撤回同意、个性化推荐、数据可携带权、第三方单独告知待落实。
我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界,以“告知—同意”为核心原则对平台进行个人信息处理予以规范。
为了解企业在个人信息保护方面的落实情况,南方财经合规科技研究院基于《个人信息保护法》与《App违法违规收集使用个人信息行为认定方法》的相关条款,对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这9大方面共20个测评项,测评总分为100分。
结合用户量与功能差异等因素,测评选取了20款电商生活类APP进行个人信息保护合规实测。测评结果显示,苏宁易购得分80分,个人信息保护等级较高,美团、唯品会、京东、当当、网易严选、淘宝、饿了么、拼多多等17款APP得分在60分至80分,盒马、58同城得分不足60分。
撤回同意、个性化推荐、数据可携带权、第三方处理者单独告知,成为平台的高频合规问题。拼多多等5款APP无法直接撤回同意,15款APP撤回同意不便捷,如淘宝需要跳转7次关闭授权。个性化推荐的选择权未实现,饿了么、当当、网易严选等11款未区分关闭个性化内容及广告推荐,仅6款APP可便捷关闭。第三方SDK同是合规重灾区,无APP获取用户的单独同意。数据可携带权的实现也不尽如人意,14款APP未提可获取个人信息副本,无APP明示可提供个人信息的转移服务。
图说:20款社交资讯类APP个人信息保护合规测评(制图:张晓凤)
撤回同意权待落实
拼多多等无法应用内关闭授权,15款APP撤回同意不便捷
撤回同意权已成为全球个人信息保护立法的趋势与共识,《个人信息保护法》中也对此进行了回应。第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
此次测评对撤回同意聚焦于APP内是否提供了用户自主撤回同意的相关功能选项。测评发现,20款电商类APP中,盒马、拼多多、每日优鲜、叮咚买菜、58同城等5款无法在应用内或通过APP直接跳转至系统设置关闭授权。
以盒马APP为例,点击“允许盒马访问相机权限”的“去设置”按钮后,页面显示如要关闭权限授予需通过“打开手机设置-在应用列表内找到应用-点击进入,查看或修改权限设置”这一路径。拼多多则在隐私政策中提及,用户可在自己的设备中自行决定是否开启或关闭地理位置、摄像头、相册等访问权限。
图说:盒马APP无法应用内撤回同意
撤回同意的便捷性值得关注。《个人信息保护法》二审稿中对撤回同意增加“便捷”的要求,与欧盟《通用数据保护条例》(GDPR)“撤回同意应当和表示同意一样简单”的宗旨以及《个人信息安全规范》等相关规定相呼应。
参照国家网信办、工信部、公安部、市场监管总局2019年11月联合制定的《App违法违规收集使用个人信息行为认定方法》中,关于“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”的规定,测评将打开APP后如经过4次点击仍无法关闭相关授权,视为不便捷。
测评结果显示,20款电商类APP在提供应用内部关闭授权或跳转系统关闭授权的15款APP中,操作均不便捷,点击步骤超4次。例如,淘宝的撤回同意包含“我的-设置-隐私-系统权限管理-允许淘宝访问XX权限-如何进行权限设置?能否停止授权-系统设置”7步。
个性化推荐拒绝难
饿了么等未区分个性化内容及广告推荐,仅6款APP关闭便捷
《个人信息保护法》从一审稿到成文,在不断强化对自动化决策的规制。第二十四条要求,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
对于电商平台而言,收集用户的浏览与搜索记录、订购信息等进行算法等自动化决策机制分析形成间接用户画像,用以为用户提供更具有个性化需求的内容或广告服务。
针对个性化推荐,平台是否设置了关闭个性化内容推荐及个性化广告推荐的功能、是否提供便捷的拒绝方式、关闭个性化推荐后是否会影响产品使用,这三项内容成为合规焦点。
多款APP在隐私政策中都同时提及提供个性化内容和广告推荐服务。测评发现,饿了么、大麦、闲鱼、当当、58同城、叮咚买菜、盒马、得物、考拉海购、网易严选、每日优鲜等11款应用在功能设置上,未对关闭个性化广告推荐和关闭个性化内容推荐进行明确区分。
例如,饿了么的“个性化推荐设置”页面仅显示,关闭按钮后,将无法根据用户的兴趣爱好、日常购买习惯推荐店铺或商品。大麦的“隐私设置”页面有两个功能——“同好DNA功能”以及“为你推荐”功能,可以选择开启或关闭,但这两个功能并未明确指向是否涉及个性化广告。开启“同好DNA功能”后,将“快速找到跟自己兴趣相投的人”,“为你推荐”则在大麦的隐私政策里提到为管理被推送的个性化内容。闲鱼的隐私政策则提到,如需管理个性化广告在“我的-设置-隐私-个性化内容推荐”中进行设置,未对个性化内容及广告的推荐进行区分。当当仅在设置页面提供一个“允许个性化推荐”按钮。
图说:苏宁易购区分关闭个性化内容与广告推荐
在“是否提供便捷的拒绝方式”上,测评同样参照《App违法违规收集使用个人信息行为认定方法》,打开APP后如经过4次点击仍无法关闭个性化推荐,则视为不便捷。
结果显示,20款APP中仅6款APP在所提供的个性化推荐上完全实现了不超过4次点击即可关闭,包括网易严选、得物、大麦、当当、闲鱼、苏宁易购。如网易严选的“个性化服务”关闭便捷,3次点击即可关闭。
