个人信息主体权利保护
虽然个人信息主体对于个人信息是否享有财产权争议较大,但个人信息主体对个人信息享有特定权利已经成为共识,尚存争议之处仅在于个人信息主体权利的具体范围。《网络安全法》第43条规定了个人信息主体享有删除权和更正权:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
在《网络安全法》规定的基础上,《数据安全管理办法(征求意见稿)》第21条增加了用户查询、注销账号的权利,网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。
《App自评估指南》评估点15要求说明用户权利保障机制,实际增加了赋予用户撤回已同意的授权的权利,其评估标准为:“隐私政策中应对以下用户操作方法提供明确说明:1.个人信息查询;2.个人信息更正;3.个人信息删除;4.用户账户注销;5.撤回已同意的授权。”根据该评估标准,实际要求赋予个人信息主体享有该等权利。
《个人信息安全规范》在前述权利规定之外,还规定了个人信息主体享有获得个人信息副本的权利。需要指出的是,相较于征求意见稿,《个人信息安全规范》将个人信息主体的权利相关内容,从原来的放置在“个人信息的使用”版块下调整为作为单独条款,结构更加严谨、个人信息主体权利相关内容更加突出。这样的行文安排,与《网络安全法》分别将个人信息使用相关要求规定在第41条、将个人信息主体权利相关要求规定在第43条,《App违法违规认定方法》分别将个人信息使用相关要求规定在第3条、将个人信息主体权利相关要求规定在第6条的立法思路保持一致。
《民法典》第1037条规定 “自然人可以依法向信息处理者查阅或者复制其个人信息……”,赋予了自然人查阅和复制个人信息的权利。
接下来,将结合前述规定,围绕《个人信息安全规范》规定的个人信息主体享有的权利,进行具体探讨。
(一)个人信息查询
1.相关规定
根据《个人信息安全规范》第8.1条,网络运营者应向个人信息主体提供查询下列信息的方法:a)其所持有的关于该主体的个人信息或个人信息的类型;b)上述个人信息的来源、所用于的目的;c)已经获得上述个人信息的第三方身份或类型。注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。
2.理解适用
该条要求规定了个人信息主体查询其主动提供和非主动提供个人信息的查询权利保障,但在其注的部分,为非主动提供的个人信息的查询进行了特别规定,赋予了网络运营者是否响应个人信息主体权利的自主权。
但需要指出的是,《民法典》第1037条规定自然人可以依法向信息处理者查阅其个人信息,且未规定例外情形。这就意味着,在《民法典》生效后,如果信息处理者拒绝查询个人信息的请求,可能构成对该条规定的违反,但具体适用还有待立法机构的进一步明确和司法实践的进一步探索。
根据《App自评估指南》评估点15,网络运营者应为个人信息主体提供查询个人信息的路径和方法。从实践看,相当一部分网站、App遵守了该要求,但查询个人信息一般限于应网络运营者的要求、由用户主动提供的个人信息。用户一般需要在“我的”页面里面查询个人信息,如用户名、昵称、脱敏手机号码、身份证号码和银行卡号、账单信息、收货地址等。对于脱敏展示的内容,如用户确需查询,可供参考的方式为通过指纹、面部ID或手势等解锁方式验证后再行展示原始内容,降低在展示环节泄露个人信息的风险。
(二)个人信息更正
1.相关规定
根据《个人信息安全规范》第8.2条,个人信息主体发现网络运营者所持有的该主体的个人信息有错误或不完整的,网络运营者应为其提供请求更正或补充信息的方法。
2.理解适用
根据《App自评估指南》评估点15,网络运营者应为个人信息主体提供更正个人信息的路径和方法。个人信息更正的权利主要在于保护更正错误或不完整个人信息的权利,而非随意更改个人信息的权利。为了防止用户随意更改个人信息或他人恶意更改用户个人信息,网络运营者可以设置验证措施,如验证已认证的姓名、手机号码等,核验安全性和进行身份识别。
对于验证通过的用户,网络运营者应当根据个人信息主体的要求,及时采取措施进行更正,避免拖延和不更正,否则涉嫌违反前述《网络安全法》第43条的规定,可能需要承担相应的行政责任。
(三)个人信息删除
1.相关规定
根据《个人信息安全规范》第8.3条,对网络运营者的要求包括:
