款的規(guī)定處罰。

依據(jù)個人信息保護法的規(guī)定，違法處理個人信息或未履行規(guī)定的個人信息保護義務，會被責令改正，給予警告，并沒收違法所得。對違法處理個人信息的應用程序，責令暫停或者終止服務;若拒不改正，則會對公司和負責人員處以罰款。若情節(jié)嚴重，則會被處以數(shù)目較大的罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、吊銷相關業(yè)務許可或營業(yè)執(zhí)照，同時可以禁止有關負責人在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

此外，個人信息保護法還規(guī)定了個人信息處理者可能承擔的民事責任：個人信息泄露后造成個人信息權益損害的，個人信息處理者不能舉證證明自己沒有過錯的，就應當承擔損害賠償?shù)那謾嘭熑?。依?jù)第70條，個人信息泄露后個人信息處理者可能面臨公益訴訟的風險。

依據(jù)數(shù)據(jù)安全法，開展數(shù)據(jù)處理活動的組織、個人不履行數(shù)據(jù)安全保護、數(shù)據(jù)風險監(jiān)測、數(shù)據(jù)風險評估方面義務的，有關部門應責令改正，給予警告，企業(yè)與直接責任人員均可能被處以罰款;若拒不改正或造成大量數(shù)據(jù)泄露等嚴重后果的，則會被處以金額較大的罰款，同時可能被責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或營業(yè)執(zhí)照。

可見，目前對于在數(shù)據(jù)處理過程中出現(xiàn)信息泄露等問題，企業(yè)或相關負責人應當承擔的法律責任主要以刑事與行政責任為主。這也體現(xiàn)了“以高水平安全保障高質(zhì)量發(fā)展”的基本原則，體現(xiàn)了對于數(shù)據(jù)安全的重視。而有關主體在數(shù)據(jù)泄露中應承擔的民事責任，也體現(xiàn)了經(jīng)濟法“實質(zhì)正義”的基本理念：企業(yè)相對于個人，擁有技術、資源上的優(yōu)勢，故在歸責時應適用過錯推定原則，避免發(fā)生原告舉證困難而無力追責的情形。

值得注意的是，在新反壟斷法正式實施之際，最高人民檢察院印發(fā)了《關于貫徹執(zhí)行〈中華人民共和國反壟斷法〉積極穩(wěn)妥開展反壟斷領域公益訴訟檢察工作的通知》，要求積極穩(wěn)妥開展反壟斷領域公益訴訟檢察工作，重點關注互聯(lián)網(wǎng)、公共事業(yè)、醫(yī)藥等民生保障領域。對平臺經(jīng)濟領域來說，不僅涉及反壟斷規(guī)制，還為平臺領域用戶群體多、聚焦擴散效應強等特征所引發(fā)的多元利益主體維權難提供了參照，即為當事人提供了公益訴訟這一維權追責渠道。

根據(jù)上述分析來看，平臺企業(yè)承擔了保障數(shù)據(jù)安全的主體責任，即使在退場之時，也需要嚴格遵守相關法律法規(guī)的要求，避免造成數(shù)據(jù)信息泄露，給用戶造成二次損害，否則將承擔更為嚴重的責任。

（陳兵為南開大學法學院副院長、南開大學數(shù)字經(jīng)濟交叉科學研究中心研究員，夏迪旸為南開大學競爭法研究中心研究人員;編輯：朱弢）