前言
此前,工业和信息化部信息通信管理局(以下简称“工信部”)发布了《关于侵害用户权益行为的APP通报(2021年第4批,总第13批)》,通报了93款未完成整改的App,其中有13个App被指出存在“账号注销难”问题。
有关“用户是否享有注销账户的权利?”、“用户如何行使注销账户的权利?”等问题在实践中已有共识,而用户注销的流程设计已初具规范。[1]但有关用户注销后的数据处理问题,相关法律法规和国家标准则规定不详,实践中也标准不一。
随着《个人信息保护法(草案)》(征求意见稿)、《数据安全法(草案)》(征求意见稿)及一系列信息技术领域的国家标准相继出台,社会公众和立法者对企业的数据安全提出了更高的要求,业务涉及大量个人信息的互联网金融机构更应对此未雨绸缪。
一、用户注销后数据处理的相关法律法规及国家标准
早在工信部2013年出台的《电信和互联网用户个人信息保护规定》便已对“用户注销”进行了规定,根据该规定第九条,电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务;如果违反本条规定,则由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
而新《信息安全技术个人信息安全规范(GB/T 35273-2020)》第8.5.f) 进一步规定,企业(在个人信息主体注销账户后)应及时删除其个人信息或匿名化处理;因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。即企业可以在用户注销后,对其数据采取留存、删除或匿名化处理。
在《个人信息安全规范中》,“删除”是指在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、不可被访问的状态;“匿名化”则是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程,并注明“个人信息经匿名化处理后所得的信息不属于个人信息”。
而规定数据存储期限的法律法规,包括《电子商务法》第三十一条、《征信业管理条例》第十六条、《互联网信息服务管理办法》第十四条、《互联网文化管理暂行规定》第二十条及《网络安全法》第二十一条等。
二、针对“互联网金融机构”的合规建议
之所以选择互联网金融[2]作为本文探讨领域,一方面是源于客户的咨询,另一方面则是个人金融信息因其重要性而受特别立法规制,适用特别的监管要求,得到社会公众的重点关注[3]。同时,在工信部的多轮App专项治理工作通报中,互联网金融类App一直榜上有名。但数据合规主体有其行业特性,也存在共性,其他领域的企业主体也可参照本文。
(一)分类分级
《信息安全技术大数据安全管理指南( GB/T 3797320-2019)》、《个人信息安全规范》与《个人金融信息保护技术规范(JR/T 0171-2020)》均对数据分类分级进行了规范。其中值得关注的是本次《个人信息保护法(草案)》的征求意见稿采用“个人信息”与“敏感个人信息”的划分标准。个保法的具体规范在未来或许或进行调整,但对数据进行分类分级存储已是监管趋势之一。
同时,由于互联网金融机构业务的特殊性,其存储信息的行为会落入《个人金融信息保护技术规范》规制范畴。《个人金融信息保护技术规范》第3.2条将“个人金融信息”界定为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息;将“金融机构”界定为由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构,即互联网金融机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,都应按照信息敏感程度从高到低分为C3、C2、C1三类。
C3类别信息为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,将会对个人金融信息主体的信息安全与财产安全造成严重危害;
C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害;
而C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
