应用|南都报告：不到四成应用落实可携权，有客服不懂个人信息副本_

个人信息可复制、可转移，为未成年人制定专门规则，死者权利……这些旨在回应社会关切的数据规则，都出现在于11月起施行的个人信息保护法（下称“个保法”）中。一个多月过去，企业合规做得如何？
12月17日，南方都市报个人信息保护研究中心在北京召开“2021啄木鸟数据治理论坛”，并发布《个人信息安全年度报告（2021）》（下称“报告”）。
报告显示，在来自十个行业的150款被测App中，隐私政策透明度处于“高”层级的App数量为零，但App之间的分数差距较往年明显变小。在落实个人信息可携权方面，不到四成App承诺提供个人信息副本，仅一成称提供转移途径。
1
没有App透明度高，仅5款披露非SDK第三方
从2017年开始，南都个人信息保护研究中心连续五年发布隐私政策透明度测评，测评标准根据法律法规不断修改。隐私政策透明度越高，代表其关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。
今年报告选取十大行业共计150款App作为测评样本，其中每个行业头、中、尾各五款。测评结果显示，知乎、叮当快药以89分位居第一，快手、携程旅行以两分之差并列第二。得分“不及格”的App共有27款。各行业平均分相差不大。

文章插图

排名靠前的App及其得分
值得注意的是，透明度高的App数量为零。报告分析认为，这是由于大多数App的最新版隐私政策都尚未落实个保法中的创新性规定，因此失分较多。比如只有40款App提供了专门的未成年人隐私政策，不到10款App提及死者权利。
个保法施行同日，工信部发布《关于开展信息通信服务感知提升行动的通知》，提出今年12月底前，相关互联网企业应建立个人信息保护“双清单”——“已收集个人信息清单”和“与第三方共享个人信息清单”。
测评结果显示，150款App中有135款都列出了嵌入的第三方SDK（软件开发工具包），并告知其名称、处理目的、个人信息类型和链接。不过，报告认为，第三方SDK并不是App共享用户个人信息的唯一对象，还包括广告主及其代理商、关联公司、授权合作伙伴等。但只有“知乎”“唯品会”等五款App披露了部分上述信息，如唯品会App列出了承运商、支付、广告商、媒体等第三方。
尽管隐私政策告知不清晰、抄袭、头尾部App得分差距大等问题依然存在，今年的平均分仍达到了70.1分，在测评标准更加严格的情况下，几乎与2019年持平。这意味着，App的隐私政策透明度有了明显提升。
2
不少App客服称不知何为个人信息副本
根据个保法第四十五条，个人有权向个人信息处理者查阅、复制其个人信息，还有权请求将个人信息转移至其指定的个人信息处理者。报告仿照欧盟《通用数据保护条例》，将上述规定简称为“可携权”。
报告发现，App落实可携权的做法通常是提供个人信息副本并承诺可转移。150款App中，57款明确用户可要求获取个人信息副本，占比38%。但截至测评结束，仅收到14款App提供的个人信息副本。
就收到的少数个人信息副本内容来看，绝大多数是用户主动提供的信息和设备信息等，如用户ID、昵称，注册手机号，注册时间等。此外，不少App的承诺“有名无实”，如“作业帮”虽为用户获取个人信息副本列举了多种联系方式，但无一回复。
对于何为个人信息副本，各App客服的理解不尽相同。比如学而思网校、斑马App称获取个人信息副本的方式为自行“截屏”。还有不少App的客服直言“不知道什么是个人信息副本”。