重磅:南财发布“守门人”个人信息保护社会责任测评报告2.0
21世纪经济报道王俊,吴立洋,钟雨欣,郑雪,诸未静,蔡姝越,冯恋阁实习生赵灿畅,周颖,汤雨昕,温莹雪,刘悦行北京,上海,广州报道
2023年11月1日,《个人信息保护法》正式实施两周年。
作为我国首部专门的个人信息保护方面的法律,《个人信息保护法》创设性地提出了“守门人”条款,在第58条以4个款项200余字,规定了大型平台需承担的义务与责任,以期抓住个人信息保护的关键和核心环节。
《个人信息保护法》实施后,“守门人”条款仍存在一定的适用性难题。2022年11月,南方财经全媒体集团与中国社会科学院法学所共同组成课题组(以下简称“课题组”)研发“守门人”社会责任指标体系,发布了《“守门人”个人信息保护社会责任测评报告》,为“守门人”平台社会责任履行提供了一把度量尺。
为继续推动“守门人”平台履行个人信息保护社会责任,课题组在指标1.0版本上,做了迭代更新,形成“守门人”个人信息保护社会责任测评指标2.0,并于10月31日在2023(第九届)中国互联网法治大会上重磅发布《“守门人”个人信息保护社会责任测评指标报告2.0》。
指标迭代更新引入南财数据合规管理平台技术手段检测
对于提供重要互联网平台服务、拥有巨大用户数量的企业,《个人信息保护法》创设了“守门人”制度,要求其在自身恪守个人信息保护义务的同时,也应承担“守关者”的角色,对平台治理负有特别义务——“能力越大,责任越大”。
按照《个人信息保护法》第58条要求,“守门人”企业需“建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构”,“制定平台规则”,对严重违法的平台内经营者停止提供服务,并且要定期发布个人信息保护社会责任报告,接受社会监督。
不过,依据《个人信息保护法》,“守门人”企业应如何进行制度体系搭建,如何制定平台规则,如何披露个人信息保护社会责任报告?这些问题尚未得到明确答案。
课题组研发“守门人”社会责任指标体系,从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对20个大型平台企业的代表性App做出测评,根据公开的可查询渠道,严格依据指标,对这些“守门人”平台的社会责任履行情况做出判断。
选取测试对象的标准主要依照《个人信息保护法》第58条对“守门人”的定义:“提供重要互联网平台服务、用户数量巨大、业务类型复杂”,并参照市场监管总局出台的《互联网平台分类分级指南(征求意见稿)》及《互联网平台落实主体责任指南(征求意见稿)》。
20个被测App分别为微信、支付宝、淘宝、拼多多、美团、百度、抖音、高德地图、快手、顺丰速运、小米应用商城、新浪微博、滴滴出行、京东、华为应用商城、云闪付、携程旅行、猿辅导、小红书、网易云音乐。
课题组以《个人信息保护法》第58条规则为核心指标,吸收《个人信息保护法》其他条款及相关法律规则为基本指标,并参考《数据出境安全评估办法》、《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)等相关部门规章和技术标准对法律规则进行补充,形成了个人信息保护社会责任测评指标1.0版本。2023年个人信息保护工作向前迈进,规则体系愈加完善,课题组在指标1.0的基础之上,吸收了《个人信息保护合规审计管理办法(征求意见稿)》等,对指标进行了迭代更新。
值得注意的是,今年的指标测评引入了南方财经全媒体集团数据合规管理平台的技术,利用技术手段在数据传输、数据安全保障等方面进行了测评。
制度体系:隐私政策进一步完善便捷性仍存不足
隐私政策是用户了解App对个人信息采集使用基本情况,获取个人信息行权渠道指引的最直接途径,近年来,围绕《个人信息保护法》等法律法规的各项要求,平台对隐私政策进行了多轮完善,可喜的是,目前大部分App已形成一套结构严谨、内容完备的隐私政策模板,并在此基础上不断进行完善。
例如,本次所测大部分App的隐私政策均在具体业务场景中详细列举了可能收集的个人信息种类,并通过加粗、加下划线等方式区分了敏感个人信息;在“用户权利”相关章节,对于用户如何行使查阅、复制、更正、删除等权利进行了完整描述;针对未满十四周岁的未成年人,所测所有App均有专门的独立个人信息保护规则,进一步明确未成年用户个人信息保护的相关情况。
但需指出的是,虽整体框架和内容上已相对成熟,但当前所测App的隐私政策在便捷性和完整性方面仍然有所欠缺。例如,在隐私政策查询及下载方面,只有部分App支持查阅以往不同历史版本的隐私政策,也并未表明版本更新调整了隐私政策的哪些方面,由于只能在特定页面查看且不能下载,面对长篇累牍的政策文本,用户也较难检索查阅特定个人信息保护内容。
此外,部分App的隐私政策对于所采集的个人信息种类,可能存在“等”“相关信息”等概括性表述,按照《个人信息保护法》要求,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,这种对于采集字段列举并不完全的情况,有悖于“准确、完整”的立法要求。
