中国《个人信息保护法》于2021年11月1日生效。该法界定了个人信息处理活动中的权利义务边界，以“告知-同意”为核心原则规范平台上的个人信息处理。

为了解企业对个人信息保护的落实情况，南方财经合规科技依据《个人信息保护法》相关规定和《App违法违规收集使用个人信息行为认定办法》，对平台个人信息保护合规性进行了一系列测评。测评包括告知、撤回同意、第三方处理器单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人等9个方面20个测评项，总分100分。

结合用户数量、功能差异等因素，选取了20款电商生活类app进行个人信息保护合规性测量。测评结果显示，Suning.cn得分80分，个人信息保护水平较高；美团、唯品会、JD.COM、当当、网易YEATION、淘宝、饿了么、拼多多等17款app得分在60到80分之间，而盒马、58同城得分不足60分。

撤回同意、个性化推荐、数据可移植、第三方处理器独立通知成为平台高频合规问题。拼多多等5个app不能直接撤回同意，15个app不方便撤回同意。比如淘宝需要跳转7次才能关闭授权。个性化推荐的选项还没有实现。饿了么等十一款app？、当当、网易YEATION，不区分个性化内容和广告推荐，方便关闭的app只有6个。第三方SDK也是合规的重灾区，没有APP获得用户的单独同意。数据可移植权的实现也不尽如人意。14个app没有提到可以获取个人信息的副本，没有一个明确提供个人信息转移服务。

描述:20个社交信息应用的个人信息保护合规性评估(制图:张晓风)

撤回同意权有待实施

拼多多等无法申请应用内关闭授权，15个app撤回同意不方便

撤回同意权已经成为个人信息保护立法的全球趋势和共识，《个人信息保护法》也对此做出了回应。第15条规定，个人有权撤回基于其同意处理个人信息的同意。个人信息处理者应该提供方便的方式来撤回他们的同意。

本次测评重点关注撤回同意是否在APP中提供了相关功能选项供用户自主撤回同意。根据测评，20款电商app中，盒马、拼多多、天天优鲜、丁咚购物、58同城等不能直接跳转到app内或通过APP设置关机授权的系统。

以盒马APP为例。点击“允许盒马访问摄像头权限”的“取消设置”按钮后，页面显示如果要关闭权限授予，需要打开手机设置——在应用列表中找到应用——点击进入，查看或修改权限设置。拼多多在隐私政策中提到，用户可以决定是否开启或关闭自己设备中的地理位置、相机和相册等访问权限。

图说:盒马APP在申请中无法撤回同意。

撤回同意的便利性值得注意。《个人信息保护法》第二稿对撤回同意的“便利性”要求，呼应了欧盟《一般数据保护条例》(GDPR)和《个人信息安全法》相关规定中“撤回同意应当像表示同意一样简单”的宗旨。

参照2019年11月国家网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定办法》，关于“隐私政策等收集使用规则难以获取，例如进入App主界面后， 需要4次以上点击才能访问”，评价会认为4次点击后打开APP后关闭相关授权不方便。

测评结果显示，15款提供关闭应用或跳转系统授权的app中，有20款电商app操作不方便，点击步数超过4次。比如淘宝的提现同意包括“我的-设置-隐私-系统权限管理-允许淘宝访问XX权限-如何设置权限？你能停止授权-系统设置”7个步骤。

很难拒绝个性化推荐

饿等。个性化内容和广告推荐没有区别，只有6个app方便关闭

《个人信息保护法》从初稿到成文，都在不断加强对自动决策的规范。第二十四条要求，通过自动化决策向个人进行信息推送和商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。个人有权通过自动化决策要求个人信息处理者对对个人权益有重大影响的决策进行说明，有权拒绝个人信息处理者仅通过自动化决策进行决策。

对于电商平台来说，收集用户的浏览和搜索记录，订购信息等。，并分析算法等自动决策机制，形成间接的用户画像，从而为用户提供更个性化的内容或广告服务。

对于个性化推荐，平台是否设置了关闭个性化内容推荐和个性化广告推荐的功能，是否提供便捷的拒绝方式，关闭个性化推荐是否会影响产品的使用成为合规的重点。

许多应用在其隐私政策中提到提供个性化内容和广告推荐服务。根据测评，饿了么、大麦、闲鱼、当当、58同城、丁咚购物、盒马、拿东西、考拉购物、网易YEATION、每日优鲜等十一款应用，关闭个性化广告推荐和关闭个性化内容推荐没有明确区分。

比如饿了么，只显示个性化推荐设置页面。按钮关闭后，将无法根据用户的兴趣爱好和日常购买习惯推荐店铺或商品。大麦的隐私设置页面有两个功能——“郝彤DNA功能”和“为你推荐”，可以开启或关闭，但这两个功能并没有明确指向是否涉及个性化广告。开启“郝彤DNA功能”后，会“快速找到兴趣相投的人”，“为你推荐”会在大麦的隐私政策中提到为管理推送的个性化内容。闲鱼的隐私政策中提到，如果需要管理个性化广告，要在“我的-设置-隐私-个性化内容推荐”中设置，个性化内容和广告推荐没有区分。当当网只在设置页面提供了“允许个性化推荐”按钮。

描述:Suning.cn区分关闭个性化内容和广告推荐。

在“是否提供便利的拒绝方式”方面，评价也参考了App非法收集、使用个人信息行为的认定方法。如果打开APP后4次点击仍无法关闭个性化推荐，则视为不方便。

结果显示，在个性化推荐上，20个app中只有6个在不到4次点击的情况下可以关闭，包括网易YEATION、吴德、大麦、当当、闲鱼和Suning.cn。比如网易YEATION的“个性化服务”，点击三次就能方便关闭。