a)符合以下情形,个人信息主体要求删除的,应及时删除个人信息:1)网络运营者违反法律法规规定,收集、使用个人信息的;2)网络运营者违反与个人信息主体的约定,收集、使用个人信息的。
b)网络运营者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,网络运营者应立即停止共享、转让的行为,并通知第三方及时删除。
c)网络运营者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,网络运营者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
2.理解适用
根据《App自评估指南》评估点15,网络运营者应为个人信息主体提供删除个人信息的路径和方法。前述《个人信息安全规范》的规定,将《网络安全法》规定的删除权的适用情形,从收集、使用扩大至收集、使用及向第三方共享、转让和公开披露个人信息的情形,并针对前述对外提供个人信息情形,对网络运营者提出了额外的要求。
违反与个人信息主体的约定处理个人信息,个人信息主体有权要求删除,这可以看出,个人信息保护政策等个人信息授权文本,实质上构成了对网络运营者的约束。
需要探讨的是,个人信息主体如果没有任何依据提出删除个人信息的权利主张,网络运营者一般不会响应个人信息主体的请求。但个人信息主体如何发现网络运营者违法违规处理个人信息成为实践中的问题。从自主感知角度,如果存在修改系统权限或者类似用户有可能感知到的行为,用户存在发现的可能性。但对于隐藏比较深的比如隐秘收集App内应用安装列表和隐瞒SDK收集个人信息等行为,用户没有明显感知,难以自主发现。对此,可能需要通过网信部门、工信部门、App个人信息专项治理工作组等监管部门的通报、处罚或者专业机构公布的测评结果,个人信息主体才能获知到网络运营者违法违规处理其个人信息,才能有所依据主张删除违法违规处理的个人信息,这在一定程度上影响了个人信息主体删除权利的行使。当然,如果查询个人信息的权利能够有效行使,个人信息主体能够查询到网络运营者持有的其个人信息,能够一定程度上判断网络运营者是否依法依规和依约处理其个人信息,有助于解决前述问题。
(四)个人信息主体撤回同意
1.相关规定
根据《个人信息安全规范》第8.4条,对网络运营者的要求包括:a)应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,网络运营者后续不应再处理相应的个人信息。b)应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。注:撤回授权同意不影响撤回前基于授权同意的个人信息处理。
根据《App违法违规认定方法》第3.8条,应向用户提供撤回同意收集个人信息的途径、方式。
根据《App自评估指南》评估点15,网络运营者应为个人信息主体提供撤回已同意授权的路径和方法。
2.理解适用
赋予个人信息主体撤回同意的权利,主要在于防止一次授权终身使用等情形,给予个人信息主体“后悔”的机会。当然,参照前述《个人信息安全规范》的规定,个人信息主体撤回授权同意后,网络运营者后续不应再处理相应的个人信息,但不影响撤回前基于授权同意的个人信息处理。从建议角度,应确保提供的途径和方式切实可用,避免流于形式和在用户撤回同意时故意设置多种障碍。
(五)个人信息主体注销账户
1.相关规定
根据《个人信息安全规范》第8.5条,对网络运营者的要求包括:a)通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作。b)受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理。c)注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型。d)注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。e)注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等。f)个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
