1. 引言
《数字服务法案》(Digital Service Act,以下简称DSA)是以欧盟《电子商务指令》(以下简称“指令”)的法律框架和原则为蓝本起草的。《电子商务指令》通过时,正是互联网平台初步发展时期,因此其首要目的是减轻欧洲数字服务平台义务,促进欧洲电子商务发展。但随着在线社交网络、签订远程合同平台等新兴商业模式的发展,指令对中介服务平台的规制已不能满足实践的需要。同时,欧洲数字化转型的迅猛发展,也导致了线上非法内容传播、虚假信息泛滥、公民基本权利受侵犯等问题的出现。为规制中介服务平台治理乱象,促进欧洲数字经济健康有序发展,同时为了保障和改善欧洲内部市场运作,打破美国互联网巨头垄断,在欧盟层面制定一套有针对性的强制性规范至关重要[1]。
2020年2月19日,欧盟委员会发布《欧洲数据战略》,为欧洲数字经济的发展制定了框架性战略规划,意图构建一个“公平、自立、跨地域、跨领域”的单一数据市场[2]。2020年12月,欧盟委员会提出了以应对非法内容、打击在线虚假信息、保护用户权益等为要求的《数字服务法提案》。2022年6月,欧盟内部市场委员会通过《数字服务法案》。DSA主体内容于2024年2月17日生效,但其中的透明度报告义务等条款在2022年11月16日提前生效。2023年4月,欧盟公布VLOPs和VLOSEs目录名单,超大型在线平台和搜索引擎将率先根据DSA落实内容审查、合规审计等相关义务。
2. DSA主要内容
相较于《电子商务指令》,DSA加强了对消费者权利的保护,提高了平台的责任标准[3]。DSA共分为五章,依次为:第一章“总则”;第二章“中介服务提供者的责任”;第三章“建立透明、可及、安全的网络环境的尽职调查义务”;第四章“实施、合作、制裁和强制措施”;第五章“附则”。
2.1. 适用对象与范围
DSA监管中介平台的服务活动,并延续《电子商务指令》对中介服务的划分,将其分为纯管道服务、缓存服务和托管服务。其中,托管服务项下的在线平台因特殊性被专门规定。在线平台是指应服务接受者的要求,存储并向公众传播信息的托管服务,如搜索引擎、社交媒体平台和电商平台等。在欧盟境内月均活跃用户等于或高于4500万的中介服务平台,经特定程序会被认定为超大在线平台(VLOPs)或超大在线搜索引擎(VLOSEs),需承担额外义务。欧盟委员会会依据欧盟人口动态变化适时调整认定标准,并在《欧盟官方公报》公布相关名单[4]。
DSA适用于向欧盟境内提供中介服务的中介服务提供者,无论中介服务提供者营业地在哪。但要求所提供的中介服务与欧盟用户有实质性联系。对此,可从接受服务人数或是否以某成员国为目标等因素来判断。判断是否以某个成员国为目标应考虑以下因素:是否使用该成员国普遍使用的语言或货币、订购产品或服务的可能性等,但仅凭技术上可从欧盟访问该网站不构成实质性联系。
2.2. 中介服务提供者的义务
中介服务提供者没有一般的监测义务和主动查明非法活动的调查义务。且不得因对非法内容自愿采取调查和监控措施以遵守法律规定而不适用豁免条款。但中介服务提供者在收到国家当局打击非法内容和提供信息的命令后有义务采取行动并报告执行情况。中介服务提供者的尽职调查义务依据其复杂性对应不同的义务层级。按照中介服务–托管服务–在线平台–消费者与商家签订合同的在线平台–超大型在线平台和超大型搜索引擎的划分层层递进。概括而言,尽调义务可以分为如下几个方面。
2.2.1. 联络点、法律代表与条款条件
中介服务提供者需指定单一联络点,公布必要信息并及时更新,便于服务接受者和主管机关电子联络。与主管机关联络时,应使用欧盟广泛使用的语言或成员国的官方语言。在欧盟外提供服务的中介服务提供者需以书面形式指定法定代表人,并赋予其权力以保障与主管机关合作。法定代表人的姓名、联系方式应告知其所在国的数字服务协调员。中介服务提供者应在服务条款中告知用户其信息的使用方式,包括内容审核手段、内部投诉处理程序等,并将任何重大变化通知用户。面向未成年人服务还需以其能理解的方式进行解释。超大型平台和搜索引擎需以提供服务的成员国官方语言公布条款条件。
