首頁 > 智庫 > 正文

重磅:南財發(fā)布“守門人”個人信息保護社會責任測評報告2.0

2023-10-31 17:56:49 21世紀經(jīng)濟報道 21財經(jīng)APP
王俊

21世紀經(jīng)濟報道王俊,吳立洋,鐘雨欣,鄭雪,諸未靜,蔡姝越,馮戀閣實習生趙燦暢,周穎,湯雨昕,溫瑩雪,劉悅行北京,上海,廣州報道

2023年11月1日,《個人信息保護法》正式實施兩周年。

作為我國首部專門的個人信息保護方面的法律,《個人信息保護法》創(chuàng)設性地提出了“守門人”條款,在第58條以4個款項200余字,規(guī)定了大型平臺需承擔的義務與責任,以期抓住個人信息保護的關鍵和核心環(huán)節(jié)。

《個人信息保護法》實施后,“守門人”條款仍存在一定的適用性難題。2022年11月,南方財經(jīng)全媒體集團與中國社會科學院法學所共同組成課題組(以下簡稱“課題組”)研發(fā)“守門人”社會責任指標體系,發(fā)布了《“守門人”個人信息保護社會責任測評報告》,為“守門人”平臺社會責任履行提供了一把度量尺。

為繼續(xù)推動“守門人”平臺履行個人信息保護社會責任,課題組在指標1.0版本上,做了迭代更新,形成“守門人”個人信息保護社會責任測評指標2.0,并于10月31日在2023(第九屆)中國互聯(lián)網(wǎng)法治大會上重磅發(fā)布《“守門人”個人信息保護社會責任測評指標報告2.0》。

指標迭代更新引入南財數(shù)據(jù)合規(guī)管理平臺技術手段檢測 

對于提供重要互聯(lián)網(wǎng)平臺服務、擁有巨大用戶數(shù)量的企業(yè),《個人信息保護法》創(chuàng)設了“守門人”制度,要求其在自身恪守個人信息保護義務的同時,也應承擔“守關者”的角色,對平臺治理負有特別義務——“能力越大,責任越大”。 

按照《個人信息保護法》第58條要求,“守門人”企業(yè)需“建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構”,“制定平臺規(guī)則”,對嚴重違法的平臺內經(jīng)營者停止提供服務,并且要定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。

不過,依據(jù)《個人信息保護法》,“守門人”企業(yè)應如何進行制度體系搭建,如何制定平臺規(guī)則,如何披露個人信息保護社會責任報告?這些問題尚未得到明確答案。

課題組研發(fā)“守門人”社會責任指標體系,從制度體系建設、組織架構、合規(guī)實踐、平臺治理與社會責任報告五個維度對20個大型平臺企業(yè)的代表性App做出測評,根據(jù)公開的可查詢渠道,嚴格依據(jù)指標,對這些“守門人”平臺的社會責任履行情況做出判斷。

選取測試對象的標準主要依照《個人信息保護法》第58條對“守門人”的定義:“提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜”,并參照市場監(jiān)管總局出臺的《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》及《互聯(lián)網(wǎng)平臺落實主體責任指南(征求意見稿)》。

20個被測App分別為微信、支付寶、淘寶、拼多多、美團、百度、抖音、高德地圖、快手、順豐速運、小米應用商城、新浪微博、滴滴出行、京東、華為應用商城、云閃付、攜程旅行、猿輔導、小紅書、網(wǎng)易云音樂。

課題組以《個人信息保護法》第58條規(guī)則為核心指標,吸收《個人信息保護法》其他條款及相關法律規(guī)則為基本指標,并參考《數(shù)據(jù)出境安全評估辦法》、《信息安全技術個人信息安全規(guī)范》(GB/T 35273-2020)、《信息安全技術移動互聯(lián)網(wǎng)應用程序(App)收集個人信息基本要求》(GB/T 41391-2022)等相關部門規(guī)章和技術標準對法律規(guī)則進行補充,形成了個人信息保護社會責任測評指標1.0版本。2023年個人信息保護工作向前邁進,規(guī)則體系愈加完善,課題組在指標1.0的基礎之上,吸收了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》等,對指標進行了迭代更新。

值得注意的是,今年的指標測評引入了南方財經(jīng)全媒體集團數(shù)據(jù)合規(guī)管理平臺的技術,利用技術手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面進行了測評。

制度體系:隱私政策進一步完善便捷性仍存不足

隱私政策是用戶了解App對個人信息采集使用基本情況,獲取個人信息行權渠道指引的最直接途徑,近年來,圍繞《個人信息保護法》等法律法規(guī)的各項要求,平臺對隱私政策進行了多輪完善,可喜的是,目前大部分App已形成一套結構嚴謹、內容完備的隱私政策模板,并在此基礎上不斷進行完善。

