在未來，假設(shè)你突然不想用某個(gè)App，你是否能從這個(gè)App要回你的個(gè)人資料等個(gè)人信息？又或者你看到另一個(gè)App有相似的功能，你是否能直接將原有App的個(gè)人信息轉(zhuǎn)移到另一個(gè)App上？

《個(gè)人信息保護(hù)法》（下稱“個(gè)保法”）給出了肯定的答案。2021年11月1日，個(gè)保法生效，明確個(gè)體的查閱復(fù)制權(quán)和數(shù)據(jù)可攜帶權(quán)——前者旨在保證個(gè)人對其個(gè)人信息處理的知情權(quán)和決定權(quán)，后者賦予個(gè)體轉(zhuǎn)移個(gè)人信息的權(quán)利，被認(rèn)為有助于解決數(shù)據(jù)壟斷等問題。

國內(nèi)，不少企業(yè)聞風(fēng)而動(dòng)，有App已經(jīng)更新隱私政策以適配個(gè)保法。但是，目前監(jiān)管部門尚未出臺具體的細(xì)則，仍沒有明確規(guī)定個(gè)人信息處理者應(yīng)以何種形式和流程來滿足上述權(quán)利。我們測試了50款熱門App，看看是否能從這些App要回個(gè)人信息或?qū)崿F(xiàn)個(gè)人信息轉(zhuǎn)移。結(jié)果發(fā)現(xiàn)，盡管部分App已經(jīng)將上述權(quán)利寫入隱私條款中，但真正的落實(shí)仍需要時(shí)間和進(jìn)一步的探討。

被測50款A(yù)pp中，僅有11個(gè)提供了個(gè)人信息副本

“所謂復(fù)制，就是要求個(gè)人信息處理者為個(gè)人提供所要求的復(fù)制的其個(gè)人信息的副本”，清華大學(xué)法學(xué)院教授程嘯和清華大學(xué)法學(xué)院助理研究員王苑曾就查閱復(fù)制權(quán)撰文寫道，此種副本的形式應(yīng)是書面形式，包括紙介質(zhì)或者電子介質(zhì)。

為何要賦予用戶查閱復(fù)制權(quán)和數(shù)據(jù)可攜帶權(quán)？世輝律師事務(wù)所合伙人王新銳接受澎湃新聞采訪時(shí)說，查閱復(fù)制權(quán)是為了讓用戶實(shí)現(xiàn)知情的權(quán)利，即明確App獲取了哪些個(gè)人信息；數(shù)據(jù)可攜帶權(quán)更多是為了實(shí)現(xiàn)個(gè)體的自決權(quán)，用戶發(fā)起的數(shù)據(jù)流動(dòng)也能促進(jìn)企業(yè)間公平競爭，解決數(shù)據(jù)平臺的數(shù)據(jù)壟斷問題。

此次進(jìn)行測評的50款熱門App中，有19個(gè)App的隱私政策明確提及用戶能復(fù)制個(gè)人信息，而在記者發(fā)出復(fù)制個(gè)人信息的申請后，僅有11個(gè)App提供了個(gè)人信息副本。測評過程中，多名客服表示不清楚此項(xiàng)權(quán)利，6個(gè)App在十五天內(nèi)沒有回復(fù)。此外，部分App對“復(fù)制”概念有不同的解釋，例如，微博和京東金融讓用戶自行查看App界面的個(gè)人資料，而其他App提供的是單獨(dú)的文件。

如何“復(fù)制”個(gè)人信息才算合理？歐盟的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)提供了一種參考，GDPR認(rèn)為個(gè)人信息副本應(yīng)是結(jié)構(gòu)化、普遍使用、可機(jī)讀的形式。王新銳說，個(gè)保法沒有規(guī)定App提供給用戶的副本的格式，該項(xiàng)權(quán)利的落地會(huì)在后續(xù)的配套規(guī)則如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》中加以細(xì)化。目前，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》處于征求意見階段。

在個(gè)人信息轉(zhuǎn)移申請方面，當(dāng)下提供此項(xiàng)服務(wù)的App數(shù)量更少。在50個(gè)App中，僅有5個(gè)App的隱私政策明確提及提供個(gè)人信息轉(zhuǎn)移的服務(wù)，比如，抖音的隱私政策寫著，“如果你需要轉(zhuǎn)移我們收集存儲(chǔ)的個(gè)人信息，我們將根據(jù)法律法規(guī)的要求，為你提供轉(zhuǎn)移路徑”。

在實(shí)際測試過程中，抖音等3個(gè)App在十五天內(nèi)沒有回復(fù)，快手表示用戶需自行轉(zhuǎn)移自己的個(gè)人信息，小紅書則表示需要用戶按照相應(yīng)聯(lián)系方式提出申請，并且滿足網(wǎng)信部門規(guī)定的條件，小紅書才會(huì)提供轉(zhuǎn)移相應(yīng)個(gè)人信息的途徑。實(shí)際上，我國仍未出臺個(gè)人信息轉(zhuǎn)移配套的網(wǎng)信部門規(guī)定，這也意味小紅書提及的“滿足網(wǎng)信部門規(guī)定的條件”暫時(shí)無從談起。

