一、全文要点速览
随着欧盟《数字服务法》(Digital Service Act,简称“DSA”)自2024年2月17日起全面适用于欧盟所有在线中介服务提供者。App Store作为DSA中的“允许消费者与交易商签订远程合同的在线平台”于近期履行了其在线交易管理义务——在开发者平台中要求其所有开发者确认自身是否属于“交易商”(Trader),并要求“交易商”同意提供并公开披露基本信息。

由于苹果在页面介绍中仅援引了DSA中对交易商的定义:“任何为贸易、商业、手工业或职业相关目的而行事的自然人或法人,无论其公私性质,包括任何以其名义或代表其行事的人”而并未披露具体的识别规则和后续管理计划,使得在欧盟开展在线业务的大部分企业难以基于评估合规成本和运营风险而做出合理决策。
针对上述问题,我们理解无论企业内部属于“供应商模式”(外采产品服务后向用户销售)还是“平台模式”(仅作为中介平台),只要向欧盟境内的用户提供服务并通过苹果向用户收取了费用(对于Apple Store支付用户而言可简单理解为需缴纳“苹果税”)均属于“交易商”身份,应向其提供相关信息并配合其履行部分合规义务(例如遵守DSA对内容管控的约束)。
就现有公开信息而言,虽然标识自己不构成“交易商”的开发者暂不会受到Apple Store进一步的审核,也不会立即被限制通过Apple Store获得收入,但开发商在Apple Store中识别自身为“交易商”的行为目前并不会产生额外的合规义务(除提供公开披露企业信息外)或损失,同时也可能避免受到Apple Store后续的监管进而影响业务连续性的风险。
二、欧盟《数字服务法》规制范围
根据该法案第一条第二款的规定,DSA规制的核心是针对欧盟境内主体的在线中介服务提供者(intermediary services)。只要是向位于欧盟境内或在欧盟有营业地的服务接收者(实体和/或个人)提供中介服务,不论服务提供主体的注册地是否在欧盟境内,均需适用DSA。
根据DSA第三条的规定,中介服务是指以下三种信息社会服务:
-
“纯传输”(mere conduit)服务,包括在通信网络中传输用户提供的信息,或为用户提供对通信网络的访问。【无线接入点、虚拟专用网络(VPN)、DNS解析器和IP语音服务等】
-
“缓存”(caching)服务,包括在通信网络中传输由服务对象提供的信息,自动和临时存储该信息,其唯一目的是在接到请求时,可以更有效地将信息进行传输。【内容交付网络】
-
“托管”(hosting)服务,包括应用户的请求存储由用户提供的信息,例如在线平台(online platforms)。
DSA对其中的托管类又进行了四项细分,包括1.在线平台在内的托管服务;2.在线平台(小微企业除外);3.允许消费者与交易商签订远程合同的在线平台(小微企业除外);4.超大型在线平台和超大型在线搜索引擎。

《数字服务法》第3条第i项对“在线平台”作此定义:在服务用户的要求下存储并向公众传播信息,从而向潜在的无限数量的个人提供信息。需要指出的是,如果向公众传播信息只是另一项服务的次要或纯粹的附属功能,并且技术上依赖于主要功能/服务时,则该托管功能不应被视为在线平台。例如,线上报纸的评论部分就属于附属功能,而社交网络中的评论显然不是所提供服务的次要功能,则应将其视为在线平台服务。由此可见,在欧盟有业务的国内搜索引擎、应用商店和社交媒体平台等“在线平台”,也将受到DSA的监管。
需要注意的是,DSA将在欧盟境内拥有至少月均4500万[1]活跃用户/接收方的网络平台和搜索引擎定义为超大型在线平台(very large online platforms,VLOPs)和超大型在线搜索引擎(very large online search engines,VLOSEs),并对这两种服务商规定了更加严格的义务[2]。截至2024年3月18日,欧盟已经指定了两批VLOPs和VLOSEs[3],其中不乏像亚马逊商城、Zalando、阿里巴巴速卖通等跨境电商平台以及Facebook、Meta、Tiktok等社会化媒体平台。
