“守门人”个人信息保护社会责任评测2.0③：单独同意颗粒度不足，平台治理仍需加强

21世纪经济报道 王俊，吴立洋，钟雨欣，郑雪，诸未静，蔡姝越，冯恋阁 实习生赵灿畅，周颖，汤雨昕 北京，上海，广州报道

手机App收集的定位、通讯录，路过商店被拍下的照片，扫码填写的个人信息，信用卡欺诈，大数据杀熟……我们的脸、声音、数字轨迹，被各个主体收集，在察觉不到的地方被处理、使用。个人信息的被动出让几乎成为当代生活的宿命，也带来了越来越突出问题讨论：个人信息保护与数字经济发展之间究竟该如何平衡？

2021年8月20日，中国《个人信息保护法》颁布， 成为我国首部专门的个人信息保护方面的法律。《个人信息保护法》创设性提出了“守门人”条款，在第58条以4个款项200余字，规定了“守门人”平台需承担的义务与责任，以期抓住个人信息保护的关键和核心环节。

《个人信息保护法》实施后，“守门人”条款仍存在一定的适用性难题。2022年11月，南方财经全媒体集团与中国社会科学院法学所共同组成课题组（以下简称“课题组”）研发“守门人”社会责任指标体系，发布了《“守门人”个人信息保护社会责任测评报告》，为“守门人”平台社会责任履行提供了一把度量尺。

为积极推动“守门人”平台履行个人信息保护社会责任，课题组在1.0版本上，进一步迭代更新，形成了“守门人”个人信息保护社会责任测评指标2.0版，并于10月31日下午在2023（第九届）中国互联网法治大会上重磅发布《“守门人”个人信息保护社会责任测评指标报告2.0》。

单独同意能落地到场景，但颗粒度不够细致

课题组从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对20个大型平台企业的代表性App做出测评，根据公开的可查询渠道，严格依据指标，对这些“守门人”平台的社会责任履行情况做出判断。

20个被测App分别为微信、支付宝、淘宝、拼多多、美团、百度、抖音、高德地图、快手、顺丰速运、小米应用商城、新浪微博、滴滴出行、京东、华为应用商城、云闪付、携程旅行、猿辅导、小红书、网易云音乐。

在用户实际使用App产品的过程中，平台方对信息传输、存储具体的保障措施，以及对个人权利诉求的响应渠道和方式是对个人信息保护效果影响最大的环节。

近年来，随着各大平台企业合规建设的不断完善，各类加密、去标识化的安全技术措施以及App内个人行使查阅、复制、更正、删除等权利途径的落地，极大增强了平台方对个人信息的保障能力，也赋予了用户更多了解、掌握个人信息被采集使用情况的能力。

不过，测评团队发现，对于部分合规要求的落实细节和标准，不同平台企业的理解仍存在差异。例如，虽然本次所测的绝大部分App均表示已建立个人信息存储期限最小化制度，但不少未向用户解释“最小期限”的判定方式，也未根据具体某一个人信息字段或类型进行举例，语焉不详，用户实际上并不能知晓个人信息在平台保存的时间。

在向第三方提供个人信息方面，去年测评发现，大部分厂商采用了在登录App时单独勾选第三方信息共享协议的方式获得用户授权，存在“一键打包”的情况。

今年的测评结果则显示，很多被测App在具体场景中会弹出个人信息授权以获得单独同意，但在获取单独同意的界面往往只给出第三方信息处理者名称、所需的个人信息类型，不会详细介绍个人信息处理目的和处理方式，用户需查阅隐私政策等其他协议条款才能进一步了解。

某APP第三方获取个人信息授权界面

用户行权环节，响应速度提升，在App内个人信息查阅、复制以及相关文本的导出便捷度提升。

但如果用户想要进一步了解个人信息收集处理情况，只能通过客服和联系个人信息部门两种渠道，大量自动化回复机制会对提出的问题答非所问，无法给出有价值的信息；大部分人工客服也难以对具体问题给出明确的回复，较好的情况也只是复制隐私政策条款中的对应表述加以回复。联系个人信息部门基本是以邮箱形式，响应速度更慢。