2.2.2. 非法内容监督
1) 通知和行动机制
托管服务提供者应建立机制用以接收用户在发现非法内容时发出的通知,通知的内容应包括理由陈述、非法内容的电子位置、提交通知用户的姓名、联系方式和承诺声明等。托管服务提供者在收到通知后需公正处理并及时反馈,反馈包括通知收讫确认、处理决定、补救可能、自动化手段等信息。同时需向受影响用户说明采取的限制措施种类、理由及其他详细信息。如托管服务提供者获悉已经、正在或可能发生危及生命安全的刑事犯罪信息,应立即通知成员国当局并提供所有信息。
2) 优先处理受信报告者的通知
有专业能力的独立机构实体可向数字服务协调员申请“可信标记者”身份。在线平台应确保可信标记者提交的通知优先处理。若可信标记者提交了大量不准确、证据不足的通知,在线平台可将其反馈给数字协调员调查处置。可信标记者需每年发布一次详细报告,报告内容包括托管服务提供者的身份、涉嫌非法内容的类型、在线平台采取的行动、现有程序的解释等。
3) 防止滥用的保护机制
若用户经常发布非法内容或个人、实体或投诉人常提交毫无根据的通知或投诉,在线平台可在警告后暂停向其提供服务或暂停处理通知或投诉。判断是否构成滥用应考虑:通知和投诉的数量、通知占总数的比例、提交者的意图等。在线平台需在条款中说明针对滥用行为的政策,并举例说明判断构成滥用考虑的因素。
4) 争端处理机制
在线平台应在作出决定后的六个月向用户提供内部投诉处理系统,使其能够免费在线投诉平台做出的决定。在线平台做出投诉处理决定应同时告知投诉人庭外解决争议的可能及其他补救办法。在线平台应确保决定是由人工监督下做出而不是自动化处理。数字服务协调员应认证庭外争议解决机构,用以解决用户不服在线平台做出的投诉处理决定和其他申诉争议。庭外争议解决机构不妨碍用户向法院提起诉讼,且其裁决不具有强制约束力。
2.2.3. 透明度义务
1) 透明度报告义务
中介服务提供者应至少每年一次以机读的方式发布报告,报告应包括:命令数量;投诉数量及依据;内容审核的自动化手段;托管服务提供者需提供通知的数量、受信标记者提交的通知数量、根据通知采取的行动、以自动化手段处理通知数量、采取行动所需时间等信息。在线平台还需披露更多内容:非法内容处理决定;向庭外争议解决机构提交的争议数量;暂停服务情况;限制措施的决定和理由。在线平台还应公布欧盟内的月均活跃用户信息,月均活跃用户按过去六个月平均值计算。超大型平台和搜索引擎应在其被指定后的两个月内,此后至少每六个月公布一次透明度报告。报告还需额外包括:内容审核员义务履行情况;内容审核员的资质和语言专长、培训和支持情况;为内容审核目的使用的自动化手段的准确性指标;每个成员国的月平均用户信息。
2) 广告透明度义务
在线平台展示广告时要同时展现广告发布者、支付者、个性化推荐主要参数、商业通信等信息。禁止利用特殊敏感个人数据进行个性化推荐。超大型平台和搜索引擎在展现广告时,要同时提供可检索的资料库用以记录上述信息。若广告内容、广告发布者、付费者因非法被禁止访问,资料库删除了相关信息,应酌情列入其为非法内容的理由或打击非法内容指令中的法律依据。
3) 推荐系统透明度义务
在线平台要在条款条件中说明推荐系统的主要参数,并提供用户可修改主要参数及其顺序的选项,主要参数应包括:个性化推荐的重要标准;参数重要的原因等。超大型平台和搜索引擎应提供拒绝基于特定特征分析进行推荐的选项。
2.2.4. 用户保护的义务
