“守门人”个人信息保护社会责任测评报告首发①:敏感个人信息提示不充分,外部监督机制待完善

21世纪经济报道 南方财经全媒体记者吴立洋,李润泽子,本报记者王俊,郭美婷,见习记者钟雨欣,郑雪,冯恋阁,实习生骆婷
2022-11-03 05:00

在制度体系与组织架构方面,所测平台均已就《个人信息保护法》建立起一套基本完整的个人信息合规框架,但仍有很多细节需加以完善。

《个人信息保护法》实施一周年 是否打破被动让渡个人信息的宿命 “个人信息保护法实施一周年实践与展望”高峰论坛在京举行 平台主体责任落实成关注焦点 《个人信息保护法》颁布一年后 中国互联网大厂仍难以进入“守门人”角色? 展开更多

编者按

数字时代坐拥庞大用户数量以及绝对技术与数据优势的大型平台,掌管着人们进入互联网世界的信息入口,形塑公众的行为习惯,也改变着数字经济社会秩序。“能力越大,责任越大”已成为对大型平台的期待共识,“数字守门人”也逐渐被各司法辖区引入。

2021年8月20日,中国《个人信息保护法》颁布,创设性提出了“守门人”条款,在第58条以4个款项200余字,规定了“守门人”平台需承担的义务与责任,以期抓住个人信息保护的关键和核心环节。

值此《个人信息保护法》实施一周年之际,南方财经集团与中国社会科学院法学所共同组成课题组研发“守门人”社会责任指标体系,以期为“守门人”平台社会责任履行提供一把度量尺。

在指标体系基础上,我们对18家大型平台企业的代表性APP做出测评,根据公开的可查询渠道,严格依据指标,对这些“守门人”平台的社会责任履行情况做出判断,并形成测评报告,希望作为参考,助推大型平台履行“守门人”义务。

不同类型的个人信息对个人、企业的重要性不同,根据个人信息所属类型给予不同程度的保护,更能体现个人信息保护和利用的平衡,加强对敏感个人信息的保护。视觉中国

《个人信息保护法》创设了“守门人”制度,对于提供重要互联网平台服务、拥有巨大用户数量的企业,要求其在自身恪守个人信息保护义务的同时,也应承担“守关者”的角色,对平台治理负有特别义务——“能力越大,责任越大”。

不过,依据《个人信息保护法》“守门人”企业应如何进行制度体系搭建,如何制定平台规则,如何披露个人信息保护社会责任报告?这些问题尚未得到明确答案。

中国社会科学院法学研究所与南方财经全媒体集团共同组成课题组研发“守门人”社会责任指标体系,从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对18家大型平台企业的代表性APP做出测评,根据公开的可查询渠道,严格依据指标,对这些“守门人”平台的社会责任履行情况做出判断。

在制度体系与组织架构方面,所测平台均已就《个人信息保护法》建立起一套基本完整的个人信息合规框架,但仍有很多细节需加以完善。例如,对敏感个人信息采集的用户提示存在不足,个人信息保护责任人职权设置有待明确,外部监督机构缺乏实践等,相关细则标准有待进一步明确与落实。

选取18家大型平台作为测评对象

按照《个人信息保护法》58条要求,“守门人”平台需“建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构”,“制定平台规则”,对严重违法的平台内经营者停止提供服务,并且要定期发布个人信息保护社会责任报告,接受社会监督。

课题组以该条规则为核心指标,吸收《个人信息保护法》其他相关法律规则为基本指标,并参考《数据出境安全评估办法》、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)等相关部门规章和技术标准对法律规则进行补充,从而形成本次“法律+技术”规则为主体的“守门人”个人信息保护社会责任测评指标。

本次测评共40项具体测评条目,从制度体系、组织架构、合规实践、平台治理、社会责任报告五个层面进行了实测。

测评对象为对18家大型平台企业,选取主要依照58条对“守门人”的定义:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,参照《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》选取产生。

18家大型平台企业分别为阿里、腾讯、字节跳动、美团、京东、拼多多、蚂蚁、华为、百度、新浪、网易、小米、快手、滴滴、携程、顺丰、小红书、中国银联,测评选取了这些大型平台企业旗下的代表性APP。

从测评总体结果来看,目前各大型平台APP基本满足《个人信息保护法》对于个人信息采集、存储、传输、使用以及相关制度体系公示的基本要求,且部分平台根据自身平台业务的实际情况在用户行权、流程公示等方面进行了前沿探索,但值得注意的是,在外部独立监督机构、企业个人信息保护社会责任报告等方面绝大部分平台尚未有突破,仍有较大的提升空间。

