“账户注销”如何落地实施?—评述2020版《个人信息安全规范》修订亮点
导读:新版35273还特地就何为“简便易操作”的注销方式给出了具体建议:直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其注销账户等权利。
关于“账户注销”的规定是2020年3月颁布的新版国家标准《个人信息安全规范》 (“新版35273”)中受到广泛关注的亮点之一。
2017年12月版的国家标准《个人信息安全规范》仅对注销账户事宜要求个人信息控制者提供简便易操作的注销方式、在注销后删除或匿名化处理个人信息(第7.8条),但对于何种方式是“简便易操作”、如何落实注销并没有进一步说明,就此埋下伏笔。随着过去两年尤其是2019年四部委开展App违法违规收集使用个人信息专项治理活动中不断总结和归纳出App收集使用个人信息的各种正面和负面做法,这一“伏笔”在新版《个人信息安全规范》中终于得以全面展开,明确和细化了落实个人信息主体的“账号注销”要求,大幅提升了个人信息控制者的相关义务。
下文结合新版35273的相关条款规定,梳理了企业在落地实施“账户注销”时的九个常见问题:
问1:企业是不是“必须”允许用户注销账户?
答:是的。虽然35273是推荐性国标,但用户有“注销权”并非由这一国家标准所创设,而是以法律和部门规章为依据,是企业(本文系指作为个人信息控制者的互联网产品/服务提供者,下称“企业”/“互联网企业”)的“法定”义务。
《消费者权益保护法》规定了消费者享有自主选择商品或服务的权利(第九条)、公平交易的权利(第十条)。如果用户只能选择注册账号(开启服务)但不能选择注销(拒绝服务),则显然侵权了消费者“自主决定不接受服务的权利”并强迫用户继续交易。
工信部在《电信和互联网用户个人信息保护规定》(工信部24号文)中更是明确了电信和互联网信息服务的用户享有“账号注销权”:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务”(第9条3款),除非法律和行政法规另有规定。如企业违反了账号注销义务,24号文还进一步设定了法律责任:“由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。”
所以,确保用户注销账号的权利,这个必须有。
问2:为了实现“账号注销”,互联网企业通常要在网络产品与用户交互页面做哪些开发?
答:开发专门的账号注销流程页面。
为了实现用户的“账号注销权”,企业至少需要在用户可感知到的网络产品交互层面为用户提供“简便易操作”的账户注销方式(新版35273第8.5.a)条)。特别的,针对采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的场景,新版35273还特地就何为“简便易操作”的注销方式给出了具体建议:直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其注销账户等权利(第8.7 b))。
综合来看,目前互联网企业为满足上述“账号注销”的要求,在网络产品端进行的常见开发工作包括:
注销入口页。在应用内或网站上设置清晰的注销入口页,方便用户在线点击按键或菜单发起“注销”请求,避免让用户自己去另行查找客服电话或客服邮箱而提出注销申请。
参照《App违法违规收集使用个人信息行为认定方法》中对于隐私政策“难以访问”的认定标准,建议将“注销”入口设计在自主页起点击不超过4次可见的页面,避免在线发起“注销”请求不够“直接便捷”或者因注销入口埋得太深,达不到实际效果。
增强告知页。开发关于账号注销后果的增强告知页面,并且在注销前给予充分、明确的提示,以起到详细告知和增强告知的效果。
在线表单页。如果注销流程需要用户提交验证信息或有关账号的信息时,则适合采用在线表单页的信息提交方式。这种提交方式不仅为用户提供便利,也有助于收集到的信息格式规范统一,并避免以客服公号、电话或邮件直接获取用户提交的申请或验证信息时保密性不够(例如客服人员可直接获取用户提交的未加密的个人信息)。
流程展示页。在注销流程的周期内也保持在应用内或网站上可以方便地找到和查看流程进展情况。
注销后状态显示。注销完成后该账号下原有信息在应用内的显示状态(如其他用户在社区内还可以看到该账号下已发表的言论、已注销账号下的角色等),如不可删除的话,则应标识出改账号已注销或角色为灰色不在线状态。
当然,如果是注销全流程仅提供客服电话方式应答用户的,则需要确保客服系统和人工坐席亦能充分实现用户可以便捷找到电话入口、电话输入验证信息(如身份证号码、密码)、被充分告知注销结果以及何时能够注销、注销后的信息如何处理等。
相应地,用户难以找到注销流程入口、告知用户不能注销账号、用户在注销流程中发现操作非常复杂或不便等,均与新版35273第8.5.a)条、第8.7 b)条的规定不符。
问3:互联网企业是否可以为“账号注销”设置条件?
