重磅:南財發(fā)布“守門人”個人信息保護(hù)社會責(zé)任測評報告2.0
21世紀(jì)經(jīng)濟(jì)報道王俊,吳立洋,鐘雨欣,鄭雪,諸未靜,蔡姝越,馮戀閣實(shí)習(xí)生趙燦暢,周穎,湯雨昕,溫瑩雪,劉悅行北京,上海,廣州報道
2023年11月1日,《個人信息保護(hù)法》正式實(shí)施兩周年。
作為我國首部專門的個人信息保護(hù)方面的法律,《個人信息保護(hù)法》創(chuàng)設(shè)性地提出了“守門人”條款,在第58條以4個款項(xiàng)200余字,規(guī)定了大型平臺需承擔(dān)的義務(wù)與責(zé)任,以期抓住個人信息保護(hù)的關(guān)鍵和核心環(huán)節(jié)。
《個人信息保護(hù)法》實(shí)施后,“守門人”條款仍存在一定的適用性難題。2022年11月,南方財經(jīng)全媒體集團(tuán)與中國社會科學(xué)院法學(xué)所共同組成課題組(以下簡稱“課題組”)研發(fā)“守門人”社會責(zé)任指標(biāo)體系,發(fā)布了《“守門人”個人信息保護(hù)社會責(zé)任測評報告》,為“守門人”平臺社會責(zé)任履行提供了一把度量尺。
為繼續(xù)推動“守門人”平臺履行個人信息保護(hù)社會責(zé)任,課題組在指標(biāo)1.0版本上,做了迭代更新,形成“守門人”個人信息保護(hù)社會責(zé)任測評指標(biāo)2.0,并于10月31日在2023(第九屆)中國互聯(lián)網(wǎng)法治大會上重磅發(fā)布《“守門人”個人信息保護(hù)社會責(zé)任測評指標(biāo)報告2.0》。
指標(biāo)迭代更新引入南財數(shù)據(jù)合規(guī)管理平臺技術(shù)手段檢測
對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、擁有巨大用戶數(shù)量的企業(yè),《個人信息保護(hù)法》創(chuàng)設(shè)了“守門人”制度,要求其在自身恪守個人信息保護(hù)義務(wù)的同時,也應(yīng)承擔(dān)“守關(guān)者”的角色,對平臺治理負(fù)有特別義務(wù)——“能力越大,責(zé)任越大”。
按照《個人信息保護(hù)法》第58條要求,“守門人”企業(yè)需“建立健全個人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”,“制定平臺規(guī)則”,對嚴(yán)重違法的平臺內(nèi)經(jīng)營者停止提供服務(wù),并且要定期發(fā)布個人信息保護(hù)社會責(zé)任報告,接受社會監(jiān)督。
不過,依據(jù)《個人信息保護(hù)法》,“守門人”企業(yè)應(yīng)如何進(jìn)行制度體系搭建,如何制定平臺規(guī)則,如何披露個人信息保護(hù)社會責(zé)任報告?這些問題尚未得到明確答案。
課題組研發(fā)“守門人”社會責(zé)任指標(biāo)體系,從制度體系建設(shè)、組織架構(gòu)、合規(guī)實(shí)踐、平臺治理與社會責(zé)任報告五個維度對20個大型平臺企業(yè)的代表性App做出測評,根據(jù)公開的可查詢渠道,嚴(yán)格依據(jù)指標(biāo),對這些“守門人”平臺的社會責(zé)任履行情況做出判斷。
選取測試對象的標(biāo)準(zhǔn)主要依照《個人信息保護(hù)法》第58條對“守門人”的定義:“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”,并參照市場監(jiān)管總局出臺的《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》及《互聯(lián)網(wǎng)平臺落實(shí)主體責(zé)任指南(征求意見稿)》。
20個被測App分別為微信、支付寶、淘寶、拼多多、美團(tuán)、百度、抖音、高德地圖、快手、順豐速運(yùn)、小米應(yīng)用商城、新浪微博、滴滴出行、京東、華為應(yīng)用商城、云閃付、攜程旅行、猿輔導(dǎo)、小紅書、網(wǎng)易云音樂。