制度体系渐趋成熟 敏感个人信息保护工作有待加强

在用户使用APP的过程中,隐私政策文本与授权同意机制是用户了解与控制平台采集使用个人信息的主要渠道,二者也构成了用户端个人信息保护的基本制度体系。

其中,隐私政策文本应体现其独立性和易读性,清晰说明各项业务功能及收集个人信息类型,清晰说明收集使用个人信息行为,明确平台对用户权利保障。

就测评情况而言,不少平台已更迭自身的隐私政策,部分平台还提供了简化版,对个人信息采集、存储、共享、传输、使用以及用户行权情况进行了基本说明,基本已形成一套成熟的用户协议话语体系,能够较为完整、清晰地使用户知悉个人信息的使用情况与行权渠道。

测评结果显示,所有APP均在隐私政策中按照提供服务类型的不同对采集的个人信息种类进行了分类,较为清晰地列举了用户使用何种功能所需的个人信息类型;大部分平台都提供了隐私政策概要或个人信息采集清单等易于理解的形式,简单、直观地体现收集和使用个人信息的类型和场景。

此外,在获得用户授权向第三方共享个人信息方面,所测APP基本列出了涉及个人信息数据传输的第三方SDK清单,并对信息的使用目的、使用场景等进行了说明,在第三方联系方式公示方面,大部分APP采取的是直接贴出第三方隐私政策链接的形式,但也存在可直接跳转、可复制跳转、不可复制的查询便捷度差别。

值得注意的是,不同类型的个人信息对个人、企业的重要性不同,根据个人信息所属类型给予不同程度的保护,更能体现个人信息保护和利用的平衡,加强对敏感个人信息的保护。

但普遍来看,相关工作仍有较大的提升空间。部分APP隐私政策中并未明确区分或说明采集敏感个人信息;在获取用户身份信息、人脸信息等相关敏感信息时单独同意的提醒方式不够显著,或存在未进行提示的情况;对用户的敏感个人信息有单独同意的程序设置,但是对于平台内经营者的个人敏感信息采集存在不够规范提示的情况。

前沿实践:在信息分类管理方面,快手APP对个人敏感信息的定义和类型进行了明确说明,并在陈述不同应用场景个人信息采集情况时,对涉及个人敏感信息的部分进行了“下划线+加粗”的醒目提示,便于用户辨别理解。

携程制定了专门的《携程儿童个人信息保护规则及监护人须知》,并对敏感个人信息作出特别标注,敏感个人信息的单独同意授权方面,在权限调用时会出现弹窗(如位置授权),在实名认证环节,涉及真实姓名、身份证时,以勾选同意《身份信息验证服务协议》的形式获得授权。

独立监督机构有待落地 大型平台普遍仍在“观望”阶段

将个人信息保护的责任与职能纳入组织架构设计,是从平台端保障隐私安全和数据合规的必由之路。根据《个人信息保护法》规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,个人信息处理者应当公开个人信息保护负责人的联系方式。此外,大型平台应“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。

从目前测评结果来看,平台绝大部分已在内部建立专门的个人信息管理部门,统筹相关合规事宜,且在隐私政策或官网等渠道给出相关部门的联系方式,用户可通过联系主管部门或客服渠道实现对个人信息权利的行使。

但从测评结果也指出,目前大部分APP隐私政策所公示出的个人信息保护负责人大部分均未明确其身份或职务,联系方式大部分为部门电话或邮箱,用户无法获知负责人的具体信息和其对自己个人信息承担的责任,相关公示内容有待进一步完善补充。

在独立监督架构方面,同样存在不少问题。仅有个别平台企业对外表明,已开展外部独立监督机构建设,且就测评团队与企业、研究机构等相关单位交流结果看,目前关于外部独立监督机构在人员选择、组织架构等方面仍未有细则标准。

在已经公开表示将会设立外部监督机构的企业(微信、携程),目前也尚未有进一步动态,关于监督机构成员的选聘过程、人员构成比例、具体工作内容,或许需要更为明确的监管规则或业界实践加以指引。

前沿实践:根据目前公开的信息,腾讯和携程公布了招募启事。腾讯的招募公告显示,委员会首批成员暂定为15人,计划包括法学与技术专家、行业协会代表等个人信息保护领域的专业人士,也将涵盖律师、媒体以及其他公众。首批成员将通过公开招募和定向邀请等方式产生。工作内容将包括但不限于:结合相关法律法规要求,独立评议腾讯公司及各产品隐私保护相关工作、提出指导和修改建议等。略遗憾的是,相关独立机构尚未正式披露。

(作者:南方财经全媒体记者吴立洋,李润泽子,本报记者王俊,郭美婷,见习记者钟雨欣,郑雪,冯恋阁,实习生骆婷 编辑:王俊)

郭美婷

记者

数字经济观察者,聚焦数据产业、数据基础制度、个人信息保护等。欢迎探讨交流!微信:gmt_lalala2017