值得肯定的是,在对外共享、公开、转让个人信息方面,大部分App均披露了较为完整的信息,以单独表格或共享清单的形式列举了对外传输个人信息的对象、目的、传输方式以及自身为保障传输安全采取的措施等。
组织架构:独立监督机构进展依旧缓慢相应国家标准正在进行
据《个人信息保护法》第58条规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
作为大型互联网平台企业公司治理的一部分,独立监督机构相较于公司内部机构保持相对独立性,其组成人员应满足一定的资质要求。在职责范围上,外部独立监督机构需要对大型互联网平台企业个人信息保护的合规情况,以及企业对用户个人信息处理活动予以监督、指导,对其合规建设情况提出建议和意见。
去年测评中,根据公开信息,只有腾讯、携程对外表明,已开展外部独立监督机构建设。今年唯一的实践进展来自于蚂蚁。
今年3月,蚂蚁集团设立个人信息保护监督委员会并举行了2023年度首次会议,对其2022年相关工作报告、2023年相关工作规划进行评议和讨论。据悉,该监委会设立于2022年下旬,由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准设立,首批委员共5人,人员名单对外公开。
除此以外,测评团队通过公开渠道再无发现本次所测平台企业有其他设立个人信息保护外部独立监督机构的进展情况披露。
不过,今年8月底,全国信息安全标准化技术委员会发布国家标准《信息安全技术大型互联网企业内设个人信息保护监督机构要求》征求意见稿, 该要求的发布意味着《个人信息保护法》第58条中对大型互联网企业要求的“成立主要由外部成员组成的独立机构”有了具体的标准细则。
目前该标准仍在征求意见阶段, 按照目前的要求,大型互联网企业应在六个月内成立个人信息保护监督机构,对本企业的个人信息保护合法合规情况、履行个人信息保护社会责任情况等进行独立监督。个人信息保护监督机构应由七至十五名成员组成,其中外部成员占比不低于三分之二。
如若该标准正式公布,这意味着一直“按兵不动”的大厂们需要加快进度补齐独立监督机构建设。
合规实践:单独同意颗粒度不足仍需探索合理的落地路径
在用户实际使用App产品的过程中,平台方对信息传输、存储具体的保障措施,以及对个人权利诉求的响应渠道和方式是对个人信息保护效果影响最大的环节。
近年来,随着各大平台企业合规建设的不断完善,各类加密、去标识化的安全技术措施以及App内个人行使查阅、复制、更正、删除等权利途径的落地,极大增强了平台方对个人信息的保障能力,加强了用户更多了解、掌握个人信息被采集使用情况的能力。
不过,测评团队发现,对于部分合规要求的落实细节和标准,不同平台企业的理解仍存在差异。例如,虽然本次所测的绝大部分App均表示已建立个人信息存储期限最小化制度,但不少未向用户解释“最小期限”的判定方式,也未根据具体某一个人信息字段或类型进行举例,语焉不详,用户实际上并不能知晓个人信息在平台保存的时间。
在向第三方提供个人信息方面,去年测评发现,大部分厂商采用了在登录App时单独勾选第三方信息共享协议的方式获得用户授权,存在“一键打包”的情况。
今年的测评结果则显示,很多被测App在具体场景中会弹出个人信息授权以获得单独同意,但在获取单独同意的界面往往只给出第三方信息处理者名称、所需的个人信息类型,不会详细介绍个人信息处理目的和处理方式,用户需查阅隐私政策等其他协议条款才能进一步了解。
在用户行权环节,App响应速度提升,在App内个人信息查阅、复制以及相关文本的导出便捷度提升。
但如果用户想要进一步了解个人信息收集处理情况,只能通过客服和联系个人信息保护部门两种渠道,大量自动化回复机制会对用户提出的问题答非所问,无法给出有价值的信息;大部分人工客服也难以对具体问题给出明确的回复,较好的情况也只是复制隐私政策条款中的对应表述加以回复。用户如需联系个人信息保护部门,则基本需通过发送电子邮件的形式,获得响应的速度更慢。
在这样的客服响应能力下,当用户面对更加细化的个人信息保护问题时,很难从上述渠道处获得有效帮助。由此可见,大部分平台企业仍需要在流程机制和员工培训方面进一步改进。
合规实践:弱加密和明文传输风险仍存,部分登录授权以明文传递数据
今年指标测评引入了南方财经全媒体集团数据合规管理平台的技术,利用技术手段在数据传输、数据安全保障等方面通过技术手段进行了测评。
技术端测评指标主要依据“传输和存储敏感个人信息时,是否采取加密措施”、“涉及修改个人信息操作时,包含敏感个人信息如手机号码、地理位置、金融账户信息,是否有分类处理并采取加密处理等安全措施”、“App内部查看个人信息,是否有采取有针对性的管理或者安全技术措施”等相关规范。
测试通过模拟中间人攻防演练的方式,对App的相关接口和数据传输进行抓包分析,研究不同的数据传输接口是否进行二次加密等情形。