需要指出的是，圍繞查閱復(fù)制權(quán)和數(shù)據(jù)可攜帶權(quán)的關(guān)系等問題，仍有待進(jìn)一步的探討。程嘯等人在《論我國個(gè)人信息保護(hù)法中的查閱復(fù)制權(quán)》一文中寫到，兩者存在明顯區(qū)別，涉及權(quán)利目的、法律關(guān)系主體等的不同。中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹認(rèn)為，兩者應(yīng)是相輔相成的關(guān)系，可以查閱和復(fù)制的個(gè)人信息才是能夠攜帶的，反之亦然。

拿到手的個(gè)人信息副本，內(nèi)容大多較為精簡

盡管部分App提供了個(gè)人信息副本，但內(nèi)容都比較簡單。澎湃新聞梳理發(fā)現(xiàn)，基本涵蓋五種類型的個(gè)人信息，分別為個(gè)人資料、賬號信息、實(shí)名認(rèn)證信息、設(shè)備和App信息、使用信息。多數(shù)App提供的個(gè)人信息副本集中在前四種類型，相比App收集的大量個(gè)人信息，這些不過是九牛一毛。

相對來說，唯品會(huì)提供的個(gè)人信息副本內(nèi)容較為豐富，除了基礎(chǔ)的個(gè)人資料、尺碼等，唯品會(huì)還會(huì)提供訂單記錄、收藏記錄等使用信息。測評過程中，京東金融客服表示，為了用戶個(gè)人資產(chǎn)安全等問題，暫時(shí)不向用戶提供白條、訂單記錄等信息。

“目前除了部分頭部的App以外，大部分App都沒有準(zhǔn)備好把這些個(gè)人信息的副本提供給用戶”，王新銳說，當(dāng)前，App能提供的復(fù)制內(nèi)容主要是用戶自行填寫的信息，但個(gè)人信息更多來自App的主動(dòng)獲取，比如地理位置、語音、照片、設(shè)備標(biāo)識符等。

方禹認(rèn)為，用戶只有先知道App獲取了自己的哪些個(gè)人信息，才能行使更正、刪除個(gè)人信息等行為的決定權(quán)。這很大程度是因?yàn)?，個(gè)人信息處理者和個(gè)體之間存在明顯的信息落差，技術(shù)能力等方面的不均衡導(dǎo)致兩者的地位不平等，個(gè)人信息處理者在大規(guī)模、組織化和結(jié)構(gòu)化地處理個(gè)人信息，而個(gè)體“可能會(huì)忘記給予某個(gè)App什么個(gè)人信息，這勢必影響個(gè)體行使其他的權(quán)利”。

不過，關(guān)于App是否需要提供其收集的所有個(gè)人信息，乃至用戶畫像等衍生數(shù)據(jù)，目前仍無定論。方禹表示，這涉及互聯(lián)網(wǎng)市場結(jié)構(gòu)的問題，如果某個(gè)App在市場上沒有另一個(gè)同質(zhì)化的對手，那轉(zhuǎn)移該App衍生數(shù)據(jù)的意義不大。

此外，測評結(jié)果顯示，不同App的個(gè)人信息副本下載方式、身份驗(yàn)證流程等方面有所不同。有7個(gè)App提供直接導(dǎo)出個(gè)人信息副本的選項(xiàng)，其余則需用戶通過郵箱、電話、在線客服等方式進(jìn)行申請?！皼]有辦法，只能通過郵件或客服的方式來響應(yīng)用戶的請求，”一位不愿具名的頭部互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)員工接受《財(cái)經(jīng)》E法采訪時(shí)說，目前很少有用戶會(huì)申請復(fù)制其個(gè)人信息，如果要實(shí)現(xiàn)“用戶可自行導(dǎo)出”的選項(xiàng)，將增加企業(yè)成本。

實(shí)現(xiàn)查閱復(fù)制權(quán)和數(shù)據(jù)可攜帶權(quán)的過程中，身份驗(yàn)證是至關(guān)重要的環(huán)節(jié)，涉及到信息泄露等風(fēng)險(xiǎn)。GDPR規(guī)定，控制者應(yīng)當(dāng)使用所有合理的措施在數(shù)據(jù)主體要求訪問數(shù)據(jù)時(shí)驗(yàn)證數(shù)據(jù)主體身份，尤其是使用線上服務(wù)和線上識別器?？刂普卟粦?yīng)僅以回應(yīng)潛在數(shù)據(jù)主體的請求為目的保留個(gè)人數(shù)據(jù)。

一名從事數(shù)據(jù)合規(guī)行業(yè)的業(yè)內(nèi)人士告訴澎湃新聞，實(shí)現(xiàn)個(gè)人信息轉(zhuǎn)移更加困難，各家企業(yè)的數(shù)據(jù)接口、模式、內(nèi)容都不一樣，數(shù)據(jù)合規(guī)成本和數(shù)據(jù)泄漏風(fēng)險(xiǎn)相當(dāng)高。

此次測評中，唯品會(huì)、WPS Office和酷狗音樂的驗(yàn)證方式較為不同。唯品會(huì)需要用戶提供唯品會(huì)App“個(gè)人中心-設(shè)置-賬號與安全”界面的截圖；WPS Office要求用戶拍攝手持身份證正反面的照片，發(fā)送至App郵箱；酷狗音樂則有一份專門的身份驗(yàn)證表格，用戶需要填寫基本申請信息和至少提供一項(xiàng)身份驗(yàn)證信息，比如注冊時(shí)間、注冊地點(diǎn)、手機(jī)號、登錄過的常用設(shè)備型號、常登錄地。

酷狗音樂的用戶個(gè)人信息副本申請表