与之相对应,经营在线平台的小微企业(micro or small enterprises)则适用较轻的义务[4]。DSA适用欧盟委员会建议附件2003/361/EC第二章(Commission recommendation 2003/361/EC)对小微企业的定义,具体定义如下:
企业类型 |
总人数 (雇员) |
年营业额(million) |
年资产负债情况(million) |
Small |
<50 |
≤€10 |
≤€10 |
micro |
<10 |
≤€2 |
≤€2 |
三、欧盟《数字服务法》监管要求
DSA针对不同类型的中介服务建立了一个嵌套治理的责任框架。一方面,在欧盟提供此类中介服务的所有提供商都必须遵守一系列义务,以确保其基于在线生态系统中的角色、规模和影响力而对应的责任并保持透明度;另一方面,中介服务提供商的服务越复杂、规模越大,其适用义务要求就越严格。
合规要求 |
中介服务 |
托管服务 |
在线平台小微企业 |
在线平台 |
VLOPs VLOSEs |
联络点与联络信息公开 |
√ |
√ |
√ |
√ |
√ |
在欧盟内设立法定代表 |
√ |
√ |
√ |
√ |
√ |
协议规则可读易读 |
√ |
√ |
√ |
√ |
√ |
透明度报告义务 |
√ |
√ |
仅需每六个月披露月均活跃用户数量 |
√ 报告内容+ |
√ 报告内容++ |
非法内容处置和举报响应机制 |
|
√ |
√ |
√ |
√ |
处罚缘由说明 |
|
√ |
√ |
√ |
√ |
报告刑事犯罪 |
|
√ |
√ |
√ |
√ |
申诉、投诉受理机制 |
|
|
|
√ |
√ |
接受庭外解决争议 |
|
|
|
√ |
√ |
优先受理可信举报 |
|
|
|
√ |
√ |
非法内容警告和限制义务 |
|
|
|
√ |
√ |
广告标识义务 |
|
|
|
√ |
√ |
推荐系统的透明度 |
|
|
|
√ |
√ |
页面设计合规 |
|
|
|
√ |
√ |
未成年人保护 |
|
|
|
√ |
√ |
商家管理和用户权益保护 |
允许消费者与商家签订远程合同的在线平台附加义务 |
||||
风险评估与应对措施义务 |
|
|
|
|
√ |
危机响应机制 |
|
|
|
|
√ |
独立审计义务 |
|
|
|
|
√ |
提供个性化推荐的选项(针对推荐系统) |
|
|
|
|
√ |
在线广告透明度要求 |
|
|
|
|
√ |
向当局公开数据 |
|
|
|
|
√ |
设置合规专职部门 |
|
|
|
|
√ |
支付监管费用 |
|
|
|
|
√ |
▌(一)中介服务提供者需履行的一般性合规义务
主体 |
合规要点 |
具体说明 |
所有中介服务提供者 |
联络机构 |
✔指定并公开与成员国监管机构、欧盟委员会、欧洲数字服务委员会进行沟通的联系方式,指定并公开与用户之间进行沟通的联系方式。 |
法定代表 |
✔针对在欧盟内没有营业场所,但在欧盟内提供服务的中介服务提供者,应在提供服务的一个成员国中,以书面形式指定一名法人或自然人担任其法定代表。
✔中介服务提供者应公开其法定代表人的姓名、邮寄地址、电子邮件地址和电话号码。 |
|
协议规则/用户协议 |
✔ 应通过清晰易懂的语言和易于访问的形式提供条款内容。
✔应阐述其施加的、关乎使用其服务的任何限制之信息。该信息包括为了内容管理而使用的任何政策、程序、措施和工具之信息(包含基于算法做出的决定和由人力做出的审查),以及它们内部申诉处理系统的内部规章之信息。
✔如果中介服务是主要针对儿童提供的,则需要以儿童能理解的方式阐述相关规则。
✔超大在线平台和超大在线搜索引擎的提供者应以清晰的语言向用户提供易于获取的条款内容摘要,包括补救措施和相关机制。 |
