21世紀(jì)經(jīng)濟(jì)報(bào)道王俊，吳立洋，鐘雨欣，鄭雪，諸未靜，蔡姝越，馮戀閣實(shí)習(xí)生趙燦暢，周穎，湯雨昕，溫瑩雪，劉悅行北京，上海，廣州報(bào)道

2023年11月1日，《個(gè)人信息保護(hù)法》正式實(shí)施兩周年。

作為我國(guó)首部專門的個(gè)人信息保護(hù)方面的法律，《個(gè)人信息保護(hù)法》創(chuàng)設(shè)性地提出了“守門人”條款，在第58條以4個(gè)款項(xiàng)200余字，規(guī)定了大型平臺(tái)需承擔(dān)的義務(wù)與責(zé)任，以期抓住個(gè)人信息保護(hù)的關(guān)鍵和核心環(huán)節(jié)。

《個(gè)人信息保護(hù)法》實(shí)施后，“守門人”條款仍存在一定的適用性難題。2022年11月，南方財(cái)經(jīng)全媒體集團(tuán)與中國(guó)社會(huì)科學(xué)院法學(xué)所共同組成課題組（以下簡(jiǎn)稱“課題組”）研發(fā)“守門人”社會(huì)責(zé)任指標(biāo)體系，發(fā)布了《“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)報(bào)告》，為“守門人”平臺(tái)社會(huì)責(zé)任履行提供了一把度量尺。

為繼續(xù)推動(dòng)“守門人”平臺(tái)履行個(gè)人信息保護(hù)社會(huì)責(zé)任，課題組在指標(biāo)1.0版本上，做了迭代更新，形成“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)2.0，并于10月31日在2023（第九屆）中國(guó)互聯(lián)網(wǎng)法治大會(huì)上重磅發(fā)布《“守門人”個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)報(bào)告2.0》。

指標(biāo)迭代更新引入南財(cái)數(shù)據(jù)合規(guī)管理平臺(tái)技術(shù)手段檢測(cè) 

對(duì)于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、擁有巨大用戶數(shù)量的企業(yè)，《個(gè)人信息保護(hù)法》創(chuàng)設(shè)了“守門人”制度，要求其在自身恪守個(gè)人信息保護(hù)義務(wù)的同時(shí)，也應(yīng)承擔(dān)“守關(guān)者”的角色，對(duì)平臺(tái)治理負(fù)有特別義務(wù)——“能力越大，責(zé)任越大”。 

按照《個(gè)人信息保護(hù)法》第58條要求，“守門人”企業(yè)需“建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”，“制定平臺(tái)規(guī)則”，對(duì)嚴(yán)重違法的平臺(tái)內(nèi)經(jīng)營(yíng)者停止提供服務(wù)，并且要定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

不過，依據(jù)《個(gè)人信息保護(hù)法》，“守門人”企業(yè)應(yīng)如何進(jìn)行制度體系搭建，如何制定平臺(tái)規(guī)則，如何披露個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告？這些問題尚未得到明確答案。

課題組研發(fā)“守門人”社會(huì)責(zé)任指標(biāo)體系，從制度體系建設(shè)、組織架構(gòu)、合規(guī)實(shí)踐、平臺(tái)治理與社會(huì)責(zé)任報(bào)告五個(gè)維度對(duì)20個(gè)大型平臺(tái)企業(yè)的代表性App做出測(cè)評(píng)，根據(jù)公開的可查詢渠道，嚴(yán)格依據(jù)指標(biāo)，對(duì)這些“守門人”平臺(tái)的社會(huì)責(zé)任履行情況做出判斷。

選取測(cè)試對(duì)象的標(biāo)準(zhǔn)主要依照《個(gè)人信息保護(hù)法》第58條對(duì)“守門人”的定義：“提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”，并參照市場(chǎng)監(jiān)管總局出臺(tái)的《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見稿）》及《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南（征求意見稿）》。

20個(gè)被測(cè)App分別為微信、支付寶、淘寶、拼多多、美團(tuán)、百度、抖音、高德地圖、快手、順豐速運(yùn)、小米應(yīng)用商城、新浪微博、滴滴出行、京東、華為應(yīng)用商城、云閃付、攜程旅行、猿輔導(dǎo)、小紅書、網(wǎng)易云音樂。

