重磅:南財(cái)發(fā)布“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告2.0
21世紀(jì)經(jīng)濟(jì)報(bào)道王俊,吳立洋,鐘雨欣,鄭雪,諸未靜,蔡姝越,馮戀閣實(shí)習(xí)生趙燦暢,周穎,湯雨昕,溫瑩雪,劉悅行北京,上海,廣州報(bào)道
2023年11月1日,《個(gè)人信息保護(hù)法》正式實(shí)施兩周年。
作為我國(guó)首部專門的個(gè)人信息保護(hù)方面的法律,《個(gè)人信息保護(hù)法》創(chuàng)設(shè)性地提出了“守門人”條款,在第58條以4個(gè)款項(xiàng)200余字,規(guī)定了大型平臺(tái)需承擔(dān)的義務(wù)與責(zé)任,以期抓住個(gè)人信息保護(hù)的關(guān)鍵和核心環(huán)節(jié)。
《個(gè)人信息保護(hù)法》實(shí)施后,“守門人”條款仍存在一定的適用性難題。2022年11月,南方財(cái)經(jīng)全媒體集團(tuán)與中國(guó)社會(huì)科學(xué)院法學(xué)所共同組成課題組(以下簡(jiǎn)稱“課題組”)研發(fā)“守門人”社會(huì)責(zé)任指標(biāo)體系,發(fā)布了《“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告》,為“守門人”平臺(tái)社會(huì)責(zé)任履行提供了一把度量尺。
為繼續(xù)推動(dòng)“守門人”平臺(tái)履行個(gè)人信息保護(hù)社會(huì)責(zé)任,課題組在指標(biāo)1.0版本上,做了迭代更新,形成“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)2.0,并于10月31日在2023(第九屆)中國(guó)互聯(lián)網(wǎng)法治大會(huì)上重磅發(fā)布《“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)報(bào)告2.0》。
指標(biāo)迭代更新引入南財(cái)數(shù)據(jù)合規(guī)管理平臺(tái)技術(shù)手段檢測(cè)
對(duì)于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、擁有巨大用戶數(shù)量的企業(yè),《個(gè)人信息保護(hù)法》創(chuàng)設(shè)了“守門人”制度,要求其在自身恪守個(gè)人信息保護(hù)義務(wù)的同時(shí),也應(yīng)承擔(dān)“守關(guān)者”的角色,對(duì)平臺(tái)治理負(fù)有特別義務(wù)——“能力越大,責(zé)任越大”。
按照《個(gè)人信息保護(hù)法》第58條要求,“守門人”企業(yè)需“建立健全個(gè)人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”,“制定平臺(tái)規(guī)則”,對(duì)嚴(yán)重違法的平臺(tái)內(nèi)經(jīng)營(yíng)者停止提供服務(wù),并且要定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,接受社會(huì)監(jiān)督。
不過,依據(jù)《個(gè)人信息保護(hù)法》,“守門人”企業(yè)應(yīng)如何進(jìn)行制度體系搭建,如何制定平臺(tái)規(guī)則,如何披露個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告?這些問題尚未得到明確答案。
課題組研發(fā)“守門人”社會(huì)責(zé)任指標(biāo)體系,從制度體系建設(shè)、組織架構(gòu)、合規(guī)實(shí)踐、平臺(tái)治理與社會(huì)責(zé)任報(bào)告五個(gè)維度對(duì)20個(gè)大型平臺(tái)企業(yè)的代表性App做出測(cè)評(píng),根據(jù)公開的可查詢渠道,嚴(yán)格依據(jù)指標(biāo),對(duì)這些“守門人”平臺(tái)的社會(huì)責(zé)任履行情況做出判斷。
