任何一款App的隐私政策中,都写明了它将收集用户的哪些个人信息,但没有几个人会去读完那篇幅冗长、充满晦涩法律术语的文本。但在《个人信息保护法》生效后,用户可能以更直接和简单的方式去了解这点:向App索要个人信息的副本。
依据《个人信息保护法》的规定,个人有权向个人信息处理者查阅、复制其个人信息,而个人信息处理者在接到请求后应当及时提供。对此,《财经》E法对39类、78款常用App进行测试后发现,目前大部分App并未向用户提供个人信息的副本,甚至有一些在隐私政策中都只字未提。
虽然对大多数用户来说,他们并不清楚获取的副本能派上什么用处。但这项法律规定更大的意义在于,企业应当更加谨慎和透明地处理个人信息,同时,让用户免遭互联网平台的挟持。
但就目前而言,显然大多数企业还没有做好准备,法律也仍然有进一步细化之处。
App们还没准备好
《个人信息保护法》第45条规定:个人有权向个人信息处理者查阅、复制其个人信息。通俗来说,用户拥有其个人信息的“复制权“。同时,第45条还提出了行使“复制权”的两种途径:个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供;个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
虽然《个人信息保护法》从11月1日开始施行不到半个月,但其法律文本已在8月20日获得全国人大常委会会议通过,并公之于众。
为验证常用App向用户提供个人信息副本的情况,《财经》E法从39类App中选取了78款进行测试体验发现,其中44款App在隐私政策中只字未提用户的“复制权”;虽然有34款App提示用户可申请获取副本,但仅有10款App支持用户自行导出,另有24款则需要通过邮箱或者客服电话申请,并等待15个工作日,这是否符合法律要求的“及时提供“,显然有待商榷。
▲ 说明:
1.国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》将App分为39种类型。
2.微信仅提供部分账号类的个人信息副本,未提供微信支付的个人信息副本,例如:个人的交易记录、交易和消费记录、流水记录,微信支付仅提供查询界面,因此标记为“未提及”以及“未发现入口”。
“没有办法,只能通过邮件或客服的方式来响应用户的请求。”一位不愿具名的头部互联网企业数据合规员工对《财经》E法表示,目前很少有用户会申请获取个人信息的副本,如果要实现“用户可自行导出”,意味着将增加企业成本。
同时,虽然有的App在隐私政策中声明用户有权获得个人信息副本,但实现的方式是:自己动手。例如,58同城App在隐私政策中写道,“进入您的个人信息详情页,然后将信息自行复制获取。
▲ 58同城App关于“获取个人信息副本”的条款
另外,App获取的个人信息一部分来自于用户填写,更多来自于App主动获取。例如:地理位置、语音、相册照片、设备唯一标识符等信息,它们在App在提供服务时被自动采集。但目前大部分App都没有准备好把这些个人信息的副本提供给用户。
即便像微信这样的国民级App,尽管能实现“可自行导出”个人信息,但能提供的个人信息的种类也是“屈指可数”,相比于它在隐私政策中声明收集的个人信息的种类而言,仅将头像、昵称、微信号等信息打包发送给用户。
▲ 微信收集的用户个人信息种类
而且,用户从微信得到的副本,除头像为png格式的图像文件,其他均为css、js源代码文件,对于普通用户而言,这些源代码文件记载的内容无异于“天书“。
▲ 微信提供给用户的个人信息副本的格式多为css、js源代码文件
“微信只提供了账号类的个人信息,并没有把所有个人信息的副本提供给用户。”前述不愿具名的数据合规员工表示:“与用户个人信息相关的数据分散在企业各部门,对于企业而言,需要搭建数据中台来实现提供更多种类个人信息——如果它愿意的话。”
苹果打了个样
