个人信息处理者对于个人信息主体控制请求,如查询、更正、删除等,在法律规定、国家标准层面已有示范模板,实务中各头部平台在隐私政策中选取的表述方式也无本质差异。为此,就个人信息主体控制请求的响应问题,本文拟通过问答形式帮助个人信息处理者解决和快速记忆一些常见问题。
1. 个人信息主体的哪些控制请求需要响应?
综合现有法律法规的规定,以及国家标准、相关技术文件中的设置,个人信息处理者需要响应的个人信息主体的控制请求可以主要包括对个人信息的查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本(或称“可携带”)。
[参考依据]《GB/T35273-2020信息安全技术个人信息安全规范》8.1-8.6
2.可以预先设置哪些渠道来配合响应?
预先设置的响应渠道包括交互式页面、客服电话、电子邮件、在线客服、在线自助操作等。
注意避免出现的情况:没有提供有效的渠道;提供了但用户难以找到入口;操作流程复杂不易操作;设置不合理的条件;未按要求或约定时限完成。
“难以找到”是指比如操作入口设置在不相关的菜单下,或进入应用主界面超过5次操作还不能找到的。
“不合理的条件”是指比如注销时提交信息类型超越注册时,注册时未要求身份信息但注销时要求手持身份证照片、绑定银行卡等;同意账号注册登录多个App,注销或退出单个App导致其他必要业务关联的不能适用;要求用户填写精确的历史操作记录作为必要条件)等。
[参考依据]《GB/T35273-2020信息安全技术个人信息安全规范》8.7;
《TC260-PG-20203A 《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》2.10.1;
《TTAF085-2021移动智能终端及应用软件用户个人信息保护实施指南第9部分:注销账户》4.
3.对个人信息主体的请求可以不响应吗?
在特殊情况下可以不响应、以替代方式响应,但应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。注意拒绝的理由、依据、其他替代处理方式(如有)需要在隐私政策或个人信息处理规则中明确。
4.不响应的特殊情况有哪些?
不响应的情况:1)与个人信息控制者履行法律法规规定的义务相关的:2)与国家安全、国防安全直接相关的;3)与公共安全、公共卫生、重大公共利益直接相关的:4)与刑事侦查、起诉、审判和执行判决等直接相关的:5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的:6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;8)涉及商业秘密的。
[参考依据]《GB/T35273-2020信息安全技术个人信息安全规范》8.7e);附录D;
《TTAF085-2021移动智能终端及应用软件用户个人信息保护实施指南第9部分:注销账户》4.
5.替代方式响应的情况有哪些?
替代方式响应的情况:直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益。“高额成本或存在其他显著困难”则可以参考:个人信息主体的请求无端重复;响应需要过多技术手段,如重新开发新系统或从根本上改变现行惯例;给他人合法权益带来风险;或不切实际,如涉及备份磁带上存放的信息。
[参考依据]《GB/T35273-2020信息安全技术个人信息安全规范》8.7d);附录D;
《TTAF085-2021移动智能终端及应用软件用户个人信息保护实施指南第9部分:注销账户》4.
6.响应个人信息主体的请求可以收费吗?
可以收费。对合理的请求原则上不收取费用,但对一定时期内多次重复的请求、超出合理限度的请求,可视情收取一定成本费用。
[参考依据]《GB/T35273-2020信息安全技术个人信息安全规范》8.7 c)、附录D
7.响应反馈时限是多久?怎么设置更容易操作?
15个工作日,建议缩短至15日。一些个人信息处理者兼负有其他特殊管理义务,具有平台运营者身份的处理者,在日常需要面对的请求可能不仅包括个人信息主体对自身个人信息的控制请求,还掺杂了投诉举报、侵权维权等,而法律法规与标准对不同请求的响应时间要求是不同的,处理者在接收到请求时应当注意识别不同请求。
平台运营者要求具体处理响应的人员准确区分用户提出的请求类别是针对某一类特定事项的投诉、针对侵权的反馈,还是个人信息主体对个人信息控制的请求,存在一定的难度,且需要对人员投入大量流程管理、培训等成本,考虑到法律法规、国家标准及相关技术文件要求的响应时限为最低要求,允许处理者承诺更利于用户的答复时限,所以,在响应能力允许的情况下,建议平台可以将对投诉、侵权处理反馈、个人信息控制等请求的响应时限按照各项中最严格的一项要求设置,即统一设置为15日答复时限(投诉的响应时限),避免因人员识别误差等因素造成的未按时答复。
【注】
1. 为便于检索法条中对应的关键词,上述“答复时限”项中的大小写、单位,均与法条保持一致。
2.承诺时限(≤15个工作日),即按承诺时限答复,不得超过15个工作日,无承诺时限的,以15个工作日为限。
3.3d应为3日,对应投诉举报的“受理时间”,并未明确要求在此时间内全部调查清楚并进行处理措施。
[参考依据]
[1] 《规范互联网信息服务市场秩序若干规定》
工业和信息化部令第20号,2011.12.29发布,2012.03.15实施
第十四条互联网信息服务提供者应当以显著的方式公布有效联系方式,接受用户及其他互联网信息服务提供者的投诉,并自接到投诉之日起十五日内作出答复。
[2] 《电子商务法》
全国人民代表大会常务委员会主席令第七号2018.08.31 发布2019.01.01 实施
第四十三条平台内经营者接到转送的通知后,可以向电子商务平台经营者提交不存在侵权行为的声明。声明应当包括不存在侵权行为的初步证据。
电子商务平台经营者接到声明后,应当将该声明转送发出通知的知识产权权利人,并告知其可以向有关主管部门投诉或者向人民法院起诉。电子商务平台经营者在转送声明到达知识产权权利人后十五日内,未收到权利人已经投诉或者起诉通知的,应当及时终止所采取的措施。
[3] 《最高人民法院关于涉网络知识产权侵权纠纷几个法律适用问题的批复》
最高人民法院法释〔2020〕9号2020.09.12 发布2020.09.14 实施
二、网络服务提供者、电子商务平台经营者收到知识产权权利人依法发出的通知后,应当及时将权利人的通知转送相关网络用户、平台内经营者,并根据构成侵权的初步证据和服务类型采取必要措施;未依法采取必要措施,权利人主张网络服务提供者、电子商务平台经营者对损害的扩大部分与网络用户、平台内经营者承担连带责任的,人民法院可以依法予以支持。
