你會向App要求下載自己的個人信息嗎？去年11月，《個人信息保護法》正式生效，落實該法要求，不少App在隱私政策中新增了用戶下載、轉移個人信息副本的條款。可當用戶真的提出如此訴求時，他們能否像隱私政策中所承諾的那樣做到？

12月22日，南都個人信息保護研究中心聯合清華大學人工智能國際治理研究院、人工智能治理研究中心在北京召開“2022啄木鳥數據治理論壇”，并發布《個人信息安全年度報告（2022）》（以下簡稱“報告”）。

報告對個人信息復制轉移作出實測，發現150款被測App中實際可下載個人信息副本的不到一成，其中多數來自App自動化導出，以賬號信息為主。不少App將個人信息副本等同于用戶可以自行查看的基礎信息，有客服明確表示無此業務，或不能理解訴求。此外，報告還對SDK、應用商店等進行測評。

不足一成App在15天內提供個人信息副本

個人信息保護法第四十五條規定，個人有權向個人信息處理者查閱、復制其個人信息，還有權請求將個人信息轉移至其指定的個人信息處理者。在業界，這一條款也被類比為歐盟《通用數據保護條例》中的數據“可攜權”。

測評結果顯示，150款被測App中，共有45款App在隱私政策中明確告知個人信息副本可下載且可轉移，更多的App告知可下載但沒有提到轉移。經實測，在15天內向用戶提供了個人信息副本的僅有今日頭條、騰訊新聞等14款App，占比不到一成。

這14款App中，有12款是在App內部提供了個人信息自動化導出的功能，用戶可立刻從App內下載或獲取自動郵件反饋。不過，用戶獲取個人信息副本的渠道大部分還是發送郵件，其他還有撥打電話、在線客服、留言反饋等。

值得注意的是，不少App將個人信息副本等同于用戶可以自行查看的基礎信息。“百詞斬”“高途”“攜程旅行”“京東”“堆糖”等App郵件回復稱，請用戶自行在App個人設置界面查看個人信息，無法專門提供副本。

此外，很多客服不知道如何應對獲取個人信息副本的請求。比如“脈脈”“哈啰”“買單吧”“中移移動辦公”“伊對”“連信”等App的客服表示不理解訴求；“堆糖”“云閃付”“中移移動辦公”“星辰頭條”等App的客服則明確表示無此業務。

以“堆糖”為例，在其更新和生效日期為2022年7月13日的隱私協議條款中，寫明“希望獲取個人信息副本時，請通過投訴舉報郵箱……與堆糖公司聯系。”但實際上公司的回復卻稱“很抱歉，堆糖暫不支持申請個人信息副本以及個人信息轉移功能，目前僅對平臺賬號提供申請注冊、使用、注銷三項功能。”

從收到的個人信息副本來看，目前App提供的絕大多數個人信息都是自動生成的賬號信息和用戶主動提供的信息，列出設備信息如設備ID、Android ID等并不常見。

“虎撲”和“紅袖讀書”提供的個人信息副本

報告認為，引入可攜權的初衷或許在于打破不充分競爭格局，實現數據的流通轉移，但實際上，許多App運營者并未真正理解以及落實可攜權，這項用戶權利究竟該如何實現，還需進一步探索。

極光推送等9個SDK讀取個人信息未告知

去年10月，工信部首次通報SDK（第三方軟件工具開發包），稱字節跳動“穿山甲”SDK、騰訊“優量匯”SDK、快手廣告SDK存在問題較多。今年也有兩批SDK被通報侵權，涉及的問題包括收集個人信息明示、告知不到位，超范圍收集個人信息和違規使用第三方服務。

本次報告也在史賓格安全及隱私合規平臺的技術支持下，將SDK納入測評范圍。SDK可以幫助App高效率、低成本地實現地圖、支付、統計、社交、廣告等一系列功能，同時自身也具備獲取相當一部分設備信息和用戶個人信息的能力。