課題組以《個人信息保護(hù)法》第58條規(guī)則為核心指標(biāo),吸收《個人信息保護(hù)法》其他條款及相關(guān)法律規(guī)則為基本指標(biāo),并參考《數(shù)據(jù)出境安全評估辦法》、《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020)、《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本要求》(GB/T 41391-2022)等相關(guān)部門規(guī)章和技術(shù)標(biāo)準(zhǔn)對法律規(guī)則進(jìn)行補(bǔ)充,形成了個人信息保護(hù)社會責(zé)任測評指標(biāo)1.0版本。2023年個人信息保護(hù)工作向前邁進(jìn),規(guī)則體系愈加完善,課題組在指標(biāo)1.0的基礎(chǔ)之上,吸收了《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》等,對指標(biāo)進(jìn)行了迭代更新。
值得注意的是,今年的指標(biāo)測評引入了南方財經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面進(jìn)行了測評。
制度體系:隱私政策進(jìn)一步完善便捷性仍存不足
隱私政策是用戶了解App對個人信息采集使用基本情況,獲取個人信息行權(quán)渠道指引的最直接途徑,近年來,圍繞《個人信息保護(hù)法》等法律法規(guī)的各項(xiàng)要求,平臺對隱私政策進(jìn)行了多輪完善,可喜的是,目前大部分App已形成一套結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備的隱私政策模板,并在此基礎(chǔ)上不斷進(jìn)行完善。
例如,本次所測大部分App的隱私政策均在具體業(yè)務(wù)場景中詳細(xì)列舉了可能收集的個人信息種類,并通過加粗、加下劃線等方式區(qū)分了敏感個人信息;在“用戶權(quán)利”相關(guān)章節(jié),對于用戶如何行使查閱、復(fù)制、更正、刪除等權(quán)利進(jìn)行了完整描述;針對未滿十四周歲的未成年人,所測所有App均有專門的獨(dú)立個人信息保護(hù)規(guī)則,進(jìn)一步明確未成年用戶個人信息保護(hù)的相關(guān)情況。
但需指出的是,雖整體框架和內(nèi)容上已相對成熟,但當(dāng)前所測App的隱私政策在便捷性和完整性方面仍然有所欠缺。例如,在隱私政策查詢及下載方面,只有部分App支持查閱以往不同歷史版本的隱私政策,也并未表明版本更新調(diào)整了隱私政策的哪些方面,由于只能在特定頁面查看且不能下載,面對長篇累牘的政策文本,用戶也較難檢索查閱特定個人信息保護(hù)內(nèi)容。
此外,部分App的隱私政策對于所采集的個人信息種類,可能存在“等”“相關(guān)信息”等概括性表述,按照《個人信息保護(hù)法》要求,個人信息處理者在處理個人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個人告知個人信息的處理目的、處理方式,處理的個人信息種類、保存期限,這種對于采集字段列舉并不完全的情況,有悖于“準(zhǔn)確、完整”的立法要求。
值得肯定的是,在對外共享、公開、轉(zhuǎn)讓個人信息方面,大部分App均披露了較為完整的信息,以單獨(dú)表格或共享清單的形式列舉了對外傳輸個人信息的對象、目的、傳輸方式以及自身為保障傳輸安全采取的措施等。
組織架構(gòu):獨(dú)立監(jiān)督機(jī)構(gòu)進(jìn)展依舊緩慢相應(yīng)國家標(biāo)準(zhǔn)正在進(jìn)行
據(jù)《個人信息保護(hù)法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督。
作為大型互聯(lián)網(wǎng)平臺企業(yè)公司治理的一部分,獨(dú)立監(jiān)督機(jī)構(gòu)相較于公司內(nèi)部機(jī)構(gòu)保持相對獨(dú)立性,其組成人員應(yīng)滿足一定的資質(zhì)要求。在職責(zé)范圍上,外部獨(dú)立監(jiān)督機(jī)構(gòu)需要對大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護(hù)的合規(guī)情況,以及企業(yè)對用戶個人信息處理活動予以監(jiān)督、指導(dǎo),對其合規(guī)建設(shè)情況提出建議和意見。
