打擊App違規(guī)行為,保障用戶有效行使刪除權(quán),應(yīng)當(dāng)由用戶、運(yùn)營商和監(jiān)管機(jī)構(gòu)協(xié)同構(gòu)建保護(hù)個(gè)人信息刪除權(quán)的合作治理體系。
近期,國家計(jì)算機(jī)病毒應(yīng)急處理中心通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)14款移動(dòng)應(yīng)用存在隱私不合規(guī)行為,違反《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,涉嫌超范圍采集個(gè)人隱私信息。其中,“叮叮易建”“兒童學(xué)英語”等6款A(yù)pp,因涉嫌“未提供有效的更正、刪除個(gè)人信息及注銷用戶賬號(hào)功能,或注銷用戶賬號(hào)設(shè)置不合理?xiàng)l件”被通報(bào)保護(hù)個(gè)人隱私信息不合規(guī)。
事實(shí)上,早在2019年11月,為落實(shí)網(wǎng)絡(luò)安全法,國家網(wǎng)信辦、工信部等部門聯(lián)合印發(fā)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》,以列舉方式細(xì)化了六類違規(guī)行為的具體情形。2020年7月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集使用個(gè)人信息自評(píng)估指南》(以下簡稱《實(shí)踐指南》)進(jìn)一步明確了當(dāng)前App個(gè)人信息保護(hù)合規(guī)的常見問題,并提供相應(yīng)處置方案。如《實(shí)踐指南》“評(píng)估點(diǎn)六”明確將“是否提供刪除或更正個(gè)人信息功能,或公布投訴、舉報(bào)方式等信息”,納入評(píng)估App收集使用個(gè)人信息評(píng)估。
《中華人民共和國個(gè)人信息保護(hù)法(草案二次審議稿)》(以下簡稱“草案”)第四十六條、第四十七條分別賦予用戶個(gè)人信息更正權(quán)和刪除權(quán)。相比于網(wǎng)絡(luò)安全法第四十三條,“草案”明確個(gè)人信息更正權(quán)行使的條件從有“有錯(cuò)誤”調(diào)整為“不完整或不準(zhǔn)確”;對(duì)于個(gè)人信息刪除權(quán),“草案”不僅擴(kuò)大了用戶行使刪除權(quán)的情形,還將相應(yīng)個(gè)人信息的刪除定位為經(jīng)營者應(yīng)當(dāng)主動(dòng)履行的義務(wù),并為經(jīng)營者在刪除義務(wù)的履行與法定存儲(chǔ)期限等相互沖突的特殊情形指明了替代履行的方式。然而,App違規(guī)現(xiàn)象并未隨著立法在個(gè)人信息更正權(quán)、刪除權(quán)方面的規(guī)定日臻完善而得到完全遏制。這主要有兩方面的原因。一方面,App運(yùn)營商隱私政策關(guān)于用戶刪除權(quán)的規(guī)定分散且簡短,無論是自行刪除還是請(qǐng)求運(yùn)營商刪除,大多缺乏給予用戶明確的操作指引。另一方面,許多運(yùn)營商之間存在信息流通和共享,用戶為獲取相關(guān)服務(wù)不得不概括接受運(yùn)營商包含“將從第三方或其他來源收集用戶個(gè)人信息”的隱私政策,但其刪除個(gè)人信息的訴求若只到達(dá)運(yùn)營商而無法企及第三方,刪除權(quán)行使的有效性就會(huì)大打折扣。因此,為了保障用戶刪除權(quán)的行使,打擊App違規(guī)行為,應(yīng)當(dāng)由用戶、運(yùn)營商和監(jiān)管機(jī)構(gòu)協(xié)同構(gòu)建保護(hù)個(gè)人信息刪除權(quán)的合作治理體系。