|
透明度报告 |
✔至少每年公布一次关于内容管理的透明度报告,包括从成员国监管机构收到的命令的数量、内容审核的基本信息、为内容审核而采取的自动化手段、收到的投诉数量等。小微企业不需要进行上述报告。
✔针对在线平台(OP)以及在线搜索引擎(OSE),在2023年2月17日以及此后至少每六个月公开并向数字服务协调员和欧盟委员会通报其月均活跃用户数量。 |
|
管道服务提供者 |
仅传输 |
✔仅提供传输通道,不主动发起传输行为、不选择传输的接收者、不修改传输中的信息。 |
缓存服务提供者 |
仅缓存 |
✔仅提供传输通道,不主动发起传输行为、不选择传输的接收者、不修改传输中的信息。 |
及时处理 |
✔当实际知晓传输来的信息已从网络上删除,或已被禁止访问,或监管机关下令要求删除或禁止访问时,迅速进行响应处理。 |
|
托管服务提供者 |
及时删除 |
✔即使之前对非法活动或内容并不知情,但在意识到之后需迅速采取行动,删除非法内容或禁止对非法内容的访问。 |
举报响应 |
✔应建立一个便捷的违法信息举报机制,托管服务提供者接到举报后应发出确认收到的通知,并及时处理。 |
|
解释说明 |
✔如果托管服务提供者决定删除或禁止访问特定信息,或限制货币支付,或暂停或终止提供服务,或禁用收款人的账户,最迟应在做出上述限制时说明理由。 |
▌(二)非小微企业的在线平台需履行的合规义务
合规要点 |
具体说明 |
|
争议解决方式 |
✔在有争议时接受庭外争端解决(out-of-court dispute settlement) |
|
非法内容管理 |
投诉处理 |
✔提供一个易于访问的非法内容投诉处理机制,在线平台告知投诉人的最终决定不能是完全基于自动化决策机制做出的,必须是有人工参与的。
✔投诉人不能滥用自己的权利,如果在线平台发现投诉人经常提交无事实依据的投诉,在线平台会在事先警告后的合理期限内,暂停处理他们的投诉。 |
举报人 |
✔受信任的举报人是DSA特别新增的一类主体(国家官方提名的专家组),在线平台应采取必要的技术和管理措施,确保受信任的举报人在其指定的专业领域内的举报问题能够及时地被优先处理。 |
|
增强透明度 |
报告 |
✔除了上述内容管理的透明度报告所需披露的内容之外,报告还需要披露:向庭外争端解决机构提交的争端数量、争端解决结果及平均所需时间、平台执行情况等。 |
广告 |
✔ 在线平台在向用户推送广告时应确保用户知道这是广告,即用户需要知道: (1)被展示的信息是广告,例如可通过醒目的标记进行告知; (2)该广告是谁发布的; (3)平台在做出广告推送决定时考虑了哪些主要参数及参数更改方式。
✔不能基于GDPR中所明确的特殊类型的敏感数据,例如种族等数据进行用户画像。 |
|
推荐系统 |
✔使用推荐系统的在线平台应以简单易懂的语言披露出推荐系统所使用的主要参数,并至少应说明信息推荐的最重要的标准,以及这些参数重要的原因。
✔在线平台应为用户提供修改主要参数的选项。针对排序类推荐系统,若有不同选项,在线平台应确保用户可以修改首选选项来调整排序。 |
|
页面设计合规 |
✔在线界面不能以欺骗、强迫或以其他严重损害用户知情选择权的方式进行设计和运行。
✔委员会后续会特别关注以下问题,并出台相关规范进行单独规制: (1)在用户进行选择时,突出显示某些选项; (2)重复征求用户同意; (3)对用户的退出机制设置了更复杂的要求。 |
|
未成年人保护 |
✔不能收集未成年人的个人数据来对其进行定向广告推荐。 |
|
允许消费者与商家签订远程合同的在线平台的在线交易管理义务 |
平台商家管理 |
✔ 在线平台应当确保参与线上交易的商家(Trader)的可追溯性,要求商家在提供服务前先向在线平台提供以下信息,并审核评估相关信息的可靠性与完整性: (1)商家的姓名、地址、电话号码和电子邮件地址; (2)商家的身份证明文件; (3)商家的付款账户详情; (4)贸易登记或类似公共登记机制中的登记号; (5)商家自行证明其仅提供符合欧盟法律适用规则的产品或服务。 |
