(图说:左为抖音APP内未告知用户完整撤回路径,右为腾讯视频APP内告知了用户完整撤回路径)
显著问题2:仅有7款在初次开启后的弹窗中给出第三方SDK服务商目录
企鹅电竞没有提供SDK服务商联系方式,芒果TV只提供部分联系方式
大部分APP在实际运行中为了保证相关功能的实现或数据分析等其他商业目的,往往会向第三方合作者提供用户的个人信息,但这也容易导致用户信息授权管理的混乱,为不当个人信息读取使用行为提供空间。《个保法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”
第三方信息处理者通常以软件开发工具包(SDK)的形式接入APP软件,并从中获取信息,根据《个保法》规定,厂商有义务向用户完整列举其内嵌SDK的名称、其所获取的个人信息种类、处理目的与方式以及联系方式,并就以上权限获取用户的单独同意。此外,部分APP还存在向平台商家、物流等服务商提供用户信息的情况,鉴于实测的可操作性,本次测评暂不将其列入检验对象,主要考察APP的SDK信息披露和单独同意情况。
在具体测评中,本次测评将法规要求划分为“是否列明第三方处理者相关信息”与“是否获取用户单独同意”两项,前者主要检验APP是否在隐私协议或单独名单中完整列举其所包含的第三方信息处理者及其目的、处理方式联系方式等;后者则检验APP是否通过初次开启后弹窗等方式,明确提出存在向第三方处理者提供用户信息的情况,并给出相关名单链接征求用户同意。
研究员经测评后发现,20款受测APP中,仅有7款在初次开启后的弹窗中明确向用户展示第三方处理者提供用户信息的情况,并给出第三方SDK类服务商目录,这7款APP分别是腾讯视频、爱奇艺、优酷、西瓜视频、网易云音乐、QQ音乐、企鹅电竞,而余下13款APP在开始的弹窗中都没有显示这一目录。
值得注意的是,部分受测APP存在提供了第三方SDK类服务商目录但部分信息缺失的情况。以“企鹅电竞”为例,虽然APP给出了第三方SDK说明,但并没有显示第三方信息处理者的联系方式。
(图说:企鹅电竞的第三方SDK类服务商目录中无第三方信息处理者的联系方式)
又如“芒果TV”,虽然给出了部分第三方SDK类服务商名单,但是存在部分地址缺失的情况,如并未说明深圳市腾讯计算机系统有限公司的广点通SDK地址、魅族科技有限公司的SDK地址、北京旷视科技有限公司的face++SDK等。
(图说:芒果TV提供的部分SDK服务商无具体地址链接)
显著问题3:数据可携带权多未落实,仅爱奇艺和快手提供个人信息副本和转移的服务
仅有12家提供个人信息副本,6家提供个人信息转移服务
数据的可携带权是在《个人信息保护法》三审稿中加入的条款,其第四十五条规定,“个人有权向个人信息处理者查阅、复制其个人信息……个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
