南方財經全媒體 21世紀經濟報道記者 王俊，吳立洋，鍾雨欣，鄭雪，郭美婷，李潤澤子，馮戀閣，實習生駱婷 北京報道

編者按：

伴隨著數字經濟發展，對個人資訊的採集和利用成為一種“剛需”。個人資訊保護不斷湧現出新問題，隨意收集、違法獲取、過度使用、非法買賣個人資訊等情況“野火燒不盡”。資料的挖掘利用與個人資訊保護之間張力擴大，急需專門法律對個人資訊處理活動提供規範樣本。

2021年11月1日，《個人資訊保護法》正式施行，轉眼間即將實施一週年。南財合規科技研究院長期關注個人資訊保護議題，持續跟蹤報道立法程序、監管動態，反映公眾呼聲。藉此機會，將推出“南財個人資訊保護月”系列活動，探討《個人資訊保護法》實施以來的落實情況以及對企業帶來的影響。將圍繞“守門人”條款的落實、使用者個人資訊權益的實現、數字廣告行業的變革、數字經濟發展與合規的平衡等多個維度推出20餘篇系列稿件，刊出個人資訊保護特刊，並且舉辦線下高峰論壇。

法律的生命力在於實施，在完成立法後，《個人資訊保護法》需司法和執法接力，也需要企業恪守法律要求。我們希望能借助媒體的力量，持續追蹤問效，推動個人資訊權益的保障，提升全社會個人資訊保護的水位線。

《個人資訊保護法》創設了“守門人”制度，對於提供重要網際網路平臺服務、擁有巨大使用者數量的企業，要求其

在自身恪守個人資訊保護義務的同時，也應承擔“守關者”的角色，對平臺治理負有特別義務——“能力越大，責任越大”。

不過，依據《個人資訊保護法》“守門人”企業應如何進行制度體系搭建，如何制定平臺規則，如何披露個人資訊保護社會責任報告？這些問題尚未得到明確答案。

中國社會科學院法學研究所與南方財經全媒體集團共同組成課題組研發“守門人”社會責任指標體系，從制度體系建設、組織架構、合規實踐、平臺治理與社會責任報告五個維度對18家大型平臺企業的代表性APP做出測評，根據公開的可查詢渠道，嚴格依據指標，對這些“守門人”平臺的社會責任履行情況做出判斷。

在制度體系與組織架構方面，所測平臺均已就《個人資訊保護法》建立起一套基本完整的個人資訊合規框架，但仍有很多細節需加以完善。例如，對敏感個人資訊採集的使用者提示存在不足，個人資訊保護責任人職權設定有待明確，外部監督機構缺乏實踐等，相關細則標準有待進一步明確與落實。

選取18家大型平臺作為測評物件

按照《個人資訊保護法》58條要求，“守門人”平臺需“建立健全個人資訊保護合規制度體系，成立主要由外部成員組成的獨立機構”，“制定平臺規則”，對嚴重違法的平臺內經營者停止提供服務，並且要定期釋出個人資訊保護社會責任報告，接受社會監督。

課題組以該條規則為核心指標，吸收《個人資訊保護法》其他相關法律規則為基本指標，並參考《資料出境安全評估辦法》、《資訊保安技術 個人資訊保安規範》（GB/T 35273-2020）、《資訊保安技術 移動網際網路應用程式（App）收集個人資訊基本要求》（GB/T 41391-2022）等相關部門規章和技術標準對法律規則進行補充，從而形成本次“法律+技術”規則為主體的“守門人”個人資訊保護社會責任測評指標。

本次測評共40項具體測評條目，從制度體系、組織架構、合規實踐、平臺治理、社會責任報告五個層面進行了實測。

測評物件為對18家大型平臺企業，選取主要依照58條對“守門人”的定義：提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者，參照《網際網路平臺分類分級指南（徵求意見稿）》《網際網路平臺落實主體責任指南（徵求意見稿）》選取產生。

18家大型平臺企業分別為阿里、騰訊、位元組跳動、美團、京東、拼多多、螞蟻、華為、百度、新浪、網易、小米、快手、滴滴、攜程、順豐、小紅書、中國銀聯，測評選取了這些大型平臺企業旗下的代表性APP。

從測評總體結果來看，目前各大型平臺APP基本滿足《個人資訊保護法》對於個人資訊採集、儲存、傳輸、使用以及相關制度體系公示的基本要求，且部分平臺根據自身平臺業務的實際情況在使用者行權、流程公示等方面進行了前沿探索，

