“守门人”个人信息保护社会责任评测②:单独同意变打包同意,社会责任报告制度仍需落实
南方财经全媒体 21世纪经济报导记者 王俊,吴立洋,钟雨欣,郑雪,郭美婷,李润泽子,冯恋阁,练习生骆婷 北京报导
编者案:
陪伴着数字经济开展,对小我信息的收罗和操纵成为一种“刚需”。小我信息庇护不竭涌现出新问题,随意搜集、违法获取、过度利用、不法买卖小我信息等情状“野火烧不尽”。数据的发掘操纵与小我信息庇护之间张力扩大,急需专门法令对小我信息处置活动供给标准样本。
2021年11月1日,《小我信息庇护法》正式施行,转眼间即将施行一周年。南财合规科技研究院持久存眷小我信息庇护议题,继续跟踪报导立法历程、监管动态,反映公家呼声。借此时机,将推出“南财小我信息庇护月”系列活动,切磋《小我信息庇护法》施行以来的落实情状以及对企业带来的影响。将围绕“守门人”条目的落实、用户小我信息权益的实现、数字告白行业的变化、数字经济开展与合规的平衡等多个维度推出20余篇系列稿件,刊出小我信息庇护特刊,而且举办线下顶峰论坛。
法令的生命力在于施行,在完成立法后,《小我信息庇护法》需司法和执法接力,也需要企业遵守法令要求。我们希望能借助媒体的力量,继续逃踪问效,鞭策小我信息权益的保障,提拔全社会小我信息庇护的水位线。
《小我信息庇护法》创设了“守门人”轨制,关于供给重要互联网平台办事、拥有庞大用户数量的企业,要求其在本身遵守小我信息庇护义务的同时,也应承担“守关者”的角色,对平台治理负有出格义务——“才能越大,责任越大”。
不外,根据《小我信息庇护法》“守门人”企业应若何停止轨制系统搭建,若何造定平台规则,若何披露小我信息庇护社会责任陈述?那些问题尚未得到明白谜底。
中国社会科学院法学研究所与南方财经全媒体集团配合构成课题组研发“守门人”社会责任目标系统,从轨制系统建立、组织架构、合规理论、平台治理与社会责任陈述五个维度对18家大型平台企业的代表性APP做出测评,根据公开的可查询渠道,严酷根据目标,对那些“守门人”平台的社会责任履行情状做出判断。
本次测评发现,在个性化保举掌握权,用户对小我信息查阅、复造、更正、删除等权力的实现方面,各平台根本已通过平台内实现+外部客服的体例加以落实,但在零丁同意体例、存储期限知悉等方面仍存在不敷;且除隐私政策外,企业欠缺其他诸如平台参与者小我信息庇护办理情状公示、小我信息社会责任陈述等形式,对平台运做过程中的现实合规情状停止披露,相关轨制系统建立仍需进一步落实。
“一键打包”同意较为普及 能否属于“零丁同意”存争议
合规理论层面,本次评测部门内容参考了《信息平安手艺 小我信息平安标准》(GB/T 35273-2020),对平台企业处置小我信息的详细操做流程停止了阐发。
《小我信息庇护法》付与用户足够权力,包罗查阅、复造、更正、撤回同意、删除、登记账号等,企业对公家权力实现的响应是庇护小我信息主体的权力布施。
根据测评成果,除个别因手艺手段或营业类型难以实现的情状外,绝大部门用户权力均具备了较为便利的行权渠道。此中,查阅权、更正权、撤回同意大部门在APP内即可实现,部门APP还供给了小我信息搜集清单的功用,用户可根据品种查看本身被调取的小我信息类型和利用的次数。在复造权和删除权方面,部门权力响应需要发送邮件恳求,法式较为复杂。
展开全文
在小我信息存储和传输平安保障方面,所有平台企业均表达本身接纳了加密、去标识化等手艺手段实现对整个过程平安性的保障,手艺层面平安保障落实情状优良。
但是仍有一些问题需要加以明白,例如,《小我信息庇护法》规定在向其他小我信息处置者供给小我信息时,相关主体也需要获得用户的零丁同意。目前所测APP普及采纳的做法是在用户初度利用APP时以弹窗或勾选的形式让用户对第三方SDK传输清单等停止确认,用户关于在何处需要停止第三方共享欠缺更为曲不雅的认识,且那种“一键打包”同意的形式能否属于零丁同意范围也存在必然争议。
此外,存储期限的问题较为凸起。固然所有APP均表白,本身将遵守最小期限存储原则,但关于哪类信息根据如何的原则存储多久,大部门隐私政策中对此均语焉不详,会声称“我们会将产物所需小我信息根据差别的合法处置理由所需的保留期限内停止保留”,“所述目标所必须且最短时限内存储您的信息”“根据相关法令律例”等,但鲜有就详细存储期限停止阐明或阐明的。
在公家关切的个性化保举方面,《小我信息庇护法》规定:通过主动化决策体例向小我停止信息推送、贸易营销,应当同时供给不针对其小我特征的选项,或者向小我供给便利的回绝体例。所有APP根本落实了封闭个性化保举的便利选项,但部门APP的表述是“限造”或“削减”个性化保举,而非完全封闭。