選取測(cè)試對(duì)象的標(biāo)準(zhǔn)主要依照《個(gè)人信息保護(hù)法》第58條對(duì)“守門人”的定義:“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”,并參照市場(chǎng)監(jiān)管總局出臺(tái)的《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南(征求意見稿)》及《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南(征求意見稿)》。
20個(gè)被測(cè)App分別為微信、支付寶、淘寶、拼多多、美團(tuán)、百度、抖音、高德地圖、快手、順豐速運(yùn)、小米應(yīng)用商城、新浪微博、滴滴出行、京東、華為應(yīng)用商城、云閃付、攜程旅行、猿輔導(dǎo)、小紅書、網(wǎng)易云音樂。
課題組以《個(gè)人信息保護(hù)法》第58條規(guī)則為核心指標(biāo),吸收《個(gè)人信息保護(hù)法》其他條款及相關(guān)法律規(guī)則為基本指標(biāo),并參考《數(shù)據(jù)出境安全評(píng)估辦法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020)、《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》(GB/T 41391-2022)等相關(guān)部門規(guī)章和技術(shù)標(biāo)準(zhǔn)對(duì)法律規(guī)則進(jìn)行補(bǔ)充,形成了個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)1.0版本。2023年個(gè)人信息保護(hù)工作向前邁進(jìn),規(guī)則體系愈加完善,課題組在指標(biāo)1.0的基礎(chǔ)之上,吸收了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》等,對(duì)指標(biāo)進(jìn)行了迭代更新。
值得注意的是,今年的指標(biāo)測(cè)評(píng)引入了南方財(cái)經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺(tái)的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面進(jìn)行了測(cè)評(píng)。
制度體系:隱私政策進(jìn)一步完善便捷性仍存不足
隱私政策是用戶了解App對(duì)個(gè)人信息采集使用基本情況,獲取個(gè)人信息行權(quán)渠道指引的最直接途徑,近年來,圍繞《個(gè)人信息保護(hù)法》等法律法規(guī)的各項(xiàng)要求,平臺(tái)對(duì)隱私政策進(jìn)行了多輪完善,可喜的是,目前大部分App已形成一套結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備的隱私政策模板,并在此基礎(chǔ)上不斷進(jìn)行完善。
例如,本次所測(cè)大部分App的隱私政策均在具體業(yè)務(wù)場(chǎng)景中詳細(xì)列舉了可能收集的個(gè)人信息種類,并通過加粗、加下劃線等方式區(qū)分了敏感個(gè)人信息;在“用戶權(quán)利”相關(guān)章節(jié),對(duì)于用戶如何行使查閱、復(fù)制、更正、刪除等權(quán)利進(jìn)行了完整描述;針對(duì)未滿十四周歲的未成年人,所測(cè)所有App均有專門的獨(dú)立個(gè)人信息保護(hù)規(guī)則,進(jìn)一步明確未成年用戶個(gè)人信息保護(hù)的相關(guān)情況。
但需指出的是,雖整體框架和內(nèi)容上已相對(duì)成熟,但當(dāng)前所測(cè)App的隱私政策在便捷性和完整性方面仍然有所欠缺。例如,在隱私政策查詢及下載方面,只有部分App支持查閱以往不同歷史版本的隱私政策,也并未表明版本更新調(diào)整了隱私政策的哪些方面,由于只能在特定頁(yè)面查看且不能下載,面對(duì)長(zhǎng)篇累牘的政策文本,用戶也較難檢索查閱特定個(gè)人信息保護(hù)內(nèi)容。