用户权益保护 |
✔ 在用户和商家远程签署在线合同的界面中,商家应提供以下信息: (1)产品或服务的必要信息; (2)可识别出商家的标志; (3)证明符合欧盟产品合规要求或安全规则的标签信息(如适用)。
✔当在线平台意识到商家基于其平台服务向用户提供了非法的产品或服务时,会向用户告知非法商家的信息和相关补救措施。 |
▌(三)超大在线平台需要履行的特殊合规义务
合规要点 |
具体说明 |
风险评估 |
✔至少每年进行一次系统性风险评估,具体评估时应特别注意评估推荐系统和其他相关算法机制的设计、内容审核系统、适用的政策条款及其执行情况、广告的选择和展示系统、数据处理活动等。
✔风险评估的相关材料至少留存3年。 |
独立审计 |
✔每年至少进行一次独立审计,应慎重考虑审计报告中提出的运营建议,并在接到建议后1个月内完成一份审计执行情况报告来进行整改,如果不执行相关建议,需要在执行情况报告中说明理由。 |
推荐系统 |
✔每个推荐系统至少应提供一个不基于用户画像的选项。 |
广告透明度 |
✔在线界面应公开披露广告资源库信息,其不包含个人数据,主要包括广告的内容、广告主、为广告发布付费的主体、广告的展示时长、向特定人群推送广告所考虑的主要参数、广告触达人数等。 |
数据访问权限 |
✔ 为审查对《数字服务法》的遵守情况,超大在线平台应向监管机构提供所需的数据访问权限。
✔满足一定条件的研究人员也可以在经过监管部门的审查后,获取数据访问权限,为了研究活动进行数据访问使用,并在研究完成后的合理期限内免费公开其研究结果。 |
人员设置 |
✔设置独立于运营职能的合规人员,同时管理机构应任命一名合规负责人,其属于公司高管。 |
▌(四)监管机构
机构名称 |
职责范围 |
数字服务协调机构(Digital Services Coordinators) |
成员国应当设立一个或多个监管机构负责监管中介服务商和执行《数字服务法》,并在2024年2月17日以前指定一个监管机构作为数字服务协调机构,负责成员国内与《数字服务法》的监管与执行相关的所有事项。 |
欧洲数字服务委员会(European Board for Digital Services) |
一个独立的咨询组,就中介服务商监管事项为数字服务协调机构和欧盟委员会提供咨询。 |
▌(五)违规处罚
成员国对违反本法的行为可制定以下处罚规则 |
|
罚款 |
✔ 对于违反本法的行为最高可罚中介服务商上一财政年度全球年营业额的6%;
✔提供不准确、不完整和误导性信息,未能回应提供信息的请求或未能纠正不准确、不完整或误导性信息,以及不配合审查最高可罚上一年度年收入或全球年营业额的1%;
✔对于周期性罚款(periodic penalty),最高每天可罚上一年度平均日全球营业额或收入的5%。 |
损害赔偿 |
用户可要求中介服务商赔偿因违反本法导致用户遭受的损害或损失。 |
对超大在线平台或超大在线搜索引擎的严厉处罚 |
|
违反相关条款。 |
不超过上一年度全球年营业额的6% |
不遵守欧盟委员会的临时措施。 |
|
不遵守自行作出但被欧盟委员会赋予约束力的承诺。 |
|
当委员会要求提供信息,提供不准确、不完整和误导性信息。 |
|
未能在规定时间内提供信息。 |
|
未能在规定时间内纠正不准确、不完整或误导性信息,或者拒绝提供完整信息。 |
|
拒绝接受审查。 |
|
未能遵守委员会采取的合规监控措施。 |
|
未能遵守获取委员会档案的条件。 |
|
为了迫使超大平台或超大搜索引擎补充准确的或完整的信息,接受审查,遵守临时措施,遵守合规承诺,遵守欧盟委员会在违法决定中的要求。 |
自决定中指定之日起,每天罚款上一年度平均日收入或(日)全球年营业额的5% |
四、关于App Store中Trader(交易商)的认定方案
