我國《個人資訊保護法》於2021年11月1日起施行。法律明確了個人資訊處理活動中的權利義務邊界,以「告知—同意」為核心原則對平臺進行個人資訊處理予以規范。
為了解企業在個人資訊保護方面的落實情況,南方財經合規科技研究院基於《個人資訊保護法》與《App違法違規收集使用個人資訊行為認定方法》的相關條款,對平臺的個人資訊保護合規進行系列測評。測評含告知、撤回同意、第三方處理者單獨告知、個性化推薦、敏感個人資訊、未成年人個人資訊、數據可攜帶權、資訊控制權、個人保護資訊負責人這9大方面共20個測評項,測評總分為100分。
結合用戶量與功能差異等因素,測評選取了20款電商生活類APP進行個人資訊保護合規實測。測評結果顯示,蘇寧易購得分80分,個人資訊保護等級較高,美團、唯品會、京東、當當、網易嚴選、淘寶、餓了麼、拼多多等17款APP得分在60分至80分,盒馬、58同城得分不足60分。
撤回同意、個性化推薦、數據可攜帶權、第三方處理者單獨告知,成為平臺的高頻合規問題。拼多多等5款APP無法直接撤回同意,15款APP撤回同意不便捷,如淘寶需要跳轉7次關閉授權。個性化推薦的選擇權未實現,餓了麼、當當、網易嚴選等11款未區分關閉個性化內容及廣告推薦,僅6款APP可便捷關閉。第三方SDK同是合規重災區,無APP獲取用戶的單獨同意。數據可攜帶權的實現也不盡如人意,14款APP未提可獲取個人資訊副本,無APP明示可提供個人資訊的轉移服務。
圖說:20款社交資訊類APP個人資訊保護合規測評(制圖:張曉鳳)
撤回同意權待落實
拼多多等無法應用內關閉授權,15款APP撤回同意不便捷
撤回同意權已成為全球個人資訊保護立法的趨勢與共識,《個人資訊保護法》中也對此進行了回應。第十五條規定,基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。
此次測評對撤回同意聚焦於APP內是否提供了用戶自主撤回同意的相關功能選項。測評發現,20款電商類APP中,盒馬、拼多多、每日優鮮、叮咚買菜、58同城等5款無法在應用內或通過APP直接跳轉至系統設定關閉授權。
以盒馬APP為例,點擊「允許盒馬拜訪相機權限」的「去設置」按鈕後,頁面顯示如要關閉權限授予需通過「打開手機設置-在應用列表內找到應用-點擊進入,查看或修改權限設置」這一路徑。拼多多則在隱私政策中提及,用戶可在自己的設備中自行決定是否開啟或關閉地理位置、照相頭、相冊等拜訪權限。
圖說:盒馬APP無法應用內撤回同意
撤回同意的便捷性值得關註。《個人資訊保護法》二審稿中對撤回同意增加「便捷」的要求,與歐盟《通用數據保護條例》(GDPR)「撤回同意應當和表示同意一樣簡單」的宗旨以及《個人資訊安全規范》等相關規定相呼應。
參照國家網信辦、工信部、警察部、市場監管總局2019年11月聯合制定的《App違法違規收集使用個人資訊行為認定方法》中,關於「隱私政策等收集使用規則難以拜訪,如進入App主界面後,需多於4次點擊等操作才能拜訪到」的規定,測評將打開APP後如經過4次點擊仍無法關閉相關授權,視為不便捷。
測評結果顯示,20款電商類APP在提供應用內部關閉授權或跳轉系統關閉授權的15款APP中,操作均不便捷,點擊步驟超4次。例如,淘寶的撤回同意包含「我的-設置-隱私-系統權限管理-允許淘寶拜訪XX權限-如何進行權限設置?能否停止授權-系統設定」7步。
個性化推薦拒絕難
餓了麼等未區分個性化內容及廣告推薦,僅6款APP關閉便捷
《個人資訊保護法》從一審稿到成文,在不斷強化對自動化決策的規制。第二十四條要求,通過自動化決策方式向個人進行資訊推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人資訊處理者予以說明,並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定。
