本报记者陈志芳魏尧实习生张裕钊

以后假设你突然不想用某个App了，能不能从这个App上把你的个人信息和其他个人信息拿回来？或者看到另一个功能类似的App，可以直接把原App的个人信息转移到另一个App上吗？

《个人信息保护法》(以下简称《个人保护法》)给出了肯定的答案。2021年11月1日，《人身保险法》正式生效，明确规定了个人的查阅权、复制权和数据携带权——前者旨在保障个人对其个人信息处理的知情权和决策权，后者赋予个人转让个人信息的权利，被认为有助于解决数据垄断等问题。

在中国，许多企业闻风而动，一些app更新了隐私政策，以适应个人保护法。但目前监管部门并未出台具体细则，个人信息处理者满足上述权利应采取的形式和流程仍无明确规定。我们测试了50个流行的应用程序，看看我们是否可以从它们那里取回或转移个人信息。发现虽然部分app已将上述权利写入隐私条款，但真正落实仍需时间和进一步探讨。

在测试的50个应用程序中，只有11个提供了个人信息的副本。

“所谓复制，是指要求个人信息处理者向个人提供其个人信息的所需副本。”清华大学法学院教授程啸和清华大学法学院助理研究员王元曾撰文谈及查阅权和复制权，而这种复制的形式应该是书面形式，包括纸质媒介或电子媒介。

为什么要赋予用户查阅、复制、携带数据的权利？石慧律师事务所合伙人王芯蕊在接受论文采访时表示，咨询复制权的目的是让用户实现知情权，即明确App获取了哪些个人信息；数据的可移植性更多的是实现个人的自决权，由用户发起的数据流也可以促进企业间的公平竞争，解决数据平台的数据垄断问题。

此次评测的50款热门app中，有19款app的隐私政策明确提到用户可以复制个人信息，但在记者申请复制个人信息后，只有11款app提供了个人信息的复印件。在评测过程中，很多客服代表都表示不知道有这个权利，有六个app在十五天内没有回复。此外，一些app对“复制”的概念有不同的解读。比如微博和京东金融允许用户自行查看app界面的个人数据，其他app则提供单独的文件。

如何“复制”个人信息才算合理？欧盟的一般数据保护条例(GDPR)提供了一个参考。GDPR认为，个人信息的副本应该是结构化的、通用的和机器可读的。王芯蕊表示，人身保险法并未规定App向用户提供的文案格式，这一权利的落地将在《网络数据安全管理条例》等后续配套细则中细化。目前，《网络数据安全管理条例》处于征求意见阶段。

在个人信息转移应用方面，提供该服务的app数量更少。50个app中，只有5个app的隐私政策明确提到提供个人信息转移服务。例如，Tik Tok的隐私政策规定，“如果您需要转移我们收集和存储的个人信息，我们将根据法律法规的要求为您提供转移路径”。

在实际测试中，Tik Tok和其他三个应用程序没有在十五天内回复。Aauto Quicker表示用户需要自行转移个人信息，而小红书表示用户要根据相应的联系方式提出申请，满足网信部门规定的条件，小红书才能提供相应个人信息的转移途径。事实上，我国还没有出台网信部门支持个人信息转移的规定，这也意味着小红书所说的“符合网信部门规定的条件”暂时无从谈起。

应当指出，查阅和复制权与携带数据权之间的关系需要进一步讨论。程啸等人在《论我国个人信息保护法中的访问权和复制权》一文中写道，二者存在明显的差异，涉及权利目的和法律关系主体的差异。中国信息通信研究院互联网法律研究中心主任郁芳认为，两者应该是相辅相成的，只能携带可查阅、可复制的个人信息，反之亦然。

您获得的个人信息副本大多很简洁

虽然有些app提供个人信息的复印件，但是内容相对简单。论文发现，个人信息基本有五类，分别是个人信息、账号信息、实名认证信息、设备和App信息以及使用信息。App提供的大部分个人信息副本都集中在前四种。与App收集的大量个人信息相比，这些只是牛一的九根头发。

相对来说，唯品会提供的个人信息复印件内容会比较丰富。除了基本的个人信息，尺码等。，唯品会还会提供订单记录、收款记录等使用信息。在评估过程中，京东金融客服表示，出于对用户个人资产安全等问题的考虑，暂时不会向用户提供借条、订单记录等信息。

“目前，除了一些头部app，大部分app还没有准备好向用户提供这些个人信息的副本。”王芯蕊表示，目前app能提供的复制内容主要是用户自己填写的信息，但更多的个人信息来自于app的主动获取，比如地理位置、语音、照片、设备标识符等等。

方巍认为，只有当用户知道该应用程序获得了哪些个人信息时，他们才能行使决定更正和删除个人信息的权利。这很大程度上是由于个人信息处理者与个人之间存在明显的信息鸿沟，技术能力的不平衡导致了两者地位的不对等。个人信息处理器正在大规模、有组织、结构化地处理个人信息，个人“可能会忘记把什么个人信息给了一个App，这必然会影响个人行使其他权利”。

但App是否需要提供其收集的所有个人信息，甚至用户画像等衍生数据，目前尚无定论。方巍说，这涉及到互联网市场的结构。如果一个App在市场上没有另一个同质化的对手，那么转移这个App的衍生数据就没有太大意义。

此外，测评结果显示，不同app的个人信息副本下载方式和认证流程不同。有7个应用程序提供了直接导出个人信息副本的选项，其余的应用程序需要用户通过电子邮件、电话、在线客服等方式进行申请。“没有办法，只能通过电子邮件或客服来回应用户的要求，”一位匿名的互联网企业数据合规负责人在接受《财经e法》采访时表示。目前很少有用户会申请复制自己的个人信息，如果要实现“用户可以自行导出”的选项，会增加企业成本。

在实现访问复制权和数据可移植权的过程中，身份验证是至关重要的一个环节，其中涉及到信息泄露等风险。GDPR规定，当数据主体请求访问数据时，特别是使用在线服务和在线标识符时，控制者应使用所有合理的措施来验证数据主体的身份。控制者不应仅为回应潜在数据主体的请求而保留个人数据。

一位数据合规行业的业内人士对本报表示，个人信息转移难度更大。每个企业的数据接口、模式、内容都不一样，数据合规成本和数据泄露风险相当高。

在此次评测中，唯品会、WPS Office和酷狗音乐的验证方式差异较大。唯品会要求用户提供唯品会App的“个人中心-设置-账户和安全”界面截图；Wps要求用户拍摄手持身份证正反面照片并发送到App邮箱；酷狗音乐有专门的认证形式。用户需要填写基本申请信息，并提供至少一项认证信息，如注册时间、注册地点、手机号码、已登录的常用设备型号、经常登录的地点等。

酷狗音乐用户个人信息副本申请表

编辑:许

校对:阎石