此外,部分App的隱私政策對(duì)于所采集的個(gè)人信息種類,可能存在“等”“相關(guān)信息”等概括性表述,按照《個(gè)人信息保護(hù)法》要求,個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限,這種對(duì)于采集字段列舉并不完全的情況,有悖于“準(zhǔn)確、完整”的立法要求。
值得肯定的是,在對(duì)外共享、公開、轉(zhuǎn)讓個(gè)人信息方面,大部分App均披露了較為完整的信息,以單獨(dú)表格或共享清單的形式列舉了對(duì)外傳輸個(gè)人信息的對(duì)象、目的、傳輸方式以及自身為保障傳輸安全采取的措施等。
組織架構(gòu):獨(dú)立監(jiān)督機(jī)構(gòu)進(jìn)展依舊緩慢相應(yīng)國(guó)家標(biāo)準(zhǔn)正在進(jìn)行
據(jù)《個(gè)人信息保護(hù)法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。
作為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)公司治理的一部分,獨(dú)立監(jiān)督機(jī)構(gòu)相較于公司內(nèi)部機(jī)構(gòu)保持相對(duì)獨(dú)立性,其組成人員應(yīng)滿足一定的資質(zhì)要求。在職責(zé)范圍上,外部獨(dú)立監(jiān)督機(jī)構(gòu)需要對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)的合規(guī)情況,以及企業(yè)對(duì)用戶個(gè)人信息處理活動(dòng)予以監(jiān)督、指導(dǎo),對(duì)其合規(guī)建設(shè)情況提出建議和意見。
去年測(cè)評(píng)中,根據(jù)公開信息,只有騰訊、攜程對(duì)外表明,已開展外部獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。今年唯一的實(shí)踐進(jìn)展來自于螞蟻。
今年3月,螞蟻集團(tuán)設(shè)立個(gè)人信息保護(hù)監(jiān)督委員會(huì)并舉行了2023年度首次會(huì)議,對(duì)其2022年相關(guān)工作報(bào)告、2023年相關(guān)工作規(guī)劃進(jìn)行評(píng)議和討論。據(jù)悉,該監(jiān)委會(huì)設(shè)立于2022年下旬,由螞蟻集團(tuán)董事會(huì)、董事會(huì)隱私保護(hù)及數(shù)據(jù)安全委員會(huì)批準(zhǔn)設(shè)立,首批委員共5人,人員名單對(duì)外公開。
除此以外,測(cè)評(píng)團(tuán)隊(duì)通過公開渠道再無發(fā)現(xiàn)本次所測(cè)平臺(tái)企業(yè)有其他設(shè)立個(gè)人信息保護(hù)外部獨(dú)立監(jiān)督機(jī)構(gòu)的進(jìn)展情況披露。
不過,今年8月底,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》征求意見稿, 該要求的發(fā)布意味著《個(gè)人信息保護(hù)法》第58條中對(duì)大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。
目前該標(biāo)準(zhǔn)仍在征求意見階段, 按照目前的要求,大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個(gè)月內(nèi)成立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu),對(duì)本企業(yè)的個(gè)人信息保護(hù)合法合規(guī)情況、履行個(gè)人信息保護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成,其中外部成員占比不低于三分之二。
如若該標(biāo)準(zhǔn)正式公布,這意味著一直“按兵不動(dòng)”的大廠們需要加快進(jìn)度補(bǔ)齊獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。
合規(guī)實(shí)踐:?jiǎn)为?dú)同意顆粒度不足仍需探索合理的落地路徑
