原标题:为用户账号注销设置不合理条件的表现及规制
近期,工信部开展App侵害用户权益专项行动,账号注销难成为关注重点。《电子商务法》《电信和互联网用户个人信息保护规定》等法律法规规定经营者应当为用户提供注销账号的服务,但实践中,不提供账号注销服务、注销入口难找、要求提供各种不合理证明信息、为阻止用户再次注册而拒绝注销的问题比比皆是。
账号注销法律法规及标准规定
《电子商务法》第二十四条规定:“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。用户注销的,电子商务经营者应当立即删除该用户的信息。”《电信和互联网用户个人信息保护规定》第九条规定:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。”
国家标准《信息安全技术个人信息安全规范》(征求意见稿)中规定:个人信息控制者应当向个人信息主体提供账号注销的方法,且该方法应简便易操作;宜直接设置便捷的注销功能交互式页面;进行身份核验需要个人信息主体重新提交的信息不应多于注册、使用等服务环节收集的个人信息;注销过程不应设置不合理的条件或提出额外要求增加个人信息主体的义务,不能要求个人信息主体填写准确的历史操作记录作为必要注销条件。
可见,按照法律法规及标准规定,用户享有注销账号的权利,经营者不应当为注销设置不合理条件,不合理的条件包括:注销功能不便捷、核验身份要求提交多于注册时收集的信息、将填写准确的历史操作记录作为注销必要条件等。
为用户账号注销设置不合理条件的表现
除了明确不提供账号注销服务之外,实践中,部分经营者可能采用“提供服务,但设置障碍”打擦边球式的做法,具体表现为:
注销入口难找。注销入口难找主要表现在以下几个方面:一是多次点击后方可找到注销入口;二是将注销入口放置在不相关菜单下,增加用户寻找注销入口的难度。
过度要求提交材料。一是核验身份过度要求提交个人资料,如注销一个账号要求用户多次上传手持身份证照片;用户点击注销账号时,提示实名用户无法注销;要求用户向经营者指定的邮箱发送手写签名书等信息。二是将填写准确的历史操作记录等作为必要注销条件,如要求用户提供准确的注册时间、注册地点、登录过的设备IMEI号等作为注销账号的必填项;用户注销时要求填写安全问题,但系统又拒绝告知用户安全问题是什么。
为阻止用户再次注册而拒绝注销。实践中,部分企业为阻止曾有非法操作行为的用户再次注册而拒绝为用户提供注销服务,如在用户注销时提示因“近期有敏感操作”暂时无法注销;通过《隐私政策》《用户协议》等将非法操作行为列为不可注销账号的选项,事后以获得用户同意为由抗辩法律规定。
为账号注销设置其他不合理条件。一是为账号注销设置先决条件,而该先决条件又因另一先决条件而导致无法实现。如电商平台规定注销账号须先注销店铺,而注销店铺又被告知有过经营记录不支持注销,以此来阻止用户注销。二是要求“使用”达到一定时限后方可注销,如要求必须使用满一个月后方可注销App;注销账号时要求一年内不能有任何交易。三是反复消耗用户,如用户通过网页端注销账号,到最后一步后,被要求下载App方可注销,下载App注销时又被要求前往网页端删除数据方可注销。
注销后仍保留用户信息。如注销时告知用户会清除一切账号个人信息,但实际仍保留了用户身份信息。
为用户注销账号设置不合理条件的规制
为用户注销账号设置不合理条件的规制包括立法或标准、执法、行业自律、经营者和公民个人五个层面。
立法或标准层面。针对账号注销入口难找、注销操作复杂、核验身份过度要求提交个人资料、将填写准确的历史操作记录等作为必要注销条件、为账号注销设置不合理先决条件、要求“使用”达到一定时限后方可注销等问题,需要在立法层面进行规制。在注销入口上,要求提供方便寻找的注销入口,包括点击次数宜尽可能少且放置在相关菜单下;在注销方式上,要求提供便捷的账号注销服务,如要求用户网页端、App端反复操作或仅有下载App方可注销不被视为便捷的方式;在过度要求提供个人信息上,要求注销账号时提交的信息不得多于注册时填写的个人信息;其他不合理障碍上,要求使用一定的期限后方可注销应被视为不合理条件。
企业能否为阻止用户再次注册而拒绝注销?答案是否定的。按照法律规定,用户的违规操作并不能构成不予注销账号的条件,注销账号和重新注册为不同的环节,企业不应为实现后者而拒绝履行前者要求的义务。同时,用户注销账号后,需要按照法律规定“真”删除用户的个人信息,切实保护用户个人信息安全。
执法层面。在执法层面,监管部门可通过日常监督,组织第三方检测机构对App进行技术检测,组织开展用户和专家评议,就侵害用户权益的重大问题约谈相关企业,要求按照法律规定进行整改,并及时通告整改效果。
行业自律层面。在立法总体具有滞后性,且不宜频繁修改的大背景下,行业协会应当在用户注销权利保护上发挥更大作用。一方面关注用户投诉、申诉事项,了解用户诉求,另一方面,组织会员单位签署个人信息保护自律公约等,监督会员单位执行情况。
经营者层面。经营者应当履行个人信息保护的主体责任,一是改造产品或服务以满足法律或标准要求,为用户提供便捷的注销账号的服务,包括便捷的入口、操作方式及注销条件。二是设置个人信息保护岗或人员,处理用户关于注销账号的请求。三是优化隐私政策和用户协议,避免出现霸王条款。四是真正履行注销义务,及时删除用户个人信息。
公民个人层面。个人信息主体是最直接的受害人,一手资料的掌握者,一旦发现经营者存在不提供账号注销服务或为账号注销设置不合理障碍的情形,可通过互联网信息服务投诉平台等进行投诉。同时,在日常使用App或网页过程中,要注意保护个人信息安全,远离非法网站或应用,在被要求填写个人敏感信息时须更加慎重,以防个人信息泄露。
账号注销是用户享有的一项权利,是体现经营者个人信息保护水平的一项重要指标,需要监管部门、行业协会、经营者和用户个人同向发力、同时发力。