由于App Store属于DSA中的“允许消费者与交易商签订远程合同的在线平台”,其需要履行DSA规定在线交易管理义务,包括“在用户和商家远程签署在线合同的界面中公开披露(1)产品或服务的必要信息;(2)商家的基本信息和联系方式;(3)证明符合欧盟产品合规要求或安全规则的标签信息(如适用)”。因此,App Store于近期要求其所有的App开发者确认自身是否属于“交易商”,并要求“交易商”同意提供并公开披露基本信息[5]。

根据DSA第3(f)条,“交易商”是指任何自然人或任何法人,不论其为私有还是公有,其行为(包括通过以其名义或代表其行事的任何人)与其贸易、业务、手工业或职业有关。在案件C-105/17 Kamenova[6]中,法院指出,“Trader”概念在《消费者权益指令》(CRD)和欧洲议会和理事会2005/29/EC号《不公平商业行为指令》(UCPD)中几乎以相同的方式定义,因此必须进行统一解释,给出了以下标准供参考、评估:
-
a.是否以有组织的形式销售产品或服务;
-
b.是否为了营利而销售;
-
c.是否拥有消费者不一定拥有的与所售产品相关的技术信息和专业知识,从而处于比消费者更有利的地位;
-
d.是否具有从事商业活动的合法身份(如公司法人);
-
e.销售的产品在多大程度上与商业活动或专业活动有关;
-
f.是否需要缴纳增值税;
-
g.卖方是否代表某一特定贸易商或以其本人名义或通过他人以其名义并代表其行事,收受报酬或奖励;
-
h.卖方购买新货或二手货的目的是否是为了转售,从而使转售活动与其惯常的商业或业务活动相比成为一项定期、频繁和/或同时进行的活动;
-
i.出售的商品是否都属于同一类型或价值相同;以及
-
j.要约是否集中在少数商品上。
由此可见,根据欧盟UCPD下的判例法,法院认为它必须与Consumer的概念相反,体现出两者的对立性(消费者处于合同中的弱势地位,在信息获取方面处于劣势,经济实力相对较弱,且在法律方面缺乏足够的经验和知识)。根据上述定义,我们理解无论企业内部属于“供应商模式”还是“平台模式”,只要向欧盟境内的用户提供服务并通过苹果向用户收取了费用(对于Apple Store支付用户而言可简单理解为需缴纳“苹果税”)均属于“交易商”身份,应向其提供相关信息并配合其履行部分合规义务(例如遵守DSA对内容管控的约束)。
就现有资料而言,标识自己不构成“交易商”的开发者暂不会受到Apple Store进一步的审核,也不会立即被限制无法通过Apple Store获得收入。因此,公司在Apple Store中识别自身为“Trader”并不会产生额外的合规义务(除提供公开披露企业信息外)或损失,同时也可能避免受到Apple Store后续的监管,影响业务连续性。
此外,若公司向欧盟用户提供服务的,则可能直接纳入DSA的规制范围,需要履行本文第三部分所示的相应合规义务。因此,我们建议企业根据欧盟业务的属性和规模判断自身所应履行的合规义务范围[7]。
此外,若企业属于电子商务、知识付费等类型的在线平台,还应格外注意DSA第三章第四节“适用于允许消费者与交易商签订远程合同的在线平台的特殊条款”(Additional provisions applicable to providers of online platforms allowing consumers to conclude distance contracts with traders)中的具体规定[8]:
▌(一)严格审核商家账号
DSA第30条要求在线平台上的商家的信息必须是可追溯的(Traceability of traders),商家在使用在线平台的服务之前,必须提供:
(1)商家的姓名、地址、电话号码和电子邮件地址;
(2)商家的身份证明文件;
(3)商家的付款账户详情;
(4)贸易登记或类似公共登记机制中的登记号;
(5)商家自行证明其仅提供符合欧盟法律适用规则的产品或服务。