但值得注意的是，在外部獨立監督機構、企業個人資訊保護社會責任報告等方面絕大部分平臺尚未有突破，仍有較大的提升空間。

制度體系漸趨成熟 敏感個人資訊保護工作有待加強

在使用者使用APP的過程中，隱私政策文字與授權同意機制是使用者瞭解與控制平臺採集使用個人資訊的主要渠道，二者也構成了使用者端個人資訊保護的基本制度體系。

其中，隱私政策文字應體現其獨立性和易讀性，清晰說明各項業務功能及收集個人資訊型別，清晰說明收集使用個人資訊行為，明確平臺對使用者權利保障。

就測評情況而言，不少平臺已更迭自身的隱私政策，部分平臺還提供了簡化版，對個人資訊採集、儲存、共享、傳輸、使用以及使用者行權情況進行了基本說明，基本已形成一套成熟的使用者協議話語體系，能夠較為完整、清晰地使使用者知悉個人資訊的使用情況與行權渠道。

測評結果顯示，所有APP均在隱私政策中按照提供服務型別的不同對採集的個人資訊種類進行了分類，較為清晰地列舉了使用者使用何種功能所需的個人資訊型別；大部分平臺都提供了隱私政策概要或個人資訊採集清單等易於理解的形式，簡單、直觀地體現收集和使用個人資訊的型別和場景。

此外，在獲得使用者授權向第三方共享個人資訊方面，所測APP基本列出了涉及個人資訊資料傳輸的第三方SDK清單，並對資訊的使用目的、使用場景等進行了說明，在第三方聯絡方式公示方面，大部分APP採取的是直接貼出第三方隱私政策連結的形式，

但也存在可直接跳轉、可複製跳轉、不可複製的查詢便捷度差別。

值得注意的是，不同型別的個人資訊對個人、企業的重要性不同，根據個人資訊所屬型別給予不同程度的保護，更能體現個人資訊保護和利用的平衡，加強對敏感個人資訊的保護。

但普遍來看，相關工作仍有較大的提升空間。

部分APP隱私政策中並未明確區分或說明採集敏感個人資訊；在獲取使用者身份資訊、人臉資訊等相關敏感資訊時單獨同意的提醒方式不夠顯著，或存在未進行提示的情況；對使用者的敏感個人資訊有單獨同意的程式設定，但是對於平臺內經營者的個人敏感資訊採集存在不夠規範提示的情況。

前沿實踐：

在資訊分類管理方面，快手APP對個人敏感資訊的定義和型別進行了明確說明，並在陳述不同應用場景個人資訊採集情況時，對涉及個人敏感資訊的部分進行了“下劃線+加粗”的醒目提示，便於使用者辨別理解。

攜程制定了專門的《攜程兒童個人資訊保護規則及監護人須知》，並對敏感個人資訊作出特別標註，敏感個人資訊的單獨同意授權方面，在許可權呼叫時會出現彈窗（如位置授權），在實名認證環節，涉及真實姓名、身份證時，以勾選同意《身份資訊驗證服務協議》的形式獲得授權。

圖1：快手隱私保護政策截圖

獨立監督機構有待落地 大型平臺普遍仍在“觀望”階段

將個人資訊保護的責任與職能納入組織架構設計，是從平臺端保障隱私安全和資料合規的必由之路。根據《個人資訊保護法》規定，

處理個人資訊達到國家網信部門規定數量的個人資訊處理者應當指定個人資訊保護負責人，負責對個人資訊處理活動以及採取的保護措施等進行監督，個人資訊處理者應當公開個人資訊保護負責人的聯絡方式。此外，大型平臺應“成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督”。

從目前測評結果來看，平臺絕大部分已在內部建立專門的個人資訊管理部門，統籌相關合規事宜，且在隱私政策或官網等渠道給出相關部門的聯絡方式，使用者可透過聯絡主管部門或客服渠道實現對個人資訊權利的行使。

但從測評結果也指出，

目前大部分APP隱私政策所公示出的個人資訊保護負責人大部分均未明確其身份或職務，聯絡方式大部分為部門電話或郵箱，使用者無法獲知負責人的具體資訊和其對自己個人資訊承擔的責任

，相關公示內容有待進一步完善補充。

在獨立監督架構方面，同樣存在不少問題。

僅有個別平臺企業對外表明，已開展外部獨立監督機構建設，且就測評團隊與企業、研究機構等相關單位交流結果看，目前關於外部獨立監督機構在人員選擇、組織架構等方面仍未有細則標準。

在已經公開表示將會設立外部監督機構的企業（微信、攜程），目前也尚未有進一步動態，關於監督機構成員的選聘過程、人員構成比例、具體工作內容，或許需要更為明確的監管規則或業界實踐加以指引。

前沿實踐：

根據目前公開的資訊，騰訊和攜程公佈了招募啟事。騰訊的招募公告顯示，委員會首批成員暫定為15人，計劃包括法學與技術專家、行業協會代表等個人資訊保護領域的專業人士，也將涵蓋律師、媒體以及其他公眾。首批成員將透過公開招募和定向邀請等方式產生。工作內容將包括但不限於：結合相關法律法規要求，獨立評議騰訊公司及各產品隱私保護相關工作、提出指導和修改建議等。略遺憾的是，相關獨立機構尚未正式披露。

更多內容請下載21財經APP

TAG: 個人資訊平臺保護APP測評