例如,本次所測大部分App的隱私政策均在具體業(yè)務場景中詳細列舉了可能收集的個人信息種類,并通過加粗、加下劃線等方式區(qū)分了敏感個人信息;在“用戶權利”相關章節(jié),對于用戶如何行使查閱、復制、更正、刪除等權利進行了完整描述;針對未滿十四周歲的未成年人,所測所有App均有專門的獨立個人信息保護規(guī)則,進一步明確未成年用戶個人信息保護的相關情況。

但需指出的是,雖整體框架和內容上已相對成熟,但當前所測App的隱私政策在便捷性和完整性方面仍然有所欠缺。例如,在隱私政策查詢及下載方面,只有部分App支持查閱以往不同歷史版本的隱私政策,也并未表明版本更新調整了隱私政策的哪些方面,由于只能在特定頁面查看且不能下載,面對長篇累牘的政策文本,用戶也較難檢索查閱特定個人信息保護內容。

此外,部分App的隱私政策對于所采集的個人信息種類,可能存在“等”“相關信息”等概括性表述,按照《個人信息保護法》要求,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息的處理目的、處理方式,處理的個人信息種類、保存期限,這種對于采集字段列舉并不完全的情況,有悖于“準確、完整”的立法要求。

值得肯定的是,在對外共享、公開、轉讓個人信息方面,大部分App均披露了較為完整的信息,以單獨表格或共享清單的形式列舉了對外傳輸個人信息的對象、目的、傳輸方式以及自身為保障傳輸安全采取的措施等。

組織架構:獨立監(jiān)督機構進展依舊緩慢相應國家標準正在進行

據(jù)《個人信息保護法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者,應當按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。

作為大型互聯(lián)網(wǎng)平臺企業(yè)公司治理的一部分,獨立監(jiān)督機構相較于公司內部機構保持相對獨立性,其組成人員應滿足一定的資質要求。在職責范圍上,外部獨立監(jiān)督機構需要對大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護的合規(guī)情況,以及企業(yè)對用戶個人信息處理活動予以監(jiān)督、指導,對其合規(guī)建設情況提出建議和意見。

去年測評中,根據(jù)公開信息,只有騰訊、攜程對外表明,已開展外部獨立監(jiān)督機構建設。今年唯一的實踐進展來自于螞蟻。

今年3月,螞蟻集團設立個人信息保護監(jiān)督委員會并舉行了2023年度首次會議,對其2022年相關工作報告、2023年相關工作規(guī)劃進行評議和討論。據(jù)悉,該監(jiān)委會設立于2022年下旬,由螞蟻集團董事會、董事會隱私保護及數(shù)據(jù)安全委員會批準設立,首批委員共5人,人員名單對外公開。

除此以外,測評團隊通過公開渠道再無發(fā)現(xiàn)本次所測平臺企業(yè)有其他設立個人信息保護外部獨立監(jiān)督機構的進展情況披露。

不過,今年8月底,全國信息安全標準化技術委員會發(fā)布國家標準《信息安全技術大型互聯(lián)網(wǎng)企業(yè)內設個人信息保護監(jiān)督機構要求》征求意見稿, 該要求的發(fā)布意味著《個人信息保護法》第58條中對大型互聯(lián)網(wǎng)企業(yè)要求的“成立主要由外部成員組成的獨立機構”有了具體的標準細則。

目前該標準仍在征求意見階段, 按照目前的要求,大型互聯(lián)網(wǎng)企業(yè)應在六個月內成立個人信息保護監(jiān)督機構,對本企業(yè)的個人信息保護合法合規(guī)情況、履行個人信息保護社會責任情況等進行獨立監(jiān)督。個人信息保護監(jiān)督機構應由七至十五名成員組成,其中外部成員占比不低于三分之二。

如若該標準正式公布,這意味著一直“按兵不動”的大廠們需要加快進度補齊獨立監(jiān)督機構建設。

合規(guī)實踐:單獨同意顆粒度不足仍需探索合理的落地路徑

在用戶實際使用App產品的過程中,平臺方對信息傳輸、存儲具體的保障措施,以及對個人權利訴求的響應渠道和方式是對個人信息保護效果影響最大的環(huán)節(jié)。

近年來,隨著各大平臺企業(yè)合規(guī)建設的不斷完善,各類加密、去標識化的安全技術措施以及App內個人行使查閱、復制、更正、刪除等權利途徑的落地,極大增強了平臺方對個人信息的保障能力,加強了用戶更多了解、掌握個人信息被采集使用情況的能力。

