“守门人”个人信息保护社会责任评测①:敏感个人信息提示不充分,外部监督机制待完善

合规科技王俊,吴立洋,钟雨欣,郑雪,郭美婷,李润泽子,冯恋阁 2022-11-01 17:13

在制度体系与组织架构方面,所测平台均已就《个人信息保护法》建立起一套基本完整的个人信息合规框架,但仍有很多细节需加以完善。

南方财经全媒体 21世纪经济报道记者 王俊,吴立洋,钟雨欣,郑雪,郭美婷,李润泽子,冯恋阁,实习生骆婷 北京报道

编者按: 

伴随着数字经济发展,对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题,随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大,急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日,《个人信息保护法》正式施行,转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态,反映公众呼声。借此机会,将推出“南财个人信息保护月”系列活动,探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件,刊出个人信息保护特刊,并且举办线下高峰论坛。

法律的生命力在于实施,在完成立法后,《个人信息保护法》需司法和执法接力,也需要企业恪守法律要求。我们希望能借助媒体的力量,持续追踪问效,推动个人信息权益的保障,提升全社会个人信息保护的水位线。

《个人信息保护法》创设了“守门人”制度,对于提供重要互联网平台服务、拥有巨大用户数量的企业,要求其在自身恪守个人信息保护义务的同时,也应承担“守关者”的角色,对平台治理负有特别义务——“能力越大,责任越大”。

不过,依据《个人信息保护法》“守门人”企业应如何进行制度体系搭建,如何制定平台规则,如何披露个人信息保护社会责任报告?这些问题尚未得到明确答案。

中国社会科学院法学研究所与南方财经全媒体集团共同组成课题组研发“守门人”社会责任指标体系,从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对18家大型平台企业的代表性APP做出测评,根据公开的可查询渠道,严格依据指标,对这些“守门人”平台的社会责任履行情况做出判断。

在制度体系与组织架构方面,所测平台均已就《个人信息保护法》建立起一套基本完整的个人信息合规框架,但仍有很多细节需加以完善。例如,对敏感个人信息采集的用户提示存在不足,个人信息保护责任人职权设置有待明确,外部监督机构缺乏实践等,相关细则标准有待进一步明确与落实。

选取18家大型平台作为测评对象

按照《个人信息保护法》58条要求,“守门人”平台需“建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构”,“制定平台规则”,对严重违法的平台内经营者停止提供服务,并且要定期发布个人信息保护社会责任报告,接受社会监督。

课题组以该条规则为核心指标,吸收《个人信息保护法》其他相关法律规则为基本指标,并参考《数据出境安全评估办法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)等相关部门规章和技术标准对法律规则进行补充,从而形成本次“法律+技术”规则为主体的“守门人”个人信息保护社会责任测评指标。

本次测评共40项具体测评条目,从制度体系、组织架构、合规实践、平台治理、社会责任报告五个层面进行了实测。

测评对象为对18家大型平台企业,选取主要依照58条对“守门人”的定义:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,参照《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》选取产生。

18家大型平台企业分别为阿里、腾讯、字节跳动、美团、京东、拼多多、蚂蚁、华为、百度、新浪、网易、小米、快手、滴滴、携程、顺丰、小红书、中国银联,测评选取了这些大型平台企业旗下的代表性APP。

从测评总体结果来看,目前各大型平台APP基本满足《个人信息保护法》对于个人信息采集、存储、传输、使用以及相关制度体系公示的基本要求,且部分平台根据自身平台业务的实际情况在用户行权、流程公示等方面进行了前沿探索,但值得注意的是,在外部独立监督机构、企业个人信息保护社会责任报告等方面绝大部分平台尚未有突破,仍有较大的提升空间。

制度体系渐趋成熟 敏感个人信息保护工作有待加强

在用户使用APP的过程中,隐私政策文本与授权同意机制是用户了解与控制平台采集使用个人信息的主要渠道,二者也构成了用户端个人信息保护的基本制度体系。

其中,隐私政策文本应体现其独立性和易读性,清晰说明各项业务功能及收集个人信息类型,清晰说明收集使用个人信息行为,明确平台对用户权利保障。

就测评情况而言,不少平台已更迭自身的隐私政策,部分平台还提供了简化版,对个人信息采集、存储、共享、传输、使用以及用户行权情况进行了基本说明,基本已形成一套成熟的用户协议话语体系,能够较为完整、清晰地使用户知悉个人信息的使用情况与行权渠道。