在中国,苹果公司也同样需要遵守《个人信息保护法》第45条的规定。从苹果可以提供的个人信息种类来看,包括App使用情况和活动信息,以及iCloud账号相关的备份文件如书签、日历、通讯录及备忘录等个人信息。
▲ 苹果可提供给用户的个人信息种类
用户提交申请后,苹果承诺在7天内向用户的iCloud邮箱发送“备份”,这些个人信息都被分类整理为csv格式文件,这种格式经常用来实现不同程序之间的数据交互。csv格式的文件能够以Excel来打开,可以让普通用户也能够直观地浏览。此外,苹果会提供对应的手册,帮助用户理解这些数据的含义。
▲ 苹果可提供给用户的个人信息副本为csv格式文件
“不知道这些数据有什么用,但是苹果能这么做让我觉得挺放心的。”在北京市某政府部门工作的王迩如此评价。
从《个人信息保护法》与欧盟《通用数据保护条例》(下称“ GDPR“)以及美国《加州消费者隐私保护法案》比较来看,中国的法律仍然相对宽松,欧美立法均强调,提供给用户的个人信息副本应当是经过整理的、普遍可使用的和机器可读的,但《个人信息保护法》对此并未作出具体要求。
“没有结构化、标准化的个人信息不具备较大的商业价值。”华东政法大学法律学院教授、数据法律研究中心主任高富平表示,这意味其他个人信息处理者无法使用这些数据。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,因为GDPR规定严格,国外的应用对于处理用户申请获取个人信息副本这件事上有着更丰富的经验。“但不少国外公司提供给用户的副本其实也不是特别全面,往往未涉及一些二次加工生成的衍生数据。”例如:通过多方收集的个人信息生成的用户画像。
另一位不愿具名的律师表示,企业对此也面临着很大压力,产品收集到的个人信息数据极为繁杂,但目前《个人信息保护法》缺乏更明晰的要求,企业并不清楚应该把哪些个人信息提供给用户。这位律师长期从事数据合规业务。
“复制权”尚未真正落地
“我不能阻止他们收集我的个人信息,但有副本至少可以了解哪些个人信息被收集。”在安徽工作的唐莹表示。
在国外,用户可以向个人信息处理者索要个人信息的副本,也被称之为“数据可携权”。高富平表示,《个人信息保护法》在二审稿中借鉴了GDPR关于“数据可携权”的规则。
“欧盟立法认为,个人向平台提供个人信息,如不能退出平台,就等于被平台“捆绑”了,这意味着会助长平台垄断。”高富平表示,“数据可携权”最大的作用是,用户可以用于对抗互联网巨头的挟持,让消费者参与资源配置的过程,促进数字经济的充分竞争。
“用户对平台‘二选一’之类的事意见较大,如果用户有权利带走自己的个人信息去其他平台,能防止被平台挟持。”何延哲表示,但是到底个人信息副本要完整到什么程度,还没有统一的标准,这关系到企业履行义务过程中投入的成本,以及如何去评价其是否履行了应有的义务。
目前,《个人信息保护法》并未出台细则加以明确,用户可向个人信息处理者要求提供哪些种类的个人信息。在高富平看来,用户自己发布、提供,以及交易记录等信息是可以主张获取副本的,但基于个人信息的原始数据产生的衍生数据,企业享有财产性权益,可以不提供给用户。
《个人信息保护法》第45条还规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。目前,该规则有赖于更具体的细则出台。
“在有竞争关系的情形下,用户自由移转实际上会损害原企业的竞争利益。”高富平认为,市场竞争还是有赖于平台招揽新客户,用户指定向其他个人信息处理者转移个人信息应该设置前提——转移方和接收方不存在竞争关系。
据一位不愿具名的行业人士透露,监管部门对于《个人信息保护法》第45条的意见是“暂不落地”,这意味着App、网站等个人信息处理者即便未能及时响应用户申请副本的请求,近期并不必担忧因此而遭受处罚。但这一说法未从权威部门处得到证实。
“企业合规通常也需要过程。个人如何行使复制权,以及可复制哪些类别的个人信息,还有待于更多调研,以及《个人信息保护法》配套细则出台。”何延哲表示。
就此看来,个人信息“复制权”的真正落地尚需时日。
(应受访者要求,王迩、唐莹为化名)
