南都 告：不到四成应用落实可携权，有客服不懂个人信息副本

个人信息可复制、可转移，为未成年人制定专门规则，死者权利……这些旨在回应 会关切的数据规则，都出现在于11月起施行的个人信息保护法（下称“个保法”）中。一个多月过去，企业合规做得如何？

12月17日，南方都市 个人信息保护研究中心在北京召开“2021啄木鸟数据治理论坛”，并发布《个人信息安全年度 告（2021）》（下称“ 告”）。

告显示，在来自十个行业的150款被测App中，隐私政策透明度处于“高”层级的App数量为零，但App之间的分数差距较往年明显变小。在落实个人信息可携权方面，不到四成App承诺提供个人信息副本，仅一成称提供转移途径。

1

没有App透明度高，仅5款披露非SDK第三方

从2017年开始，南都个人信息保护研究中心连续五年发布隐私政策透明度测评，测评标准根据法律法规不断修改。隐私政策透明度越高，代表其关于企业如何收集、使用、存储和保护个人信息的描述越清晰和全面。

今年 告选取十大行业共计150款App作为测评样本，其中每个行业头、中、尾各五款。测评结果显示，知乎、叮当快药以89分位居第一，快手、携程旅行以两分之差并列第二。得分“不及格”的App共有27款。各行业平均分相差不大。

排名靠前的App及其得分

值得注意的是，透明度高的App数量为零。 告分析认为，这是由于大多数App的最新版隐私政策都尚未落实个保法中的创新性规定，因此失分较多。比如只有40款App提供了专门的未成年人隐私政策，不到10款App提及死者权利。

个保法施行同日，工信部发布《关于开展信息通信服务感知提升行动的通知》，提出今年12月底前，相关互联 企业应建立个人信息保护“双清单”——“已收集个人信息清单”和“与第三方共享个人信息清单”。

测评结果显示，150款App中有135款都列出了嵌入的第三方SDK（软件开发工具包），并告知其名称、处理目的、个人信息类型和链接。不过， 告认为，第三方SDK并不是App共享用户个人信息的唯一对象，还包括广告主及其代理商、关联公司、授权合作伙伴等。但只有“知乎”“唯品会”等五款App披露了部分上述信息，如唯品会App列出了承运商、支付、广告商、媒体等第三方。

尽管隐私政策告知不清晰、抄袭、头尾部App得分差距大等问题依然存在，今年的平均分仍达到了70.1分，在测评标准更加严格的情况下，几乎与2019年持平。这意味着，App的隐私政策透明度有了明显提升。

2

不少App客服称不知何为个人信息副本

根据个保法第四十五条，个人有权向个人信息处理者查阅、复制其个人信息，还有权请求将个人信息转移至其指定的个人信息处理者。 告仿照欧盟《通用数据保护条例》，将上述规定简称为“可携权”。

告发现，App落实可携权的做法通常是提供个人信息副本并承诺可转移。150款App中，57款明确用户可要求获取个人信息副本，占比38%。但截至测评结束，仅收到14款App提供的个人信息副本。

就收到的少数个人信息副本内容来看，绝大多数是用户主动提供的信息和设备信息等，如用户ID、昵称，注册手机 ，注册时间等。此外，不少App的承诺“有名无实”，如“作业帮”虽为用户获取个人信息副本列举了多种联系方式，但无一回复。

对于何为个人信息副本，各App客服的理解不尽相同。比如学而思 校、斑马App称获取个人信息副本的方式为自行“截屏”。还有不少App的客服直言“不知道什么是个人信息副本”。

好不容易联系上，有的App又设置了身份验证门槛，要求用户提供除注册时提供的个人信息之外的信息。比如叮当快药App要求用户提交手机营业厅缴费凭证、手持身份证照片，转移个人信息需提供接收方个人信息证明，愿意接收个人信息的证明材料、接收方式。

告指出，150款App中承诺提供个人信息转移服务的仅有15款，基本都要求用户提供对方App的接收方式、接口等信息。然而，没有任何一款App明示告知用户如何获取上述信息。 告认为，这进一步增加了用户履行可携权的难度。

3

所有应用商店都在隐私政策链接上失分

今年1月，工信部点名腾讯应用宝、小米应用商店、豌豆荚、OPPO软件商店、华为应用市场场五大应用商店平台管理主体责任落实不到位。4月，工信部发布《移动互联 应用程序个人信息保护管理暂行规定（征求意见稿）》，明确了应用商店等提供App下载、升级服务的软件服务平台的八大个人信息保护义务。

测评结果显示，OPPO软件商店、华为应用市场、360手机助手分别以82.4、79.1、70分位居前三名，而PP助手、三星应用商店和豌豆荚得分不及格。整体平均分不足60。

比如，OPPO软件商店有七款App的展示页面没有隐私政策链接，其中不乏优健康、华医通等知名App；vivo应用商店中，携程旅行App展示页面的隐私政策链接为隐私设计文档，而非隐私政策；小米应用商店中有九款App在应用商店展示页的隐私政策与App内版本不一致。

值得注意的是，绝大多数应用商店展示App将获取的权限列表时，通常使用的是“允许该应用……”等系统默认表述。只有小米应用商店的权限详情页允许App开发者自行更改权限获取目的。

如海豚优惠-购物返利平台App就修改了其应用商店展示页面定位、手机信息、相机、录音 四项权限的获取目的——如获取定位是为了“定位城市，让用户购买电影票”，获取手机 信息是为了“防止非法分子使用软件进行违法违规行为，使用相机是为了“联系客服，上 传图片”，录音则是为了“联系客服，上传录音”。

海豚优惠-购物返利平台App截图

告认为，系统默认表述的权限说明是为大多数App服务，通常为概括性描述，无法精准地照顾到每一个App的权限申请目的。允许App开发者修改可以让用户更加清楚地了解App为什么要获取这项权限，有助于保障用户的知情权。

出品：南都个人信息保护课题组