“守门人”个人信息保护社会责任评测②：单独同意变打包同意，社会责任报告制度仍需落实

南方财经全媒体 21世纪经济报道记者 王俊，吴立洋，钟雨欣，郑雪，郭美婷，李润泽子，冯恋阁，实习生骆婷 北京报道

编者按：

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

《个人信息保护法》创设了“守门人”制度，对于提供重要互联网平台服务、拥有巨大用户数量的企业，要求其在自身恪守个人信息保护义务的同时，也应承担“守关者”的角色，对平台治理负有特别义务——“能力越大，责任越大”。

不过，依据《个人信息保护法》“守门人”企业应如何进行制度体系搭建，如何制定平台规则，如何披露个人信息保护社会责任报告？这些问题尚未得到明确答案。

中国社会科学院法学研究所与南方财经全媒体集团共同组成课题组研发“守门人”社会责任指标体系，从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对18家大型平台企业的代表性APP做出测评，根据公开的可查询渠道，严格依据指标，对这些“守门人”平台的社会责任履行情况做出判断。

本次测评发现，在个性化推荐控制权，用户对个人信息查阅、复制、更正、删除等权利的实现方面，各平台基本已通过平台内实现+外部客服的方式加以落实，但在单独同意方式、存储期限知悉等方面仍存在不足；且除隐私政策外，企业缺乏其他诸如平台参与者个人信息保护管理情况公示、个人信息社会责任报告等形式，对平台运作过程中的实际合规情况进行披露，相关制度体系建设仍需进一步落实。

“一键打包”同意较为普遍 是否属于“单独同意”存争议

合规实践层面，本次评测部分内容参考了《信息安全技术 个人信息安全规范》（GB/T 35273-2020），对平台企业处理个人信息的具体操作流程进行了分析。

《个人信息保护法》赋予用户充分权利，包括查阅、复制、更正、撤回同意、删除、注销账号等，企业对公众权利实现的响应是保护个人信息主体的权利救济。

根据测评结果，除个别因技术手段或业务类型难以实现的情况外，绝大部分用户权利均具备了较为便捷的行权渠道。其中，查阅权、更正权、撤回同意大部分在APP内即可实现，部分APP还提供了个人信息搜集清单的功能，用户可按照种类查看自身被调取的个人信息类型和使用的次数。在复制权和删除权方面，部分权利响应需要发送邮件请求，程序较为复杂。

在个人信息存储和传输安全保障方面，所有平台企业均表示自己采用了加密、去标识化等技术手段实现对整个过程安全性的保障，技术层面安全保障落实情况良好。

但是仍有一些问题需要加以明确，例如，《个人信息保护法》规定在向其他个人信息处理者提供个人信息时，相关主体也需要取得用户的单独同意。目前所测APP普遍采取的做法是在用户初次使用APP时以弹窗或勾选的形式让用户对第三方SDK传输清单等进行确认，用户对于在何处需要进行第三方共享缺乏更为直观的认识，且这种“一键打包”同意的形式是否属于单独同意范畴也存在一定争议。

此外，存储期限的问题较为突出。虽然所有APP均表明，自身将遵守最小期限存储原则，但对于哪类信息按照怎样的标准存储多久，大部分隐私政策中对此均语焉不详，会宣称“我们会将产品所需个人信息根据不同的合法处理理由所需的保存期限内进行保存”，“所述目的所必需且最短时限内存储您的信息”“按照相关法律法规”等，但鲜有就具体存储期限进行说明或解释的。

在公众关心的个性化推荐方面，《个人信息保护法》规定：通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。所有APP基本落实了关闭个性化推荐的便捷选项，但部分APP的表述是“限制”或“减少”个性化推荐，而非完全关闭。

前沿实践：个性化推荐管理的实践中，淘宝、百度等APP均设置了功能，使得用户可以直接调整自己的兴趣内容，对个人信息处理结果的决定权得到落实。而选择停用相关标签后，APP将停止或减少对相关内容的推送比例，相较于被动选择“不感兴趣”的方式，这种标签选择的做法一方面可以使得用户了解自己的用户画像情况，另一方面在个性化选择方面掌握了更为主动的行权途径。