去年測評中,根據(jù)公開信息,只有騰訊、攜程對外表明,已開展外部獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。今年唯一的實(shí)踐進(jìn)展來自于螞蟻。
今年3月,螞蟻集團(tuán)設(shè)立個人信息保護(hù)監(jiān)督委員會并舉行了2023年度首次會議,對其2022年相關(guān)工作報告、2023年相關(guān)工作規(guī)劃進(jìn)行評議和討論。據(jù)悉,該監(jiān)委會設(shè)立于2022年下旬,由螞蟻集團(tuán)董事會、董事會隱私保護(hù)及數(shù)據(jù)安全委員會批準(zhǔn)設(shè)立,首批委員共5人,人員名單對外公開。
除此以外,測評團(tuán)隊(duì)通過公開渠道再無發(fā)現(xiàn)本次所測平臺企業(yè)有其他設(shè)立個人信息保護(hù)外部獨(dú)立監(jiān)督機(jī)構(gòu)的進(jìn)展情況披露。
不過,今年8月底,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》征求意見稿, 該要求的發(fā)布意味著《個人信息保護(hù)法》第58條中對大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。
目前該標(biāo)準(zhǔn)仍在征求意見階段, 按照目前的要求,大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護(hù)監(jiān)督機(jī)構(gòu),對本企業(yè)的個人信息保護(hù)合法合規(guī)情況、履行個人信息保護(hù)社會責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督。個人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成,其中外部成員占比不低于三分之二。
如若該標(biāo)準(zhǔn)正式公布,這意味著一直“按兵不動”的大廠們需要加快進(jìn)度補(bǔ)齊獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。
合規(guī)實(shí)踐:單獨(dú)同意顆粒度不足仍需探索合理的落地路徑
在用戶實(shí)際使用App產(chǎn)品的過程中,平臺方對信息傳輸、存儲具體的保障措施,以及對個人權(quán)利訴求的響應(yīng)渠道和方式是對個人信息保護(hù)效果影響最大的環(huán)節(jié)。
近年來,隨著各大平臺企業(yè)合規(guī)建設(shè)的不斷完善,各類加密、去標(biāo)識化的安全技術(shù)措施以及App內(nèi)個人行使查閱、復(fù)制、更正、刪除等權(quán)利途徑的落地,極大增強(qiáng)了平臺方對個人信息的保障能力,加強(qiáng)了用戶更多了解、掌握個人信息被采集使用情況的能力。
不過,測評團(tuán)隊(duì)發(fā)現(xiàn),對于部分合規(guī)要求的落實(shí)細(xì)節(jié)和標(biāo)準(zhǔn),不同平臺企業(yè)的理解仍存在差異。例如,雖然本次所測的絕大部分App均表示已建立個人信息存儲期限最小化制度,但不少未向用戶解釋“最小期限”的判定方式,也未根據(jù)具體某一個人信息字段或類型進(jìn)行舉例,語焉不詳,用戶實(shí)際上并不能知曉個人信息在平臺保存的時間。
在向第三方提供個人信息方面,去年測評發(fā)現(xiàn),大部分廠商采用了在登錄App時單獨(dú)勾選第三方信息共享協(xié)議的方式獲得用戶授權(quán),存在“一鍵打包”的情況。
今年的測評結(jié)果則顯示,很多被測App在具體場景中會彈出個人信息授權(quán)以獲得單獨(dú)同意,但在獲取單獨(dú)同意的界面往往只給出第三方信息處理者名稱、所需的個人信息類型,不會詳細(xì)介紹個人信息處理目的和處理方式,用戶需查閱隱私政策等其他協(xié)議條款才能進(jìn)一步了解。
在用戶行權(quán)環(huán)節(jié),App響應(yīng)速度提升,在App內(nèi)個人信息查閱、復(fù)制以及相關(guān)文本的導(dǎo)出便捷度提升。