测评结果显示,所有APP均在隐私政策中按照提供服务类型的不同对采集的个人信息种类进行了分类,较为清晰地列举了用户使用何种功能所需的个人信息类型;大部分平台都提供了隐私政策概要或个人信息采集清单等易于理解的形式,简单、直观地体现收集和使用个人信息的类型和场景。

此外,在获得用户授权向第三方共享个人信息方面,所测APP基本列出了涉及个人信息数据传输的第三方SDK清单,并对信息的使用目的、使用场景等进行了说明,在第三方联系方式公示方面,大部分APP采取的是直接贴出第三方隐私政策链接的形式,但也存在可直接跳转、可复制跳转、不可复制的查询便捷度差别。

值得注意的是,不同类型的个人信息对个人、企业的重要性不同,根据个人信息所属类型给予不同程度的保护,更能体现个人信息保护和利用的平衡,加强对敏感个人信息的保护。

但普遍来看,相关工作仍有较大的提升空间。部分APP隐私政策中并未明确区分或说明采集敏感个人信息;在获取用户身份信息、人脸信息等相关敏感信息时单独同意的提醒方式不够显著,或存在未进行提示的情况;对用户的敏感个人信息有单独同意的程序设置,但是对于平台内经营者的个人敏感信息采集存在不够规范提示的情况。

前沿实践:在信息分类管理方面,快手APP对个人敏感信息的定义和类型进行了明确说明,并在陈述不同应用场景个人信息采集情况时,对涉及个人敏感信息的部分进行了“下划线+加粗”的醒目提示,便于用户辨别理解。

携程制定了专门的《携程儿童个人信息保护规则及监护人须知》,并对敏感个人信息作出特别标注,敏感个人信息的单独同意授权方面,在权限调用时会出现弹窗(如位置授权),在实名认证环节,涉及真实姓名、身份证时,以勾选同意《身份信息验证服务协议》的形式获得授权。

图1:快手隐私保护政策截图

独立监督机构有待落地 大型平台普遍仍在“观望”阶段

将个人信息保护的责任与职能纳入组织架构设计,是从平台端保障隐私安全和数据合规的必由之路。根据《个人信息保护法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,个人信息处理者应当公开个人信息保护负责人的联系方式。此外,大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。

从目前测评结果来看,平台绝大部分已在内部建立专门的个人信息管理部门,统筹相关合规事宜,且在隐私政策或官网等渠道给出相关部门的联系方式,用户可通过联系主管部门或客服渠道实现对个人信息权利的行使。

但从测评结果也指出,目前大部分APP隐私政策所公示出的个人信息保护负责人大部分均未明确其身份或职务,联系方式大部分为部门电话或邮箱,用户无法获知负责人的具体信息和其对自己个人信息承担的责任,相关公示内容有待进一步完善补充。

在独立监督架构方面,同样存在不少问题。仅有个别平台企业对外表明,已开展外部独立监督机构建设,且就测评团队与企业、研究机构等相关单位交流结果看,目前关于外部独立监督机构在人员选择、组织架构等方面仍未有细则标准。

在已经公开表示将会设立外部监督机构的企业(微信、携程),目前也尚未有进一步动态,关于监督机构成员的选聘过程、人员构成比例、具体工作内容,或许需要更为明确的监管规则或业界实践加以指引。

前沿实践:根据目前公开的信息,腾讯和携程公布了招募启事。腾讯的招募公告显示,委员会首批成员暂定为15人,计划包括法学与技术专家、行业协会代表等个人信息保护领域的专业人士,也将涵盖律师、媒体以及其他公众。首批成员将通过公开招募和定向邀请等方式产生。工作内容将包括但不限于:结合相关法律法规要求,独立评议腾讯公司及各产品隐私保护相关工作、提出指导和修改建议等。略遗憾的是,相关独立机构尚未正式披露。

(作者:王俊,吴立洋,钟雨欣,郑雪,郭美婷,李润泽子,冯恋阁 编辑:王俊)

王俊向TA提问

记者

做数字经济时代的观察者。微信:wangdajun0117

吴立洋向TA提问

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926