根据《App违法违规认定方法》第6条,以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”……1.未提供有效的更正、删除个人信息及注销用户账号功能;2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的……
根据《App自评估指南》评估点30,评估标准为App应提供注销账号的途径(如在线功能界面、服务电话等),并在用户注销账号后,及时删除其个人信息或进行匿名化处理。
2.理解适用
个人信息主体无法注销账户或难以注销账户,已经成为实践中常见和监管部门重点关注、多次通报的突出问题。App治理工作组曾在其官方公众号“App个人信息举报”发布《注销难,难于上青天,使人听此凋朱颜!》,文中指出,经过长年累月的使用,用户账户已经有了积分、资金、会员等级等,一直在增值。并不是所有的注销手续都不合理,在注销时慎重对待,进行适度的核验、把关,防止账户被非本人恶意注销的风险,也是对用户负责的体现。但切不可滥用,文章同时列出了账户注销的五道难关:第一道难关,“表里不一”,注销功能实现难;第二道难关,“心有不甘”,注销入口发现难;第三道难关,“互相推诿”,注销渠道分辨难;第四道难关,“过度索要”,注销证明提供难;第五道难关,“盘根错节”,注销条件满足难。[4]五道难关,道出了账户注销存在的问题与病症。
从实务操作角度,对于账户注销,建议做到:
(1)便于用户操作,不应通过隐蔽入口、操作烦琐等方式影响用户权利的实现;
(2)用户行使该等权利时,如需核验身份信息,重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息,如不得要求用户上传手持身份证拍摄的照片;
(3)对于注销单个账户视同注销多个产品或服务,相较于征求意见稿,《个人信息安全规范》提高了其可执行性,应参照其注的内容进行适用;
(4)不应要求用户填写精准的历史操作记录作为必要注销条件,常见的多选一的选择式历史操作记录即可满足验证需求;
(5)不应于客服之间来回推诿,集团公司之间来回推诿。需要人工处理的,应在承诺时限内(原则上不超过15个工作日)完成核查和处理;
(6)不应仅提示存在积分、参与活动、授权登录解绑等影响权利行使的问题,而不提供解决具体问题的通道;
(7)用户注销账户的前端操作完成后,App端和网络运营者后台应同步实现账户注销的操作,不得表面上用户前端注销账号完成实际上后台并未实现账号的注销;
(8)用户注销账户后,应及时删除其个人信息或做匿名化处理,对于因反洗钱、配合犯罪调查等法律法规规定需要留存的个人信息应妥善保管,应专门用于该等法律法规规定的目的,实现信息的有效隔离,不能将其再次应用于业务场景。
对于前述第3点提到的注销单个账户视同注销多个产品或服务,《个人信息安全规范》新增注的内容,有助于更好地缓解实践中集团使用一个通用账号,在现有账号体系下如果注销一个账号确实可能导致的注销多个产品或服务的矛盾。实践中,有部分企业,为了方便用户登录、提高用户使用集团内部不同产品或服务的便利,费了周折后打通了账号体系,使用通用账号可以登录集团内部所有的产品或服务。该等通用账号其设立出发点是好的,但其确实与用户注销一个通用账号时可能导致该集团所有产品或服务都无法使用产生了矛盾,而用户注销账号的本意可能也只是不想使用某一个产品或服务。从用户体验角度看,注销一个账号导致所有产品或服务都无法使用,用户可能会产生“被逼迫”或者“店大欺客”的想法。对此,《个人信息安全规范》增加了两个注的内容,提供了可行性的执行建议。
(六)复制个人信息、获取个人信息副本
1.相关规定
根据《民法典》第1037条,自然人可以依法向信息处理者查阅或者复制其个人信息……
根据《个人信息安全规范》第8.6条,根据个人信息主体的请求,网络运营者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方:a)本人的基本资料、身份信息;b)本人的健康生理信息、教育工作信息。
2.理解适用
前述《民法典》规定了自然人可以向信息处理者复制其个人信息,且未对复制方式、复制个人信息的范围等进行限制,实际落地过程中可能面临相应的问题,有待立法机构的进一步明确和司法实践的进一步探索。