不過,測評團隊發(fā)現(xiàn),對于部分合規(guī)要求的落實細節(jié)和標準,不同平臺企業(yè)的理解仍存在差異。例如,雖然本次所測的絕大部分App均表示已建立個人信息存儲期限最小化制度,但不少未向用戶解釋“最小期限”的判定方式,也未根據(jù)具體某一個人信息字段或類型進行舉例,語焉不詳,用戶實際上并不能知曉個人信息在平臺保存的時間。

在向第三方提供個人信息方面,去年測評發(fā)現(xiàn),大部分廠商采用了在登錄App時單獨勾選第三方信息共享協(xié)議的方式獲得用戶授權,存在“一鍵打包”的情況。

今年的測評結果則顯示,很多被測App在具體場景中會彈出個人信息授權以獲得單獨同意,但在獲取單獨同意的界面往往只給出第三方信息處理者名稱、所需的個人信息類型,不會詳細介紹個人信息處理目的和處理方式,用戶需查閱隱私政策等其他協(xié)議條款才能進一步了解。

在用戶行權環(huán)節(jié),App響應速度提升,在App內個人信息查閱、復制以及相關文本的導出便捷度提升。

但如果用戶想要進一步了解個人信息收集處理情況,只能通過客服和聯(lián)系個人信息保護部門兩種渠道,大量自動化回復機制會對用戶提出的問題答非所問,無法給出有價值的信息;大部分人工客服也難以對具體問題給出明確的回復,較好的情況也只是復制隱私政策條款中的對應表述加以回復。用戶如需聯(lián)系個人信息保護部門,則基本需通過發(fā)送電子郵件的形式,獲得響應的速度更慢。

在這樣的客服響應能力下,當用戶面對更加細化的個人信息保護問題時,很難從上述渠道處獲得有效幫助。由此可見,大部分平臺企業(yè)仍需要在流程機制和員工培訓方面進一步改進。

合規(guī)實踐:弱加密和明文傳輸風險仍存,部分登錄授權以明文傳遞數(shù)據(jù)

今年指標測評引入了南方財經(jīng)全媒體集團數(shù)據(jù)合規(guī)管理平臺的技術,利用技術手段在數(shù)據(jù)傳輸、數(shù)據(jù)安全保障等方面通過技術手段進行了測評。

技術端測評指標主要依據(jù)“傳輸和存儲敏感個人信息時,是否采取加密措施”、“涉及修改個人信息操作時,包含敏感個人信息如手機號碼、地理位置、金融賬戶信息,是否有分類處理并采取加密處理等安全措施”、“App內部查看個人信息,是否有采取有針對性的管理或者安全技術措施”等相關規(guī)范。

測試通過模擬中間人攻防演練的方式,對App的相關接口和數(shù)據(jù)傳輸進行抓包分析,研究不同的數(shù)據(jù)傳輸接口是否進行二次加密等情形。

數(shù)據(jù)加密至關重要,涉及個人信息收集的場景,完全加密是維護用戶數(shù)據(jù)隱私的最佳方式。尤其是對于敏感信息,如手機號、地址等,應采用完全加密措施。我們將測試標準分為三個梯度,即完全加密:數(shù)據(jù)通過加密隧道傳輸、web接口數(shù)據(jù)均通過算法加密,無法區(qū)分字段和值等信息;部分加密或去標識化:采用常見的方法如JSON內容加密保護、對關鍵字段進行加密或去標識化等措施(如傳輸?shù)臄?shù)據(jù)包中對用戶密碼等關鍵字段進行加密,而用戶昵稱等字段未加密的情形);弱加密或無加密:傳輸數(shù)據(jù)包中的內容通過Base64編碼、URL編碼,或明文傳輸。

經(jīng)測試發(fā)現(xiàn),以用戶注冊、登錄場景為例,抽樣測試中發(fā)現(xiàn)有約15%App,傳輸?shù)臄?shù)據(jù)包中發(fā)現(xiàn)部分未加密的個人信息。

App弱加密和明文傳輸?shù)娘L險依然存在,在測試中發(fā)現(xiàn)部分App進行登錄、個人信息授權等操作時,采用明文的方式傳遞數(shù)據(jù)包,潛在安全風險較高。若用戶處于不安全的網(wǎng)絡環(huán)境,如在未知的公共WIFI網(wǎng)絡中使用App,將面臨個人信息被竊取的風險。

測試發(fā)現(xiàn)涉及金融、支付的App和主流電商App在登錄、授權等涉及個人信息傳輸時,通過在客戶端與服務端建立加密隧道的方式進行數(shù)據(jù)傳輸,從而保障安全性。社交、分享類的App則傾向通過web接口進行數(shù)據(jù)傳輸,部分接口存在安全隱患。

