个人信息保护合规测评①丨20款社交资讯类APP：小红书等10款无法应用内撤回同意，脉脉、世纪佳缘无法关闭个性化广告

我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界，以“告知—同意”为核心原则对平台进行个人信息处理予以规范。

为了解企业在个人信息保护方面的落实情况，南方财经合规科技研究院基于《个人信息保护法》与《App违法违规收集使用个人信息行为认定方法》的相关条款，对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这9大方面共20个测评项，测评总分为100分。

结合用户量与功能差异等因素，测评选取了20款社交咨询类APP进行个人信息保护合规实测。测评结果显示，今日头条、QQ、微信、Soul等4款APP得分在80分以上，微博、陌陌、探探、知乎、小红书等14款APP得分在60分至80分，世纪佳缘、Taptap得分最低，不足60分。

撤回同意、个性化推荐、数据可携带权、第三方处理者单独告知，成为平台的高频合规问题。半数APP无法直接撤回同意，18款APP撤回同意不便捷，如百度、QQ需要跳转6次方可最终关闭授权。仅有4款APP可便捷地关闭个性化推荐，个性化广告关闭难。第三方SDK同是合规重灾区，15款第三方SDK未告知处理方式，仅3款获取用户的单独同意。数据可携带权的实现也不尽如人意，近一半APP未提可获取个人信息副本，仅有6款明示可提供个人信息的转移服务。

20款社交资讯类APP个人信息保护合规测评。制图：张晓凤

一半APP无法应用内撤回同意，QQ、百度等撤回不便捷

撤回同意权已成为全球个人信息保护立法的趋势与共识，《个人信息保护法》中也对此进行了回应。第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

此次测评对撤回同意聚焦于APP内是否提供了用户自主撤回同意的相关功能选项。测评发现，20款社交资讯类APP中有10款无法在应用内或通过APP直接跳转至系统设置关闭授权。在提供应用内部关闭授权或跳转系统关闭授权的APP中，仅有今日头条、虎扑操作便捷，步骤简单。

多款APP获取用户权限时，会有单独弹窗提示，但关闭授权却需要用户自行前往手机设置中操作。例如，在小红书APP使用拍照或相册功能时，页面会弹窗提示“去开启相册权限”，用户可选择“拒绝”或“去开启”的选项，如点击“去开启”会自动跳转至手机系统设置，让用户选择是否允许小红书访问。但小红书APP中却没有关闭授权的功能按钮，如需关闭授权，用户只能自行打开手机系统设置关闭。

除小红书外，QQ空间、豆瓣、网易LOFTER等也无法在APP内找到撤回此前同意权限的按钮，只能在手机设备的设置中关闭。积目的撤回同意在Android系统与iOS系统设置不一，在iOS系统中，可以通过应用“推送通知管理”跳转至手机系统关闭授权，但在Android系统中无法实现。

符合规定的知乎、Soul、百度、QQ等10款APP，则在“设置”页面提供了“隐私中心”或“隐私设置”等专区，内含“应用权限”或“撤回授权”等选项。

知乎“撤回授权”页面。

《个人信息保护法》二审稿中对撤回同意增加“便捷”的要求，与欧盟《通用数据保护条例》GDPR“撤回同意应当和表示同意一样简单”的宗旨以及《个人信息安全规范》等相关规定相呼应。

测评参照国家网信办、工信部、公安部、市场监管总局2019年11月联合制定的《App违法违规收集使用个人信息行为认定方法》中，关于“隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到”的规定，将打开APP后如经过4次点击仍无法关闭相关授权，视为不便捷。

撤回同意方式便捷程度也值得关注。测评发现，18款APP在应用内关闭授权或跳转系统关闭授权的APP操作繁琐，并不便捷。以百度为例，在应用内通过点击“我的-设置-隐私设置-应用权限说明-前往应用权限设置”这5个按钮后，将自动跳转至手机系统设置页面供用户选择是否关闭麦克风、相机等相关权限，整个撤回同意的步骤需要6次。QQ的情况类似，参考其隐私政策的提示，需点击6次方可进入APP内的“授权管理”功能，但实际体验发现需要点击更多次才能真正关闭相关授权。

脉脉、世纪佳缘无关闭个性化广告功能，仅4款可便捷关闭

算法是互联网平台处理海量用户数据、绘制用户画像、精准定价与个性化推送的“生产工具”，已成为平台运行的核心动力。《个人信息保护法》从一审稿到成文，在不断强化对自动化决策的规制。

《个人信息保护法》第二十四条要求，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

对于社交平台，个性化推荐常被用于社区及交友等板块，平台通过收集用户各类信息通过算法等自动化决策机制分析形成间接用户画像，用以为用户提供更具有个性化需求的内容或广告服务。

针对个性化推荐问题，平台是否设置了关闭个性化内容推荐及个性化广告推荐的功能、是否提供便捷的拒绝方式、关闭个性化推荐后是否会影响产品使用，这三项内容成为合规焦点。

小红书的个性化内容与广告推荐可关闭。

多款APP在隐私政策中都同时提及提供个性化内容和广告推荐服务。测评显示，世纪佳缘、Taptap在提供这两项推荐的情况下，均未设置关闭个性化推荐的按键；脉脉可以关闭个性化内容推荐，但无法关闭个性化广告推荐。