图1、2：淘宝、百度APP个性化标签选择界面

“守门人”责任需落到实处 平台治理实践提升空间大

在实践中，平台参与者的构成和种类往往是复杂的，例如在电商平台，店铺商家、直播者商品内容测评创作者乃至普通用户均可被视为平台参与者。而作为提供平台服务的“守门人”，企业应对参与者涉及用户个人信息处理的行为承担管理责任，从制定平台政策并采取管理措施，确保平台参与者符合个人信息处理的基本合规要求。

需要在此说明的是，本次测评主要选取在平台上为其他用户提供商品或服务，能够接触到用户个人信息的1-3类主要平台参与者，以用户的视角在APP、官网等渠道进行检索，旨在检验平台是否制定规定保护用户，并对相关规定在公开渠道进行了公示。

从测评结果看，超过半数的平台均发布了相关管理条例或社区公约，要求平台参与者保障个人信息安全，内容涉及平台参与者需获得用户授权、不得随意公开用户信息、不得随意管理、跟踪用户账号等，并对用户提供了针对平台参与者不合规行为的投诉渠道。部分平台会设置“规则中心”，集纳平台公告、规则，相关规则较为完善。

需要指出的是，部分则对平台参与者的个人信息保护要求相对较为笼统、模糊，只简单说明平台参与者需要进行个人信息保护或采取相关措施，但并未根据平台属性和参与者在平台从事的具体服务类型落实到具体的责任要求，其规则制定需进一步明晰完善。

此外，平台治理实践及其公示情况仍存不足，目前只有少数平台企业表明会定期对平台参与者个人信息合规情况进行检查，且对不合规的主体进行惩处，例如华为应用商店在每个应用介绍界面均给出了该APP采集的隐私信息和需要的权限内容，且定期进行检查，下架违规应用，并对结果进行公示，这也是因为两款应用商店的平台参与者基本为其他APP的运营主体有关。

但其他电商类、内容服务类平台，虽然部分也存在对违规主体的公示情况，但并未专门针对个人信息违规的情况进行披露，且公示周期和检查机制并未公开。

图3、4：华为应用商店APP隐私权限公示截图及报告中涉及违规APP处理情况截图

多数平台缺乏独立个人信息保护企业社会责任报告

《个人信息保护法》58条明确规定“守门人”企业需定期发布个人信息保护社会责任报告，接受社会监督。通过发布社会责任报告的方式，用户可以从平台企业经营理念、商业走向、业务线关系等角度进一步了解其个人信息保护情况，丰富数据合规自律与他律的维度。

就目前在APP内及企业官网等渠道查询到的相关报告情况来看，目前大部分企业均采用了在整体ESG报告、社会责任报告中设置一个专题或章节的形式，对个人信息合规情况进行说明，其披露内容往往与数据安全相关联，例如微信ESG报告在“负责任产品”章节中对隐私保护的管理方法、方法和程序、安全保障等方面的内容进行了展示，涉及个人信息保护的安全原则、监管要求、技术手段等。

但纵观18个测评对象的个人信息相关的社会责任报告情况，实际的披露信息质量参差不齐。在部分APP及其开发者的社会责任报告中，仅有一小段简单提及会重视个人信息保护，具体采集的个人信息类型、应用情况等关键内容并非在所有报告中均被提及。

目前《个人信息保护法》落地已有一年，根据法律规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应定期发布个人信息保护社会责任报告，接受社会监督。

就测评结果而言，只有少数企业专门针对个人信息或数据安全情况做出了社会责任报告，且根据实际提供的服务不同对相关情况进行了分类说明（华为、百度），行业整体对社会责任报告的落实情况有待进一步提升。

前沿实践：社会责任报告方面，在普遍水位线偏低的情况下，华为专门针对个人信息或数据安全情况做出了社会责任报告，发布《华为应用市场2021年度安全隐私报告》，其中提到，华为应用市场不断强化隐私保护功能、优化信息呈现方式，无论是用户的知情权和对个人信息的自主控制权，还是儿童保护方案，都有明显的优化和提升。

并且作为“管理者”，还公布了在平台内的治理情况，2021 年华为应用市场处理了超过百万次应用上架申请，其中在 24 小时内审核完成的审结率达 95%；同时对隐私政策、游戏防沉迷系统、应用内广告、未成年人保护、应用“变脸”等专项展开复测，复测应用超过 20 万款，主动处置问题应用超过 6 万款。