此次測試,技術團隊對 “App進入小程序、頁面跳轉等涉及授權使用個人信息的操作時,檢測是否采取加密、去標識化等安全措施”進行測試,測試發(fā)現(xiàn),部分App接口傳遞的JSON數(shù)據(jù)已經(jīng)加密,但在傳輸?shù)腃ookie中發(fā)現(xiàn)了未加密的用戶標識信息,這反映了在應用程序開發(fā)設計中存在考慮不足,應用程序開發(fā)者應更全面提高安全意識。

平臺治理:超過半數(shù)平臺均發(fā)布了相關管理條例但“管理者”履職不足

根據(jù)《個人信息保護法》第58條為守門人規(guī)定的4項義務,可以劃分為直接義務與第三方義務兩大類,可以理解為,守門人不但要自己遵守個人信息保護規(guī)定,還要利用其獨特“角色”,明確平臺內商戶處理個人信息的規(guī)范和保護個人信息的義務,即“制定平臺規(guī)則,明確平臺內產品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務;對嚴重違反法律、行政法規(guī)處理個人信息的平臺內的產品或者服務提供者,停止提供服務”。

據(jù)此,指標中加入了“平臺治理”的維度,從平臺規(guī)則制定以及“管理者”義務履行兩個角度,測評了“守門人”對平臺內服務提供者個人信息處理行為的監(jiān)督情況。測評發(fā)現(xiàn),超過半數(shù)的平臺企業(yè)均在個人信息和隱私保護方面制定了專門的管理條例或社區(qū)公約,對于平臺服務提供者收集、使用個人信息的權利義務給出了具體要求,并為用戶提供了平臺參與者不合規(guī)行為的投訴渠道。

不過,大部分平臺給出的個人信息相關的規(guī)則往往較為簡潔,對于具體的違規(guī)行為和對應的懲罰措施缺乏判定條件、處理標準的細節(jié)性介紹。

在管理方面,測評從平臺抽檢、服務提供者封禁、用戶投訴處理三個層面觀察平臺如何對平臺參與者進行檢查及對不法行為進行處理。

測評結果顯示,與去年相比,今年測評有超過半數(shù)平臺企業(yè)表示將會對違反法律、行政法規(guī)處理個人信息的平臺內的產品或者服務提供者進行賬號封禁等處理,幾乎所有被測App都提供了舉報平臺參與者違規(guī)行為的渠道,但僅有不到五分之一的平臺企業(yè)公示了過去一年對相關違規(guī)者和行為,平臺處理相關違規(guī)行為的過程和機制存在不透明性。

社會責任:個人信息保護專題報告較少釋放的信息有限

《個人信息保護法》第58條要求提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者應當定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。

在去年的測評中,測評團隊曾指出,目前仍有多家企業(yè)并未發(fā)布專門個人信息保護社會報告,即便將ESG報告、企業(yè)總體社會責任報告等對外披露的內容都囊括在內,總體來看企業(yè)的年度總結和披露內容仍非常簡略。

遺憾的是,自去年11月到今年11月,僅有個別平臺企業(yè)在此前基礎上完善了年度社會責任報告的披露機制,發(fā)行了單獨的個人信息保護報告或豐富了此前報告的內容,且從披露的顆粒度而言,較去年未有非常明顯的進步。

值得注意的是,鑒于同一家平臺企業(yè)往往擁有不止一款App產品(包括小程序、網(wǎng)頁等),且不同產品間往往存在一定的個人信息共享傳輸機制,不同App所采集、使用個人信息的種類和方式亦各不相同,因此在社會責任報告中披露說明平臺旗下的主要服務應用及其對應收集的個人信息類型,是社會在單獨的App隱私政策外了解業(yè)務類型復雜的平臺企業(yè)整體個人信息處理情況的重要方式,也利于企業(yè)從整體層面闡釋自身的個人信息保護理念和合規(guī)機制建設情況。

而實際的報告內容中,受限于行文框架和篇幅等原因,雖然大部分企業(yè)均對整體的個保部門設置和平臺規(guī)則進行了介紹,但很少涉及到具體的業(yè)務場景和個人信息的類型,業(yè)界仍需典型案例或明確的報告標準規(guī)范加以指導。

 

課題組負責人:周輝、王俊

測評指標制訂人:周輝、王俊、娜迪婭、吳紅強、卓柳俊、吳立洋、陳勇杰、吳曉燕

測評報告出品:南財合規(guī)科技研究院

統(tǒng)籌:王俊

測評人:陳勇杰、吳曉燕、王俊、吳立洋、蔡姝越、鐘雨欣、馮戀閣、鄭雪、諸未靜、周穎、湯雨昕、溫瑩雪、趙燦暢

21財經(jīng)客戶端下載