但如果用戶想要進(jìn)一步了解個人信息收集處理情況,只能通過客服和聯(lián)系個人信息保護(hù)部門兩種渠道,大量自動化回復(fù)機(jī)制會對用戶提出的問題答非所問,無法給出有價值的信息;大部分人工客服也難以對具體問題給出明確的回復(fù),較好的情況也只是復(fù)制隱私政策條款中的對應(yīng)表述加以回復(fù)。用戶如需聯(lián)系個人信息保護(hù)部門,則基本需通過發(fā)送電子郵件的形式,獲得響應(yīng)的速度更慢。
在這樣的客服響應(yīng)能力下,當(dāng)用戶面對更加細(xì)化的個人信息保護(hù)問題時,很難從上述渠道處獲得有效幫助。由此可見,大部分平臺企業(yè)仍需要在流程機(jī)制和員工培訓(xùn)方面進(jìn)一步改進(jìn)。
合規(guī)實(shí)踐:弱加密和明文傳輸風(fēng)險仍存,部分登錄授權(quán)以明文傳遞數(shù)據(jù)
今年指標(biāo)測評引入了南方財經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面通過技術(shù)手段進(jìn)行了測評。
技術(shù)端測評指標(biāo)主要依據(jù)“傳輸和存儲敏感個人信息時,是否采取加密措施”、“涉及修改個人信息操作時,包含敏感個人信息如手機(jī)號碼、地理位置、金融賬戶信息,是否有分類處理并采取加密處理等安全措施”、“App內(nèi)部查看個人信息,是否有采取有針對性的管理或者安全技術(shù)措施”等相關(guān)規(guī)范。
測試通過模擬中間人攻防演練的方式,對App的相關(guān)接口和數(shù)據(jù)傳輸進(jìn)行抓包分析,研究不同的數(shù)據(jù)傳輸接口是否進(jìn)行二次加密等情形。
數(shù)據(jù)加密至關(guān)重要,涉及個人信息收集的場景,完全加密是維護(hù)用戶數(shù)據(jù)隱私的最佳方式。尤其是對于敏感信息,如手機(jī)號、地址等,應(yīng)采用完全加密措施。我們將測試標(biāo)準(zhǔn)分為三個梯度,即完全加密:數(shù)據(jù)通過加密隧道傳輸、web接口數(shù)據(jù)均通過算法加密,無法區(qū)分字段和值等信息;部分加密或去標(biāo)識化:采用常見的方法如JSON內(nèi)容加密保護(hù)、對關(guān)鍵字段進(jìn)行加密或去標(biāo)識化等措施(如傳輸?shù)臄?shù)據(jù)包中對用戶密碼等關(guān)鍵字段進(jìn)行加密,而用戶昵稱等字段未加密的情形);弱加密或無加密:傳輸數(shù)據(jù)包中的內(nèi)容通過Base64編碼、URL編碼,或明文傳輸。
經(jīng)測試發(fā)現(xiàn),以用戶注冊、登錄場景為例,抽樣測試中發(fā)現(xiàn)有約15%App,傳輸?shù)臄?shù)據(jù)包中發(fā)現(xiàn)部分未加密的個人信息。
App弱加密和明文傳輸?shù)娘L(fēng)險依然存在,在測試中發(fā)現(xiàn)部分App進(jìn)行登錄、個人信息授權(quán)等操作時,采用明文的方式傳遞數(shù)據(jù)包,潛在安全風(fēng)險較高。若用戶處于不安全的網(wǎng)絡(luò)環(huán)境,如在未知的公共WIFI網(wǎng)絡(luò)中使用App,將面臨個人信息被竊取的風(fēng)險。
測試發(fā)現(xiàn)涉及金融、支付的App和主流電商App在登錄、授權(quán)等涉及個人信息傳輸時,通過在客戶端與服務(wù)端建立加密隧道的方式進(jìn)行數(shù)據(jù)傳輸,從而保障安全性。社交、分享類的App則傾向通過web接口進(jìn)行數(shù)據(jù)傳輸,部分接口存在安全隱患。
此次測試,技術(shù)團(tuán)隊(duì)對 “App進(jìn)入小程序、頁面跳轉(zhuǎn)等涉及授權(quán)使用個人信息的操作時,檢測是否采取加密、去標(biāo)識化等安全措施”進(jìn)行測試,測試發(fā)現(xiàn),部分App接口傳遞的JSON數(shù)據(jù)已經(jīng)加密,但在傳輸?shù)腃ookie中發(fā)現(xiàn)了未加密的用戶標(biāo)識信息,這反映了在應(yīng)用程序開發(fā)設(shè)計中存在考慮不足,應(yīng)用程序開發(fā)者應(yīng)更全面提高安全意識。
平臺治理:超過半數(shù)平臺均發(fā)布了相關(guān)管理?xiàng)l例但“管理者”履職不足
