首頁 > 智庫 > 正文

重磅:南財發(fā)布“守門人”個人信息保護社會責(zé)任測評報告2.0

2023-10-31 17:56:49 21世紀(jì)經(jīng)濟報道 21財經(jīng)APP
王俊

21世紀(jì)經(jīng)濟報道王俊,吳立洋,鐘雨欣,鄭雪,諸未靜,蔡姝越,馮戀閣實習(xí)生趙燦暢,周穎,湯雨昕,溫瑩雪,劉悅行北京,上海,廣州報道

2023年11月1日,《個人信息保護法》正式實施兩周年。

作為我國首部專門的個人信息保護方面的法律,《個人信息保護法》創(chuàng)設(shè)性地提出了“守門人”條款,在第58條以4個款項200余字,規(guī)定了大型平臺需承擔(dān)的義務(wù)與責(zé)任,以期抓住個人信息保護的關(guān)鍵和核心環(huán)節(jié)。

《個人信息保護法》實施后,“守門人”條款仍存在一定的適用性難題。2022年11月,南方財經(jīng)全媒體集團與中國社會科學(xué)院法學(xué)所共同組成課題組(以下簡稱“課題組”)研發(fā)“守門人”社會責(zé)任指標(biāo)體系,發(fā)布了《“守門人”個人信息保護社會責(zé)任測評報告》,為“守門人”平臺社會責(zé)任履行提供了一把度量尺。

為繼續(xù)推動“守門人”平臺履行個人信息保護社會責(zé)任,課題組在指標(biāo)1.0版本上,做了迭代更新,形成“守門人”個人信息保護社會責(zé)任測評指標(biāo)2.0,并于10月31日在2023(第九屆)中國互聯(lián)網(wǎng)法治大會上重磅發(fā)布《“守門人”個人信息保護社會責(zé)任測評指標(biāo)報告2.0》。

指標(biāo)迭代更新引入南財數(shù)據(jù)合規(guī)管理平臺技術(shù)手段檢測 

對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、擁有巨大用戶數(shù)量的企業(yè),《個人信息保護法》創(chuàng)設(shè)了“守門人”制度,要求其在自身恪守個人信息保護義務(wù)的同時,也應(yīng)承擔(dān)“守關(guān)者”的角色,對平臺治理負(fù)有特別義務(wù)——“能力越大,責(zé)任越大”。 

按照《個人信息保護法》第58條要求,“守門人”企業(yè)需“建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構(gòu)”,“制定平臺規(guī)則”,對嚴(yán)重違法的平臺內(nèi)經(jīng)營者停止提供服務(wù),并且要定期發(fā)布個人信息保護社會責(zé)任報告,接受社會監(jiān)督。

不過,依據(jù)《個人信息保護法》,“守門人”企業(yè)應(yīng)如何進行制度體系搭建,如何制定平臺規(guī)則,如何披露個人信息保護社會責(zé)任報告?這些問題尚未得到明確答案。

課題組研發(fā)“守門人”社會責(zé)任指標(biāo)體系,從制度體系建設(shè)、組織架構(gòu)、合規(guī)實踐、平臺治理與社會責(zé)任報告五個維度對20個大型平臺企業(yè)的代表性App做出測評,根據(jù)公開的可查詢渠道,嚴(yán)格依據(jù)指標(biāo),對這些“守門人”平臺的社會責(zé)任履行情況做出判斷。

選取測試對象的標(biāo)準(zhǔn)主要依照《個人信息保護法》第58條對“守門人”的定義:“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”,并參照市場監(jiān)管總局出臺的《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》及《互聯(lián)網(wǎng)平臺落實主體責(zé)任指南(征求意見稿)》。

20個被測App分別為微信、支付寶、淘寶、拼多多、美團、百度、抖音、高德地圖、快手、順豐速運、小米應(yīng)用商城、新浪微博、滴滴出行、京東、華為應(yīng)用商城、云閃付、攜程旅行、猿輔導(dǎo)、小紅書、網(wǎng)易云音樂。