在“是否提供便捷的拒绝方式”上，测评同样参照《App违法违规收集使用个人信息行为认定方法》，打开APP后如经过4次点击仍无法关闭个性化推荐，则视为不便捷。

结果显示，20款APP中仅4款APP在所提供的个性化推荐上完全实现了不超过4次点击即可关闭，包括微博、探探、天涯社区、脉脉。其它应用的个性化推荐关闭操作则较为繁琐。以QQ空间为例，关闭个性化广告推荐需跳转多次，具体步骤为“我的-设置-关于空间-隐私政策-广告-关于广告-关闭个性化推荐广告”。

多款APP在隐私政策中提及，关闭个性化推荐仅会降低推送内容或广告的相关度，并不会影响其他功能使用。

8款APP未提个人信息副本可获取，仅6款提供个人信息转移

数据可携带权是《个人信息保护法》三审新增的一项权利。第四十五条规定：“个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。”

可携带权分为两个维度：其一，个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供，即个人可获得个人信息副本；其二，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

测评发现，多数APP在隐私政策中明确了用户对其个人信息的“复制权”。知乎、小红书、Soul、QQ、微博及网易LOFTER在隐私政策提到可获取个人信息副本，陌陌、探探等则在隐私政策中明确了用户可复制其个人信息。百度、脉脉、Taptap等8款APP则未在隐私政策中提及用户可获取个人信息副本。

尽管多个APP明确个人信息副本的获取权利，但执行情况各有差异。有些APP界面开发了专门的按键，可供用户直接复制个人信息。例如，微信的交互界面设计了专门获取个人信息副本的按键“个人信息浏览与导出”；知乎在《个人信息保护指引》中“获取您的个人信息副本”部分显示，用户可在“我的-设置-隐私中心-个人信息下载”页面联系“知乎小管家”后申请下载知乎已收集的用户个人信息；豆瓣则要求用户提出书面请求，并可能会要求用户验证身份之后才为其提供个人信息副本，平台将在15个工作日内做出答复。与之做法类似的还有网易LOFTER，平台要求用户联系APP相关负责人，平台在核实用户身份后提供个人信息副本。

微信提供个人信息浏览与导出服务

但可携带权的另一维度——个人信息的转移服务，执行的情况则不容乐观，仅有微信、豆瓣、知乎、小红书、Soul、虎扑这6款APP在隐私政策中提到为用户提供将个人信息转移的服务。

以小红书为例，在隐私政策的“您如何管理您的个人信息”章节提到“附条件的个人信息转移权”，如用户需要将个人信息转移至其他平台、企业或组织可以联系小红书，小红书会对用户的请求进行审核，在符合网信部门规定的条件下，小红书将提供转移相应个人信息的途径。豆瓣也在隐私政策中提出，其将响应用户请求，在符合国家网信部门规定的条件的情况下，将用户个人信息转移至指定的个人信息处理者。

值得一提的是，在“数据可携带权”方面执行欠佳的APP，多数的隐私政策也尚未根据《个人信息保护法》出台进行更新，例如Taptap、脉脉这两个APP隐私政策最新版本的更新时间依旧停留在今年1月26日、8月30日。

15款第三方SDK未告知处理方式，仅3款获取单独同意

《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。

APP内通常会接入多个SDK（软件开发工具包），利用SDK技术为用户提供多样化的服务。目前，所测20款社交资讯类APP都在隐私政策中明示了接入相关合作方SDK的目录，但因详细度不同而存在一定合规问题。

依据法律要求，APP应向个人告知第三方的“名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。测评发现，15款APP都未明确第三方SDK对个人信息的处理方式，包括网易LOFTER、天涯社区、虎扑、小红书、百度、百度贴吧、探探、今日头条、豆瓣、陌陌、微信、微博、世纪佳缘、Taptap和脉脉等。

针对“取得个人的单独同意”，多款APP亦未实现。虎扑等部分APP在弹窗中虽提及了“我们的产品介入的第三方SDK的相关信息”，但未提供更多详情或相关链接。仅有微信、QQ、Taptap3款APP在首次下载应用后弹窗中显示了第三方SDK或信息共享链接。

《QQ第三方信息共享清单》弹窗。

例如，下载QQ后的弹出的用户协议及隐私政策概要中，有第三方信息共享清单的链接：“未经你的授权同意，我们不会主动向任何第三方共享你的个人信息，你可以通过《QQ第三方信息共享清单》了解本软件接入的第三方SDK服务商”，微信中亦有类似设置。Taptap则直接在首次打开APP的弹窗中呈现整篇隐私政策，第三方SDK的相关信息即在其中。

测评补充说明

测评时间：11月2日至4日

APP所测版本（括号内为隐私政策更新或生效时间）：

IOS版：QQ8.8.38.705（2021.10.29）、LOFTER6.19.0（2021.9.29）、QQ空间8.7.5、天涯社区7.1.5（2021.5.31）、虎扑7.5.53（2021.9.30）、微信8.0.16（2021.10.29）、微博11.11.0（2021.11.1）、脉脉6.1.28（2021.8.30）、Taptap1.1.17.3（2021.1.26）、世纪佳缘9.2.2（2021.11.2）、知乎7.34.0（2021.10.29）、百度贴吧12.21.1（2021.8.11）、百度12.27.0.12（2021.3.1）、小红书7.14（2021.10.25）、Soul4.5.0（2021.10.29）

Android版：豆瓣7.16.0（2021.11.1）、探探4.8.8.2（2021.11.3）、陌陌9.1.1.1（2021-10-25）、今日头条8.4.8（2021.11.1）、积目5.0.30（2021.8.5）

出品：南方财经全媒体集团合规科技研究院

统筹：曹金良

研究员：张雅婷，黄婉仪，郭美婷，李润泽子