其它应用的个性化推荐关闭操作则较为繁琐。以拼多多为例,关闭个性化广告需要“个人中心-设置-常见问题-个性化推荐与广告-个性化广告管理-如何设置个性化广告-前往设置我的个性化广告-停用全部兴趣标签-确认停用”这一路径点击9次方可实现。
多款APP在隐私政策中提及,关闭个性化推荐仅会降低推送内容或广告的相关度,并不会影响其他功能使用。
数据可携带权难实现
6款APP明确“复制权”,无APP提供个人信息转移
数据可携带权是《个人信息保护法》三审新增的一项权利。第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。”
可携带权分为两个维度:其一,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供,即个人可获得个人信息副本;其二,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
测评发现,58同城、叮咚买菜、唯品会、京东、每日优鲜、美团等6款APP在隐私政策中明确了用户对其个人信息的“复制权”。例如,唯品会与京东的隐私政策列明,如何获取个人信息副本并提供了联系邮箱;美团提供“个人信息下载”服务,可下载的个人资料包括但不限于用户昵称、头像、生日、手机号等,这些信息将会被整理成txt文件通过邮箱发送文件下载链接。
图说:美团提供个人信息下载
但可携带权的另一维度——个人信息的转移服务,执行的情况则不容乐观,所测20款电商类APP均未在隐私政策中提到为用户提供将个人信息转移的服务。
第三方单独告知未明确
多数未告知处理方式,无APP取得个人单独同意
《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。
APP内通常会接入多个SDK(软件开发工具包),利用SDK技术为用户提供多样化的服务。目前,所测20款电商类APP都在隐私政策中明示了接入相关合作方SDK的目录,但因详细度不同而存在一定合规问题。依据法律要求,APP应向个人告知第三方的“名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。
测评发现,大多数APP告知了第三方的名称或者姓名、个人信息的种类、处理目的,但对处理方式、联系方式未明确告知。多数APP提供了第三方的隐私政策链接,对用户而言,如需通过链接阅读第三方的隐私政策从而获得个人信息的处理方式与第三方的联系方式,未免太过苛刻及不便。
图说:拼多多部分第三方SDK目录
针对“取得个人的单独同意”,20款APP均未实现。美团等APP虽然提到“未经您的授权同意,我们不会将上述信息共享给第三方或用于您未授权的其他用途”,但第三方SDK的详细信息需要APP内的隐私管理中查阅。
南财合规建议
1、对于相机、位置信息、麦克风等授权的撤回同意,APP内可设权限管理专区,并明确在何种场景下使用及用以哪些目的等。为实现便捷性的要求,关闭授权的点击步骤不应超过4次,建议在应用内可直接关闭。
2、在个性化推荐问题上,企业除了《个人信息保护法》,还应参照《互联网信息服务算法推荐管理规定(征求意见稿)》等关于算法机制的要求。在隐私政策中,应明确告知用户是否进行了个性化内容推荐与个性化广告推荐,体现是收集的信息类型、目的意图、运行机制等。如个性化内容与广告推荐均有,则应为用户分别提供单独的关闭按钮,并告知关闭后的影响。为实现用户的便捷关闭,应将开启或关闭选项设于APP“设置”页面的显著位置,点击步骤不应超过4次。
3、第三方单独告知问题方面,目前大多数APP提供了第三方SDK信息收集的单独列表,应对当前未落实的联系方式、处理方式进行明确告知。在取得个人的单独同意上,可在首次开启APP的弹窗中设计。
4、对于用户的个人信息可携带权,APP应在隐私政策明确列明《个人信息保护法》中赋予用户的权利,并提供实现路径。企业应为此提供专门的联系方式获取或在APP内设计直接获取导出按钮。
测评补充说明
测评时间:11月7日至9日
APP所测版本(括号内为隐私政策更新或生效时间):
IOS版:58同城10.22.5(2021.11.8)、盒马 5.27.0 15277743(2021.10.31)、叮咚买菜9.39.0(2021.11.4)、每日优鲜9.9.66(2021.9.9)、淘特4.13.2 21775800(2021.11.1)、得物4.80.1(2021.10.17)、大麦8.2.6(2021.10.29)、阿里巴巴10.15.4(2021.10.29)、拼多多5.86.0(2021.8.19)、当当11.10.3(2021.9.18)、闲鱼7.2.30(2021.11.1)、小米商城5.2.96(2021.9.23)、饿了么10.3.5(2021.11.5)、美团11.14.400.108585(2021.11.4)
Android版:淘宝10.5.20(2021.11.1)、唯品会7.56.7(2021.11.4)、京东10.2.2(2021.9.30)、考拉海购4.60.8(2021.7.31) 、网易严选 6.7.7(2021.7.23)、苏宁易购9.5.48(2021.10.15)
出品:南方财经全媒体集团合规科技研究院
统筹:曹金良
研究员:张雅婷,郭美婷,李润泽子,吴立洋,诸未静,蔡姝越,张晓凤(实习生)
(作者:张雅婷,郭美婷,李润泽子,吴立洋,诸未静,蔡姝越,实习生张晓凤 编辑:曹金良)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。