課題組以《個人信息保護法》第58條規(guī)則為核心指標(biāo),吸收《個人信息保護法》其他條款及相關(guān)法律規(guī)則為基本指標(biāo),并參考《數(shù)據(jù)出境安全評估辦法》、《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273-2020)、《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本要求》(GB/T 41391-2022)等相關(guān)部門規(guī)章和技術(shù)標(biāo)準(zhǔn)對法律規(guī)則進行補充,形成了個人信息保護社會責(zé)任測評指標(biāo)1.0版本。2023年個人信息保護工作向前邁進,規(guī)則體系愈加完善,課題組在指標(biāo)1.0的基礎(chǔ)之上,吸收了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》等,對指標(biāo)進行了迭代更新。

值得注意的是,今年的指標(biāo)測評引入了南方財經(jīng)全媒體集團數(shù)據(jù)合規(guī)管理平臺的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面進行了測評。

制度體系:隱私政策進一步完善便捷性仍存不足

隱私政策是用戶了解App對個人信息采集使用基本情況,獲取個人信息行權(quán)渠道指引的最直接途徑,近年來,圍繞《個人信息保護法》等法律法規(guī)的各項要求,平臺對隱私政策進行了多輪完善,可喜的是,目前大部分App已形成一套結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備的隱私政策模板,并在此基礎(chǔ)上不斷進行完善。

例如,本次所測大部分App的隱私政策均在具體業(yè)務(wù)場景中詳細(xì)列舉了可能收集的個人信息種類,并通過加粗、加下劃線等方式區(qū)分了敏感個人信息;在“用戶權(quán)利”相關(guān)章節(jié),對于用戶如何行使查閱、復(fù)制、更正、刪除等權(quán)利進行了完整描述;針對未滿十四周歲的未成年人,所測所有App均有專門的獨立個人信息保護規(guī)則,進一步明確未成年用戶個人信息保護的相關(guān)情況。

但需指出的是,雖整體框架和內(nèi)容上已相對成熟,但當(dāng)前所測App的隱私政策在便捷性和完整性方面仍然有所欠缺。例如,在隱私政策查詢及下載方面,只有部分App支持查閱以往不同歷史版本的隱私政策,也并未表明版本更新調(diào)整了隱私政策的哪些方面,由于只能在特定頁面查看且不能下載,面對長篇累牘的政策文本,用戶也較難檢索查閱特定個人信息保護內(nèi)容。

此外,部分App的隱私政策對于所采集的個人信息種類,可能存在“等”“相關(guān)信息”等概括性表述,按照《個人信息保護法》要求,個人信息處理者在處理個人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知個人信息的處理目的、處理方式,處理的個人信息種類、保存期限,這種對于采集字段列舉并不完全的情況,有悖于“準(zhǔn)確、完整”的立法要求。

值得肯定的是,在對外共享、公開、轉(zhuǎn)讓個人信息方面,大部分App均披露了較為完整的信息,以單獨表格或共享清單的形式列舉了對外傳輸個人信息的對象、目的、傳輸方式以及自身為保障傳輸安全采取的措施等。

組織架構(gòu):獨立監(jiān)督機構(gòu)進展依舊緩慢相應(yīng)國家標(biāo)準(zhǔn)正在進行

據(jù)《個人信息保護法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。

作為大型互聯(lián)網(wǎng)平臺企業(yè)公司治理的一部分,獨立監(jiān)督機構(gòu)相較于公司內(nèi)部機構(gòu)保持相對獨立性,其組成人員應(yīng)滿足一定的資質(zhì)要求。在職責(zé)范圍上,外部獨立監(jiān)督機構(gòu)需要對大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護的合規(guī)情況,以及企業(yè)對用戶個人信息處理活動予以監(jiān)督、指導(dǎo),對其合規(guī)建設(shè)情況提出建議和意見。

去年測評中,根據(jù)公開信息,只有騰訊、攜程對外表明,已開展外部獨立監(jiān)督機構(gòu)建設(shè)。今年唯一的實踐進展來自于螞蟻。

今年3月,螞蟻集團設(shè)立個人信息保護監(jiān)督委員會并舉行了2023年度首次會議,對其2022年相關(guān)工作報告、2023年相關(guān)工作規(guī)劃進行評議和討論。據(jù)悉,該監(jiān)委會設(shè)立于2022年下旬,由螞蟻集團董事會、董事會隱私保護及數(shù)據(jù)安全委員會批準(zhǔn)設(shè)立,首批委員共5人,人員名單對外公開。

