王新锐|从App中“复制”自己的个人信息,有多难?

在未来,假设你突然不想用某个App,你是否能从这个App要回你的个人资料等个人信息?又或者你看到另一个App有相似的功能,你是否能直接将原有App的个人信息转移到另一个App上?
《个人信息保护法》(下称“个保法”)给出了肯定的答案。2021年11月1日,个保法生效,明确个体的查阅复制权和数据可携带权——前者旨在保证个人对其个人信息处理的知情权和决定权,后者赋予个体转移个人信息的权利,被认为有助于解决数据垄断等问题。
国内,不少企业闻风而动,有App已经更新隐私政策以适配个保法。但是,目前监管部门尚未出台具体的细则,仍没有明确规定个人信息处理者应以何种形式和流程来满足上述权利。我们测试了50款热门App,看看是否能从这些App要回个人信息或实现个人信息转移。结果发现,尽管部分App已经将上述权利写入隐私条款中,但真正的落实仍需要时间和进一步的探讨。
被测50款App中
仅有11个提供了个人信息副本
“所谓复制,就是要求个人信息处理者为个人提供所要求的复制的其个人信息的副本”,清华大学法学院教授程啸和清华大学法学院助理研究员王苑曾就查阅复制权撰文写道,此种副本的形式应是书面形式,包括纸介质或者电子介质。
为何要赋予用户查阅复制权和数据可携带权?世辉律师事务所合伙人王新锐接受澎湃新闻采访时说,查阅复制权是为了让用户实现知情的权利,即明确App获取了哪些个人信息;数据可携带权更多是为了实现个体的自决权,用户发起的数据流动也能促进企业间公平竞争,解决数据平台的数据垄断问题。
此次进行测评的50款热门App中,有19个App的隐私政策明确提及用户能复制个人信息,而在采访人员发出复制个人信息的申请后,仅有11个App提供了个人信息副本。测评过程中,多名客服表示不清楚此项权利,6个App在十五天内没有回复。此外,部分App对“复制”概念有不同的解释,例如,微博和京东金融让用户自行查看App界面的个人资料,而其他App提供的是单独的文件。

王新锐|从App中“复制”自己的个人信息,有多难?
文章插图

如何“复制”个人信息才算合理?欧盟的《一般数据保护条例》(General Data Protection Regulation, GDPR)提供了一种参考,GDPR认为个人信息副本应是结构化、普遍使用、可机读的形式。王新锐说,个保法没有规定App提供给用户的副本的格式,该项权利的落地会在后续的配套规则如《网络数据安全管理条例》中加以细化。目前,《网络数据安全管理条例》处于征求意见阶段。
在个人信息转移申请方面,当下提供此项服务的App数量更少。在50个App中,仅有5个App的隐私政策明确提及提供个人信息转移的服务,比如,抖音的隐私政策写着,“如果你需要转移我们收集存储的个人信息,我们将根据法律法规的要求,为你提供转移路径”。
在实际测试过程中,抖音等3个App在十五天内没有回复,快手表示用户需自行转移自己的个人信息,小红书则表示需要用户按照相应联系方式提出申请,并且满足网信部门规定的条件,小红书才会提供转移相应个人信息的途径。实际上,我国仍未出台个人信息转移配套的网信部门规定,这也意味小红书提及的“满足网信部门规定的条件”暂时无从谈起。
需要指出的是,围绕查阅复制权和数据可携带权的关系等问题,仍有待进一步的探讨。程啸等人在《论我国个人信息保护法中的查阅复制权》一文中写到,两者存在明显区别,涉及权利目的、法律关系主体等的不同。中国信息通信研究院互联网法律研究中心主任方禹认为,两者应是相辅相成的关系,可以查阅和复制的个人信息才是能够携带的,反之亦然。

推荐阅读