在用戶實(shí)際使用App產(chǎn)品的過程中,平臺(tái)方對(duì)信息傳輸、存儲(chǔ)具體的保障措施,以及對(duì)個(gè)人權(quán)利訴求的響應(yīng)渠道和方式是對(duì)個(gè)人信息保護(hù)效果影響最大的環(huán)節(jié)。
近年來,隨著各大平臺(tái)企業(yè)合規(guī)建設(shè)的不斷完善,各類加密、去標(biāo)識(shí)化的安全技術(shù)措施以及App內(nèi)個(gè)人行使查閱、復(fù)制、更正、刪除等權(quán)利途徑的落地,極大增強(qiáng)了平臺(tái)方對(duì)個(gè)人信息的保障能力,加強(qiáng)了用戶更多了解、掌握個(gè)人信息被采集使用情況的能力。
不過,測(cè)評(píng)團(tuán)隊(duì)發(fā)現(xiàn),對(duì)于部分合規(guī)要求的落實(shí)細(xì)節(jié)和標(biāo)準(zhǔn),不同平臺(tái)企業(yè)的理解仍存在差異。例如,雖然本次所測(cè)的絕大部分App均表示已建立個(gè)人信息存儲(chǔ)期限最小化制度,但不少未向用戶解釋“最小期限”的判定方式,也未根據(jù)具體某一個(gè)人信息字段或類型進(jìn)行舉例,語(yǔ)焉不詳,用戶實(shí)際上并不能知曉個(gè)人信息在平臺(tái)保存的時(shí)間。
在向第三方提供個(gè)人信息方面,去年測(cè)評(píng)發(fā)現(xiàn),大部分廠商采用了在登錄App時(shí)單獨(dú)勾選第三方信息共享協(xié)議的方式獲得用戶授權(quán),存在“一鍵打包”的情況。
今年的測(cè)評(píng)結(jié)果則顯示,很多被測(cè)App在具體場(chǎng)景中會(huì)彈出個(gè)人信息授權(quán)以獲得單獨(dú)同意,但在獲取單獨(dú)同意的界面往往只給出第三方信息處理者名稱、所需的個(gè)人信息類型,不會(huì)詳細(xì)介紹個(gè)人信息處理目的和處理方式,用戶需查閱隱私政策等其他協(xié)議條款才能進(jìn)一步了解。
在用戶行權(quán)環(huán)節(jié),App響應(yīng)速度提升,在App內(nèi)個(gè)人信息查閱、復(fù)制以及相關(guān)文本的導(dǎo)出便捷度提升。
但如果用戶想要進(jìn)一步了解個(gè)人信息收集處理情況,只能通過客服和聯(lián)系個(gè)人信息保護(hù)部門兩種渠道,大量自動(dòng)化回復(fù)機(jī)制會(huì)對(duì)用戶提出的問題答非所問,無法給出有價(jià)值的信息;大部分人工客服也難以對(duì)具體問題給出明確的回復(fù),較好的情況也只是復(fù)制隱私政策條款中的對(duì)應(yīng)表述加以回復(fù)。用戶如需聯(lián)系個(gè)人信息保護(hù)部門,則基本需通過發(fā)送電子郵件的形式,獲得響應(yīng)的速度更慢。
在這樣的客服響應(yīng)能力下,當(dāng)用戶面對(duì)更加細(xì)化的個(gè)人信息保護(hù)問題時(shí),很難從上述渠道處獲得有效幫助。由此可見,大部分平臺(tái)企業(yè)仍需要在流程機(jī)制和員工培訓(xùn)方面進(jìn)一步改進(jìn)。
合規(guī)實(shí)踐:弱加密和明文傳輸風(fēng)險(xiǎn)仍存,部分登錄授權(quán)以明文傳遞數(shù)據(jù)
今年指標(biāo)測(cè)評(píng)引入了南方財(cái)經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺(tái)的技術(shù),利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面通過技術(shù)手段進(jìn)行了測(cè)評(píng)。
技術(shù)端測(cè)評(píng)指標(biāo)主要依據(jù)“傳輸和存儲(chǔ)敏感個(gè)人信息時(shí),是否采取加密措施”、“涉及修改個(gè)人信息操作時(shí),包含敏感個(gè)人信息如手機(jī)號(hào)碼、地理位置、金融賬戶信息,是否有分類處理并采取加密處理等安全措施”、“App內(nèi)部查看個(gè)人信息,是否有采取有針對(duì)性的管理或者安全技術(shù)措施”等相關(guān)規(guī)范。
測(cè)試通過模擬中間人攻防演練的方式,對(duì)App的相關(guān)接口和數(shù)據(jù)傳輸進(jìn)行抓包分析,研究不同的數(shù)據(jù)傳輸接口是否進(jìn)行二次加密等情形。
