小程序个人信息合规要点及操作指引
前言
近年来,小程序逐渐成为开发者们的新宠。对于开发者而言,小程序开发及推广成本较App更低,且小程序平台多由巨头运营,开发者可以有效利用小程序平台的技术、流量优势;对于平台而言,在应用中搭载各类小程序可以丰富App功能,满足用户的多样性需求。基于此,小程序得到快速普及和应用。据统计,截至2019年11月,全网小程序数量超过450万,日活跃用户数突破3.3亿,全年用户人均使用小程序数超过60个,[1]可见,小程序已经成为人们日常生活中获取移动互联网服务的重要载体之一。
而伴随着小程序的发展,各类小程序收集的个人信息规模逐渐攀升,相应的个人信息安全隐患也逐渐显现。近日,中国信通院联合南都个人信息保护研究中心编写并发布了《小程序个人信息保护研究报告》,小程序个人信息保护问题再度被推到台前。早在去年年底,某知名旅游服务公司便曾因其小程序存在未公示用户个人信息收集使用规则等问题被工信部约谈;今年3月16日,天津市委网信办在专项治理行动中发现7款App存在收集使用个人信息问题并公开了《疫情防控App问题清单》,而7款问题App中5款涉及小程序个人
信息安全问题。个人信息保护相关治理工作逐渐步入深水区,在App个人信息保护水平逐渐提升的同时,可以预见的是,小程序个人信息保护问题必将引发监管部门更多的关注。对此,小程序运营者需要高度重视并提前进行相应的合规安排。
一、小程序在个人信息保护方面存在的主要问题
结合《小程序个人信息保护研究报告》及监管实践,当前小程序在个人信息保护方面存在的主要问题如下:
序号
问题类型
无独立的隐私政策
小程序平台有哪些
未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则
未逐一列出收集使用个人信息的目的、方式和范围
收集个人敏感信息,或申请打开地理位置等可收集个人信息权限时,未同步说明收集目的
收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关
用户关闭授权后仍使用其个人信息
传输个人敏感信息时,未采用加密等安全措施
未提供有效的更正、删除个人信息及注销用户账号功能
未公布投诉、举报方式等信息
可见,小程序在个人信息流转全生命周期的主要环节(收集、使用、对外提供/传输、删除)中均存在一定的个人信息违规问题。基于小程序的普及其处理的个人信息规模的扩大,结合个人信息保护相关执法工作进一步深化的监管现状,监管部门未来可能会针对小程序开展相应的执法动作。
二、规制小程序收集使用个人信息的法律、规定及国家标准梳理
近年来,数据安全和个人信息安全受到监管层面的普遍重视,但在移动互联网领域,监管部门的立法工作和监管工作主要集中于App的个人信息安全,无法有效适用于小程序的监管。同App相比,直接涉及小程序个人信息安全的法律规定相对较少,这种情况下,上位法《中华人民共和国网络安全法》(以下简称“《网络安全法》”)成为开展小程序个人信息安全合规工作的重要依据。
1、相关法律梳理
《网络安全法》第76条规定,“……(三)网络运营者,是指网络的所有者、管理者和网络服务提供者……”。据此,作为“网络服务提供者”,小程序运营者落入《网络安全法》规
定的“网络运营者”范畴,应当履行《网络安全法》规定的网络信息安全义务,其中就个人信息层面,主要包括:遵循合法、正当、必要原则收集、使用个人信息;公开收集、使用规则,明示收集、使用目的、方式和范围,并经被收集者同意;采取技术措施和必要措施确保收集的个人信息安全;确保用户个人信息的删除权和更正权;建立网络信息安全投诉、举报制度等。
2、相关规定梳理