課題組以《個(gè)人信息保護(hù)法》第58條規(guī)則為核心指標(biāo)，吸收《個(gè)人信息保護(hù)法》其他條款及相關(guān)法律規(guī)則為基本指標(biāo)，并參考《數(shù)據(jù)出境安全評(píng)估辦法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本要求》（GB/T 41391-2022）等相關(guān)部門規(guī)章和技術(shù)標(biāo)準(zhǔn)對(duì)法律規(guī)則進(jìn)行補(bǔ)充，形成了個(gè)人信息保護(hù)社會(huì)責(zé)任測(cè)評(píng)指標(biāo)1.0版本。2023年個(gè)人信息保護(hù)工作向前邁進(jìn)，規(guī)則體系愈加完善，課題組在指標(biāo)1.0的基礎(chǔ)之上，吸收了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》等，對(duì)指標(biāo)進(jìn)行了迭代更新。

值得注意的是，今年的指標(biāo)測(cè)評(píng)引入了南方財(cái)經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺(tái)的技術(shù)，利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面進(jìn)行了測(cè)評(píng)。

制度體系：隱私政策進(jìn)一步完善便捷性仍存不足

隱私政策是用戶了解App對(duì)個(gè)人信息采集使用基本情況，獲取個(gè)人信息行權(quán)渠道指引的最直接途徑，近年來，圍繞《個(gè)人信息保護(hù)法》等法律法規(guī)的各項(xiàng)要求，平臺(tái)對(duì)隱私政策進(jìn)行了多輪完善，可喜的是，目前大部分App已形成一套結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備的隱私政策模板，并在此基礎(chǔ)上不斷進(jìn)行完善。

例如，本次所測(cè)大部分App的隱私政策均在具體業(yè)務(wù)場(chǎng)景中詳細(xì)列舉了可能收集的個(gè)人信息種類，并通過加粗、加下劃線等方式區(qū)分了敏感個(gè)人信息；在“用戶權(quán)利”相關(guān)章節(jié)，對(duì)于用戶如何行使查閱、復(fù)制、更正、刪除等權(quán)利進(jìn)行了完整描述；針對(duì)未滿十四周歲的未成年人，所測(cè)所有App均有專門的獨(dú)立個(gè)人信息保護(hù)規(guī)則，進(jìn)一步明確未成年用戶個(gè)人信息保護(hù)的相關(guān)情況。

但需指出的是，雖整體框架和內(nèi)容上已相對(duì)成熟，但當(dāng)前所測(cè)App的隱私政策在便捷性和完整性方面仍然有所欠缺。例如，在隱私政策查詢及下載方面，只有部分App支持查閱以往不同歷史版本的隱私政策，也并未表明版本更新調(diào)整了隱私政策的哪些方面，由于只能在特定頁(yè)面查看且不能下載，面對(duì)長(zhǎng)篇累牘的政策文本，用戶也較難檢索查閱特定個(gè)人信息保護(hù)內(nèi)容。

此外，部分App的隱私政策對(duì)于所采集的個(gè)人信息種類，可能存在“等”“相關(guān)信息”等概括性表述，按照《個(gè)人信息保護(hù)法》要求，個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限，這種對(duì)于采集字段列舉并不完全的情況，有悖于“準(zhǔn)確、完整”的立法要求。

值得肯定的是，在對(duì)外共享、公開、轉(zhuǎn)讓個(gè)人信息方面，大部分App均披露了較為完整的信息，以單獨(dú)表格或共享清單的形式列舉了對(duì)外傳輸個(gè)人信息的對(duì)象、目的、傳輸方式以及自身為保障傳輸安全采取的措施等。

組織架構(gòu)：獨(dú)立監(jiān)督機(jī)構(gòu)進(jìn)展依舊緩慢相應(yīng)國(guó)家標(biāo)準(zhǔn)正在進(jìn)行

據(jù)《個(gè)人信息保護(hù)法》第58條規(guī)定，提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。

