21世纪经济报道 见习记者尤为广州报道
个人信息保护法创设了“守门人”制度,并要求其定期发布个人信息保护社会责任报告,接受社会监督。值此个人信息保护法实施一周年之际,多家企业发布隐私保护方面的白皮书,这些白皮书有哪些共性、可发挥个人信息保护社会责任报告的作用吗?
不以“个人信息保护社会责任报告”命名
2021年11月1日,个人信息保护法正式实施,距今已有一年多。在一周年之际,多家企业发布隐私保护方面的白皮书,如11月7日下午,华为首次发布了《华为隐私保护治理白皮书》;11月8日,vivo发布《vivo安全与隐私保护透明白皮书》。在此之前,中兴于8月发布《中兴通讯隐私保护白皮书(2022)》。
个人信息保护法第五十八条、也被称为“守门人”条款规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行四项特殊的义务,其中之一为:定期发布个人信息保护社会责任报告,接受社会监督。值得注意的是,目前尚未对“守门人”作出界定,也就是说何为“重要互联网平台服务、用户数量巨大、业务类型复杂”还不明确。个人信息保护社会责任报告何时发布、是否要统一标准、必须披露哪些内容也没有依据。在此情况下,尽管个人信息保护法要求“守门人”定期发布个人信息保护社会责任报告,但未有企业以此为名或宣称发布该报告。
建议白皮书增加用户视角的内容
不过,在恰逢个人信息保护法实施一周年之际,企业发布隐私保护方面的白皮书,很难不把白皮书与“个人信息保护社会责任报告”对标。那这些白皮书可发挥“个人信息保护社会责任报告”的作用吗?目前,在无法规标准可依据、无案例可借鉴的情况下,如果白皮书想发挥“个人信息保护社会责任报告”的效果,可从法条规定的内容上下功夫。除了定期发布外,可重点关注如何满足“披露个人信息保护社会责任”和“接受社会监督”的要求。
梳理发现,虽然三家企业的白皮书有长有短——华为、中兴、vivo的白皮书分别有9页、25页、40页,但在内容上有许多相似的地方。例如,三家企业的白皮书大都介绍了公司的隐私保护理念和制度、组织架构、数据全生命周期的保护规则、安全开发流程、对公众权利实现的响应、数据跨境的保护规则等。从内容上来看,白皮书符合“个人信息保护社会责任报告”,但仍有不足之处。比如,“社会监督”中很重要一部分是用户监督,而用户是普罗大众,年龄跨越大、学识工作各不相同,虽不求白皮书为不同人群定制个性化版本,至少要有站在用户视角的内容、表达方式等。比如:
1、补充产品介绍
三家企业的白皮书多从自身角度出发,阐明了企业整体在隐私保护上的架构、规则、开发的安全流程等等。而这些内容难以让用户代入和理解。企业不仅要讲大的框架,更要落到细节和末微处,比如站在用户角度,首先列举名下产品,让用户意识到使用了哪些产品,代入自己“被收集信息者、被保护者、监督者”的身份;其次可结合产品介绍隐私保护的功能设计、组织架构等,让用户更容易感受到自己的隐私获得了保护。
2、降低阅读门槛
通过观察三家企业的白皮书,里面都充满了专业术语和名词,有的还有自研概念,如华为白皮书中的个人信息清单(DI),支持RDS、ECS自建数据库、17/27框架等。隐私保护是一个专业的领域,涉及复杂的法规、技术等。企业在白皮书中使用专业名词的行为无可厚非,但也应尽量做到通俗化、易理解等,照顾缺乏专业知识的用户。
3、 “接受社会监督”应留下监督方式和途径。
前不久,中国社会科学院法学研究所与南方财经全媒体集团共同组成课题组研发“守门人”社会责任指标体系,从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对18家大型平台企业的代表性App做出测评,并发布测评结果。结果显示,目前大部分企业均采用了在社会责任报告等中设置一个专题或章节的形式,对个人信息合规情况进行说明。《个人信息保护法》落地已有一年,期待“守门人”的界定规则能尽快明晰、“守门人”定期发布个人信息保护社会责任报告的制度能进一步提升。