打击App违规行为,保障用户有效行使删除权,应当由用户、运营商和监管机构协同构建保护个人信息删除权的合作治理体系。
近期,国家计算机病毒应急处理中心通过互联网监测发现14款移动应用存在隐私不合规行为,违反《中华人民共和国网络安全法》相关规定,涉嫌超范围采集个人隐私信息。其中,“叮叮易建”“儿童学英语”等6款App,因涉嫌“未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件”被通报保护个人隐私信息不合规。
事实上,早在2019年11月,为落实网络安全法,国家网信办、工信部等部门联合印发《App违法违规收集使用个人信息行为认定方法》,以列举方式细化了六类违规行为的具体情形。2020年7月发布的《网络安全标准实践指南——移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称《实践指南》)进一步明确了当前App个人信息保护合规的常见问题,并提供相应处置方案。如《实践指南》“评估点六”明确将“是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息”,纳入评估App收集使用个人信息评估。
《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称“草案”)第四十六条、第四十七条分别赋予用户个人信息更正权和删除权。相比于网络安全法第四十三条,“草案”明确个人信息更正权行使的条件从有“有错误”调整为“不完整或不准确”;对于个人信息删除权,“草案”不仅扩大了用户行使删除权的情形,还将相应个人信息的删除定位为经营者应当主动履行的义务,并为经营者在删除义务的履行与法定存储期限等相互冲突的特殊情形指明了替代履行的方式。然而,App违规现象并未随着立法在个人信息更正权、删除权方面的规定日臻完善而得到完全遏制。这主要有两方面的原因。一方面,App运营商隐私政策关于用户删除权的规定分散且简短,无论是自行删除还是请求运营商删除,大多缺乏给予用户明确的操作指引。另一方面,许多运营商之间存在信息流通和共享,用户为获取相关服务不得不概括接受运营商包含“将从第三方或其他来源收集用户个人信息”的隐私政策,但其删除个人信息的诉求若只到达运营商而无法企及第三方,删除权行使的有效性就会大打折扣。因此,为了保障用户删除权的行使,打击App违规行为,应当由用户、运营商和监管机构协同构建保护个人信息删除权的合作治理体系。
培植用户对删除权的理性认知与“事后维权”的个人信息保护意识。一方面,应当使用户充分认识删除行为和删除后果。在信息处理目的已实现、运营商停止供给产品或服务等法定情形下,运营商未主动删除个人信息的,用户应当树立删除行为是应行、必行之举,应当积极请求运营商删除相应的个人信息。删除权的行使要求用户对运营商的隐私政策尽到必要程度的关注,明晰删除权行使的条件、程序、方式和后果。另一方面,用户应当充分运用投诉、举报渠道,敦促运营商履行个人信息删除义务。用户避免其个人信息受损的主要方式在于事前授权的审慎考量,通过拒绝授权、关闭权限等限制运营商对个人信息的获取。但用户与运营商之间的信息处理能力悬殊,对损害个人信息权益的行为,如App过度索权、拒不履行删除义务等,用户应当通过投诉、举报等方式积极寻求监管机关介入,维护其个人合法的信息权益。
扩大运营商的信息删除义务的外延。一是完善隐私政策和技术支持,畅通用户个人信息删除权的行使路径。按照“草案”第四十七条的规定,“处理目的已经实现或为实现处理目的不再必要”等情形下,运营商应当主动删除个人信息。在用户自行操作删除个人信息的情形下,运营商应当阐明个人信息删除权的实现机制,展示具体示例来辅助用户操作。同时,涉个人信息删除权的内容根据重要性对字体、格式、注释等作出调整,通过规范化、细致化的隐私政策指导、服务用户行使删除权,并在App后台同步执行相关操作。隐私政策还应当含有在运营商删除义务履行不能的情形下对个人信息后续处置的说明,如在信息法定保存期限未届满或删除信息从技术上难以实现时,运营商是否继续存储全部或部分个人信息、是否匿名化处理继续存储的信息及其安全保障程度、彻底删除个人信息的期限和程序等。同时,对在上述情形下不删除个人信息的原因、责任等有向用户承担告知、解释的义务。除此之外,运营商应当拓展用户请求其删除个人信息的渠道,包括但不限于在线操作、客服电话和电子邮件等方式。对于用户要求彻底删除的个人信息,运营商不得采取匿名化处理等技术手段而违背用户的真实意愿。二是要使运营商负担要求第三方删除相应个人信息的义务。“草案”第十三条第二项至第七项所列的可不经用户同意直接处理个人信息以外的情形下,运营商处理个人信息应当取得用户同意。即运营商与第三方关于用户个人信息的交易、共享等应当将用户的“知情同意”作为前置程序,无论是从第三方收集还是向第三方公开、转让个人信息,均应当通过隐私政策对第三方及其收集个人信息的目的、种类和相关信息的处理情况进行详细披露。运营商收到用户删除个人信息的请求后,应当再次向用户提示其从第三方应用获取个人信息的情况,并给出对相关信息的处理方案。涉及运营商向第三方公开、转让个人信息的,用户删除个人信息的请求,应当由运营商及时采取措施传达至共享个人信息的第三方,第三方对相关信息的处理结果亦经由运营商实现对用户的反馈。三是要形成App行业自律。App领域应当健全行业自律规范体系,建立对各运营商制定隐私政策、删除个人信息等的内部控制和风险管理机制,督促运营商对其信息处理活动进行定期合规审计,对于订有胁迫、过度索权性质的隐私政策条款,拒不履行删除义务的运营商采取相当程度的惩罚措施。针对需进行匿名化处理的个人信息,App行业自律组织应当引领信息安全技术研发,从严把握信息匿名化的程序和效果,保障用户信息安全。
提高立法的指引性和监管机构的监督水平。其一,明确履行个人信息保护职责部门的权限分配。“草案”第五十九条将国家网信部门和县级以上地方人民政府有关部门定位为履行个人信息保护职责的部门。因此,上述部门不仅应当切实履行个人信息宣传教育、接受处理相关投诉举报、调查处理违法活动等职责,还要妥善处理好履行个人信息保护职责的部门之间及其与其他部门之间的信息衔接,统筹协调“发现违规”与“处罚违规”工作,提高各部门履行职责的效率。其二,丰富监管手段,加大执法力度。综合运用互联网监测等技术手段和投诉、举报等外部监督手段,强化对App个人信息删除过程和删除结果的监管。同时,监管机关应当按照《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第十六条的有关规定,对违规运营商采取责令整改与社会公告、下架处置、断开接入和信用联合惩戒等处置措施,并对申请恢复上架、恢复接入的App从严制定标准,提高App违规的罚款额度,对情节严重甚至构成犯罪的,妥善处理好行政处罚与侵害个人信息权益犯罪的行刑衔接工作。
(作者单位分别为西南政法大学经济法学院、西南政法大学公法研究中心)