作為大型互聯(lián)網(wǎng)平臺(tái)企業(yè)公司治理的一部分，獨(dú)立監(jiān)督機(jī)構(gòu)相較于公司內(nèi)部機(jī)構(gòu)保持相對(duì)獨(dú)立性，其組成人員應(yīng)滿足一定的資質(zhì)要求。在職責(zé)范圍上，外部獨(dú)立監(jiān)督機(jī)構(gòu)需要對(duì)大型互聯(lián)網(wǎng)平臺(tái)企業(yè)個(gè)人信息保護(hù)的合規(guī)情況，以及企業(yè)對(duì)用戶個(gè)人信息處理活動(dòng)予以監(jiān)督、指導(dǎo)，對(duì)其合規(guī)建設(shè)情況提出建議和意見。

去年測(cè)評(píng)中，根據(jù)公開信息，只有騰訊、攜程對(duì)外表明，已開展外部獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。今年唯一的實(shí)踐進(jìn)展來自于螞蟻。

今年3月，螞蟻集團(tuán)設(shè)立個(gè)人信息保護(hù)監(jiān)督委員會(huì)并舉行了2023年度首次會(huì)議，對(duì)其2022年相關(guān)工作報(bào)告、2023年相關(guān)工作規(guī)劃進(jìn)行評(píng)議和討論。據(jù)悉，該監(jiān)委會(huì)設(shè)立于2022年下旬，由螞蟻集團(tuán)董事會(huì)、董事會(huì)隱私保護(hù)及數(shù)據(jù)安全委員會(huì)批準(zhǔn)設(shè)立，首批委員共5人，人員名單對(duì)外公開。

除此以外，測(cè)評(píng)團(tuán)隊(duì)通過公開渠道再無發(fā)現(xiàn)本次所測(cè)平臺(tái)企業(yè)有其他設(shè)立個(gè)人信息保護(hù)外部獨(dú)立監(jiān)督機(jī)構(gòu)的進(jìn)展情況披露。

不過，今年8月底，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》征求意見稿， 該要求的發(fā)布意味著《個(gè)人信息保護(hù)法》第58條中對(duì)大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)”有了具體的標(biāo)準(zhǔn)細(xì)則。

目前該標(biāo)準(zhǔn)仍在征求意見階段， 按照目前的要求，大型互聯(lián)網(wǎng)企業(yè)應(yīng)在六個(gè)月內(nèi)成立個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，對(duì)本企業(yè)的個(gè)人信息保護(hù)合法合規(guī)情況、履行個(gè)人信息保護(hù)社會(huì)責(zé)任情況等進(jìn)行獨(dú)立監(jiān)督。個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)應(yīng)由七至十五名成員組成，其中外部成員占比不低于三分之二。

如若該標(biāo)準(zhǔn)正式公布，這意味著一直“按兵不動(dòng)”的大廠們需要加快進(jìn)度補(bǔ)齊獨(dú)立監(jiān)督機(jī)構(gòu)建設(shè)。

合規(guī)實(shí)踐：?jiǎn)为?dú)同意顆粒度不足仍需探索合理的落地路徑

在用戶實(shí)際使用App產(chǎn)品的過程中，平臺(tái)方對(duì)信息傳輸、存儲(chǔ)具體的保障措施，以及對(duì)個(gè)人權(quán)利訴求的響應(yīng)渠道和方式是對(duì)個(gè)人信息保護(hù)效果影響最大的環(huán)節(jié)。

近年來，隨著各大平臺(tái)企業(yè)合規(guī)建設(shè)的不斷完善，各類加密、去標(biāo)識(shí)化的安全技術(shù)措施以及App內(nèi)個(gè)人行使查閱、復(fù)制、更正、刪除等權(quán)利途徑的落地，極大增強(qiáng)了平臺(tái)方對(duì)個(gè)人信息的保障能力，加強(qiáng)了用戶更多了解、掌握個(gè)人信息被采集使用情況的能力。

不過，測(cè)評(píng)團(tuán)隊(duì)發(fā)現(xiàn)，對(duì)于部分合規(guī)要求的落實(shí)細(xì)節(jié)和標(biāo)準(zhǔn)，不同平臺(tái)企業(yè)的理解仍存在差異。例如，雖然本次所測(cè)的絕大部分App均表示已建立個(gè)人信息存儲(chǔ)期限最小化制度，但不少未向用戶解釋“最小期限”的判定方式，也未根據(jù)具體某一個(gè)人信息字段或類型進(jìn)行舉例，語(yǔ)焉不詳，用戶實(shí)際上并不能知曉個(gè)人信息在平臺(tái)保存的時(shí)間。