答:可以设置。
常见的账号注销条件可分为两大类:身份核验条件、账号状态条件。
身份核验条件。设置此类条件符合新版35273第8.7a)规定的“验证个人信息主体身份后”才需要响应用户行权要求,旨在确保账号注销申请系用户本人操作,例如要求用户进入登录状态后才能发起注销申请、如忘记账号密码的要先找回;提供注册账号时的身份证号(仅限于此前提供过身份证号码的用户)或提交已绑定手机号的动态验证码。当然,为了确保收集信息“最小化”,更为进阶的方式是基于风险判断对身份核验条件区分对待,如账号下的剩余权益越小,所需的验证信息越少;账号下的权益越大、待决交易/问题越多,所需的验证强度越大,只是验证强度的最大值还是控制在注册账号阶段以及使用过程中所收集的数据类型范围内,即如前所述“注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型”。
账号状态条件。此类条件的设置多是为了保护用户、第三方、企业的合法利益,例如账号下没有尚未处理完毕的交易、没有已提供服务但未支付的订单、账号未被封禁、没有尚未处理完毕的客诉或纠纷(与其他用户的侵权纠纷、投诉举报或被投诉举报)、没有其他不得注销的情形(如新版35273第第8.7e)中的八种情形)。但此类条件并不应该要求用户必须用尽账号下的权益、账号必须已经注册完成满一定周期等,如用户自愿选择放弃账号下相应权益的应予以注销。
但是,企业自行设置的这些注销条件不能“不必要或不合理”。根据新版35273第8.5c)、d)款、2019年11月四部委《App违法违规收集使用个人信息行为认定方法》第六2条、2020年3月信安标委《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》(“网络安全标准实践指南”)问题3的规定,其中常见的“不必要或不合理”的注销条件如:
身份核验时要求用户再次提供的个人信息类型多于注册、使用等服务环节收集的个人信息类型,特别是注册和使用环节没有要求而在注册环节要要求用户提交身份证正反面照片、手持身份证照片、人脸认证、绑定银行卡。
对于采用同一账号注册登录多个App的情形,用户注销单个App时只能注销用户账号,导致用户无法使用其他相关App。在这种“注销单个账户视同注销多个产品或服务”的情况下,不同的应用相互独立的,却又不允许用户针对单一应用的账号提起注销,应为不合理的注销条件。
要求用户必须填写精确的历史操作记录,例如注册时间/注册地点/特定登录时间及地点等信息……
同时,《消费者权益保护法》也特别强调了“不得设定不公平、不合理的交易条件”(第10条),而如何注销账号无疑是重要的在线服务交易条件,因此应该“公平、合理”。
另外,注销条件的设置也要特别注意符合《民法典》的相关规定。《民法典》的亮点之一就是细化格式条款的制度,加强对消费者权益保护。企业列举出的注销条件通常构成互联网服务在线协议中的格式条款,因此需要遵循《民法典》第496条2款的规定,确保“应当遵循公平原则确定当事人之间的权利和义务”,否则很容易被用户/监管机构/消保组织认定“免除企业责任、增加用户责任或排除用户主要权利”,从而适用《民法典》第497条主张该等注销条件的规定无效。
所以,以上列举的不合理注销条件为用户注销权设置了重重障碍,增加了用户选择退出的难度,不仅不符合新版35273的规定,更是涉嫌违反了《消费者权益保护法》、工信部24号文和《民法典》。
问4:如果多个产品或服务之间共用一个账号且无法拆分的,如何注销?