其他应用的个性化推荐关闭操作相当繁琐。以拼多多为例，关闭个性化广告需要点击“个人中心-设置-常见问题-个性化推荐和广告-个性化广告管理-如何设置个性化广告-设置我的个性化广告-禁用所有兴趣标签-确认停用”的路径9次。

很多app在隐私政策中提到，关闭个性化推荐只会降低推送内容或广告的相关性，不会影响其他功能的使用。

数据可移植性难以实现

6个app指定“版权”，没有一个app提供个人信息转移

数据便携性是个人信息保护法三审新增的一项权利。第四十五条规定:“个人有权从个人信息处理者处查阅、复制其个人信息；但本法第十八条第一款和第三十五条规定的情形除外。”

携带权分为两个维度:一是个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供，即个人可以获得其个人信息的副本；二是个人请求将其个人信息转移到其指定的个人信息处理者，且符合国家网信部门规定条件的，个人信息处理者应当提供转移方式。

测评发现58同城、丁咚购物、唯品会、JD.COM、每日优鲜、美团等6个应用程序在其隐私政策中定义了用户“复制”个人信息的权利。例如，唯品会和JD.COM的隐私政策规定了如何获取个人信息的副本并提供联系电子邮件地址；美团提供“个人信息下载”服务。可下载的个人信息包括但不限于用户的昵称、头像、生日、手机号码等。，它将被组织成txt文件，并通过电子邮件发送到下载链接。

图说:美团提供个人信息下载。

然而，可移植性的另一个维度——个人信息转移服务的实施情况并不乐观。测试的20款电商app，没有一款在隐私政策中提到为用户提供个人信息转移服务。

第三方单独通知不明确

大部分没有告知处理方式，也没有APP取得个人同意

《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息时，应当告知个人接收人的姓名、联系方式、处理目的、处理方式和个人信息的种类，并征得个人同意。接收方应在上述个人信息处理目的、处理方式和类型的范围内处理个人信息。

APP中通常会接入很多SDK(软件开发工具包)，利用SDK技术为用户提供各种服务。目前测试的20款电商app都在隐私政策中明确标注了访问相关合作伙伴SDK的目录，但由于细节不同，存在一些合规性问题。根据法律要求，APP应当告知个人第三方的“姓名或者名称、联系方式、处理目的、处理方式、个人信息类型”。

根据测评，大部分app告知了第三方的姓名或名称、个人信息的类型和处理目的，但没有明确告知处理方式和联系方式。大多数应用程序都提供指向第三方隐私政策的链接。对于用户来说，通过链接读取第三方的隐私政策来获取第三方的个人信息处理方式和联系方式，过于苛刻，也不方便。

图说:拼多多的一些第三方SDK目录

对于“获得个人同意”，20个app没有一个实现。虽然美团等app提到“未经您的授权和同意，我们不会将上述信息分享给第三方或在未经您授权的情况下用于其他目的”，但第三方SDK的详细内容需要在app内的隐私管理中查阅。

南财合规建议

1.用于撤回授权的许可，如照相机、位置信息、麦克风等。，可以在APP中设置权限管理专区，明确在什么场景下，出于什么目的等等。为方便起见，关闭授权的点击步骤不应超过4次，建议在应用中直接关闭授权。

2.在个性化推荐问题上，除了个人信息保护法，企业还应参考《互联网信息服务算法推荐管理规定(征求意见稿)》等关于算法机制的要求。在隐私政策中，应明确告知用户是否进行了个性化内容推荐和个性化广告推荐，体现了收集信息的类型、目的和意图、运行机制等。如果既有个性化内容，又有广告推荐，则应该为用户提供单独的关闭按钮，并告知关闭后的影响。为了实现用户方便的关闭，开启或关闭选项应设置在APP“设置”页面的显著位置，步骤点击不超过4次。

3.对于第三方单独告知问题，目前大部分app都提供了单独的第三方SDK信息采集列表，并应明确告知目前未实现的联系方式和处理方式。对于个人同意，可以在APP刚打开时的弹窗中设计。

4.对于用户的个人信息携带权，APP应在隐私政策中明确列出《个人信息保护法》赋予用户的权利，并提供实现路径。企业应为此提供专门的联系方式或在APP中设计直接访问导出按钮。

评估的补充说明

测评时间:11月7日至9日。

应用程序的测量版本(括号内为隐私政策的更新或生效日期):

IOS版:58同城10 . 22 . 5(2021年11月8日)、盒马5 . 27 . 0 15277743(2021年10月31日)、丁咚购物9 . 39 . 0(2021年11月4日)、每日生鲜9.9。德4 . 80 . 1(2021年10月17日)、大麦8 . 2 . 6(2021年10月29日)、阿里巴巴10 . 15 . 4(2021年10月29日)、拼多多5 . 86 . 0(2021年8月10日)

安卓版:淘宝10 . 5 . 20(2021年11月1日)、唯品会7 . 56 . 7(2021年11月4日)、JD.COM 10 . 2 . 2(2021年9月30日)、考拉4 . 60 . 8(2021年7月)

出品:南方财经全媒体集团合规科技研究院

协调人:曹

研究人员:、郭、子、吴立阳、朱伟静、蔡、(实习生)[/s2/]

更多信息请下载21金融APP。