在向第三方提供個(gè)人信息方面，去年測(cè)評(píng)發(fā)現(xiàn)，大部分廠商采用了在登錄App時(shí)單獨(dú)勾選第三方信息共享協(xié)議的方式獲得用戶授權(quán)，存在“一鍵打包”的情況。

今年的測(cè)評(píng)結(jié)果則顯示，很多被測(cè)App在具體場(chǎng)景中會(huì)彈出個(gè)人信息授權(quán)以獲得單獨(dú)同意，但在獲取單獨(dú)同意的界面往往只給出第三方信息處理者名稱、所需的個(gè)人信息類型，不會(huì)詳細(xì)介紹個(gè)人信息處理目的和處理方式，用戶需查閱隱私政策等其他協(xié)議條款才能進(jìn)一步了解。

在用戶行權(quán)環(huán)節(jié)，App響應(yīng)速度提升，在App內(nèi)個(gè)人信息查閱、復(fù)制以及相關(guān)文本的導(dǎo)出便捷度提升。

但如果用戶想要進(jìn)一步了解個(gè)人信息收集處理情況，只能通過客服和聯(lián)系個(gè)人信息保護(hù)部門兩種渠道，大量自動(dòng)化回復(fù)機(jī)制會(huì)對(duì)用戶提出的問題答非所問，無法給出有價(jià)值的信息；大部分人工客服也難以對(duì)具體問題給出明確的回復(fù)，較好的情況也只是復(fù)制隱私政策條款中的對(duì)應(yīng)表述加以回復(fù)。用戶如需聯(lián)系個(gè)人信息保護(hù)部門，則基本需通過發(fā)送電子郵件的形式，獲得響應(yīng)的速度更慢。

在這樣的客服響應(yīng)能力下，當(dāng)用戶面對(duì)更加細(xì)化的個(gè)人信息保護(hù)問題時(shí)，很難從上述渠道處獲得有效幫助。由此可見，大部分平臺(tái)企業(yè)仍需要在流程機(jī)制和員工培訓(xùn)方面進(jìn)一步改進(jìn)。

合規(guī)實(shí)踐：弱加密和明文傳輸風(fēng)險(xiǎn)仍存，部分登錄授權(quán)以明文傳遞數(shù)據(jù)

今年指標(biāo)測(cè)評(píng)引入了南方財(cái)經(jīng)全媒體集團(tuán)數(shù)據(jù)合規(guī)管理平臺(tái)的技術(shù)，利用技術(shù)手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面通過技術(shù)手段進(jìn)行了測(cè)評(píng)。

技術(shù)端測(cè)評(píng)指標(biāo)主要依據(jù)“傳輸和存儲(chǔ)敏感個(gè)人信息時(shí)，是否采取加密措施”、“涉及修改個(gè)人信息操作時(shí)，包含敏感個(gè)人信息如手機(jī)號(hào)碼、地理位置、金融賬戶信息，是否有分類處理并采取加密處理等安全措施”、“App內(nèi)部查看個(gè)人信息，是否有采取有針對(duì)性的管理或者安全技術(shù)措施”等相關(guān)規(guī)范。

測(cè)試通過模擬中間人攻防演練的方式，對(duì)App的相關(guān)接口和數(shù)據(jù)傳輸進(jìn)行抓包分析，研究不同的數(shù)據(jù)傳輸接口是否進(jìn)行二次加密等情形。

數(shù)據(jù)加密至關(guān)重要，涉及個(gè)人信息收集的場(chǎng)景，完全加密是維護(hù)用戶數(shù)據(jù)隱私的最佳方式。尤其是對(duì)于敏感信息，如手機(jī)號(hào)、地址等，應(yīng)采用完全加密措施。我們將測(cè)試標(biāo)準(zhǔn)分為三個(gè)梯度，即完全加密：數(shù)據(jù)通過加密隧道傳輸、web接口數(shù)據(jù)均通過算法加密，無法區(qū)分字段和值等信息；部分加密或去標(biāo)識(shí)化：采用常見的方法如JSON內(nèi)容加密保護(hù)、對(duì)關(guān)鍵字段進(jìn)行加密或去標(biāo)識(shí)化等措施（如傳輸?shù)臄?shù)據(jù)包中對(duì)用戶密碼等關(guān)鍵字段進(jìn)行加密，而用戶昵稱等字段未加密的情形）；弱加密或無加密：傳輸數(shù)據(jù)包中的內(nèi)容通過Base64編碼、URL編碼，或明文傳輸。

