打擊App違規行為,保障用戶有效行使刪除權,應當由用戶、運營商和監管機構協同構建保護個人信息刪除權的合作治理體系。
近期,國家計算機病毒應急處理中心通過互聯網監測發現14款移動應用存在隱私不合規行為,違反《中華人民共和國網絡安全法》相關規定,涉嫌超范圍采集個人隱私信息。其中,“叮叮易建”“兒童學英語”等6款App,因涉嫌“未提供有效的更正、刪除個人信息及注銷用戶賬號功能,或注銷用戶賬號設置不合理條件”被通報保護個人隱私信息不合規。
事實上,早在2019年11月,為落實網絡安全法,國家網信辦、工信部等部門聯合印發《App違法違規收集使用個人信息行為認定方法》,以列舉方式細化了六類違規行為的具體情形。2020年7月發布的《網絡安全標準實踐指南——移動互聯網應用程序(App)收集使用個人信息自評估指南》(以下簡稱《實踐指南》)進一步明確了當前App個人信息保護合規的常見問題,并提供相應處置方案。如《實踐指南》“評估點六”明確將“是否提供刪除或更正個人信息功能,或公布投訴、舉報方式等信息”,納入評估App收集使用個人信息評估。
《中華人民共和國個人信息保護法(草案二次審議稿)》(以下簡稱“草案”)第四十六條、第四十七條分別賦予用戶個人信息更正權和刪除權。相比于網絡安全法第四十三條,“草案”明確個人信息更正權行使的條件從有“有錯誤”調整為“不完整或不準確”;對于個人信息刪除權,“草案”不僅擴大了用戶行使刪除權的情形,還將相應個人信息的刪除定位為經營者應當主動履行的義務,并為經營者在刪除義務的履行與法定存儲期限等相互沖突的特殊情形指明了替代履行的方式。然而,App違規現象并未隨著立法在個人信息更正權、刪除權方面的規定日臻完善而得到完全遏制。這主要有兩方面的原因。一方面,App運營商隱私政策關于用戶刪除權的規定分散且簡短,無論是自行刪除還是請求運營商刪除,大多缺乏給予用戶明確的操作指引。另一方面,許多運營商之間存在信息流通和共享,用戶為獲取相關服務不得不概括接受運營商包含“將從第三方或其他來源收集用戶個人信息”的隱私政策,但其刪除個人信息的訴求若只到達運營商而無法企及第三方,刪除權行使的有效性就會大打折扣。因此,為了保障用戶刪除權的行使,打擊App違規行為,應當由用戶、運營商和監管機構協同構建保護個人信息刪除權的合作治理體系。
培植用戶對刪除權的理性認知與“事后維權”的個人信息保護意識。一方面,應當使用戶充分認識刪除行為和刪除后果。在信息處理目的已實現、運營商停止供給產品或服務等法定情形下,運營商未主動刪除個人信息的,用戶應當樹立刪除行為是應行、必行之舉,應當積極請求運營商刪除相應的個人信息。刪除權的行使要求用戶對運營商的隱私政策盡到必要程度的關注,明晰刪除權行使的條件、程序、方式和后果。另一方面,用戶應當充分運用投訴、舉報渠道,敦促運營商履行個人信息刪除義務。用戶避免其個人信息受損的主要方式在于事前授權的審慎考量,通過拒絕授權、關閉權限等限制運營商對個人信息的獲取。但用戶與運營商之間的信息處理能力懸殊,對損害個人信息權益的行為,如App過度索權、拒不履行刪除義務等,用戶應當通過投訴、舉報等方式積極尋求監管機關介入,維護其個人合法的信息權益。
擴大運營商的信息刪除義務的外延。一是完善隱私政策和技術支持,暢通用戶個人信息刪除權的行使路徑。按照“草案”第四十七條的規定,“處理目的已經實現或為實現處理目的不再必要”等情形下,運營商應當主動刪除個人信息。在用戶自行操作刪除個人信息的情形下,運營商應當闡明個人信息刪除權的實現機制,展示具體示例來輔助用戶操作。同時,涉個人信息刪除權的內容根據重要性對字體、格式、注釋等作出調整,通過規范化、細致化的隱私政策指導、服務用戶行使刪除權,并在App后臺同步執行相關操作。隱私政策還應當含有在運營商刪除義務履行不能的情形下對個人信息后續處置的說明,如在信息法定保存期限未屆滿或刪除信息從技術上難以實現時,運營商是否繼續存儲全部或部分個人信息、是否匿名化處理繼續存儲的信息及其安全保障程度、徹底刪除個人信息的期限和程序等。同時,對在上述情形下不刪除個人信息的原因、責任等有向用戶承擔告知、解釋的義務。除此之外,運營商應當拓展用戶請求其刪除個人信息的渠道,包括但不限于在線操作、客服電話和電子郵件等方式。對于用戶要求徹底刪除的個人信息,運營商不得采取匿名化處理等技術手段而違背用戶的真實意愿。二是要使運營商負擔要求第三方刪除相應個人信息的義務。“草案”第十三條第二項至第七項所列的可不經用戶同意直接處理個人信息以外的情形下,運營商處理個人信息應當取得用戶同意。即運營商與第三方關于用戶個人信息的交易、共享等應當將用戶的“知情同意”作為前置程序,無論是從第三方收集還是向第三方公開、轉讓個人信息,均應當通過隱私政策對第三方及其收集個人信息的目的、種類和相關信息的處理情況進行詳細披露。運營商收到用戶刪除個人信息的請求后,應當再次向用戶提示其從第三方應用獲取個人信息的情況,并給出對相關信息的處理方案。涉及運營商向第三方公開、轉讓個人信息的,用戶刪除個人信息的請求,應當由運營商及時采取措施傳達至共享個人信息的第三方,第三方對相關信息的處理結果亦經由運營商實現對用戶的反饋。三是要形成App行業自律。App領域應當健全行業自律規范體系,建立對各運營商制定隱私政策、刪除個人信息等的內部控制和風險管理機制,督促運營商對其信息處理活動進行定期合規審計,對于訂有脅迫、過度索權性質的隱私政策條款,拒不履行刪除義務的運營商采取相當程度的懲罰措施。針對需進行匿名化處理的個人信息,App行業自律組織應當引領信息安全技術研發,從嚴把握信息匿名化的程序和效果,保障用戶信息安全。
提高立法的指引性和監管機構的監督水平。其一,明確履行個人信息保護職責部門的權限分配。“草案”第五十九條將國家網信部門和縣級以上地方人民政府有關部門定位為履行個人信息保護職責的部門。因此,上述部門不僅應當切實履行個人信息宣傳教育、接受處理相關投訴舉報、調查處理違法活動等職責,還要妥善處理好履行個人信息保護職責的部門之間及其與其他部門之間的信息銜接,統籌協調“發現違規”與“處罰違規”工作,提高各部門履行職責的效率。其二,豐富監管手段,加大執法力度。綜合運用互聯網監測等技術手段和投訴、舉報等外部監督手段,強化對App個人信息刪除過程和刪除結果的監管。同時,監管機關應當按照《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》第十六條的有關規定,對違規運營商采取責令整改與社會公告、下架處置、斷開接入和信用聯合懲戒等處置措施,并對申請恢復上架、恢復接入的App從嚴制定標準,提高App違規的罰款額度,對情節嚴重甚至構成犯罪的,妥善處理好行政處罰與侵害個人信息權益犯罪的行刑銜接工作。
(作者單位分別為西南政法大學經濟法學院、西南政法大學公法研究中心)