數(shù)據(jù)加密至關(guān)重要,涉及個(gè)人信息收集的場(chǎng)景,完全加密是維護(hù)用戶數(shù)據(jù)隱私的最佳方式。尤其是對(duì)于敏感信息,如手機(jī)號(hào)、地址等,應(yīng)采用完全加密措施。我們將測(cè)試標(biāo)準(zhǔn)分為三個(gè)梯度,即完全加密:數(shù)據(jù)通過加密隧道傳輸、web接口數(shù)據(jù)均通過算法加密,無法區(qū)分字段和值等信息;部分加密或去標(biāo)識(shí)化:采用常見的方法如JSON內(nèi)容加密保護(hù)、對(duì)關(guān)鍵字段進(jìn)行加密或去標(biāo)識(shí)化等措施(如傳輸?shù)臄?shù)據(jù)包中對(duì)用戶密碼等關(guān)鍵字段進(jìn)行加密,而用戶昵稱等字段未加密的情形);弱加密或無加密:傳輸數(shù)據(jù)包中的內(nèi)容通過Base64編碼、URL編碼,或明文傳輸。
經(jīng)測(cè)試發(fā)現(xiàn),以用戶注冊(cè)、登錄場(chǎng)景為例,抽樣測(cè)試中發(fā)現(xiàn)有約15%App,傳輸?shù)臄?shù)據(jù)包中發(fā)現(xiàn)部分未加密的個(gè)人信息。
App弱加密和明文傳輸?shù)娘L(fēng)險(xiǎn)依然存在,在測(cè)試中發(fā)現(xiàn)部分App進(jìn)行登錄、個(gè)人信息授權(quán)等操作時(shí),采用明文的方式傳遞數(shù)據(jù)包,潛在安全風(fēng)險(xiǎn)較高。若用戶處于不安全的網(wǎng)絡(luò)環(huán)境,如在未知的公共WIFI網(wǎng)絡(luò)中使用App,將面臨個(gè)人信息被竊取的風(fēng)險(xiǎn)。
測(cè)試發(fā)現(xiàn)涉及金融、支付的App和主流電商App在登錄、授權(quán)等涉及個(gè)人信息傳輸時(shí),通過在客戶端與服務(wù)端建立加密隧道的方式進(jìn)行數(shù)據(jù)傳輸,從而保障安全性。社交、分享類的App則傾向通過web接口進(jìn)行數(shù)據(jù)傳輸,部分接口存在安全隱患。
此次測(cè)試,技術(shù)團(tuán)隊(duì)對(duì) “App進(jìn)入小程序、頁(yè)面跳轉(zhuǎn)等涉及授權(quán)使用個(gè)人信息的操作時(shí),檢測(cè)是否采取加密、去標(biāo)識(shí)化等安全措施”進(jìn)行測(cè)試,測(cè)試發(fā)現(xiàn),部分App接口傳遞的JSON數(shù)據(jù)已經(jīng)加密,但在傳輸?shù)腃ookie中發(fā)現(xiàn)了未加密的用戶標(biāo)識(shí)信息,這反映了在應(yīng)用程序開發(fā)設(shè)計(jì)中存在考慮不足,應(yīng)用程序開發(fā)者應(yīng)更全面提高安全意識(shí)。
平臺(tái)治理:超過半數(shù)平臺(tái)均發(fā)布了相關(guān)管理?xiàng)l例但“管理者”履職不足
根據(jù)《個(gè)人信息保護(hù)法》第58條為守門人規(guī)定的4項(xiàng)義務(wù),可以劃分為直接義務(wù)與第三方義務(wù)兩大類,可以理解為,守門人不但要自己遵守個(gè)人信息保護(hù)規(guī)定,還要利用其獨(dú)特“角色”,明確平臺(tái)內(nèi)商戶處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù),即“制定平臺(tái)規(guī)則,明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù)”。
據(jù)此,指標(biāo)中加入了“平臺(tái)治理”的維度,從平臺(tái)規(guī)則制定以及“管理者”義務(wù)履行兩個(gè)角度,測(cè)評(píng)了“守門人”對(duì)平臺(tái)內(nèi)服務(wù)提供者個(gè)人信息處理行為的監(jiān)督情況。測(cè)評(píng)發(fā)現(xiàn),超過半數(shù)的平臺(tái)企業(yè)均在個(gè)人信息和隱私保護(hù)方面制定了專門的管理?xiàng)l例或社區(qū)公約,對(duì)于平臺(tái)服務(wù)提供者收集、使用個(gè)人信息的權(quán)利義務(wù)給出了具體要求,并為用戶提供了平臺(tái)參與者不合規(guī)行為的投訴渠道。