在线平台在设计、组织或运行其界面时,不得欺骗或操纵用户作出违背自由意愿的决定。如突出某些选项、反复要求选择、弹窗干扰、更为困难的终止程序等。在线平台应确保未成年人享有更高的隐私、安全和保障。如禁止使用未成年人数据发布特定貌相广告。但在线平台不额外承担评估用户年龄的数据处理义务。允许消费者与商家签订远程合同的在线平台,在宣传和提供产品和服务时,要获取并评估商户信息。如商户提供的信息不准确,在线平台可要求其更正,逾期不更正可暂停对其服务。在线平台应向消费者清晰地提供商户信息。如贸易商提供非法产品和服务,在线平台应向此前6个月内购买该产品和服务的消费者通报或在界面上公布相关信息。
2.3. 超大型平台额外义务
2.3.1. 风险评估与解决措施
超大型在线平台在被认定后4个月内及其后每年,或部署对系统性风险产生重大影响功能前,均需要进行风险评估。风险评估应与系统性风险相称,风险包括:非法内容传播、基本权利侵害、公共安全、人身安全与健康、未成年人保护等。风险评估文件至少保存三年并应要求提交。确定风险后,超大型平台要采取调整服务设计、内容审核程序、算法系统、与可信赖标记者的合作等措施降低风险,尤其要注重措施对基本权利的影响。
2.3.2. 危机应对机制
当发生严重威胁公共安全或健康的危机时,委员会可作出要求超大型平台评估风险、在三个月内采取相称有效措施、定期向委员会报告的决定。委员会可与平台就采取的措施进行沟通,以实现其相称性和有效性。委员会应至少每月一次向理事会报告监测情况。如委员会认为平台采取的措施无效或不相称,可与理事会协商后做出要求平台重新审查的决定。根据危机发展情况,委员会可以根据理事会的建议,修改其做出的决定,且最迟在危机结束后的三个月内向欧洲议会和理事会说明情况。
2.3.3. 独立审计与数据访问和审查
超大型平台每年至少自费审计一次。超大型平台应为审计组织提供必要的协助。在进行透明度报告时,审计报告和实施报告应当附有不包含商业秘密的版本。超大型平台应要求向数字服务协调员或委员会提供监测和评估数据,并解释算法系统的设计、逻辑、运作和测试情况。经认证的研究人员可向超大型平台申请访问数据,用以开展系统性风险的研究[5]。
2.3.4. 合规职能
超大型平台应设立独立的合规部门,合规部门应具有足够的资源和权力进入管理层。合规部负责人为独立的高级管理人员,并直接对管理层负责。合规部负责人的姓名和联系方式应告知所在地的数字服务协调员和委员会。管理层应确保合规官具有履行职能的专业资格和能力。合规官承担与协调员和委员会合作、风险识别报告与采取缓解措施、组织监督独立审计、条例义务告知与建议、合规监督等义务。
3. DSA的亮点
3.1. 注重对用户基本权利的保护
对用户基本权利的保护是DSA的立法目的,DSA在开篇写到“中介服务提供者负责任和勤勉的行为利于营造安全、可预测和可信赖的网络环境,以及让欧盟公民和其他人更好地行使《欧盟基本权利宪章》所保障的基本权利。”这一立法精神贯穿DSA全文[6]。如在告知义务方面,中介服务提供者应在服务条款中清晰地告知用户信息的使用方式、内容审核手段、内部投诉处理程序等信息,以保障用户的知情权;在内容审核方面,中介服务提供者应平衡打击非法内容与言论自由边界选择审核手段;在数据安全方面,超大型在线平台应定期进行风险评估,并采取措施降低风险;在推荐系统透明度方面,用户可自主选择关闭算法推荐或依意愿改变参数排序;在未成年人保护方面,在线平台采取措施确保未成年人享有更高的隐私、安全和保障。这些内容均体现了DSA对用户基本权利的尊重和保护,也是区别于《电子商务指令》的显著特征。作为规制中介服务平台的主要法规,其立法取向决定了后续法规的制定,该特点是DSA的主要创新点之一[7]。
3.2. 打击非法内容机制多方主体参与