對於電商平臺而言,收集用戶的瀏覽與搜索記錄、訂購資訊等進行算法等自動化決策機制分析形成間接用戶畫像,用以為用戶提供更具有個性化需求的內容或廣告服務。
針對個性化推薦,平臺是否設置了關閉個性化內容推薦及個性化廣告推薦的功能、是否提供便捷的拒絕方式、關閉個性化推薦後是否會影響產品使用,這三項內容成為合規焦點。
多款APP在隱私政策中都同時提及提供個性化內容和廣告推薦服務。測評發現,餓了麼、大麥、閒魚、當當、58同城、叮咚買菜、盒馬、得物、考拉海購、網易嚴選、每日優鮮等11款應用在功能設置上,未對關閉個性化廣告推薦和關閉個性化內容推薦進行明確區分。
例如,餓了麼的「個性化推薦設置」頁面僅顯示,關閉按鈕後,將無法根據用戶的興趣愛好、日常購買習慣推薦店鋪或商品。大麥的「隱私設置」頁面有兩個功能——「同好DNA功能」以及「為你推薦」功能,可以選擇開啟或關閉,但這兩個功能並未明確指向是否涉及個性化廣告。開啟「同好DNA功能」後,將「快速找到跟自己興趣相投的人」,「為你推薦」則在大麥的隱私政策裡提到為管理被推送的個性化內容。閒魚的隱私政策則提到,如需管理個性化廣告在「我的-設置-隱私-個性化內容推薦」中進行設置,未對個性化內容及廣告的推薦進行區分。當當僅在設置頁面提供一個「允許個性化推薦」按鈕。
圖說:蘇寧易購區分關閉個性化內容與廣告推薦
在「是否提供便捷的拒絕方式」上,測評同樣參照《App違法違規收集使用個人資訊行為認定方法》,打開APP後如經過4次點擊仍無法關閉個性化推薦,則視為不便捷。
結果顯示,20款APP中僅6款APP在所提供的個性化推薦上完全實現了不超過4次點擊即可關閉,包括網易嚴選、得物、大麥、當當、閒魚、蘇寧易購。如網易嚴選的「個性化服務」關閉便捷,3次點擊即可關閉。
其它應用的個性化推薦關閉操作則較為繁瑣。以拼多多為例,關閉個性化廣告需要「個人中心-設置-常見問題-個性化推薦與廣告-個性化廣告管理-如何設置個性化廣告-前往設置我的個性化廣告-停用全部興趣標簽-確認停用」這一路徑點擊9次方可實現。
多款APP在隱私政策中提及,關閉個性化推薦僅會降低推送內容或廣告的相關度,並不會影響其他功能使用。
數據可攜帶權難實現
6款APP明確「復制權」,無APP提供個人資訊轉移
數據可攜帶權是《個人資訊保護法》三審新增的一項權利。第四十五條規定:「個人有權向個人資訊處理者查閱、復制其個人資訊;有本法第十八條第一款、第三十五條規定情形的除外。」
可攜帶權分為兩個維度:其一,個人請求查閱、復制其個人資訊的,個人資訊處理者應當及時提供,即個人可獲得個人資訊副本;其二,個人請求將個人資訊轉移至其指定的個人資訊處理者,符合國家網信部門規定條件的,個人資訊處理者應當提供轉移的門路。
測評發現,58同城、叮咚買菜、唯品會、京東、每日優鮮、美團等6款APP在隱私政策中明確了用戶對其個人資訊的「復制權」。例如,唯品會與京東的隱私政策列明,如何獲取個人資訊副本並提供了聯絡信箱;美團提供「個人資訊下載」服務,可下載的個人資料包括但不限於用戶昵稱、頭像、生日、手機號等,這些資訊將會被整理成txt文件通過信箱發送文件下載鏈接。
圖說:美團提供個人資訊下載
但可攜帶權的另一維度——個人資訊的轉移服務,執行的情況則不容樂觀,所測20款電商類APP均未在隱私政策中提到為用戶提供將個人資訊轉移的服務。
第三地契獨告知未明確
多數未告知處理方式,無APP取得個人單獨同意
《個人資訊保護法》第二十三條規定,個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人資訊的種類等範圍內處理個人資訊。