三、在依法转送的不存在侵权行为的声明到达知识产权权利人后的合理期限内,网络服务提供者、电子商务平台经营者未收到权利人已经投诉或者提起诉讼通知的,应当及时终止所采取的删除、屏蔽、断开链接等下架措施。因办理公证、认证手续等权利人无法控制的特殊情况导致的延迟,不计入上述期限,但该期限最长不超过20个工作日。
[4] 《TC260-PG-20203AAPP个人信息保护常见问题及处理指南》
全国信息安全标准化技术委员会秘书处,2020年9月
2.9 未提供删除、更正或投诉举报的功能或渠道
2.9.1 问题描述
App未提供删除、更正或投诉举报的功能或渠道,是指App未提供有效且能及时响应的删除、更正或投诉举报的功能或渠道,或设置不合理条件,其典型问题情形包括但不限于:
……
情形三:未提供个人信息申诉渠道或用户申诉机制无效。例如,未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
2.9.2 处置指南
该问题的处置建议,包括但不限于:
a) 提供有效的更正、删除个人信息的途径。
b) 宜提供在线操作方式及时响应个人信息更正、删除请求,需人工处理的,应在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理。
c) 更正和删除个人信息的功能应简单易操作,不设置不必要或不合理的条件。
d) 用户更正、删除个人信息等操作完成时,App后台及时执行完成相关操作,因法律法规规定需要留存个人信息的,不再将其用于日常业务中。
e) 建立并公布可受理个人信息安全问题相关的投诉、举报渠道,
受理可采取在线操作、客服电话、电子邮件等方式。
f) 妥善受理用户关于个人信息相关的投诉、举报,并在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理。
2.10 未提供有效的注销用户账号途径
2.10.1 问题描述
App未提供有效的注销用户账号途径,是指App未提供有效的注销用户账号功能或渠道,或为注销用户账号设置不必要或不合理条件,其典型问题情形包括但不限于:
情形一:无法注销或未按要求注销。例如:App未提供注销用户账号的功能或渠道;通过App界面、邮件、客服电话等渠道提交注销申请后,未按相关要求或约定完成注销;受理注销账户请求后,未在承诺时限内(不超过15个工作日)完成核查和处理;注销成功后,未按相关要求或约定对用户个人信息进行删除或匿名化处理(法律法规另有规定的除外);用户难以找到注销入口,或注销操作流程非常复杂不易操作等。
2.10.2 处置指南
该问题的处置建议,包括但不限于:
……
e) 及时响应用户注销请求,需要人工处理的,在承诺时限内(不超过15个工作日)完成核查和处理。
[5] 《App违法违规收集使用个人信息行为认定方法》
国家互联网信息办公室,工业和信息化部,公安部,国家市场监督管理总局国信办秘字〔2019〕191号,2019.11.28 发布,2019.11.28 实施
六、以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”
1.未提供有效的更正、删除个人信息及注销用户账号功能;
2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件;
3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;
4.更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;
5.未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
[6] 《GB/T35273-2020信息安全技术个人信息安全规范》
国家市场监督管理总局,国家标准化管理委员会,2020.03.06发布,2020.10.01实施
8.1 个人信息查询……
8.2 个人信息更正……
8.3 个人信息删除……
8.4 个人信息主体撤回授权同意……
8.5 个人信息主体注销账户……
8.6 个人信息主体获取个人信息副本……
8.7 响应个人信息主体的请求
对个人信息控制者的要求包括:
a) 在验证个人信息主体身份后,应及时响应个人信息主体基于本标准8.1至8.6提出提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径;
b)采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利;
c)对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用:
d)直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益:
e)以下情行可不响应个人信息主体基于8.1-8.6提出的请求,包括:
1)与个人信息控制者履行法律法规规定的义务相关的:
2)与国家安全、国防安全直接相关的;
3)与公共安全、公共卫生、重大公共利益直接相关的:
4)与刑事侦查、起诉、审判和执行判决等直接相关的:
5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的:
6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
8)涉及商业秘密的。
f)如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并向个人信息主体提供投诉的途径。
8.8投诉管理
个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。
[7] 《GB/T41479-2022信息安全技术网络数据处理安全要求》
国家市场监督管理总局,国家标准化管理委员会,2022.04.15发布,2022.11.01实施
5.11 投诉、举报受理处置
网络运营者应建立投诉、举报受理处置制度,收到通过其平台编造、传播虚假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、举报的,自接受投诉举报起,受理时间不超过3d。受理后进行调查取证,对于查实的编造、传播虚假信息,发布侵害他人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、举报,依法采取停止传输、消除等处置措施。
如何响应个人信息主体的控制请求
作者:李佳慧来源:兰台律师事务所

个人信息处理者对于个人信息主体控制请求,如查询、更正、删除等,在法律规定、国家标准层面已有示范模板,实务中各头部平台在隐私政策中选取的表述方式也无本质差异。