从App中“复制”自己的个人信息,有多难?
在未来,假设你突然不想用某个App,你是否能从这个App要回你的个人资料等个人信息?又或者你看到另一个App有相似的功能,你是否能直接将原有App的个人信息转移到另一个App上?
《个人信息保护法》(下称“个保法”)给出了肯定的答案。2021年11月1日,个保法生效,明确个体的查阅复制权和数据可携带权——前者旨在保证个人对其个人信息处理的知情权和决定权,后者赋予个体转移个人信息的权利,被认为有助于解决数据垄断等问题。
国内,不少企业闻风而动,有App已经更新隐私政策以适配个保法。但是,目前监管部门尚未出台具体的细则,仍没有明确规定个人信息处理者应以何种形式和流程来满足上述权利。我们测试了50款热门App,看看是否能从这些App要回个人信息或实现个人信息转移。结果发现,尽管部分App已经将上述权利写入隐私条款中,但真正的落实仍需要时间和进一步的探讨。
✦✧
被测50款App中,仅有11个提供了个人信息副本
“所谓复制,就是要求个人信息处理者为个人提供所要求的复制的其个人信息的副本”,清华大学法学院教授程啸和清华大学法学院助理研究员王苑曾就查阅复制权撰文写道,此种副本的形式应是书面形式,包括纸介质或者电子介质。
为何要赋予用户查阅复制权和数据可携带权?世辉律师事务所合伙人王新锐接受澎湃新闻采访时说,查阅复制权是为了让用户实现知情的权利,即明确App获取了哪些个人信息;数据可携带权更多是为了实现个体的自决权,用户发起的数据流动也能促进企业间公平竞争,解决数据平台的数据垄断问题。
此次进行测评的50款热门App中,有19个App的隐私政策明确提及用户能复制个人信息,而在记者发出复制个人信息的申请后,仅有11个App提供了个人信息副本。测评过程中,多名客服表示不清楚此项权利,6个App在十五天内没有回复。此外,部分App对“复制”概念有不同的解释,例如,微博和京东金融让用户自行查看App界面的个人资料,而其他App提供的是单独的文件。
如何“复制”个人信息才算合理?欧盟的《一般数据保护条例》(General Data Protection Regulation, GDPR)提供了一种参考,GDPR认为个人信息副本应是结构化、普遍使用、可机读的形式。王新锐说,个保法没有规定App提供给用户的副本的格式,该项权利的落地会在后续的配套规则如《网络数据安全管理条例》中加以细化。目前,《网络数据安全管理条例》处于征求意见阶段。
在个人信息转移申请方面,当下提供此项服务的App数量更少。在50个App中,仅有5个App的隐私政策明确提及提供个人信息转移的服务,比如,抖音的隐私政策写着,“如果你需要转移我们收集存储的个人信息,我们将根据法律法规的要求,为你提供转移路径”。
在实际测试过程中,抖音等3个App在十五天内没有回复,快手表示用户需自行转移自己的个人信息,小红书则表示需要用户按照相应联系方式提出申请,并且满足网信部门规定的条件,小红书才会提供转移相应个人信息的途径。实际上,我国仍未出台个人信息转移配套的网信部门规定,这也意味小红书提及的“满足网信部门规定的条件”暂时无从谈起。
需要指出的是,围绕查阅复制权和数据可携带权的关系等问题,仍有待进一步的探讨。程啸等人在《论我国个人信息保护法中的查阅复制权》一文中写到,两者存在明显区别,涉及权利目的、法律关系主体等的不同。中国信息通信研究院互联网法律研究中心主任方禹认为,两者应是相辅相成的关系,可以查阅和复制的个人信息才是能够携带的,反之亦然。
✧✦
拿到手的个人信息副本,内容大多较为精简
尽管部分App提供了个人信息副本,但内容都比较简单。澎湃新闻梳理发现,基本涵盖五种类型的个人信息,分别为个人资料、账号信息、实名认证信息、设备和App信息、使用信息。多数App提供的个人信息副本集中在前四种类型,相比App收集的大量个人信息,这些不过是九牛一毛。
相对来说,唯品会提供的个人信息副本内容较为丰富,除了基础的个人资料、尺码等,唯品会还会提供订单记录、收藏记录等使用信息。测评过程中,京东金融客服表示,为了用户个人资产安全等问题,暂时不向用户提供白条、订单记录等信息。
“目前除了部分头部的App以外,大部分App都没有准备好把这些个人信息的副本提供给用户”,王新锐说,当前,App能提供的复制内容主要是用户自行填写的信息,但个人信息更多来自App的主动获取,比如地理位置、语音、照片、设备标识符等。
方禹认为,用户只有先知道App获取了自己的哪些个人信息,才能行使更正、删除个人信息等行为的决定权。这很大程度是因为,个人信息处理者和个体之间存在明显的信息落差,技术能力等方面的不均衡导致两者的地位不平等,个人信息处理者在大规模、组织化和结构化地处理个人信息,而个体“可能会忘记给予某个App什么个人信息,这势必影响个体行使其他的权利”。
不过,关于App是否需要提供其收集的所有个人信息,乃至用户画像等衍生数据,目前仍无定论。方禹表示,这涉及互联网市场结构的问题,如果某个App在市场上没有另一个同质化的对手,那转移该App衍生数据的意义不大。
此外,测评结果显示,不同App的个人信息副本下载方式、身份验证流程等方面有所不同。有7个App提供直接导出个人信息副本的选项,其余则需用户通过邮箱、电话、在线客服等方式进行申请。“没有办法,只能通过邮件或客服的方式来响应用户的请求,”一位不愿具名的头部互联网企业数据合规员工接受《财经》E法采访时说,目前很少有用户会申请复制其个人信息,如果要实现“用户可自行导出”的选项,将增加企业成本。
实现查阅复制权和数据可携带权的过程中,身份验证是至关重要的环节,涉及到信息泄露等风险。GDPR规定,控制者应当使用所有合理的措施在数据主体要求访问数据时验证数据主体身份,尤其是使用线上服务和线上识别器。控制者不应仅以回应潜在数据主体的请求为目的保留个人数据。
一名从事数据合规行业的业内人士告诉澎湃新闻,实现个人信息转移更加困难,各家企业的数据接口、模式、内容都不一样,数据合规成本和数据泄漏风险相当高。
此次测评中,唯品会、WPS Office和酷狗音乐的验证方式较为不同。唯品会需要用户提供唯品会App“个人中心-设置-账号与安全”界面的截图;WPS Office要求用户拍摄手持身份证正反面的照片,发送至App邮箱;酷狗音乐则有一份专门的身份验证表格,用户需要填写基本申请信息和至少提供一项身份验证信息,比如注册时间、注册地点、手机号、登录过的常用设备型号、常登录地。
编辑 陈志芳 实习生张宇昭
设计师 卫瑶
◒◡◒
┊推 - 荐 - 阅 - 读┊