APP內通常會接入多個SDK(軟體開發工具包),利用SDK技術為用戶提供多樣化的服務。目前,所測20款電商類APP都在隱私政策中明示了接入相關合作方SDK的目錄,但因詳細度不同而存在一定合規問題。依據法律要求,APP應向個人告知第三方的「名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類」。
測評發現,大多數APP告知了第三方的名稱或者姓名、個人資訊的種類、處理目的,但對處理方式、聯絡方式未明確告知。多數APP提供了第三方的隱私政策鏈接,對用戶而言,如需通過鏈接閱讀第三方的隱私政策從而獲得個人資訊的處理方式與第三方的聯絡方式,未免太過苛刻及不便。
圖說:拼多多部分第三方SDK目錄
針對「取得個人的單獨同意」,20款APP均未實現。美團等APP雖然提到「未經您的授權同意,我們不會將上述資訊共享給第三方可能用於您未授權的其他用途」,但第三方SDK的詳細資訊需要APP內的隱私管理中查閱。
南財合規建議
1、對於相機、位置資訊、麥克風等授權的撤回同意,APP內可設權限管理專區,並明確在何種場景下使用及用以哪些目的等。為實現便捷性的要求,關閉授權的點擊步驟不應超過4次,建議在應用內可直接關閉。
2、在個性化推薦問題上,企業除了《個人資訊保護法》,還應參照《互聯網資訊服務算法推薦管理規定(征求意見稿)》等關於算法機制的要求。在隱私政策中,應明確告知用戶是否進行了個性化內容推薦與個性化廣告推薦,體現是收集的資訊類型、目的意圖、運行機制等。如個性化內容與廣告推薦均有,則應為用戶分別提供單獨的關閉按鈕,並告知關閉後的影響。為實現用戶的便捷關閉,應將開啟或關閉選項設於APP「設置」頁面的顯著位置,點擊步驟不應超過4次。
3、第三地契獨告知問題方面,目前大多數APP提供了第三方SDK資訊收集的單獨列表,應對當前未落實的聯絡方式、處理方式進行明確告知。在取得個人的單獨同意上,可在首次開啟APP的彈窗中設計。
4、對於用戶的個人資訊可攜帶權,APP應在隱私政策明確列明《個人資訊保護法》中賦予用戶的權利,並提供實現路徑。企業應為此提供專門的聯絡方式獲取或在APP內設計直接獲取導出按鈕。
測評補充說明
測評時間:11月7日至9日
APP所測版本(括號內為隱私政策更新或生效時間):
IOS版:58同城10.22.5(2021.11.8)、盒馬 5.27.0 15277743(2021.10.31)、叮咚買菜9.39.0(2021.11.4)、每日優鮮9.9.66(2021.9.9)、淘特4.13.2 21775800(2021.11.1)、得物4.80.1(2021.10.17)、大麥8.2.6(2021.10.29)、阿裡巴巴10.15.4(2021.10.29)、拼多多5.86.0(2021.8.19)、當當11.10.3(2021.9.18)、閒魚7.2.30(2021.11.1)、小米商城5.2.96(2021.9.23)、餓了麼10.3.5(2021.11.5)、美團11.14.400.108585(2021.11.4)
Android版:淘寶10.5.20(2021.11.1)、唯品會7.56.7(2021.11.4)、京東10.2.2(2021.9.30)、考拉海購4.60.8(2021.7.31) 、網易嚴選 6.7.7(2021.7.23)、蘇寧易購9.5.48(2021.10.15)
出品:南方財經全媒體集團合規科技研究院
統籌:曹金良
研究員:張雅婷,郭美婷,李潤澤子,吳立洋,諸未靜,蔡姝越,張曉鳳(實習生)
更多內容請下載21財經APP