《电信和互联网用户个人信息保护规定》《儿童个人信息保护规定》等法规同样适用于小程序收集、处理个人信息的场景。同时,尽管《移动互联网应用程序信息服务管理规定》《App违法违规收集使用个人信息行为认定方法》等针对App个人信息保护的相关规定并未直接指向小程序的个人信息安全保护工作,但在针对小程序开展的监管实践中,亦有部分监管部门适用了该等规定。有鉴于此,虽然小程序同App在接口调用、权限获取、权限管理、定向推送等方面都存在着一定的差异,但出于充分合规的考虑,在开展小程序个人信息合规相关工作的过程中,亦建议小程序运营者参照App个人信息保护的相关规定对小程序进行整改。
3、相关国家标准梳理
对于企业如何保护个人信息安全,《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称“《个人信息安全规范》”)在《网络安全法》框架下作出了大量细化规定。在监管实践中,尽管其仅为推荐性国家标准,但频繁为监管部门援引,[2]系监管部门监管实践中的重要指引,也是企业个人信息合规的重要参考。小程序运营者系《个人信息安全规范》第3.4条规定的个人信息控制者,即“有能力决定个人信息处理目的、方式等的组织或个人”,故《个人信息安全规范》亦是小程序运营者开展个人信息合规工作的重要参考。 
三、小程序个人信息保护的合规建议
在根据《网络安全法》和《个人信息安全规范》等相关法律、国家标准开展小程序个人信息保护合规工作的过程中,结合当前相关监管工作中发现的主要问题,建议小程序运营者着重关注以下内容:
1、遵守小程序平台对小程序个人信息保护方面的要求
目前,所有的小程序都依托于小程序平台运营,就个人信息活动而言,小程序同平台的关系主要表现为,小程序通过平台直接或间接获取用户的个人信息,平台通过平台服务协议及运营规范中个人信息保护的相关要求对小程序处理个人信息的具体活动作出限制。
在接入小程序平台时,小程序平台一般会同小程序运营者订立相应的平台服务协议,其中一般会对“用户个人信息保护”的相关内容作出明确约定。此外,小程序平台一般还会通过运营规范中的“用户隐私和数据规范”对个人信息保护提出额外的要求。当前主流小程序平台通过平台服务协议和运营规范对小程序运营者施加的限制主要包括:应具有隐私政策;收集或处理用户个人信息前获得用户同意;应平台及用户要求删除留存的个人信息;遵守个人信息保护相关法律法规并向平台提供必要信息证明;未经平台同意不得将通过平台获取的个人信息对外提供等。
该等平台服务协议和运营规范构成小程序运营者同小程序平台之间具有法律约束力的协议,小程序运营者若违反其中个人信息保护的相关约定,则将构成违约,可能需要承担相应的违约责任。同时,若相关违约行为违反《网络安全法》等相关法律、法规中个人信息保护的规定,还可能面临相应的行政处罚。
基于此,建议小程序运营者充分梳理小程序平台的服务协议及运营规范中同个人信息保护相关的条款,在遵守相关约定和要求的基础上开展个人信息处理活动。
2、制定并公开隐私政策
《小程序个人信息保护研究报告》指出,评测发现,只有38.5%的小程序提供了独立的隐私政策,“无独立的隐私政策”系当前小程序个人信息保护方面最突出的问题之一。
虽然小程序并未作为单独的App存在,而一般嵌套于小程序平台的App之中,但如前所述,小程序运营者属于《网络安全法》下的“网络运营者”,其应根据《网络安全法》第41条的要求公开收集、使用规则。同时,小程序运营者作为《个人信息安全规范》下的个人信息控制者,根据《个人信息安全规范》第5.5条的规定,应制定个人信息保护政策。参照去年年底某知名旅游服务公司因其小程序存在未公示用户个人信息收集使用规则等问题被工信部约谈背后所折射出的监管意见,制定并公开隐私政策对于小程序而言,是最基本的合规要求。另一方面,部分小程序平台亦明确要求小程序配置有隐私政策,制定并公开隐私政策,对于接入该等平台的小程序运营者而言,亦是其遵守相关平台服务协议和运营规范要求的需要。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。