除此以外,測評團隊通過公開渠道再無發(fā)現(xiàn)本次所測平臺企業(yè)有其他設(shè)立個人信息保護外部獨立監(jiān)督機構(gòu)的進展情況披露。

不過,今年8月底,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護監(jiān)督機構(gòu)要求》征求意見稿, 該要求的發(fā)布意味著《個人信息保護法》第58條中對大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨立機構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。

目前該標(biāo)準(zhǔn)仍在征求意見階段, 按照目前的要求,大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個月內(nèi)成立個人信息保護監(jiān)督機構(gòu),對本企業(yè)的個人信息保護合法合規(guī)情況、履行個人信息保護社會責(zé)任情況等進行獨立監(jiān)督。個人信息保護監(jiān)督機構(gòu)應(yīng)由七至十五名成員組成,其中外部成員占比不低于三分之二。

如若該標(biāo)準(zhǔn)正式公布,這意味著一直“按兵不動”的大廠們需要加快進度補齊獨立監(jiān)督機構(gòu)建設(shè)。

合規(guī)實踐:單獨同意顆粒度不足仍需探索合理的落地路徑

在用戶實際使用App產(chǎn)品的過程中,平臺方對信息傳輸、存儲具體的保障措施,以及對個人權(quán)利訴求的響應(yīng)渠道和方式是對個人信息保護效果影響最大的環(huán)節(jié)。

近年來,隨著各大平臺企業(yè)合規(guī)建設(shè)的不斷完善,各類加密、去標(biāo)識化的安全技術(shù)措施以及App內(nèi)個人行使查閱、復(fù)制、更正、刪除等權(quán)利途徑的落地,極大增強了平臺方對個人信息的保障能力,加強了用戶更多了解、掌握個人信息被采集使用情況的能力。

不過,測評團隊發(fā)現(xiàn),對于部分合規(guī)要求的落實細(xì)節(jié)和標(biāo)準(zhǔn),不同平臺企業(yè)的理解仍存在差異。例如,雖然本次所測的絕大部分App均表示已建立個人信息存儲期限最小化制度,但不少未向用戶解釋“最小期限”的判定方式,也未根據(jù)具體某一個人信息字段或類型進行舉例,語焉不詳,用戶實際上并不能知曉個人信息在平臺保存的時間。

在向第三方提供個人信息方面,去年測評發(fā)現(xiàn),大部分廠商采用了在登錄App時單獨勾選第三方信息共享協(xié)議的方式獲得用戶授權(quán),存在“一鍵打包”的情況。

今年的測評結(jié)果則顯示,很多被測App在具體場景中會彈出個人信息授權(quán)以獲得單獨同意,但在獲取單獨同意的界面往往只給出第三方信息處理者名稱、所需的個人信息類型,不會詳細(xì)介紹個人信息處理目的和處理方式,用戶需查閱隱私政策等其他協(xié)議條款才能進一步了解。

在用戶行權(quán)環(huán)節(jié),App響應(yīng)速度提升,在App內(nèi)個人信息查閱、復(fù)制以及相關(guān)文本的導(dǎo)出便捷度提升。

但如果用戶想要進一步了解個人信息收集處理情況,只能通過客服和聯(lián)系個人信息保護部門兩種渠道,大量自動化回復(fù)機制會對用戶提出的問題答非所問,無法給出有價值的信息;大部分人工客服也難以對具體問題給出明確的回復(fù),較好的情況也只是復(fù)制隱私政策條款中的對應(yīng)表述加以回復(fù)。用戶如需聯(lián)系個人信息保護部門,則基本需通過發(fā)送電子郵件的形式,獲得響應(yīng)的速度更慢。

在這樣的客服響應(yīng)能力下,當(dāng)用戶面對更加細(xì)化的個人信息保護問題時,很難從上述渠道處獲得有效幫助。由此可見,大部分平臺企業(yè)仍需要在流程機制和員工培訓(xùn)方面進一步改進。