報告顯示，受測的150款App共使用了至少175個不同的SDK，其中68個讀取了AndroidID，48個讀取了設備IP，45個讀取了MAC地址。

報告還發現，有25個SDK讀取了用戶的電話號碼、精確地理位置、IMEI號、剪切板信息、傳感器信息等個人信息。其中大部分SDK讀取個人信息的行為與其所屬App功能之間存在較易理解的相關性，但也有一些SDK收集個人信息的正當性存疑。

比如魅族推送SDK屬于消息推送類，實現它的功能無需收集用戶手機號，但當嵌入聚美App（8.793）時，魅族推送SDK卻讀取了這一個人信息。極光推送、LinkedMe、Growingio三款SDK的功能分別是消息推送、埋點統計類和喚醒/拉活，與讀取剪切板信息并無直接關聯。

此外，上述25個獲取了個人信息的SDK中有9個未作出相應聲明，其中未告知采集剪切板信息和傳感器信息的問題最突出。比如神策數據分析、運營商一鍵登錄、TalkingData移動應用統計分析、有道翻譯SDK未聲明讀取傳感器信息；極光推送、LinkedMe、Growingio未聲明讀取剪切板信息。

根據《網絡安全標準實踐指南—移動互聯網應用程序(App)使用軟件開發工具包(SDK)安全指引》，SDK收集個人信息的頻率應是實現自身業務功能所必需的最低頻率。

然而，檢測結果顯示，在單個App運行期間，TopOn聚合平臺SDK讀取了24次IMEI號；阿里號碼認證服務SDK讀取了7次用戶的手機號。此外，極光推送SDK讀取了23次剪切板；神策數據分析SDK讀取了20次傳感器信息。

值得注意的是，一些SDK在更新版本后，對于采集個人信息的范圍更加謹慎。比如友盟SDK自9.3.7版本起將不再訪問精確位置權限，vivo推送無需采集IMEI、AndroidID等設備唯一標識符即可實現功能。

多家應用商店新增年齡分級功能

個人信息保護法規定，提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當制定平臺規則，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務。

應用商店對平臺上對App負有管理和審核責任，承擔了部分“守門人”的職責。報告選取了OPPO軟件商店、華為應用市場、vivo應用商店、小米應用商店四種應用商店，檢查App的應用商店展示頁面，并從隱私政策、權限告知、舉報反饋、合規檢測、年齡分級五大維度打分。

報告顯示，OPPO軟件商店以96.4分位列第一，較去年有所進步。華為應用市場以78.4分位列第二，vivo應用商店72.8分位列第三，小米應用商店則為68.2分，均和去年相差不大。整體平均分為80.1分。

與去年相比，所有App均能在應用商店中找到隱私政策的展示鏈接，但有6款App提供的并非有效鏈接，其中OPPO軟件商店有4款，小米應用商店有2款。例如，OPPO軟件商店的“尋你”（5.14.3）點入隱私政策鏈接后進入題為“專題平臺”的瀏覽器界面，里面一片空白， 沒有任何文字。

在被測App中，17款App在應用商店展示頁的隱私政策與App內版本不一致，其中有不少頭部App，如網易新聞（90.2）、新浪新聞（7.93.0）、快手（10.10.20.28422）、嗶哩嗶哩（7.5.1）、網易云音樂（8.8.70）等。例如在vivo應用商店中，快手的隱私政策為2019年11月8日版，而App內隱私政策為2022年10月18日版。

有6款App的隱私政策界面不適應手機，用戶難以閱讀。華為應用商店的“大象英語”（5.1）隱私政策是網頁版，字體無法放大，不適應手機界面。但其在App內的隱私政策則是適應手機界面的橫版。

不過，在年齡分級方面，多個應用商店有所改善。去年，華為應用市場是唯一對App進行年齡分級的應用商店，今年OPPO軟件商店和vivo也增加了年齡分級，小米應用商店則針對游戲類App提供了年齡分級。

出品：南都個人信息保護課題組

采寫：實習生程雨祺 南都記者孫朝