“守门人”个人信息保护社会责任评测2.0②：隐私政策显著完善，独立监督机构进展缓慢

21世纪经济报道 王俊，吴立洋，钟雨欣，郑雪，诸未静，蔡姝越，冯恋阁 实习生赵灿畅，周颖，汤雨昕 北京，上海，广州报道

手机App收集的定位、通讯录，路过商店被拍下的照片，扫码填写的个人信息，信用卡欺诈，大数据杀熟……我们的脸、声音、数字轨迹，被各个主体收集，在察觉不到的地方被处理、使用。个人信息的被动出让几乎成为当代生活的宿命，也带来了越来越突出问题讨论：个人信息保护与数字经济发展之间究竟该如何平衡？

2021年8月20日，中国《个人信息保护法》颁布， 成为我国首部专门的个人信息保护方面的法律。《个人信息保护法》创设性提出了“守门人”条款，在第58条以4个款项200余字，规定了“守门人”平台需承担的义务与责任，以期抓住个人信息保护的关键和核心环节。

《个人信息保护法》实施后，“守门人”条款仍存在一定的适用性难题。2022年11月，南方财经全媒体集团与中国社会科学院法学所共同组成课题组（以下简称“课题组”）研发“守门人”社会责任指标体系，发布了《“守门人”个人信息保护社会责任测评报告》，为“守门人”平台社会责任履行提供了一把度量尺。

为积极推动“守门人”平台履行个人信息保护社会责任，课题组在1.0版本上，做了进一步迭代更新，形成了“守门人”个人信息保护社会责任测评指标2.0版，并在10月31日下午在2023（第九届）中国互联网法治大会上重磅发布《“守门人”个人信息保护社会责任测评指标报告2.0》。

测评体系更新

《个人信息保护法》创设了“守门人”制度，对于提供重要互联网平台服务、拥有巨大用户数量的企业，要求其在自身恪守个人信息保护义务的同时，也应承担“守关者”的角色，对平台治理负有特别义务——“能力越大，责任越大”。

按照《个人信息保护法》58条要求，“守门人”平台需“建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构”，“制定平台规则”，对严重违法的平台内经营者停止提供服务，并且要定期发布个人信息保护社会责任报告，接受社会监督。

课题组以个人信息保护法58条规则为核心指标，吸收《个人信息保护法》其他相关法律规则为基本指标，并参考《数据出境安全评估办法》、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）、《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（GB/T 41391-2022）等相关部门规章和技术标准对法律规则进行补充，形成了个人信息保护社会责任测评指标1.0版本。2023年个人信息保护工作向前迈进，规则体系愈加完善，课题组在指标1.0的基础之上，吸收了《个人信息保护合规审计管理办法（征求意见稿）》中具有操作性的条款，迭代更新形成了指标2.0。

团队严格依据指标，对20个大型平台企业的代表性App做出测评，根据公开的可查询渠道，严格依据指标，对这些“守门人”平台的社会责任履行情况做出判断。

20个被测App为微信、支付宝、淘宝、拼多多、美团、百度、抖音、高德地图、快手、顺丰速运、小米应用商城、新浪微博、滴滴出行、京东、华为应用商城、云闪付、携程旅行、猿辅导、小红书、网易云音乐。

从整体测评结果来看，各大“守门人”平台企业个人信息保护机制相较于去年有较大进步，部分合规要求落实情况在过去一年进一步细化，此前在个别测评项存在不足的也有了改善与优化。

不过，测评团队在今年的测试中发现，独立监督机构、个人信息保护社会责任报告等执行细则尚不明确或难度较高的合规要求，今年亦较少有企业取得进一步进展。对于部分存在解释模糊地带的环节，个别企业在执行方面甚至有所放松，相关合规实践仍需明确的实践案例或具体的政策文件加以指导。

隐私政策进一步完善

隐私政策是用户了解App对个人信息采集使用基本情况，获取个人信息行权渠道指引的最直接渠道，近年来，围绕《个人信息保护法》等法律法规的各项要求，平台对隐私政策进行了多轮完善，可喜的是，目前大部分App已形成一套结构严谨、内容完备的隐私政策模板，并在此基础上不断进行完善。