数据加密至关重要,涉及个人信息收集的场景,完全加密是维护用户数据隐私的最佳方式。尤其是对于敏感信息,如手机号、地址等,应采用完全加密措施。我们将测试标准分为三个梯度,即完全加密:数据通过加密隧道传输、web接口数据均通过算法加密,无法区分字段和值等信息;部分加密或去标识化:采用常见的方法如JSON内容加密保护、对关键字段进行加密或去标识化等措施(如传输的数据包中对用户密码等关键字段进行加密,而用户昵称等字段未加密的情形);弱加密或无加密:传输数据包中的内容通过Base64编码、URL编码,或明文传输。
经测试发现,以用户注册、登录场景为例,抽样测试中发现有约15%App,传输的数据包中发现部分未加密的个人信息。
App弱加密和明文传输的风险依然存在,在测试中发现部分App进行登录、个人信息授权等操作时,采用明文的方式传递数据包,潜在安全风险较高。若用户处于不安全的网络环境,如在未知的公共WIFI网络中使用App,将面临个人信息被窃取的风险。
测试发现涉及金融、支付的App和主流电商App在登录、授权等涉及个人信息传输时,通过在客户端与服务端建立加密隧道的方式进行数据传输,从而保障安全性。社交、分享类的App则倾向通过web接口进行数据传输,部分接口存在安全隐患。
此次测试,技术团队对 “App进入小程序、页面跳转等涉及授权使用个人信息的操作时,检测是否采取加密、去标识化等安全措施”进行测试,测试发现,部分App接口传递的JSON数据已经加密,但在传输的Cookie中发现了未加密的用户标识信息,这反映了在应用程序开发设计中存在考虑不足,应用程序开发者应更全面提高安全意识。
平台治理:超过半数平台均发布了相关管理条例但“管理者”履职不足
根据《个人信息保护法》第58条为守门人规定的4项义务,可以划分为直接义务与第三方义务两大类,可以理解为,守门人不但要自己遵守个人信息保护规定,还要利用其独特“角色”,明确平台内商户处理个人信息的规范和保护个人信息的义务,即“制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务”。
据此,指标中加入了“平台治理”的维度,从平台规则制定以及“管理者”义务履行两个角度,测评了“守门人”对平台内服务提供者个人信息处理行为的监督情况。测评发现,超过半数的平台企业均在个人信息和隐私保护方面制定了专门的管理条例或社区公约,对于平台服务提供者收集、使用个人信息的权利义务给出了具体要求,并为用户提供了平台参与者不合规行为的投诉渠道。
不过,大部分平台给出的个人信息相关的规则往往较为简洁,对于具体的违规行为和对应的惩罚措施缺乏判定条件、处理标准的细节性介绍。
在管理方面,测评从平台抽检、服务提供者封禁、用户投诉处理三个层面观察平台如何对平台参与者进行检查及对不法行为进行处理。
测评结果显示,与去年相比,今年测评有超过半数平台企业表示将会对违反法律、行政法规处理个人信息的平台内的产品或者服务提供者进行账号封禁等处理,几乎所有被测App都提供了举报平台参与者违规行为的渠道,但仅有不到五分之一的平台企业公示了过去一年对相关违规者和行为,平台处理相关违规行为的过程和机制存在不透明性。
社会责任:个人信息保护专题报告较少释放的信息有限
《个人信息保护法》第58条要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应当定期发布个人信息保护社会责任报告,接受社会监督。
在去年的测评中,测评团队曾指出,目前仍有多家企业并未发布专门个人信息保护社会报告,即便将ESG报告、企业总体社会责任报告等对外披露的内容都囊括在内,总体来看企业的年度总结和披露内容仍非常简略。
遗憾的是,自去年11月到今年11月,仅有个别平台企业在此前基础上完善了年度社会责任报告的披露机制,发行了单独的个人信息保护报告或丰富了此前报告的内容,且从披露的颗粒度而言,较去年未有非常明显的进步。
值得注意的是,鉴于同一家平台企业往往拥有不止一款App产品(包括小程序、网页等),且不同产品间往往存在一定的个人信息共享传输机制,不同App所采集、使用个人信息的种类和方式亦各不相同,因此在社会责任报告中披露说明平台旗下的主要服务应用及其对应收集的个人信息类型,是社会在单独的App隐私政策外了解业务类型复杂的平台企业整体个人信息处理情况的重要方式,也利于企业从整体层面阐释自身的个人信息保护理念和合规机制建设情况。
而实际的报告内容中,受限于行文框架和篇幅等原因,虽然大部分企业均对整体的个保部门设置和平台规则进行了介绍,但很少涉及到具体的业务场景和个人信息的类型,业界仍需典型案例或明确的报告标准规范加以指导。
课题组负责人:周辉、王俊
测评指标制订人:周辉、王俊、娜迪娅、吴红强、卓柳俊、吴立洋、陈勇杰、吴晓燕
测评报告出品:南财合规科技研究院
统筹:王俊
测评人:陈勇杰、吴晓燕、王俊、吴立洋、蔡姝越、钟雨欣、冯恋阁、郑雪、诸未静、周颖、汤雨昕、温莹雪、赵灿畅