經(jīng)測(cè)試發(fā)現(xiàn)，以用戶注冊(cè)、登錄場(chǎng)景為例，抽樣測(cè)試中發(fā)現(xiàn)有約15%App，傳輸?shù)臄?shù)據(jù)包中發(fā)現(xiàn)部分未加密的個(gè)人信息。

App弱加密和明文傳輸?shù)娘L(fēng)險(xiǎn)依然存在，在測(cè)試中發(fā)現(xiàn)部分App進(jìn)行登錄、個(gè)人信息授權(quán)等操作時(shí)，采用明文的方式傳遞數(shù)據(jù)包，潛在安全風(fēng)險(xiǎn)較高。若用戶處于不安全的網(wǎng)絡(luò)環(huán)境，如在未知的公共WIFI網(wǎng)絡(luò)中使用App，將面臨個(gè)人信息被竊取的風(fēng)險(xiǎn)。

測(cè)試發(fā)現(xiàn)涉及金融、支付的App和主流電商App在登錄、授權(quán)等涉及個(gè)人信息傳輸時(shí)，通過在客戶端與服務(wù)端建立加密隧道的方式進(jìn)行數(shù)據(jù)傳輸，從而保障安全性。社交、分享類的App則傾向通過web接口進(jìn)行數(shù)據(jù)傳輸，部分接口存在安全隱患。

此次測(cè)試，技術(shù)團(tuán)隊(duì)對(duì) “App進(jìn)入小程序、頁(yè)面跳轉(zhuǎn)等涉及授權(quán)使用個(gè)人信息的操作時(shí)，檢測(cè)是否采取加密、去標(biāo)識(shí)化等安全措施”進(jìn)行測(cè)試，測(cè)試發(fā)現(xiàn)，部分App接口傳遞的JSON數(shù)據(jù)已經(jīng)加密，但在傳輸?shù)腃ookie中發(fā)現(xiàn)了未加密的用戶標(biāo)識(shí)信息，這反映了在應(yīng)用程序開發(fā)設(shè)計(jì)中存在考慮不足，應(yīng)用程序開發(fā)者應(yīng)更全面提高安全意識(shí)。

平臺(tái)治理：超過半數(shù)平臺(tái)均發(fā)布了相關(guān)管理?xiàng)l例但“管理者”履職不足

根據(jù)《個(gè)人信息保護(hù)法》第58條為守門人規(guī)定的4項(xiàng)義務(wù)，可以劃分為直接義務(wù)與第三方義務(wù)兩大類，可以理解為，守門人不但要自己遵守個(gè)人信息保護(hù)規(guī)定，還要利用其獨(dú)特“角色”，明確平臺(tái)內(nèi)商戶處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)，即“制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)”。

據(jù)此，指標(biāo)中加入了“平臺(tái)治理”的維度，從平臺(tái)規(guī)則制定以及“管理者”義務(wù)履行兩個(gè)角度，測(cè)評(píng)了“守門人”對(duì)平臺(tái)內(nèi)服務(wù)提供者個(gè)人信息處理行為的監(jiān)督情況。測(cè)評(píng)發(fā)現(xiàn)，超過半數(shù)的平臺(tái)企業(yè)均在個(gè)人信息和隱私保護(hù)方面制定了專門的管理?xiàng)l例或社區(qū)公約，對(duì)于平臺(tái)服務(wù)提供者收集、使用個(gè)人信息的權(quán)利義務(wù)給出了具體要求，并為用戶提供了平臺(tái)參與者不合規(guī)行為的投訴渠道。

不過，大部分平臺(tái)給出的個(gè)人信息相關(guān)的規(guī)則往往較為簡(jiǎn)潔，對(duì)于具體的違規(guī)行為和對(duì)應(yīng)的懲罰措施缺乏判定條件、處理標(biāo)準(zhǔn)的細(xì)節(jié)性介紹。

