iphone · 2022年6月1日

7月起苹果要求App提供删除账号功能

日前,苹果在官方网站发布消息,要求提交至App Store且支持账户创建的应用程序,必须加入能够让用户在应用程序内删除其创建账户的功能,并需在6月30日前完成更新。

此举被视为保护个人信息删除权的具体应用。近年来,全球范围内均出台法规政策对这一权利予以保护,如欧盟《通用数据保护条例》及我国《网络安全法》《民法典》《个人信息保护法》等。

相关监管也正在进行时。就在5月,西班牙数据保护机构发表声明称,谷歌在未经授权的情况下将用户数据提供给第三方并阻碍用户删除其个人数据,决定对谷歌处以1000万欧元的罚款。

App需提供删除账号功能

苹果宣布,2022年的全球开发者大会(WWDC2022)将于6月6日至6月10日进行,并称已准备好实施之前延迟的更新要求,提供删除账户及储存的个人数据便是其中一项。

在此次发布的提醒内容中,苹果对账户删除功能做出以下规定:

账户删除选项必须在APP中易于找到;

如果APP提供通过苹果账户登陆,开发者须确保用户的身份令牌在账户被删除后完成撤销;

开发者需让用户能彻底删除帐户及与该帐户关联的个人数据,这包括与他人共享的用户生成的内容,例如照片、视频、文字帖子和评论,而不能仅提供暂时禁用或停用帐户的功能;

受严格监管行业的APP可以提供额外的服务流程,辅助帐户删除的过程。同时,开发者应遵守有关存储和保留用户帐户信息以及处理帐户的法律要求,包括遵守不同国家或地区的法律。

此前,由于此要求的复杂性,为了给开发人员提供更多时间来更新APP,苹果曾多次延迟实施日期,最近设定的截止日期为6月30日。

这不是苹果首次提出个人账户删除的要求。此前,在苹果的应用商店审查指南5.1.1(v)账户登录中,苹果已明确提出要求:

如果APP不包含基于帐户的功能,请无需登录即可使用;

如果APP支持帐户创建,必须在应用内提供帐户删除功能;

APP可以在未输入个人信息时运行,除非这与核心功能直接相关;

如果核心功能与特定社交网络(Facebook、微信、微博、Twitter等)无关,必须提供无需登录或通过其他机制的访问权限;

提取基本个人资料信息、分享到社交网络或邀请朋友使用该APP不被视为核心功能;

APP必须包含用于禁止APP与社交网络之间数据访问的机制。

严保个人信息删除权

此次苹果对账户删除功能的强制要求是对保护个人信息删除权的落实。在欧美法系,被遗忘和删除权的争议早已有之。

第一次形成对这一权利的大规模讨论开始于“冈萨雷斯诉谷歌案”。2010年5月5日,西班牙用户控告谷歌公司及《先锋报》运营商保留其二手房拍卖广告,侵犯了个人隐私权,要求谷歌移除或隐藏相关信息。2014年5月,欧盟法院发布了“冈萨雷斯诉谷歌案”的判决书,判定谷歌败诉,必须移除原告相关网络搜索链接信息,欧洲网络用户也可以要求谷歌公司从其互联网搜索结果中删除个人敏感信息,以保护自己的被遗忘权,这是第一次对“被遗忘权”的确立。此后,谷歌增加了欧盟用户“被遗忘权”的在线申请程序,由此形成“谷歌西班牙规则”。此次判决引起了巨大反响。

2018年5月,欧盟《通用数据保护条例》正式生效,第17条明确规定了一项新的权利——“被遗忘和删除权”,即数据主体有权要求数据控制者删除与其个人有关的数据信息,并阻止个人数据的进一步传播。

条文明确规定,当网络上的个人数据已经与收集、处理活动的目的无关,或者数据主体不再希望其个人数据被处理,或者个人数据被非法处理,或者数据控制者已经没有正当理由保存数据护体的相关个人数据时,数据主体可以随时要求收集或处理其数据的企业或个人删除他们的个人数据。如果这些数据被传递给任何第三方,数据控制者仍然有义务通知第三方删除数据。此后的探讨大多将被遗忘权与删除权合并,统称为“被遗忘权”。

欧盟以外的一些国家、地区也通过了类似法律。俄罗斯于2015年7月通过了一项法律,允许公民要求从俄罗斯境内的搜索引擎中删除“违反俄罗斯法律、信息不属实或信息已过时”的链接。土耳其和塞尔维亚也制定了被遗忘权法律。

在我国,个人信息删除权最早出现在《网络安全法》中,其后在《民法典》《个人信息保护法》《网络数据安全管理条例(征求意见稿)》中也有相关规定。

《民法典》规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的, 有权请求信息处理者及时删除。”在此基础上,《个人信息保护法》第47条对个人信息的删除权作出了细化规定,当信息被处理目的已实现、无法实现或者为实现处理目的不再必要时,个人信息处理者停止提供产品或者服务,或者保存期限已届满时,个人撤回同意时,个人信息处理者违反法律、行政法规或者违反约定处理个人信息时,个人有权提出删除。

去年11月出台的《网络数据安全管理条例(征求意见稿)》,对个人信息删除权作出了更为细致的规定,如个人有权提出查阅、复制、更正、补充、限制处理和删除其个人信息的合理请求,数据处理者提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件等。

保护个人信息的删除权正在被全球关注。就在5月,西班牙数据保护机构(AEPD)发表声明称,谷歌在未经授权的情况下将用户数据提供给第三方并阻碍用户删除其个人数据,决定对谷歌处以1000万欧元的罚款。随后,谷歌回应称对此已展开审查,其将重新评估和设计与第三方开展的数据共享实践。目前,相关第三方已删除自谷歌处获取的用户数据。