在打击非法内容方面,中介服务提供者承担了主要义务,包括:建立通知和行动机制、防滥用保护机制、内部投诉处理机制等。DSA创造性地构建了多元主体共治体系,加入第三方独立实体——可信标记者。在处理非法内容方面具有专业知识和能力的独立机构实体,可向所在成员国的数字服务协调员申请“可信标记者”身份,其发布的通知会得到优先处理。这一规定提高了打击非法内容的工作效率和专业性。在非法内容监管方面,成员国当局及数字服务协调员承担了发布打击非法内容指令、接收犯罪信息、认证可信标记者和庭外争议解决机构、听取可信标记者报告等义务。用户群体亦被纳入其中,通过通知行动机制举报违法犯罪与非法内容,并通过内部投诉处理系统投诉平台的不合理决定,成为打击非法内容的有生力量。庭外争议解决机构和法院在处理投诉和申诉争议方面也发挥了作用。多方主体形成治理合力,高效打击非法内容,维护网络法治秩序。
3.3. 中介服务提供者分级分类管理
DSA依据中介服务提供者的体量与服务的复杂性划分不同的义务层级,对中介服务提供者实施分级分类管理。按照中介服务–托管服务–在线平台–超大型在线平台和搜索引擎的划分层层递进。中介服务提供者需承担建立联络点、任命法律代表、条款条件说明、透明度报告的基础义务。托管服务提供者需额外承担建立非法内容通知行动机制、限制缘由说明、报告刑事犯罪的义务。在线平台在此基础上还需额外承担建立投诉处理机制、优先处理受信报告者通知、广告透明度、推荐系统透明度、未成年人保护等义务。超大型平台和搜索引擎面临最严格的限制,需定期进行风险评估与独立审计、任命合规官、详尽披露广告与推荐系统信息、允许数据访问与审查等。分级分类管理的模式可以精准适配不同类型中介服务提供者的特性与影响力,平衡监管力度与市场活力,防范大型平台权力的滥用,进而维护竞争秩序并保护用户基本权益。
3.4. 内部监督与外部监督协同治理
DSA构建了内部监督与外部监督协同治理的机制。内部监督要求中介服务服务提供者,尤其是超大型平台,建立合规管理体系,如任命内部合规官预警风险并向管理层与监管机构报告、自行风险评估并建立危机响应机制、独立审计等。外部监督则由监管机构主导,定期或不定期审查平台合规情况、发布打击非法内容命令、听取可信标记者报告等。同时,用户通过通知行动机制、内部投诉处理系统、庭外争议解决机制参与监督,维护自身权益。内部监督与外部监督相互配合,形成立体的监督体系,有力地保障了DSA的落地实行[8]。
4. DSA对我国数字服务治理的启示
4.1. 我国数字服务治理领域现状
我国数字服务治理领域在近年来取得了显著的进展。随着数字经济的蓬勃发展,一系列法律法规相继出台,构建起初步的治理框架。在数据监管方面,《数据安全法》《个人信息保护法》与《网络安全法》搭建起我国数据保护的基本框架。数字服务领域的监管规则散落在不同的法律文件中。如《民法典》网络服务提供者侵权责任的规定、《网络安全法》网络服务提供者对用户发布信息管理义务的规定、《电子商务法》对电子商务经营者的规定、《互联网广告管理办法》对互联网广告活动的监管、《互联网信息服务算法推荐管理规定》对算法推荐活动的监管等。这些法律文件对数字服务的不同功能领域进行了规定,不仅保障了个人信息主体的权利,也为企业的数据处理活动划定了边界。
针对互联网平台的监管,相关部门出台了诸多规范与指南,强调平台的主体责任。如《互联网平台分类分级指南(征求意见稿)》(以下简称《分级分类指南》)、《互联网平台落实主体责任指南(征求意见稿)》(以下简称《责任指南》)、《关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)》(以下简称《网络交易平台责任意见》)、《网络安全标准实践指南—大型互联网平台网络安全评估指南》(以下简称《网络安全评估指南》)等。《分级分类指南》与《责任指南》对互联网平台进行分级分类,并对应不同层级的责任。类似于DSA对数字服务提供商的分类管理,但我国规制的互联网平台范围要比DSA广,划分类型更为细致多面。