前沿理论:个性化保举办理的理论中,淘宝、百度等APP均设置了功用,使得用户能够间接调整本身的兴趣内容,对小我信息处置成果的决定权得到落实。而选择停用相关标签后,APP将停行或削减对相关内容的推送比例,相较于被动选择“不感兴趣”的体例,那种标签选择的做法一方面能够使得用户领会本身的用户画像情状,另一方面在个性化选择方面掌握了更为主动的行权路子。
图1、2:淘宝、百度APP个性化标签选择界面
“守门人”责任需落到实处 平台治理理论提拔空间大
在理论中,平台参与者的构成和品种往往是复杂的,例如在电商平台,店铺商家、曲播者商品内容测评创做者甚至通俗用户均可被视为平台参与者。而做为供给平台办事的“守门人”,企业应对参与者涉及用户小我信息处置的行为承担办理责任,从造定平台政策并采纳办理办法,确保平台参与者契合小我信息处置的根本合规要求。
需要在此阐明的是,本次测评次要拔取在平台上为其他用户供给商品或办事,可以接触到用户小我信息的1-3类次要平台参与者,以用户的视角在APP、官网等渠道停止检索,旨在查验平台能否造定例定庇护用户,并对相关规定在公开渠道停止了公示。
从测评成果看,超越对折的平台均发布了相关办理条例或社区公约,要求平台参与者保障小我信息平安,内容涉及平台参与者需获得用户受权、不得随意公开用户信息、不得随意办理、跟踪用户账号等,并对用户供给了针对平台参与者不合规行为的赞扬渠道。部门平台会设置“规则中心”,集纳平台通知布告、规则,相关规则较为完美。
需要指出的是,部门则对平台参与者的小我信息庇护要求相对较为笼统、模糊,只简单阐明平台参与者需要停止小我信息庇护或采纳相关办法,但并未根据平台属性和参与者在平台处置的详细办事类型落实到详细的责任要求,其规则造定需进一步了了完美。
此外,平台治理理论及其公示情状仍存不敷,目前只要少数平台企业表白会按期对平台参与者小我信息合规情状停止查抄,且对不合规的主体停止惩处,例如华为应用商铺在每个应用介绍界面均给出了该APP收罗的隐私信息和需要的权限内容,且按期停止查抄,下架违规应用,并对成果停止公示,那也是因为两款应用商铺的平台参与者根本为其他APP的运营主体有关。
但其他电商类、内容办事类平台,固然部门也存在对违规主体的公示情状,但并未专门针对小我信息违规的情状停止披露,且公示周期和查抄机造并未公开。
图3、4:华为应用商铺APP隐私权限公示截图及陈述中涉及违规APP处置情状截图
大都平台欠缺独立小我信息庇护企业社会责任陈述
《小我信息庇护法》58条明白规定“守门人”企业需按期发布小我信息庇护社会责任陈述,承受社会监视。通过发布社会责任陈述的体例,用户能够从平台企业运营理念、贸易走向、营业线关系等角度进一步领会其小我信息庇护情状,丰硕数据合规自律与他律的维度。
就目前在APP内及企业官网等渠道查询到的相关陈述情状来看,目前大部门企业均接纳了在整体ESG陈述、社会责任陈述中设置一个专题或章节的形式,对小我信息合规情状停止阐明,其披露内容往往与数据平安相联系关系,例如微信ESG陈述在“负责任产物”章节中对隐私庇护的办理办法、办法和法式、平安保障等方面的内容停止了展现,涉及小我信息庇护的平安原则、监管要求、手艺手段等。
但纵不雅18个测评对象的小我信息相关的社会责任陈述情状,现实的披露信息量量良莠不齐。在部门APP及其开发者的社会责任陈述中,仅有一小段简单提及会重视小我信息庇护,详细收罗的小我信息类型、应用情状等关键内容并不是在所有陈述中均被提及。
目前《小我信息庇护法》落地已有一年,根据法令规定,供给重要互联网平台办事、用户数量庞大、营业类型复杂的小我信息处置者应按期发布小我信息庇护社会责任陈述,承受社会监视。
就测评成果而言,只要少数企业专门针对小我信息或数据平安情状做出了社会责任陈述,且根据现实供给的办事差别对相关情状停止了分类阐明(华为、百度),行业整体对社会责任陈述的落实情状有待进一步提拔。
前沿理论:社会责任陈述方面,在普及水位线偏低的情状下,华为专门针对小我信息或数据平安情状做出了社会责任陈述,发布《华为应用市场2021年度平安隐私陈述》,此中提到,华为应用市场不竭强化隐私庇护功用、优化信息闪现体例,无论是用户的知情权和对小我信息的自主掌握权,仍是儿童庇护计划,都有明显的优化和提拔。
而且做为“办理者”,还公布了在平台内的治理情状,2021 韶华为应用市场处置了超越百万次应用上架申请,此中在 24 小时内审核完成的审结率达 95%;同时对隐私政策、游戏防沉浸系统、应用内告白、未成年人庇护、应用“变脸”等专项展开复测,复测应用超越 20 万款,主动处置问题应用超越 6 万款。
更多内容请下载21财经APP