1、什么是注销?
《个人信息安全规范》7.12条对注销提出了具体要求,明确指出注销的客体是账户,此处的账户指为用户提供服务的互联网平台的账户。
互联网服务层面的注销是指:平台提供的,注册用户可以提出申请删除自己在平台特定账户的功能。
这里的账户应做特定理解,假如一个平台提供不同服务时以AB账户(分账户)的形式提供,那么注销A账户时设置的条件、达到的效果只能与A账户相关,不能及于B账户。
2、注销的效果和目的是什么?
结合《个人信息安全规范》《数安办法》提出的注销要求,注销之后至少应当达到以下效果:
删除用户在平台的特定账户
注销账户后,用户无法再通过该账户登陆平台、查询信息
注册时,该用户视为平台的新用户
结合个人信息保护相关要求理解,注销的目的至少要达到:不得再继续收集、使用用户信息,包括主动向客户营销及将用户信息用于业务场景。
3、注销与注册是对应的
注销与注册是一对相对的概念,可以说没有注册账户就谈不到注销账户。《个人信息安全规范》也指出:通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法。
那么在有些特定场景下,平台为用户提供服务确实没有注册环节,平台是否还需要提供注销功能呢?比如有些教育培训机构都是直接让用户提供联系方式,以回拨电话的形式确定合作意向、提供服务的,根本没有注册这回事,也就是根本无户可销。
这种情况下,按个人信息保护要求和业务逻辑来考虑,建议平台向用户提供可以提出拒绝接受服务、撤销授权的途径,以达到注销账户对用户信息保护的效果和目的。
4、注销的法律内涵是什么?
在法律层面,注销产生的法律效果是解除协议和撤销授权。
用户在平台注册时往往都要签署《注册协议》和《隐私政策》,《注册协议》里面往往约定一些平台与客户之间的基本权利义务;《隐私政策》里面往往约定用户个人信息的使用规则和授权。注销功能实际是平台设置一些解除服务条件,在注册用户满足解除条件(注销条件)的时候为其提供一个解除与平台之间服务关系的途径。
完成注销之后,用户即与平台解除了《注册协议》《隐私政策》,撤销了在服务生命周期中的各种业务授权。相应的,平台也不能再继续收集、使用用户信息。
5、正确理解注销删除信息的要求
《个人信息安全规范》《数安办法》均提出了"注销后应及时删除其个人信息或做匿名化处理"的要求。关键字是"删除",《个人信息安全规范》对删除的定义为"在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态",也就是说删除信息的要求是针对常说的生产系统,而不包括不提供非日常业务功能的备份数据。
对注销中的"删除"要求一定要正确理解,否则可能会闹出违反监管规定及发生争议时平台自身举证不能的乌龙。《个人信息安全规范》对此也进行了提示"因法律规定需要留存的个人信息应妥善保管,不能将其用于业务场景"。
6、注销可以设置条件
注销可以设置条件吗?当然可以!
《个人信息安全规范》规定"注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务",也就是说平台是可以提出合理注销条件的。
从平台为注册用户提供服务的角度,如果存在服务尚在履行中、注册用户与平台、第三人还有未解决的纠纷等情形,显然都属于不允许注销的合理条件。
合理不合理没有标准,但建议平台不要做各种违反注销原则和要求的"自嗨"式理解,仍然倒退到"注销难"的状态。
7、注销的原则和要求
目前出台的监管文件,可知便利、及时为监管机关对平台注销提出的原则性要求,其中《数安办法》中的表述为"合理时间和代价"。
便利是指平台提供的注销功能应该应简便易操作,容易找到注销功能、设置的注销条件合理、注册用户能够便利操作。
及时性要求见下文。
8、注销的期限要求
《个人信息安全规范》规定"受理注销账号请求后,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理",《App违法违规收集使用个人信息行为认定方法》(征求意见稿)(以下称《认定方法》)则规定"需人工处理的,受理后未在承诺时限内(无承诺时限的,以15个工作日为限)完成核查和处理的"。
可见,从注册用户提出注销到完成注销,应在15个工作日内完成。
9、是否只能以线上交互的形式完成注销?
《个人信息安全规范》提出了"宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求",从其"宜"字可知这是个推荐性的表述。
实际上监管机关对以何种形式完成注销并没有苛求,《认定方法》规定"对于提供在线操作方式、客服电话、电子邮件等方式的……",《App违法违规收集使用个人信息自评估指南》提出"App应提供注销账号的途径(如在线功能界面、客服电话等)"。
可见,监管机关对以何种方式实现注销表现的比较宽容,并未要求只能以线上交互的形式完成注销,只要提供注销途径(功能),在合理期限内实现注销的目的和效果即可。
10、注销不是仅对APP提出的要求
这个要从监管要求提供注销功能的逻辑来考虑了,前文说过,账户注销之后平台不得再继续使用用户的信息,也就是其实质是个人信息保护的要求。
《个人信息安全规范》约束的主体是个人信息控制者,《数安办法》约束的主体是网络运营者,两者都是对主体提出的要求,而非途径或介质,结合前面的个人信息保护逻辑理解,互联网场景下以通过注册账户提供服务的平台,包括WEB、APP、小程序都应当提供注销功能。