值得注意的是,《分级分类指南》与《责任指南》存在着主体分级标准不一致,对应责任错位的问题。《网络交易平台责任意见》与《网络安全评估指南》与DSA中规制消费者与商家签订合同的在线平台及超大型在线平台安全评估义务类似。但在效力层级上较低,只是停留在“指导意见”、“指南”的低位阶,规范效力不强。由此可见,我国对数字服务平台的监管还处在起步阶段,制定的规范零散且模糊,不能形成完整的监管体系。但相关的监管思路与DSA相一致,并注重对新问题和现象的回应。随着数字技术的快速迭代,新的业态和商业模式不断涌现,如新兴的短视频平台、直播带货等,对现有的监管规则提出了更多的考验。监管部门在注重规范新业态的同时,也应在鼓励创新与规范发展之间寻求平衡,以应对数字服务的无边界性和复杂性,确保整个数字服务生态系统在法治轨道上健康有序运行。
4.2. DSA对我国数字服务治理的启示
欧盟《数字服务法案》作为数字领域的重要立法成果,为我国数字服务治理提供了诸多值得借鉴的经验与启示。
首先,制定数字服务专门性法律。我国数字服务领域的监管规则散布在不同的法律文件中,且普遍效力层级低,因此制定一部系统化且高位阶的专门性法律至关重要[9]。在现有的规则中已出现了平台分级分类、互联网平台主体责任、网络交易平台合规责任、安全评估等内容。这些内容均零散地出现在DSA的不同章节,且规制思路与DSA大体相同。在吸收原有规制框架的基础上制定数字服务领域专门性法律,应考虑以下几点:1、统一平台分级分类标准,《分级分类指南》与《责任指南》虽都对平台进行了分级分类的划分,但评定标准并不一致,这就导致了平台主体与责任主体不能对应的情形,进而架空了主体责任的规定。在制订专门性法律时应当统一二者标准,同时结合《分级分类指南》的多维度划分体系进行细化,创建符合我国国情的标准体系[10]。2、在打击非法内容机制上,引入“可信标记者”这一主体,经认证的公益组织、社会团体,如妇联、未成年人保护组织、环境保护组织、保护动物协会等在某一方面具有专业能力的第三方机构,可参与中介服务平台非法内容的治理,确保他们的非法内容通知得到优先处理。相比逐一处理分散用户的通知,统一处理可信标记者的通知可提高工作效率,降低合规成本。3、对超大型平台附加更严格的义务要求。超大型平台的体量规模更大,产生风险的可能性更高。因此我国可效仿DSA,对超大型平台单独规定,要求其承担风险评估、独立审计、设立合规部门、建立危机应对机制、更高的透明度报告等义务[11]。
其次,加强用户权益的保护。DSA注重保护用户的基本权利,我国在现有法规基础上,可进一步拓展用户权利保护的范围与深度。例如,在争议解决机制上,完善用户投诉处理机制,减少使用自动化手段作出决定。在企业内可设立争议解决部门,专门处理投诉通知。同时鼓励建立多元化纠纷解决渠道,如建立调解中心、仲裁专业机构和专门法庭解决用户平台纠纷,提高纠纷解决效率。对于允许消费者与商家签订远程合同的在线平台,应加大对商家的监管义务,要求商家提供真实信息并向消费者展示。在线平台对商家的信息履行评估义务,如发现商家提供非法产品和服务,应向购买该产品和服务的消费者进行通报,并对商家进行惩治。
最后,设立独立的监管部门。我国可效仿欧盟在中央层面设立数字服务领域的统一协调机构,同时在地方设立垂直机构,专门负责对数字服务的监管。目前我国对数字服务的主要监管部门为市场监督管理局、网信办和工信部,但数字服务提供者所涉领域复杂,若多部门均享有监督权却缺乏配合,则容易导致监管混乱,同时也加重了各部门执法负担。且互联网领域瞬息万变,新问题的出现如缺乏专业性强的机构统筹管理,则很容易导致监管滞后。因此,设立数字服务领域独立的监管部门很有必要,一方面可以对数字服务提供者统一管理,节约行政资源。另一方面可以快速适应客观环境的变化,迅速出台相关规则,防止监管缺位。