培植用戶對(duì)刪除權(quán)的理性認(rèn)知與“事后維權(quán)”的個(gè)人信息保護(hù)意識(shí)。一方面,應(yīng)當(dāng)使用戶充分認(rèn)識(shí)刪除行為和刪除后果。在信息處理目的已實(shí)現(xiàn)、運(yùn)營商停止供給產(chǎn)品或服務(wù)等法定情形下,運(yùn)營商未主動(dòng)刪除個(gè)人信息的,用戶應(yīng)當(dāng)樹立刪除行為是應(yīng)行、必行之舉,應(yīng)當(dāng)積極請(qǐng)求運(yùn)營商刪除相應(yīng)的個(gè)人信息。刪除權(quán)的行使要求用戶對(duì)運(yùn)營商的隱私政策盡到必要程度的關(guān)注,明晰刪除權(quán)行使的條件、程序、方式和后果。另一方面,用戶應(yīng)當(dāng)充分運(yùn)用投訴、舉報(bào)渠道,敦促運(yùn)營商履行個(gè)人信息刪除義務(wù)。用戶避免其個(gè)人信息受損的主要方式在于事前授權(quán)的審慎考量,通過拒絕授權(quán)、關(guān)閉權(quán)限等限制運(yùn)營商對(duì)個(gè)人信息的獲取。但用戶與運(yùn)營商之間的信息處理能力懸殊,對(duì)損害個(gè)人信息權(quán)益的行為,如App過度索權(quán)、拒不履行刪除義務(wù)等,用戶應(yīng)當(dāng)通過投訴、舉報(bào)等方式積極尋求監(jiān)管機(jī)關(guān)介入,維護(hù)其個(gè)人合法的信息權(quán)益。
擴(kuò)大運(yùn)營商的信息刪除義務(wù)的外延。一是完善隱私政策和技術(shù)支持,暢通用戶個(gè)人信息刪除權(quán)的行使路徑。按照“草案”第四十七條的規(guī)定,“處理目的已經(jīng)實(shí)現(xiàn)或?yàn)閷?shí)現(xiàn)處理目的不再必要”等情形下,運(yùn)營商應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息。在用戶自行操作刪除個(gè)人信息的情形下,運(yùn)營商應(yīng)當(dāng)闡明個(gè)人信息刪除權(quán)的實(shí)現(xiàn)機(jī)制,展示具體示例來輔助用戶操作。同時(shí),涉?zhèn)人信息刪除權(quán)的內(nèi)容根據(jù)重要性對(duì)字體、格式、注釋等作出調(diào)整,通過規(guī)范化、細(xì)致化的隱私政策指導(dǎo)、服務(wù)用戶行使刪除權(quán),并在App后臺(tái)同步執(zhí)行相關(guān)操作。隱私政策還應(yīng)當(dāng)含有在運(yùn)營商刪除義務(wù)履行不能的情形下對(duì)個(gè)人信息后續(xù)處置的說明,如在信息法定保存期限未屆滿或刪除信息從技術(shù)上難以實(shí)現(xiàn)時(shí),運(yùn)營商是否繼續(xù)存儲(chǔ)全部或部分個(gè)人信息、是否匿名化處理繼續(xù)存儲(chǔ)的信息及其安全保障程度、徹底刪除個(gè)人信息的期限和程序等。同時(shí),對(duì)在上述情形下不刪除個(gè)人信息的原因、責(zé)任等有向用戶承擔(dān)告知、解釋的義務(wù)。除此之外,運(yùn)營商應(yīng)當(dāng)拓展用戶請(qǐng)求其刪除個(gè)人信息的渠道,包括但不限于在線操作、客服電話和電子郵件等方式。對(duì)于用戶要求徹底刪除的個(gè)人信息,運(yùn)營商不得采取匿名化處理等技術(shù)手段而違背用戶的真實(shí)意愿。二是要使運(yùn)營商負(fù)擔(dān)要求第三方刪除相應(yīng)個(gè)人信息的義務(wù)。“草案”第十三條第二項(xiàng)至第七項(xiàng)所列的可不經(jīng)用戶同意直接處理個(gè)人信息以外的情形下,運(yùn)營商處理個(gè)人信息應(yīng)當(dāng)取得用戶同意。