答:确认无法拆分的,注销前予以详细说明。
根据新版35273第8.5d),如果多个产品或服务之间存在“必要业务关联关系”的,例如一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,则需要在注销账号前向用户进行详细说明。这里的重点包括:
1) 多个产品/服务之间必须要存在“必要”关联关系。
例如,不少企业都创建了自己中心账号平台系统(“平台端”),该企业(集团)提供的各个应用(“应用端”)均统一使用中心账号作为通行证,从而统一实现身份认证、账号管理、积分累计、充值兑换以及后台数据中心安全管理等。如用户注销了中心账号的,就无法再使用通过该账号登录和管理该企业的各应用端。平台端和应用端系同一个人信息控制者或至少是共享数据的关联企业所控制。而如果不同的应用之间相互独立的,就不应“注销单个账户视同注销多个产品或服务”。
此外,为了提供便利的注销入口,用户应该不仅在平台端可以提起注销中心账号,在接入平台的每一应用端也应明确设置管理中心账号的入口甚至直接提供可以跳转到中心账号平台进行中心账号注销的入口(但此处需要有提醒,即明确告知注销中心账号平台与注销单一账号的不同后果)。
2) 在注销账号前向用户进行详细说明。
正如上文所述,对于用户在注销中心账号后对所有应用端的服务会产生何种影响和后果,注销流程中应该明确提示和告知用户,同时也多会提示用户对账号下的各种信息进行自我备份。中心账号的注销流程中还应告知用户使用该账号登录的应用有哪些,而不是让用户自己去查找;如果可以解绑登录某个应用的,中心账号也可以进一步考虑提供便捷的解绑方式,即中心账号端也提供途径便于用户退出某个使用该账号的应用(但在该应用端还需要删除非账号信息,才构成注销该应用端的账号)。
如果中心账号系统下可以获取所有应用端内的使用信息的,则可以详细展示在注销申请时使用该账号登录的每一个应用端服务的订单/交易/积分/已发布信息/等。不过,多数企业囿于各种内部系统结构、应用端的查询接口设置、应用内信息的复杂、注销流程的设置等,难以详尽列举出在注销申请之时所有应用端内的具体权益清单,但是会列举出因为注销中心账号而受到影响的权益类型,例如账号下的所有资料和信息均无法找回、使用该账号登录的服务将无法再使用、账号下的积分/充值/卡券/票券/未消费的财产都将无法使用,特别是要尽可能详细地提示账号内有哪些财产权益无法再使用(至少提示到权益的类型,如XX币、XX积分)。
同时,无论是否展示每一应用端服务在注销申请时的动态详情,企业都要需要全面核查使用该中心账号的应用端内是否存在不得注销的情形,并且需要在用户服务协议或者其他单行规则中详细描述不得注销的各类情形,以便用户提前知悉与理解。
问5:如果产品/服务没有独立的账号体系的,如何注销账号?
答:既要删除非账号信息,也要解除账号关联。
根据新版35273第8.5d),如某一产品或服务没有独立的账户体系的,则其账号注销方式为“对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施”。《网络安全标准实践指南》问题3也提出“如用户采用同一账号注册登录多个App时,可提供解除单个App用户账号使用关系的渠道”。即,无独立账号体系的应用应采取“删除非账号信息”+“解除账号关联”的方式来履行该应用的注销义务。
如果不同的应用是相互独立的、并非存在“必要”关联关系,就应该支持用户针对单一应用提起账号注销。相对于直接注销“中心账号”,上述“删除”+“解除”的注销方式适用范围更为广泛,大量使用集团中心账号、渠道方账号、第三方账号登录的应用没有自己的账号体系,对于账号体系也没有知情和控制能力,无从注销完整的用户账号。但并不因此就免于承担“注销”义务,还是应该确保实现:清除或匿名化应用内的非账号信息(如删除UGC内容会影响其他用户问答的除外),彻底解除账号与应用内UID的绑定关系,例如取消授权登录关系、取消账号和应用内UID及其订单/角色/信息的映射关系,最后在外显上的呈现效果为应用内用户的头像和角色取消或呈现灰色(注销)状态。
当然,如果在单个应用内收到用户的账号注销申请的,除了应按照上述方式进行注销外,还是要向用户说明注销的结果:仅及于本应用内的“删除非账号信息”和“解除账号关联”、如需注销XX账号的应另行到XX(“XX账号的注销页面”)提起申请。
问6:企业需要制定专门的注销条款吗?