例如，本次所测大部分App的隐私政策均在具体业务场景中详细列举可能收集的个人信息种类，并通过加粗、加下划线等方式区分了敏感个人信息；在“用户权利”相关章节，对于用户如何行使查阅、复制、更正、删除等权利进行了完整描述；针对未满十四周岁的未成年人，所测所有App均有专门的独立个人信息保护规则，进一步明确未成年用户个人信息保护的相关情况。

但需指出的是，虽整体框架和内容上已相对成熟，但当前所测App的隐私政策在便捷性和完整性方面仍然有所欠缺。例如，在隐私政策查询及下载方面，只有部分App支持查阅以往不同版本的隐私政策，也并未表明版本更新调整了隐私政策的哪些方面，由于只能在特定页面查看且不能下载，面对长篇累牍的政策文本，用户也较难检索查阅特定个人信息保护内容。

京东隐私政策支持查阅旧版本

此外，部分APP的隐私政策对于所采集的个人信息种类，可能存在“等”“相关信息”等概括性表述，按照《个人信息保护法》要求，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式，处理的个人信息种类、保存期限，这种对于采集字段列举并不完全的情况，显然有悖于“准确、完整”的立法要求。

值得肯定的是，在对外共享、公开、转让个人信息方面，大部分APP均披露了较为完整的信息，以单独表格或共享清单的形式列举了对外传输个人信息的对象、目的、传输方式以及自身为保障传输安全采取的措施等。基本会通过给出对应接收方官网连接或隐私政策链接等方式为用户提供了检阅、联系相关数据接收方具体情况的渠道，但也存在缺乏更为明确的联系方式，部分存在跳转不方便等问题。

独立监督机构进展缓慢

《个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

从当前所测App的实践成果来看，其均通过隐私政策、客服选项、社会责任报告等途径公示了专门的个人信息保护负责人及专门处理个人信息保护相关事务的部门，并提供了电话、邮箱等直接向相关负责人和部门反馈问题的渠道。

支付宝隐私权政策中关于隐私保护部门的相关表述。

此外，大部分App也表示有部门或工作人员专门处理未成年人隐私保护相关问题，通常隶属于整体的隐私管理部门或客服部门。由此可见，当前大部分“守门人”平台企业在内部管理机制层面，已建立安排专职人员和队伍处理个人信息保护事宜，提升用户个人信息诉求响应效率和专业性。

不过，从用户的角度来看，仍无法获知负责人的具体信息和其承担的责任，相关公示内容有待进一步完善补充。

在独立监督机构方面，同去年相比，大部分平台企业在落地该合规要求方面未有更多进展。

据《个人信息保护法》58条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。

作为大型互联网平台企业公司治理的一部分，独立监督机构相较于公司内部机构保持相对独立性，其组成人员应满足一定的资质要求。在职责范围上，外部独立监督机构需要对大型互联网平台企业个人信息保护的合规情况，以及企业对用户个人信息处理活动予以监督、指导，对其合规建设情况提出建议和意见。

去年测评中，根据公开信息，只有腾讯、携程对外表明，已开展外部独立监督机构建设。今年唯一的实践进展来自于蚂蚁。

今年3月，蚂蚁集团设立个人信息保护监督委员会并举行了2023年度首次会议，对其2022年相关工作报告、2023年相关工作规划进行评议和讨论。据悉，该监委会设立于2022年下旬，由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立，首批委员共5人，人员名单对外公开。

蚂蚁集团个人信息保护监督委员会委员名单及职责权限介绍。

除此以外，测评团队通过公开渠道再无发现本次所测平台企业有其他设立个人信息保护外部独立监督机构的进展情况披露。

不过，今年8月底，全国信息安全标准化技术委员会发布国家标准《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》征求意见稿， 该要求的发布意味着《个人信息保护法》第五十八条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。

目前该标准仍在征求意见阶段， 按照目前的要求，大型互联网企业应在六个月内成立个人信息保护监督机构，对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成，其中外部成员占比不低于三分之二。

如若该标准正式公布，这意味着一直“按兵不动”的大厂们需要加快进度补齐独立监督机构建设。

课题组负责人：周辉、王俊

测评指标制订人：周辉、王俊、娜迪娅、吴红强、卓柳俊、吴立洋、陈勇杰、吴晓燕、尤一炜

测评报告出品：南财合规科技研究院

统筹：王俊

测评人：陈勇杰、吴晓燕、王俊、吴立洋、蔡姝越、钟雨欣、冯恋阁、郑雪、诸未静、周颖、汤雨昕、温莹雪、赵灿畅