50万家网站用“社交登录”…退会用户信息销毁不彻底
韩国个人信息保护委员会建议5家社交登录服务运营商改进信息销毁措施
调查发现,用户使用将Kakao、NAVER等账号与其他网站联动登录的所谓“社交登录服务”后,即便注销账号,其个人信息的销毁措施并未得到妥善落实。
个人信息保护委员会去年对谷歌、NAVER、Kakao、苹果、Meta等5家社交登录服务运营商进行了事前检查,并于12日召开全体会议,就部分存在个人信息侵害忧虑的事项作出整改建议。
社交登录是指将门户网站、社交网络服务等社交账号的会员信息与其他网站或应用程序(App)联动,使用户可以便捷登录的一种方式,目前正被国内约50万家网站采用。鉴于社交登录引发的安全问题以及在个人信息提供与销毁方面的忧虑,个人信息保护委员会自去年4月至11月开展了事前实态检查,并就部分忧虑事项作出了整改建议决议。
首先,在为实现社交登录而由社交账号向其他网站提供用户个人信息的过程中,并未发现明显问题。当网站按项目区分后提出个人信息提供请求时,社交登录运营商会对其适当性进行审核,并据此决定是否受理请求。此后,在用户实际通过社交登录加入网站的时点,由网站取得向第三方提供信息的同意并进行处理。
但在注销社交账号后的个人信息销毁方面,则被发现未能适当执行。用户注销社交账号时,社交登录运营商应当将此事实通知所有已联动的使用网站,以便完成注销处理,但Meta并未提供统一通知功能。
当用户从网站注销时,社交登录运营商通过提供令牌(认证信息)删除功能,要求网站删除令牌,并通过开发者文档等对外公开相关内容。然而,由于开发者文档所含信息庞杂,难以找到关于令牌销毁功能的相关内容,导致该功能未能得到广泛利用。
对此,个人信息保护委员会向相关企业发出整改建议,要求完善指引方案,使令牌销毁功能更易于被发现和使用。因为如果不销毁注销用户的令牌,社交登录运营商将无法获知用户在相应网站上的注销事实,从而可能在此后继续向该网站传送已注销用户的信息。
个人信息保护委员会表示,将与社交登录运营商协商,研究切实落实整改建议事项的方案,并通过相关举措,持续强化让用户可以放心使用社交登录服务的环境。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
