我國《個人資訊保護法》於2021年11月1日起施行。法律明確了個人資訊處理活動中的權利義務邊界,以「告知—同意」為核心原則對平臺進行個人資訊處理予以規范。
為了解企業在個人資訊保護方面的落實情況,南方財經合規科技研究院基於《個人資訊保護法》與《App違法違規收集使用個人資訊行為認定方法》的相關條款,對平臺的個人資訊保護合規進行系列測評。測評含告知、撤回同意、第三方處理者單獨告知、個性化推薦、敏感個人資訊、未成年人個人資訊、數據可攜帶權、資訊控制權、個人保護資訊負責人這9大方面共20個測評項,測評總分為100分。
結合用戶量與功能差異等因素,測評選取了20款社交咨詢類APP進行個人資訊保護合規實測。測評結果顯示,今日頭條、QQ、Line、Soul等4款APP得分在80分以上,微博、陌陌、探探、知乎、小紅書等14款APP得分在60分至80分,世紀佳緣、Taptap得分最低,不足60分。
撤回同意、個性化推薦、數據可攜帶權、第三方處理者單獨告知,成為平臺的高頻合規問題。半數APP無法直接撤回同意,18款APP撤回同意不便捷,如百度、QQ需要跳轉6次方可最終關閉授權。僅有4款APP可便捷地關閉個性化推薦,個性化廣告關閉難。第三方SDK同是合規重災區,15款第三方SDK未告知處理方式,僅3款獲取用戶的單獨同意。數據可攜帶權的實現也不盡如人意,近一半APP未提可獲取個人資訊副本,僅有6款明示可提供個人資訊的轉移服務。
20款社交資訊類APP個人資訊保護合規測評。制圖:張曉鳳
一半APP無法應用內撤回同意,QQ、百度等撤回不便捷
撤回同意權已成為全球個人資訊保護立法的趨勢與共識,《個人資訊保護法》中也對此進行了回應。第十五條規定,基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。
此次測評對撤回同意聚焦於APP內是否提供了用戶自主撤回同意的相關功能選項。測評發現,20款社交資訊類APP中有10款無法在應用內或通過APP直接跳轉至系統設定關閉授權。在提供應用內部關閉授權或跳轉系統關閉授權的APP中,僅有今日頭條、虎撲操作便捷,步驟簡單。
多款APP獲取用戶權限時,會有單獨彈窗提示,但關閉授權卻需要用戶自行前往手機設置中操作。例如,在小紅書APP使用拍照或相冊功能時,頁面會彈窗提示「去開啟相冊權限」,用戶可選擇「拒絕」或「去開啟」的選項,如點擊「去開啟」會自動跳轉至手機系統設定,讓用戶選擇是否允許小紅書拜訪。但小紅書APP中卻沒有關閉授權的功能按鈕,如需關閉授權,用戶只能自行打開手機系統設定關閉。
除小紅書外,QQ空間、豆瓣、網易LOFTER等也無法在APP內找到撤回此前同意權限的按鈕,只能在手機設備的設置中關閉。積目的撤回同意在Android系統與iOS系統設定不一,在iOS系統中,可以通過應用「推送通知管理」跳轉至手機系統關閉授權,但在Android系統中無法實現。
符合規定的知乎、Soul、百度、QQ等10款APP,則在「設置」頁面提供了「隱私中心」或「隱私設置」等專區,內含「應用權限」或「撤回授權」等選項。
知乎「撤回授權」頁面。
《個人資訊保護法》二審稿中對撤回同意增加「便捷」的要求,與歐盟《通用數據保護條例》GDPR「撤回同意應當和表示同意一樣簡單」的宗旨以及《個人資訊安全規范》等相關規定相呼應。
測評參照國家網信辦、工信部、警察部、市場監管總局2019年11月聯合制定的《App違法違規收集使用個人資訊行為認定方法》中,關於「隱私政策等收集使用規則難以拜訪,如進入App主界面後,需多於4次點擊等操作才能拜訪到」的規定,將打開APP後如經過4次點擊仍無法關閉相關授權,視為不便捷。