答:没有强制要求,但是建议制定。
注销账号看起来只是用户提出的一个账号处置要求,但却同时会触发合同法律关系和个人信息保护双重领域的重大法律后果:服务合同关系终止、个人信息删除。
虽然新版35273没有对此提出明确的要求,但结合相关法律和普遍做法,建议企业还是制定专门注销条款来写明账号注销的条件、后果、方式、流程等。这些注销条款的形式包括(1)在用户服务协议和隐私政策下的专条或专节;(2)作为用户服务协议之一部分的单行注销协议;(3)交互页面上的注销须知或弹窗告知注销条件、流程和后果。如前所述,在合同法层面,注销条款通常构成互联网服务在线协议中的格式条款,企业相应需要遵循《民法典》第496条2款中的规定,充分履行格式条款制定方的提示和说明义务,包括采取合理的方式提示用户注意免除或者减轻用户责任等与用户有重大利害关系的条款,并按照用户的要求对该条款予以说明。否则,因此致使用户没有注意或者理解与其有重大利害关系的条款的,对方可以主张该条款不成为合同的内容。
“账号如何才能注销”是重要的服务条件、可能影响用户的选择,应确保用户在注册时对注销条款的“知情权”,即无论采用哪种形式,注销条款均应在用户注册账号时即可查阅知悉并以合法方式(避免采用默认同意/browse wrap方式)生效,也确保用户即使不提起注销申请也能得知注销条件、后果、流程,并且避免发生用户不同意格式条款就不能注销的情况。
同时,考虑到注销条款作为服务协议的一部分在先已经生效,注销环节无需用户再次同意注销条款,但通常为避免用户误操作、确保尽到提示义务,企业会增强提示注销条件和后果,例如单独弹窗页面展示详细的注销须知、注销流程页面中加粗文字提示注销后果、提示用户阅读后再主动申请。相应的,企业也要注意从消费者权益、格式合同条款的角度:同步审核注销条款、流程设置、通知文本,并规范客服应答话术和处理方式。
需要注意的是,参照新版35273第8.5e),如注销账户的过程需收集个人敏感信息核验身份的,则注销条款(特别是采用单行页面、注销须知等方式展示时)中应特别注明:收集个人敏感信息后的处理措施(例如达成目的后立即删除或匿名化处理等)。这一规定亦表明新版35273全面关注个人敏感信息的全生命周期,要求注销后的个人信息处理活动亦应该遵守“公开透明”原则(新版35273第4 e))。
问7:企业对于用户的“账号注销”请求有应答时间要求吗?
答:是的,有应答时间要求。
对于用户提起的“注销”请求,企业既需要及时受理也需要及时处理完毕,不能不受理也不能虽受理却拖延处理。
但是多个规范性文件中关于企业应答“账号注销”的期限要求却不尽相同:
“综合”以上要求并取其高者,建议最为稳妥的应答周期设置是:自收到用户账号注销请求之日起,至少在15个自然日内予以受理且在15个工作日内完成处理。对于何为“完成处理”有不同理解,多数观点认为,“完成处理”意味着应答期限届满时不应处于账号注销的处理流程中,而是应已经完成了对该账号的注销或者如不能注销的已提供了正当合理事由给提起注销请求的用户。
在注销流程期间,用户账号通常处于“冻结”状态且企业多允许用户在注销流程期间提出撤回申请、主动终止注销流程。
此外,就注销流程的周期,实践中有些企业还为用户“强制设置”了反悔期,即账号满足注销条件、注销流程已完成,但接下来并不真正“注销账号”,而是需要待XX日后用户不反悔的,才真正注销账号。其实,在注销后果已经告知充分的情况下,结合新版35273的精神,这种反悔期的强制设置还存在一些争议,既没有做到在用户注销账户后“及时”删除或匿名化处理用户个人信息,实质上还设置了额外的应答处理周期。
当然,为了在特定场景下避免用户“误注销”(例如账号下的余额很大,一旦误操作对用户权益影响很大),可以考虑让用户再次确认注销请求、自行选择是否迟延,这是一个用户可以“自选”的“冷静期”设置,而不是“强制”用户迟延注销,例如:“验证已通过、马上注销”或“冻结7日,我再想想。7日后提醒我确认是否要注销”。如经过自选“冷静期”设置以及注销后风险的重点提示,用户仍然确认注销或未撤回注销请求的,则应即时注销,而这时误操作注销的风险完全转移至用户自身承担也是合理的。
问8:用户注销账号之后,企业需要做什么?