合規(guī)實踐:弱加密和明文傳輸風(fēng)險仍存,部分登錄授權(quán)以明文傳遞數(shù)據(jù)

今年指標(biāo)測評引入了南方財經(jīng)全媒體集團數(shù)據(jù)合規(guī)管理平臺的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面通過技術(shù)手段進行了測評。

技術(shù)端測評指標(biāo)主要依據(jù)“傳輸和存儲敏感個人信息時,是否采取加密措施”、“涉及修改個人信息操作時,包含敏感個人信息如手機號碼、地理位置、金融賬戶信息,是否有分類處理并采取加密處理等安全措施”、“App內(nèi)部查看個人信息,是否有采取有針對性的管理或者安全技術(shù)措施”等相關(guān)規(guī)范。

測試通過模擬中間人攻防演練的方式,對App的相關(guān)接口和數(shù)據(jù)傳輸進行抓包分析,研究不同的數(shù)據(jù)傳輸接口是否進行二次加密等情形。

數(shù)據(jù)加密至關(guān)重要,涉及個人信息收集的場景,完全加密是維護用戶數(shù)據(jù)隱私的最佳方式。尤其是對于敏感信息,如手機號、地址等,應(yīng)采用完全加密措施。我們將測試標(biāo)準(zhǔn)分為三個梯度,即完全加密:數(shù)據(jù)通過加密隧道傳輸、web接口數(shù)據(jù)均通過算法加密,無法區(qū)分字段和值等信息;部分加密或去標(biāo)識化:采用常見的方法如JSON內(nèi)容加密保護、對關(guān)鍵字段進行加密或去標(biāo)識化等措施(如傳輸?shù)臄?shù)據(jù)包中對用戶密碼等關(guān)鍵字段進行加密,而用戶昵稱等字段未加密的情形);弱加密或無加密:傳輸數(shù)據(jù)包中的內(nèi)容通過Base64編碼、URL編碼,或明文傳輸。

經(jīng)測試發(fā)現(xiàn),以用戶注冊、登錄場景為例,抽樣測試中發(fā)現(xiàn)有約15%App,傳輸?shù)臄?shù)據(jù)包中發(fā)現(xiàn)部分未加密的個人信息。

App弱加密和明文傳輸?shù)娘L(fēng)險依然存在,在測試中發(fā)現(xiàn)部分App進行登錄、個人信息授權(quán)等操作時,采用明文的方式傳遞數(shù)據(jù)包,潛在安全風(fēng)險較高。若用戶處于不安全的網(wǎng)絡(luò)環(huán)境,如在未知的公共WIFI網(wǎng)絡(luò)中使用App,將面臨個人信息被竊取的風(fēng)險。

測試發(fā)現(xiàn)涉及金融、支付的App和主流電商App在登錄、授權(quán)等涉及個人信息傳輸時,通過在客戶端與服務(wù)端建立加密隧道的方式進行數(shù)據(jù)傳輸,從而保障安全性。社交、分享類的App則傾向通過web接口進行數(shù)據(jù)傳輸,部分接口存在安全隱患。

此次測試,技術(shù)團隊對 “App進入小程序、頁面跳轉(zhuǎn)等涉及授權(quán)使用個人信息的操作時,檢測是否采取加密、去標(biāo)識化等安全措施”進行測試,測試發(fā)現(xiàn),部分App接口傳遞的JSON數(shù)據(jù)已經(jīng)加密,但在傳輸?shù)腃ookie中發(fā)現(xiàn)了未加密的用戶標(biāo)識信息,這反映了在應(yīng)用程序開發(fā)設(shè)計中存在考慮不足,應(yīng)用程序開發(fā)者應(yīng)更全面提高安全意識。

平臺治理:超過半數(shù)平臺均發(fā)布了相關(guān)管理條例但“管理者”履職不足

根據(jù)《個人信息保護法》第58條為守門人規(guī)定的4項義務(wù),可以劃分為直接義務(wù)與第三方義務(wù)兩大類,可以理解為,守門人不但要自己遵守個人信息保護規(guī)定,還要利用其獨特“角色”,明確平臺內(nèi)商戶處理個人信息的規(guī)范和保護個人信息的義務(wù),即“制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù);對嚴(yán)重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù)”。