根據(jù)《個人信息保護(hù)法》第58條為守門人規(guī)定的4項(xiàng)義務(wù),可以劃分為直接義務(wù)與第三方義務(wù)兩大類,可以理解為,守門人不但要自己遵守個人信息保護(hù)規(guī)定,還要利用其獨(dú)特“角色”,明確平臺內(nèi)商戶處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù),即“制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù);對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù)”。
據(jù)此,指標(biāo)中加入了“平臺治理”的維度,從平臺規(guī)則制定以及“管理者”義務(wù)履行兩個角度,測評了“守門人”對平臺內(nèi)服務(wù)提供者個人信息處理行為的監(jiān)督情況。測評發(fā)現(xiàn),超過半數(shù)的平臺企業(yè)均在個人信息和隱私保護(hù)方面制定了專門的管理?xiàng)l例或社區(qū)公約,對于平臺服務(wù)提供者收集、使用個人信息的權(quán)利義務(wù)給出了具體要求,并為用戶提供了平臺參與者不合規(guī)行為的投訴渠道。
不過,大部分平臺給出的個人信息相關(guān)的規(guī)則往往較為簡潔,對于具體的違規(guī)行為和對應(yīng)的懲罰措施缺乏判定條件、處理標(biāo)準(zhǔn)的細(xì)節(jié)性介紹。
在管理方面,測評從平臺抽檢、服務(wù)提供者封禁、用戶投訴處理三個層面觀察平臺如何對平臺參與者進(jìn)行檢查及對不法行為進(jìn)行處理。
測評結(jié)果顯示,與去年相比,今年測評有超過半數(shù)平臺企業(yè)表示將會對違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者進(jìn)行賬號封禁等處理,幾乎所有被測App都提供了舉報平臺參與者違規(guī)行為的渠道,但僅有不到五分之一的平臺企業(yè)公示了過去一年對相關(guān)違規(guī)者和行為,平臺處理相關(guān)違規(guī)行為的過程和機(jī)制存在不透明性。
社會責(zé)任:個人信息保護(hù)專題報告較少釋放的信息有限
《個人信息保護(hù)法》第58條要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者應(yīng)當(dāng)定期發(fā)布個人信息保護(hù)社會責(zé)任報告,接受社會監(jiān)督。
在去年的測評中,測評團(tuán)隊(duì)曾指出,目前仍有多家企業(yè)并未發(fā)布專門個人信息保護(hù)社會報告,即便將ESG報告、企業(yè)總體社會責(zé)任報告等對外披露的內(nèi)容都囊括在內(nèi),總體來看企業(yè)的年度總結(jié)和披露內(nèi)容仍非常簡略。
遺憾的是,自去年11月到今年11月,僅有個別平臺企業(yè)在此前基礎(chǔ)上完善了年度社會責(zé)任報告的披露機(jī)制,發(fā)行了單獨(dú)的個人信息保護(hù)報告或豐富了此前報告的內(nèi)容,且從披露的顆粒度而言,較去年未有非常明顯的進(jìn)步。
值得注意的是,鑒于同一家平臺企業(yè)往往擁有不止一款A(yù)pp產(chǎn)品(包括小程序、網(wǎng)頁等),且不同產(chǎn)品間往往存在一定的個人信息共享傳輸機(jī)制,不同App所采集、使用個人信息的種類和方式亦各不相同,因此在社會責(zé)任報告中披露說明平臺旗下的主要服務(wù)應(yīng)用及其對應(yīng)收集的個人信息類型,是社會在單獨(dú)的App隱私政策外了解業(yè)務(wù)類型復(fù)雜的平臺企業(yè)整體個人信息處理情況的重要方式,也利于企業(yè)從整體層面闡釋自身的個人信息保護(hù)理念和合規(guī)機(jī)制建設(shè)情況。
而實(shí)際的報告內(nèi)容中,受限于行文框架和篇幅等原因,雖然大部分企業(yè)均對整體的個保部門設(shè)置和平臺規(guī)則進(jìn)行了介紹,但很少涉及到具體的業(yè)務(wù)場景和個人信息的類型,業(yè)界仍需典型案例或明確的報告標(biāo)準(zhǔn)規(guī)范加以指導(dǎo)。
課題組負(fù)責(zé)人:周輝、王俊
測評指標(biāo)制訂人:周輝、王俊、娜迪婭、吳紅強(qiáng)、卓柳俊、吳立洋、陳勇杰、吳曉燕
測評報告出品:南財合規(guī)科技研究院
統(tǒng)籌:王俊
測評人:陳勇杰、吳曉燕、王俊、吳立洋、蔡姝越、鐘雨欣、馮戀閣、鄭雪、諸未靜、周穎、湯雨昕、溫瑩雪、趙燦暢