在这样的客服响应能力下，当用户面对更加细化的个人信息保护问题时，很难从上述渠道处获得有效帮助。由此可见，大部分平台企业仍需要在流程机制和员工培训方面进一步改进。

平台治理仍需加强

根据《个人信息保护法》58条为守门人规定的4项义务，可以划分为直接义务与第三方义务两大类，可以理解为，守门人不但要自己遵守个人信息保护规定，还要利用其独特”角色”，明确平台内商户处理个人信息的规范和保护个人信息的义务，即“制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务”。

据此，指标中加入了“平台治理”的维度，从平台规则制定以及“管理者”义务履行两个角度，测评了“守门人”对平台内服务提供者个人信息处理行为的监督情况。测评发现，超过半数的平台企业均在个人信息和隐私保护方面制定了专门的管理条例或社区公约，对于平台服务提供者收集、使用个人信息的权利义务给出了具体要求，并为用户提供了平台参与者不合规行为的投诉渠道。

淘宝平台对商家不当获取使用信息的管理规定

不过，大部分平台给出的个人信息相关的规则往往较为简洁，对于具体的违规行为和对应的惩罚措施缺乏判定条件、处理标准的细节性介绍。

在管理方面，测评从平台抽检、服务提供者封禁、用户投诉处理三个层面观察平台如何对平台参与者进行检查及对不法行为进行处理。测评结果显示，与去年相比，今年测评有超过半数平台企业表示将会对违反法律、行政法规处理个人信息的平台内的产品或者服务提供者进行账号封禁等处理，几乎所有被测App提供了举报平台参与者违规行为的渠道，但仅有不到五分之一的平台企业公示了过去一年对相关违规者和行为，平台处理相关违规行为的过程和机制存在不透明性。

社会责任报告机制进展缓慢

《个人信息保护法》58条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当定期发布个人信息保护社会责任报告，接受社会监督。

在去年的测评中，测评团队曾指出，目前仍有多家企业并未发布专门个人信息保护社会报告，即便将ESG报告、企业总体社会责任报告等对外披露的内容都囊括在内，总体来看企业的年度总结和披露内容仍非常简略。

遗憾的是，自去年11月到今年11月，仅有个别平台企业在此前基础上完善了年度社会责任报告的披露机制，发行了单独的个人信息保护报告或丰富了此前报告的内容，且从披露的颗粒度而言，较去年未有非常明显的进步。

值得注意的是，鉴于同一家平台企业往往拥有不止一款APP产品（包括小程序、网页等），且不同产品间往往存在一定的个人信息共享传输机制，不同App所采集、使用个人信息的种类和方式亦各不相同，因此在社会责任报告中披露说明平台旗下的主要服务应用及其对应收集的个人信息类型，是社会在单独的App隐私政策外了解业务类型复杂的平台企业整体个人信息处理情况的重要方式，也利于企业从整体层面阐释自身的个人信息保护理念和合规机制建设情况。

而实际的报告内容中，受限于行文框架和篇幅等原因，虽然大部分企业均对整体的个保部门设置和平台规则进行了介绍，但很少涉及到具体的业务场景和个人信息的类型，业界仍需典型案例或明确的报告标准规范加以指导。

课题组负责人：周辉、王俊

测评指标制订人：周辉、王俊、娜迪娅、吴红强、卓柳俊、吴立洋、陈勇杰、吴晓燕

测评报告出品：南财合规科技研究院

统筹：王俊

测评人：陈勇杰、吴晓燕、王俊、吴立洋、蔡姝越、钟雨欣、冯恋阁、郑雪、诸未静、周颖、汤雨昕、温莹雪、赵灿畅