據(jù)此,指標(biāo)中加入了“平臺治理”的維度,從平臺規(guī)則制定以及“管理者”義務(wù)履行兩個角度,測評了“守門人”對平臺內(nèi)服務(wù)提供者個人信息處理行為的監(jiān)督情況。測評發(fā)現(xiàn),超過半數(shù)的平臺企業(yè)均在個人信息和隱私保護方面制定了專門的管理條例或社區(qū)公約,對于平臺服務(wù)提供者收集、使用個人信息的權(quán)利義務(wù)給出了具體要求,并為用戶提供了平臺參與者不合規(guī)行為的投訴渠道。

不過,大部分平臺給出的個人信息相關(guān)的規(guī)則往往較為簡潔,對于具體的違規(guī)行為和對應(yīng)的懲罰措施缺乏判定條件、處理標(biāo)準(zhǔn)的細(xì)節(jié)性介紹。

在管理方面,測評從平臺抽檢、服務(wù)提供者封禁、用戶投訴處理三個層面觀察平臺如何對平臺參與者進行檢查及對不法行為進行處理。

測評結(jié)果顯示,與去年相比,今年測評有超過半數(shù)平臺企業(yè)表示將會對違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者進行賬號封禁等處理,幾乎所有被測App都提供了舉報平臺參與者違規(guī)行為的渠道,但僅有不到五分之一的平臺企業(yè)公示了過去一年對相關(guān)違規(guī)者和行為,平臺處理相關(guān)違規(guī)行為的過程和機制存在不透明性。

社會責(zé)任:個人信息保護專題報告較少釋放的信息有限

《個人信息保護法》第58條要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者應(yīng)當(dāng)定期發(fā)布個人信息保護社會責(zé)任報告,接受社會監(jiān)督。

在去年的測評中,測評團隊曾指出,目前仍有多家企業(yè)并未發(fā)布專門個人信息保護社會報告,即便將ESG報告、企業(yè)總體社會責(zé)任報告等對外披露的內(nèi)容都囊括在內(nèi),總體來看企業(yè)的年度總結(jié)和披露內(nèi)容仍非常簡略。

遺憾的是,自去年11月到今年11月,僅有個別平臺企業(yè)在此前基礎(chǔ)上完善了年度社會責(zé)任報告的披露機制,發(fā)行了單獨的個人信息保護報告或豐富了此前報告的內(nèi)容,且從披露的顆粒度而言,較去年未有非常明顯的進步。

值得注意的是,鑒于同一家平臺企業(yè)往往擁有不止一款A(yù)pp產(chǎn)品(包括小程序、網(wǎng)頁等),且不同產(chǎn)品間往往存在一定的個人信息共享傳輸機制,不同App所采集、使用個人信息的種類和方式亦各不相同,因此在社會責(zé)任報告中披露說明平臺旗下的主要服務(wù)應(yīng)用及其對應(yīng)收集的個人信息類型,是社會在單獨的App隱私政策外了解業(yè)務(wù)類型復(fù)雜的平臺企業(yè)整體個人信息處理情況的重要方式,也利于企業(yè)從整體層面闡釋自身的個人信息保護理念和合規(guī)機制建設(shè)情況。

而實際的報告內(nèi)容中,受限于行文框架和篇幅等原因,雖然大部分企業(yè)均對整體的個保部門設(shè)置和平臺規(guī)則進行了介紹,但很少涉及到具體的業(yè)務(wù)場景和個人信息的類型,業(yè)界仍需典型案例或明確的報告標(biāo)準(zhǔn)規(guī)范加以指導(dǎo)。

 

課題組負(fù)責(zé)人:周輝、王俊

測評指標(biāo)制訂人:周輝、王俊、娜迪婭、吳紅強、卓柳俊、吳立洋、陳勇杰、吳曉燕

測評報告出品:南財合規(guī)科技研究院

統(tǒng)籌:王俊

測評人:陳勇杰、吳曉燕、王俊、吳立洋、蔡姝越、鐘雨欣、馮戀閣、鄭雪、諸未靜、周穎、湯雨昕、溫瑩雪、趙燦暢

21財經(jīng)客戶端下載