不過,大部分平臺(tái)給出的個(gè)人信息相關(guān)的規(guī)則往往較為簡(jiǎn)潔,對(duì)于具體的違規(guī)行為和對(duì)應(yīng)的懲罰措施缺乏判定條件、處理標(biāo)準(zhǔn)的細(xì)節(jié)性介紹。
在管理方面,測(cè)評(píng)從平臺(tái)抽檢、服務(wù)提供者封禁、用戶投訴處理三個(gè)層面觀察平臺(tái)如何對(duì)平臺(tái)參與者進(jìn)行檢查及對(duì)不法行為進(jìn)行處理。
測(cè)評(píng)結(jié)果顯示,與去年相比,今年測(cè)評(píng)有超過半數(shù)平臺(tái)企業(yè)表示將會(huì)對(duì)違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者進(jìn)行賬號(hào)封禁等處理,幾乎所有被測(cè)App都提供了舉報(bào)平臺(tái)參與者違規(guī)行為的渠道,但僅有不到五分之一的平臺(tái)企業(yè)公示了過去一年對(duì)相關(guān)違規(guī)者和行為,平臺(tái)處理相關(guān)違規(guī)行為的過程和機(jī)制存在不透明性。
社會(huì)責(zé)任:個(gè)人信息保護(hù)專題報(bào)告較少釋放的信息有限
《個(gè)人信息保護(hù)法》第58條要求提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者應(yīng)當(dāng)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,接受社會(huì)監(jiān)督。
在去年的測(cè)評(píng)中,測(cè)評(píng)團(tuán)隊(duì)曾指出,目前仍有多家企業(yè)并未發(fā)布專門個(gè)人信息保護(hù)社會(huì)報(bào)告,即便將ESG報(bào)告、企業(yè)總體社會(huì)責(zé)任報(bào)告等對(duì)外披露的內(nèi)容都囊括在內(nèi),總體來看企業(yè)的年度總結(jié)和披露內(nèi)容仍非常簡(jiǎn)略。
遺憾的是,自去年11月到今年11月,僅有個(gè)別平臺(tái)企業(yè)在此前基礎(chǔ)上完善了年度社會(huì)責(zé)任報(bào)告的披露機(jī)制,發(fā)行了單獨(dú)的個(gè)人信息保護(hù)報(bào)告或豐富了此前報(bào)告的內(nèi)容,且從披露的顆粒度而言,較去年未有非常明顯的進(jìn)步。
值得注意的是,鑒于同一家平臺(tái)企業(yè)往往擁有不止一款A(yù)pp產(chǎn)品(包括小程序、網(wǎng)頁(yè)等),且不同產(chǎn)品間往往存在一定的個(gè)人信息共享傳輸機(jī)制,不同App所采集、使用個(gè)人信息的種類和方式亦各不相同,因此在社會(huì)責(zé)任報(bào)告中披露說明平臺(tái)旗下的主要服務(wù)應(yīng)用及其對(duì)應(yīng)收集的個(gè)人信息類型,是社會(huì)在單獨(dú)的App隱私政策外了解業(yè)務(wù)類型復(fù)雜的平臺(tái)企業(yè)整體個(gè)人信息處理情況的重要方式,也利于企業(yè)從整體層面闡釋自身的個(gè)人信息保護(hù)理念和合規(guī)機(jī)制建設(shè)情況。
而實(shí)際的報(bào)告內(nèi)容中,受限于行文框架和篇幅等原因,雖然大部分企業(yè)均對(duì)整體的個(gè)保部門設(shè)置和平臺(tái)規(guī)則進(jìn)行了介紹,但很少涉及到具體的業(yè)務(wù)場(chǎng)景和個(gè)人信息的類型,業(yè)界仍需典型案例或明確的報(bào)告標(biāo)準(zhǔn)規(guī)范加以指導(dǎo)。
課題組負(fù)責(zé)人:周輝、王俊
測(cè)評(píng)指標(biāo)制訂人:周輝、王俊、娜迪婭、吳紅強(qiáng)、卓柳俊、吳立洋、陳勇杰、吳曉燕
測(cè)評(píng)報(bào)告出品:南財(cái)合規(guī)科技研究院
統(tǒng)籌:王俊
測(cè)評(píng)人:陳勇杰、吳曉燕、王俊、吳立洋、蔡姝越、鐘雨欣、馮戀閣、鄭雪、諸未靜、周穎、湯雨昕、溫瑩雪、趙燦暢