撤回同意方式便捷程度也值得關註。測評發現,18款APP在應用內關閉授權或跳轉系統關閉授權的APP操作繁瑣,並不便捷。以百度為例,在應用內通過點擊「我的-設置-隱私設置-應用權限說明-前往應用權限設置」這5個按鈕後,將自動跳轉至手機系統設定頁面供用戶選擇是否關閉麥克風、相機等相關權限,整個撤回同意的步驟需要6次。QQ的情況類似,參考其隱私政策的提示,需點擊6次方可進入APP內的「授權管理」功能,但實際體驗發現需要點擊更多次才能真正關閉相關授權。
脈脈、世紀佳緣無關閉個性化廣告功能,僅4款可便捷關閉
算法是互聯網平臺處理海量用戶數據、繪制用戶畫像、精準定價與個性化推送的「生產工具」,已成為平臺運行的核心動力。《個人資訊保護法》從一審稿到成文,在不斷強化對自動化決策的規制。
《個人資訊保護法》第二十四條要求,通過自動化決策方式向個人進行資訊推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人資訊處理者予以說明,並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定。
對於社交平臺,個性化推薦常被用於社區及交友等板塊,平臺通過收集用戶各類資訊通過算法等自動化決策機制分析形成間接用戶畫像,用以為用戶提供更具有個性化需求的內容或廣告服務。
針對個性化推薦問題,平臺是否設置了關閉個性化內容推薦及個性化廣告推薦的功能、是否提供便捷的拒絕方式、關閉個性化推薦後是否會影響產品使用,這三項內容成為合規焦點。
小紅書的個性化內容與廣告推薦可關閉。
多款APP在隱私政策中都同時提及提供個性化內容和廣告推薦服務。測評顯示,世紀佳緣、Taptap在提供這兩項推薦的情況下,均未設置關閉個性化推薦的按鍵;脈脈可以關閉個性化內容推薦,但無法關閉個性化廣告推薦。
在「是否提供便捷的拒絕方式」上,測評同樣參照《App違法違規收集使用個人資訊行為認定方法》,打開APP後如經過4次點擊仍無法關閉個性化推薦,則視為不便捷。
結果顯示,20款APP中僅4款APP在所提供的個性化推薦上完全實現了不超過4次點擊即可關閉,包括微博、探探、天涯社區、脈脈。其它應用的個性化推薦關閉操作則較為繁瑣。以QQ空間為例,關閉個性化廣告推薦需跳轉多次,具體步驟為「我的-設置-關於空間-隱私政策-廣告-關於廣告-關閉個性化推薦廣告」。
多款APP在隱私政策中提及,關閉個性化推薦僅會降低推送內容或廣告的相關度,並不會影響其他功能使用。
8款APP未提個人資訊副本可獲取,僅6款提供個人資訊轉移
數據可攜帶權是《個人資訊保護法》三審新增的一項權利。第四十五條規定:「個人有權向個人資訊處理者查閱、復制其個人資訊;有本法第十八條第一款、第三十五條規定情形的除外。」
可攜帶權分為兩個維度:其一,個人請求查閱、復制其個人資訊的,個人資訊處理者應當及時提供,即個人可獲得個人資訊副本;其二,個人請求將個人資訊轉移至其指定的個人資訊處理者,符合國家網信部門規定條件的,個人資訊處理者應當提供轉移的門路。
測評發現,多數APP在隱私政策中明確了用戶對其個人資訊的「復制權」。知乎、小紅書、Soul、QQ、微博及網易LOFTER在隱私政策提到可獲取個人資訊副本,陌陌、探探等則在隱私政策中明確了用戶可復制其個人資訊。百度、脈脈、Taptap等8款APP則未在隱私政策中提及用戶可獲取個人資訊副本。
盡管多個APP明確個人資訊副本的獲取權利,但執行情況各有差異。有些APP界面開發了專門的按鍵,可供用戶直接復制個人資訊。例如,Line的交互界面設計了專門獲取個人資訊副本的按鍵「個人資訊瀏覽與導出」;知乎在《個人資訊保護指引》中「獲取您的個人資訊副本」部分顯示,用戶可在「我的-設置-隱私中心-個人資訊下載」頁面聯絡「知乎小管家」後申請下載知乎已收集的用戶個人資訊;豆瓣則要求用戶提出書面請求,並可能會要求用戶驗證身份之後才為其提供個人資訊副本,平臺將在15個工作日內做出答復。與之做法類似的還有網易LOFTER,平臺要求用戶聯絡APP相關負責人,平臺在核實用戶身份後提供個人資訊副本。