即運(yùn)營商與第三方關(guān)于用戶個(gè)人信息的交易、共享等應(yīng)當(dāng)將用戶的“知情同意”作為前置程序,無論是從第三方收集還是向第三方公開、轉(zhuǎn)讓個(gè)人信息,均應(yīng)當(dāng)通過隱私政策對(duì)第三方及其收集個(gè)人信息的目的、種類和相關(guān)信息的處理情況進(jìn)行詳細(xì)披露。運(yùn)營商收到用戶刪除個(gè)人信息的請(qǐng)求后,應(yīng)當(dāng)再次向用戶提示其從第三方應(yīng)用獲取個(gè)人信息的情況,并給出對(duì)相關(guān)信息的處理方案。涉及運(yùn)營商向第三方公開、轉(zhuǎn)讓個(gè)人信息的,用戶刪除個(gè)人信息的請(qǐng)求,應(yīng)當(dāng)由運(yùn)營商及時(shí)采取措施傳達(dá)至共享個(gè)人信息的第三方,第三方對(duì)相關(guān)信息的處理結(jié)果亦經(jīng)由運(yùn)營商實(shí)現(xiàn)對(duì)用戶的反饋。三是要形成App行業(yè)自律。App領(lǐng)域應(yīng)當(dāng)健全行業(yè)自律規(guī)范體系,建立對(duì)各運(yùn)營商制定隱私政策、刪除個(gè)人信息等的內(nèi)部控制和風(fēng)險(xiǎn)管理機(jī)制,督促運(yùn)營商對(duì)其信息處理活動(dòng)進(jìn)行定期合規(guī)審計(jì),對(duì)于訂有脅迫、過度索權(quán)性質(zhì)的隱私政策條款,拒不履行刪除義務(wù)的運(yùn)營商采取相當(dāng)程度的懲罰措施。針對(duì)需進(jìn)行匿名化處理的個(gè)人信息,App行業(yè)自律組織應(yīng)當(dāng)引領(lǐng)信息安全技術(shù)研發(fā),從嚴(yán)把握信息匿名化的程序和效果,保障用戶信息安全。
提高立法的指引性和監(jiān)管機(jī)構(gòu)的監(jiān)督水平。其一,明確履行個(gè)人信息保護(hù)職責(zé)部門的權(quán)限分配。“草案”第五十九條將國家網(wǎng)信部門和縣級(jí)以上地方人民政府有關(guān)部門定位為履行個(gè)人信息保護(hù)職責(zé)的部門。因此,上述部門不僅應(yīng)當(dāng)切實(shí)履行個(gè)人信息宣傳教育、接受處理相關(guān)投訴舉報(bào)、調(diào)查處理違法活動(dòng)等職責(zé),還要妥善處理好履行個(gè)人信息保護(hù)職責(zé)的部門之間及其與其他部門之間的信息銜接,統(tǒng)籌協(xié)調(diào)“發(fā)現(xiàn)違規(guī)”與“處罰違規(guī)”工作,提高各部門履行職責(zé)的效率。其二,豐富監(jiān)管手段,加大執(zhí)法力度。綜合運(yùn)用互聯(lián)網(wǎng)監(jiān)測等技術(shù)手段和投訴、舉報(bào)等外部監(jiān)督手段,強(qiáng)化對(duì)App個(gè)人信息刪除過程和刪除結(jié)果的監(jiān)管。同時(shí),監(jiān)管機(jī)關(guān)應(yīng)當(dāng)按照《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見稿)》第十六條的有關(guān)規(guī)定,對(duì)違規(guī)運(yùn)營商采取責(zé)令整改與社會(huì)公告、下架處置、斷開接入和信用聯(lián)合懲戒等處置措施,并對(duì)申請(qǐng)恢復(fù)上架、恢復(fù)接入的App從嚴(yán)制定標(biāo)準(zhǔn),提高App違規(guī)的罰款額度,對(duì)情節(jié)嚴(yán)重甚至構(gòu)成犯罪的,妥善處理好行政處罰與侵害個(gè)人信息權(quán)益犯罪的行刑銜接工作。
(作者單位分別為西南政法大學(xué)經(jīng)濟(jì)法學(xué)院、西南政法大學(xué)公法研究中心)