在管理方面，測(cè)評(píng)從平臺(tái)抽檢、服務(wù)提供者封禁、用戶投訴處理三個(gè)層面觀察平臺(tái)如何對(duì)平臺(tái)參與者進(jìn)行檢查及對(duì)不法行為進(jìn)行處理。

測(cè)評(píng)結(jié)果顯示，與去年相比，今年測(cè)評(píng)有超過半數(shù)平臺(tái)企業(yè)表示將會(huì)對(duì)違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者進(jìn)行賬號(hào)封禁等處理，幾乎所有被測(cè)App都提供了舉報(bào)平臺(tái)參與者違規(guī)行為的渠道，但僅有不到五分之一的平臺(tái)企業(yè)公示了過去一年對(duì)相關(guān)違規(guī)者和行為，平臺(tái)處理相關(guān)違規(guī)行為的過程和機(jī)制存在不透明性。

社會(huì)責(zé)任：個(gè)人信息保護(hù)專題報(bào)告較少釋放的信息有限

《個(gè)人信息保護(hù)法》第58條要求提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者應(yīng)當(dāng)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

在去年的測(cè)評(píng)中，測(cè)評(píng)團(tuán)隊(duì)曾指出，目前仍有多家企業(yè)并未發(fā)布專門個(gè)人信息保護(hù)社會(huì)報(bào)告，即便將ESG報(bào)告、企業(yè)總體社會(huì)責(zé)任報(bào)告等對(duì)外披露的內(nèi)容都囊括在內(nèi)，總體來看企業(yè)的年度總結(jié)和披露內(nèi)容仍非常簡(jiǎn)略。

遺憾的是，自去年11月到今年11月，僅有個(gè)別平臺(tái)企業(yè)在此前基礎(chǔ)上完善了年度社會(huì)責(zé)任報(bào)告的披露機(jī)制，發(fā)行了單獨(dú)的個(gè)人信息保護(hù)報(bào)告或豐富了此前報(bào)告的內(nèi)容，且從披露的顆粒度而言，較去年未有非常明顯的進(jìn)步。

值得注意的是，鑒于同一家平臺(tái)企業(yè)往往擁有不止一款A(yù)pp產(chǎn)品（包括小程序、網(wǎng)頁(yè)等），且不同產(chǎn)品間往往存在一定的個(gè)人信息共享傳輸機(jī)制，不同App所采集、使用個(gè)人信息的種類和方式亦各不相同，因此在社會(huì)責(zé)任報(bào)告中披露說明平臺(tái)旗下的主要服務(wù)應(yīng)用及其對(duì)應(yīng)收集的個(gè)人信息類型，是社會(huì)在單獨(dú)的App隱私政策外了解業(yè)務(wù)類型復(fù)雜的平臺(tái)企業(yè)整體個(gè)人信息處理情況的重要方式，也利于企業(yè)從整體層面闡釋自身的個(gè)人信息保護(hù)理念和合規(guī)機(jī)制建設(shè)情況。

而實(shí)際的報(bào)告內(nèi)容中，受限于行文框架和篇幅等原因，雖然大部分企業(yè)均對(duì)整體的個(gè)保部門設(shè)置和平臺(tái)規(guī)則進(jìn)行了介紹，但很少涉及到具體的業(yè)務(wù)場(chǎng)景和個(gè)人信息的類型，業(yè)界仍需典型案例或明確的報(bào)告標(biāo)準(zhǔn)規(guī)范加以指導(dǎo)。

課題組負(fù)責(zé)人：周輝、王俊

測(cè)評(píng)指標(biāo)制訂人：周輝、王俊、娜迪婭、吳紅強(qiáng)、卓柳俊、吳立洋、陳勇杰、吳曉燕

測(cè)評(píng)報(bào)告出品：南財(cái)合規(guī)科技研究院

統(tǒng)籌：王俊

測(cè)評(píng)人：陳勇杰、吳曉燕、王俊、吳立洋、蔡姝越、鐘雨欣、馮戀閣、鄭雪、諸未靜、周穎、湯雨昕、溫瑩雪、趙燦暢