Line提供個人資訊瀏覽與導出服務
但可攜帶權的另一維度——個人資訊的轉移服務,執行的情況則不容樂觀,僅有Line、豆瓣、知乎、小紅書、Soul、虎撲這6款APP在隱私政策中提到為用戶提供將個人資訊轉移的服務。
以小紅書為例,在隱私政策的「您如何管理您的個人資訊」章節提到「附條件的個人資訊轉移權」,如用戶需要將個人資訊轉移至其他平臺、企業或組織可以聯絡小紅書,小紅書會對用戶的請求進行審核,在符合網信部門規定的條件下,小紅書將提供轉移相應個人資訊的門路。豆瓣也在隱私政策中提出,其將響應用戶請求,在符合國家網信部門規定的條件的情況下,將用戶個人資訊轉移至指定的個人資訊處理者。
值得一提的是,在「數據可攜帶權」方面執行欠佳的APP,多數的隱私政策也尚未根據《個人資訊保護法》出臺進行更新,例如Taptap、脈脈這兩個APP隱私政策最新版本的更新時間依舊停留在今年1月26日、8月30日。
15款第三方SDK未告知處理方式,僅3款獲取單獨同意
《個人資訊保護法》第二十三條規定,個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人資訊的種類等範圍內處理個人資訊。
APP內通常會接入多個SDK(軟體開發工具包),利用SDK技術為用戶提供多樣化的服務。目前,所測20款社交資訊類APP都在隱私政策中明示了接入相關合作方SDK的目錄,但因詳細度不同而存在一定合規問題。
依據法律要求,APP應向個人告知第三方的「名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類」。測評發現,15款APP都未明確第三方SDK對個人資訊的處理方式,包括網易LOFTER、天涯社區、虎撲、小紅書、百度、百度貼吧、探探、今日頭條、豆瓣、陌陌、Line、微博、世紀佳緣、Taptap和脈脈等。
針對「取得個人的單獨同意」,多款APP亦未實現。虎撲等部分APP在彈窗中雖提及了「我們的產品介入的第三方SDK的相關資訊」,但未提供更多詳情或相關鏈接。僅有Line、QQ、Taptap3款APP在首次下載應用後彈窗中顯示了第三方SDK或資訊共享鏈接。
《QQ第三方資訊共享清單》彈窗。
例如,下載QQ後的彈出的用戶協議及隱私政策概要中,有第三方資訊共享清單的鏈接:「未經你的授權同意,我們不會主動向任何第三方共享你的個人資訊,你可以通過《QQ第三方資訊共享清單》了解本軟體接入的第三方SDK服務商」,Line中亦有類似設置。Taptap則直接在首次打開APP的彈窗中呈現整篇隱私政策,第三方SDK的相關資訊即在其中。
測評補充說明
測評時間:11月2日至4日
APP所測版本(括號內為隱私政策更新或生效時間):
IOS版:QQ8.8.38.705(2021.10.29)、LOFTER6.19.0(2021.9.29)、QQ空間8.7.5、天涯社區7.1.5(2021.5.31)、虎撲7.5.53(2021.9.30)、Line8.0.16(2021.10.29)、微博11.11.0(2021.11.1)、脈脈6.1.28(2021.8.30)、Taptap1.1.17.3(2021.1.26)、世紀佳緣9.2.2(2021.11.2)、知乎7.34.0(2021.10.29)、百度貼吧12.21.1(2021.8.11)、百度12.27.0.12(2021.3.1)、小紅書7.14(2021.10.25)、Soul4.5.0(2021.10.29)
Android版:豆瓣7.16.0(2021.11.1)、探探4.8.8.2(2021.11.3)、陌陌9.1.1.1(2021-10-25)、今日頭條8.4.8(2021.11.1)、積目5.0.30(2021.8.5)
出品:南方財經全媒體集團合規科技研究院
統籌:曹金良
研究員:張雅婷,黃婉儀,郭美婷,李潤澤子
更多內容請下載21財經APP