30条第2款要求在线平台收到商家提供的上述信息之后,尽最大的努力对商家提供的信息的可靠性和完整性进行评估验证,验证的方法可以是使用成员国或者欧盟官方在线数据库或在线界面,也可以是要求商家提供有可靠来源的证明文件。至于2024年2月17日时已经在电商平台开展交易的商家,平台应尽最大努力在12个月内从有关商家那里获得所述的信息。如果有关商家未能在相应期限内提供信息,提供者应中止向这些商家提供服务,直到其提供所有信息。
如果网络平台有充分迹象或理由怀疑商家提供的信息不准确、不完整,平台应当要求商家更正信息;如果商家未更正,网络平台有权暂停商家通过该平台向欧盟消费者提供服务。网络平台应当确保商家的商业信息与其所提供的内容、商品或者服务一起清晰可见。平台应当保证商家的基本信息对于消费者是易于获取和理解的。商家的信息在交易完成之后,平台应当至少保存六个月。
▌(二)广告更加透明
DSA将广告定义为,为了宣传法人或自然人,由网络平台在在线界面上展示的信息,并收取专门用于宣传该信息的报酬,无论是否达到商业或非商业目的。
1.广告可识别性
DSA第26条要求,平台展示的特定广告,必须保证服务对象能够以清晰、明确和实时的方式识别出如下内容:
(1)通过特定或者统一的标志明确所展示或者部分展示的信息是在线广告;
(2)代表其发布广告的自然人或法人;
(3)为广告付费的自然人或法人,如果此人不同于(2)项中所述的自然人或法人;以及,
(4)从广告中直接且容易地获得的、有关用于确定广告呈现给接收者对象的主要参数的信息,并且如果适用,从广告中直接且容易地获得的、有关如何改变这些参数的信息。
2.广告推荐系统参数公开
DSA第27条规定,在线平台应当以清晰、可访问和易于理解的方式在其用户协议中列出他们的推荐系统中所使用的主要参数和服务接受者可以修改参数的所有选项。主要参数应解释为什么向服务接收者建议特定信息,其应至少包括:(a)在确定向服务接收者建议的信息方面最重要的标准(包括根据画像和接收者的在线行为对信息进行优先排序的情形);以及(b)这些参数的相对重要性的原因。
此外,第38条规定,使用推荐系统的超大型在线平台(欧盟境内的月均活跃服务对象的数量不少于4500万的在线平台)至少应当有一个选项是不基于个人画像进行推荐。
▌(三)非法内容审查的算法公开
“非法内容”是指任何因其本身或因其与特定活动(包括产品销售或服务提供)有关,而不符合欧盟法律或任何符合欧盟法律的成员国法律的信息,无论相应法律的确切主体或性质如何。(第3条(h))“内容管理”(content moderation)是指由中介服务提供者开展的活动,无论是否自动化,特别是旨在检测、识别和处理由服务接收者提供的非法内容或不符合其条款和条件的信息,包括采取影响相应非法内容或相应信息的可用性、可见性和可获得性的措施,如降级、取消、禁止访问或删除,或影响服务接收者提供相应信息的能力,如中止或终止接收者的账户。(第3条(t))
根据DSA第14条规定,中介服务提供商的平台协议和规则应当包含对其服务使用进行限制的信息。平台规则应该是易于获取的,其内容应当包括用于非法内容管理的所有政策、程序、措施和工具,包括算法决策和人工审核,并专门说明接受者有权终止使用其服务。第15条规定,数字服务提供商,应当至少每年发布一次非法内容审查的报告,包括非法内容的分类、采取行动的法律依据和平台规则、采取行动的平均时间和中位时间、投诉数量、处理投诉的依据、投诉的处理结果、处理投诉的平均时间和中位时间,处理结果被推翻案例数等等。
▌(四)控制恶意投诉
平台可能会遇到消费者或者是伪装的消费者的恶意投诉,DSA第23条规定,在已经发出警告并经过合理期限后,在线平台有权暂停处理个人、公司或投诉人反复提交的明显毫无依据的通知和投诉。认定投诉者是否构成滥用权利,需要考量过去一年提交的无根据通知或投诉的绝对数量、相对过去一年提交的通知的相对比例、权利滥用的后果、投诉者的主观意图等因素。
注释