除用户本人的金融信息受保护外,《个人金融信息保护技术规范》还规定了个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),也应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。同时,还需注意两种或两种以上的低敏感程度类别信息,在经过组合、关联和分析后可能产生高敏感程度的信息。对该信息也应当进行分类分级。
(二)存储期限
《个人信息安全规范》第6.1条规定了存储期限最小化的两项要求:
(1)个人信息存储期限应为实现个人信息主体授权使用目的所必需的最短时间,法律法规另有规定或个人信息主体另行授权同意的除外;
(2)超出个人信息的存储期限后,网络运营者应当对个人信息进行删除或匿名化处理。
此外,针对金融信息的《个人金融信息保护技术规范》也规定了个人金融信息的存储时限应满足国家法律法规与行业主管部门有关规定要求,并符合个人金融信息主体授权使用的目的所必需的最短时间要求。超过该期限后,应对收集的个人金融信息进行删除或匿名化处理。
对于另有规定具体存储期限的法律法规上文已有列举,而对互联网金融机构而言,则应当关注《征信业管理条例》第十六条、《电子商务法》第三十一条。一方面是因为,互联网金融机构的部分业务内容会涉及个人不良信息(如网络借贷、互联网消费金融)、商品和服务信息(互联网保险、互联网基金销售)、交易信息(互联网支付);另一方面,存在一些互联网金融机构,其商业模式与“电子商务平台”高度近似而容易陷入平台定性问题。
综上,对于注销用户的“不良信息”,可以参照《征信业管理条例》第十六条进行处理,注销用户的商品和服务信息、交易信息,可以参照《电子商务法》第三十一条进行处理,而上述数据之外,但有必要保留的注销用户信息,建议规定适当期限,超过此期限按照其所属分类进行处理。
(三)去标识化
对于绝大多数企业而言,在业务扩张期即以最高安全标准(匿名化)存储数据,既不现实,也不经济。
考虑到该问题,“去标识化”这一技术手段在多部新法、新国标的征求意见稿被多次提及。在《个人信息保护法(草案)》(征求意见稿)中,立法者明确将“采取相应的加密、去标识化等安全技术措施”规定为个人信息处理者的义务之一,此前也已出台《信息安全技术个人信息去标识化指南(GB/T 37964-2019)》,并于2020年3月开始实施。而今年4月,信安标委也已对《信息安全技术 个人信息去标识化效果分级评估规范》开始征求意见。
“去标识化”是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。其与匿名化的区别在于其处理效果和法律意义不同。被匿名化处理后的数据因“无法识别特定自然人”和“不能复原”的特性而不属于“个人信息”,因而也不受个保法规制,更无需遵守“知情同意”等原则。而经过去标识化处理的数据仍存在“复原”的可能性。但对于敏感度较低但仍需要在用户注销后留存的信息,将其去标识后再存储不失为一个折中选择,企业应对此技术手段应多加关注。
(四)优化协议
个人信息主体之所以会授权互联网金融机构处理个人信息,本质上是为实现其授权目的。而用户选择注销账户的行为,可以将其理解为用户撤回授权,放弃实现授权目的。因而互联网金融机构在用户注销账户后继续存储、使用信息,需要有其合理依据,除相关法律法规外,《用户协议》等授权文本也是其依据之一。
但实践中,《用户协议》多被忽略,其显著性也相对较低。因而对于用户注销后的数据处理问题,建议企业单独设置《账号注销协议》以方便用户查明。
一般而言,《账号注销协议》应当包括以下几个方面:
1.用户注销的后果
2.用户注销的条件
3.用户注销后的数据处理:注明需要保留的信息及保留期限
4.附则(包括但不限于争议解决条款)
此外,由于互联网金融机构的业务内容往往需要用户进行实名登记,在账户注销程序应注意查明本人。
总结
在用户注销后,企业应根据数据的类别不同而采用不同的处理方式。对于敏感个人信息、c3、c2类个人金融信息采用删除或匿名化处理,而对于法律法规规定应当留存的数据,在规定时间内进行留存,但应进行数据分区,隔离存储,避免“唤醒”该注销用户的相应信息。对于上述要求之外但需要留存的数据,应当规定适当期限,超过该期限则进行删除或匿名化,同时,在该期限内,企业也应当对该数据进行适当技术处理后存储(如去标识化)。
[1] 具体可以参考App专项治理工作组在其发布的《App账号注销设置条件的合理性边界在哪?》
[2] 本文所讨论的互联网金融,是以2015年央行等十部委联合发布的《关于促进互联网金融健康发展的指导意见》为标准,包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融。
[3] 小米金融APP“账户难注销” 遭工信部通报