答:简单来说,该删除的数据要删除、该保留的数据要保留、留下来的数据别乱用。
按照新版35273第8.5.f)规定,个人信息主体注销账户后,企业应及时删除其个人信息或匿名化处理;因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。这里的要求是企业必须真正做到“前端与后台统一”,前端显示已注销的、后台需要也已进行了相应操作。
当然,通常企业对于用户注销流程会设置一个结单步骤,例如按照用户提起注销行权时要求留下或指定的该用户账号下的手机号/邮箱地址向其发送一次结单通知、告知账号注销流程已经完成,以便用户知悉注销后果自结单之日起发生,从而结束2C层的注销流程。这样的接单流程虽然不是规范性的要求,但从用户角度而言,能够安心获知注销结果;从企业角度,也能够更好地留存配合用户行使权利的证据。
自此,企业的账号注销义务进入“后注销阶段”,这一阶段的数据处理活动是最为关键和实质性的,重点已从应答用户转为实施内部技术与组织措施相配套的过程,既包括积极作为也包括消极不作为义务:
1) 积极义务:注销后该账号下的数据要进行删除或者匿名化处理(除非有法定留存要求)。
除了及时销毁纸质存储文件,更应即时去除通过系统存储和备份的已注销账号信息、使其保持不可被检索、访问的状态;或者对该账号下的信息进行匿名化处理,使得已注销账号的用户个体无法再被识别或者关联,且处理后的信息亦不能被复原(新版35273第3.10、3.14)。
2) 积极义务:全面识别和遵守“法定”的数据留存要求。
有关数据留存要求的“法定”事由有的来自“法律法规”,有的则是部门规章或主管机关的各种发文,因此相关的规范性文件来源分散、效力级别不尽相同,但却需要全面识别、避免遗漏。如有不同法定事由而对同一数据有不同存储周期要求的,则该等数据的存储周期取其中较长者。
常见的法律法规中对“存储周期”的要求例如:与监测、记录网络运行状态、网络安全事件的技术措施相关的网络日志保留不少于6个月(《网络安全法》第21条),电子商务平台经营者应保留商品、服务信息、交易信息自交易完成之日起不少于三年(《电子商务法》第31条),而通常一些企业也会将账号实名认证和基本交易信息保留至注销后三年以便满足诉讼时效内发生用户权益纠纷时举证之需(《民法典》第188条)……
同时,大量行业垂直监管法规、部门规章和其他规范性文件中也有各种纷繁复杂的数据存储周期要求,例如:征信机构对个人不良信息的保存期限为自不良行为或者事件终止之日起5年(《征信业管理条例》第16条),互联网信息服务提供者和互联网接入服务提供者的记录备份保存60日(《互联网信息服务管理办法》第14条),用户账号下用作会计档案原始凭证中的数据应保留至从会计年度终了后的第一天算起10年或30年(《会计档案管理办法》第14条),健康体检信息留存应自受检者最后一次就诊之日起不少于15年(《健康体检管理暂行规定》第22条、《医疗机构病历管理规定》第29条),互联网文化单位对所提供的文化产品内容及其时间、互联网地址或者域名的记录备份应当保存60日(《互联网文化管理暂行规定》第20条)等。这些规范性文件的规定也应予以重视和遵守。
3) 消极义务:隔离存储、不再使用
基于上述“法定”事由而需要留存注销账号下个人信息的,则必须确保仅为满足该等法定事由而留存,不得为超出相关法定事由的目的而继续使用和处理数据,保持隔离存储、不再使用的状态,尤其不得向已注销账号的用户推送服务或将原账户下的部分信息激活再使用。“账号注销”意味着服务合同终止,终止后企业就不应再对用户提供服务;在用户已通过注销账号来表示明示拒绝的情况下,不得继续使用未注销前的账号信息向用户发送商业性信息。
问9:企业的“账号注销义务”是否有豁免情形?
答:是的,有豁免情形。
根据新版35273第8.7e),企业可以在8种情形下拒绝响应用户提出的注销请求。但是工信部24号文中规定的“注销权”的例外范围却并没有如此宽泛,而是严格限定于“法律、行政法规另有规定”,即能够豁免企业注销账号义务的依据,也仅限于法律和行政法规的规定,而较为尴尬的是,现有法律和行政法规中针对“注销”义务的例外规定却尚付阙如。
因此,综合来看,除非企业有明确证据证明注销账号会违反企业的法定义务、与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关;与刑事侦查、起诉、审判和执行判决等直接相关,否则企业自行决定依据新版35273的8种情形来豁免注销义务,会非常容易引起争议,用户有权主张企业违约或者违反《消费者权益保护法》和工信部24号文,并进一步投诉举报或提起诉讼。
建议的做法是:企业考虑把新版35273中免于注销义务的情形(特别是上述8种情形中非基于公权力要求、企业自由裁量大、举证较为复杂的后4种情形)明确列举在注销条款中(并考虑细化条件或给出举例说明),提前让用户了解、在先约定且确保生效,避免在先的合同约定不清、发生注销请求时企业又自行临时依据推荐性国标来拒绝用户行权。
当然,根据新版35273第8.7f,企业无论是基于注销条款的约定还是基于注销义务的豁免而决定不响应个人信息主体的请求,都应向用户“告知”该决定的理由,并向个人信息主体提供投诉的途径。例如企业可以通过应用内或网站的注销流程告知页面、通知提示栏、用户预留的短信/邮件等书面告知用户为何不能注销其账号,并同时告知如果处理结果让用户不满意的,可向哪些部门(网信、工信、市场监督管理部门、消保组织、行业主管机构等)进行投诉。
(作者:薛颖 互联网公司法务 个人观点,不代表所在单位立场)
来源:全国信息安全标准化技术委员会 转载本文仅供信息传递,不代表万方科技立场,版权归作者所有。