前述《个人信息安全规范》对获取个人信息副本要求的动词表述为“宜”,也就是倡导,代表着能够获取个人信息副本更好。对网络运营者来说,如果因技术不便或其他原因导致无法实现或实现难度较大,建议暂时不在个人信息保护政策等个人信息授权文本中体现该项内容。如易于实现,建议体现该项内容,能够一定程度上提升用户的好感度,有助于个人信息主体权利的全面保障。
从个人信息副本的类型上看,并非全部个人信息均需提供副本,而是限于本人的基本资料、身份信息、本人的健康生理信息和教育工作信息四种类型的个人信息。从特征上看,这四类信息,基本属于个人信息主体主动提供的个人信息,获取该等个人信息的副本,自行获取有助于个人信息主体了解本人已经提供、网络运营者掌握的该等信息情况,直接向第三方传输则个人信息主体无需重复填写该等信息。如果在个人信息保护政策等个人信息授权文本中体现获取个人信息副本的内容,需要做好相应准备,在个人信息主体提出权利主张时,应及时响应并确保真的可以提供该等个人信息副本,否则可能被认定为对双方约定的违反。
(七)响应个人信息主体请求
1.响应时间
根据《个人信息安全规范》第8.7a)条,在验证个人信息主体身份后,应及时响应个人信息主体提出的查询、更正、删除、撤回授权同意、注销账户和获取个人信息副本的请求,应在30天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径。
根据前述规定,若法律法规规定了及时响应的明确期限,应遵守其规定;如无规定,一般应及时响应并在30天内作出答复及合理解释。对于网络运营者来说,30天的时间周期要求,已经足够网络运营者开展相应的工作,如果逾期仍未给出答复的,难以解释其合理性。
2.响应费用
根据《个人信息安全规范》第8.7c)条,对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情况收取一定成本费用。
该条规定,在保护个人信息主体合理行使权利请求的同时,也一定程度上防止了个人信息主体滥用权利给网络运营者造成的额外成本支出。但要想适用该条,需要满足“一定时期内多次重复请求”的条件,如何把握一定时期的时间长短,还有待进一步明确。
3.可不响应请求的情形
根据《个人信息安全规范》第8.7e)条,以下情形可不响应个人信息主体提出的权利请求,包括:1)与网络运营者履行法律法规规定的义务相关的;2)与国家安全、国防安全直接相关的;3)与公共安全、公共卫生、重大公共利益直接相关的;4)与刑事侦查、起诉、审判和执行判决等直接相关的;5)网络运营者有充分证据表明个人信息主体存在主观恶意或滥用权利的;6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;8)涉及商业秘密的。
前述可不响应权利请求的情形,从适用上来说,其条件都是比较苛刻的,整体来说,目的出于维护国家利益、社会利益、其他组织利益、商业秘密和个人信息主体的合法权益。要想适用该等情形,需要有充分的依据,且是经得起考验的依据,不得盲目适用。
(八)个人信息主体投诉举报
1.相关规定
根据《个人信息安全规范》第8.8条,网络运营者应建立投诉管理机制和投诉跟踪流程,井在合理的时间内对投诉进行响应。
根据《App自评估指南》评估点16.用户申诉渠道和反馈机制,评估标准为个人信息保护政策中至少提供以下一种投诉渠道:(1)电子邮件;(2)电话;(3)传真;(4)在线客服;(5)在线表格。评估点32.是否及时反馈用户申诉,评估标准为App运营者应妥善受理并及时反馈用户申诉,原则上在15天内回复处理意见或结果。
根据《App违法违规认定方法》第6.5条,App运营者应建立并公布个人信息安全投诉、举报渠道,应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
2.理解适用
及时受理并有效回应个人信息主体的投诉举报,是对用户负责的表现,能够在一定程度上解决用户遇到的问题,降低用户向监管部门投诉的概率。结合前述规定,网络运营者宜通过个人信息保护政策等公布电子邮件、电话、在线客服等用户投诉举报的渠道,并在受理用户投诉后,在不超过15个工作日的时间内予以回复。在经过内部核查认定用户投诉举报不成立的情况下,建议充分向用户解释认定举报不成立的原因,以安抚用户。