（原標(biāo)題：小程序個人信息保護的合規(guī)應(yīng)對）

2022年8月26日，工信部通報47款侵害用戶權(quán)益APP和SDK，多款A(yù)PP與SDK因違規(guī)收集個人信息被點名。值得注意的是，本次通報8款酒店餐飲類微信小程序存在違規(guī)收集個人信息行為，具體所涉問題包括強制用戶使用定向推送功能、強制、頻繁、過度索取權(quán)限以及欺騙誤導(dǎo)強迫用戶等。

（本次通報的違規(guī)行為及其占比）

近期有不少小伙伴對企業(yè)是否應(yīng)開展小程序個人信息保護合規(guī)存在困惑，互聯(lián)網(wǎng)合規(guī)君借此文簡單聊一下關(guān)于小程序個人信息保護合規(guī)的相關(guān)問題：

一、APP與小程序的差異

APP與小程序都具備個人信息收集的功能，但二者在個人信息收集的方式、范圍等存在較大差異。APP一般通過操作系統(tǒng)提供的API獲取用戶個人信息，而小程序作為依托于小程序開放平臺（以下稱“開放平臺”）開發(fā)的應(yīng)用，僅能通過開放平臺提供的API獲取用戶個人信息。因此，小程序可以獲取的個人信息范圍不會超過開放平臺可以獲取的個人信息范圍。如開放平臺本身對小程序獲取用戶個人信息施加限制，那么小程序可獲取的個人信息范圍就更少。因此，不少小伙伴在盤點自家小程序的個人信息收集清單的時候會發(fā)現(xiàn)，小程序收集的信息種類、頻次等都遠(yuǎn)少于APP。

關(guān)于APP、開放平臺、小程序可獲取的個人信息范圍大致如下圖所示：

某小程序開放平臺對其生態(tài)內(nèi)小程序獲取、使用高精度定位提出的要求示例：

• 評級達(dá)A類，且信用分達(dá)到 100分；
• 小程序所屬主體半年內(nèi)，沒有嚴(yán)重的違規(guī)記錄；
• 小程序內(nèi)使用獲取高精度定位的場景，需滿足平臺要求，且確為業(yè)務(wù)場景強需求；
• 小程序開發(fā)者需用當(dāng)前小程序真實的內(nèi)容進(jìn)行提交；
• 若開通后，發(fā)現(xiàn)開發(fā)者在使用過程中，不能按照規(guī)范要求使用此能力,平臺將有權(quán)利隨時對該功能進(jìn)行收回，并視情況對違規(guī)的小程序進(jìn)行處罰。

APP與小程序除了個人信息收集的方式存在較大差異外，在權(quán)限的獲取、管理方式等方面也存在較大差異。中國信息通信研究院安全研究所與南都個人信息保護研究中心2020年6月所發(fā)布的《小程序個人信息保護研究報告》，就小程序和APP的差異進(jìn)行對比，互聯(lián)網(wǎng)合規(guī)君簡要總結(jié)如下，以供參考：

從上述差異總結(jié)可以看出，小程序?qū)€人信息收集、權(quán)限獲取以及管理等均重度依賴開放平臺，這是小程序區(qū)別于APP的最大差異。

二、小程序與開放平臺合規(guī)

為遵守《個人信息保護法》、《信息安全技術(shù)個人信息安全規(guī)范》等法律法規(guī)以及國標(biāo)行標(biāo)的要求，主流的小程序開放平臺為履行其管理職責(zé)，逐漸升級其個人信息保護管理策略，對其生態(tài)內(nèi)應(yīng)用（包括小程序）收集用戶個人信息的行為提出較為嚴(yán)格的要求，包括：

1.在開發(fā)者相關(guān)服務(wù)協(xié)議中要求開發(fā)者采取合理措施保護用戶個人信息；

2.對需要獲取用戶個人信息的小程序?qū)嵤└鼮閲?yán)格的準(zhǔn)入審核機制；

3.將用戶的授權(quán)同意作為小程序調(diào)用可獲取個人信息的接口的前提；

4.限制小程序獲取部分類型用戶個人信息，例如不對小程序提供獲取生物認(rèn)證信息的接口、限制小程序調(diào)用可獲取用戶個人信息接口的頻次；

5.要求小程序開發(fā)者在處理用戶個人信息時采取一定的安全措施（例如加密等）；

6.要求小程序開發(fā)者配置隱私協(xié)議（開放平臺會為小程序開發(fā)者提供隱私協(xié)議模板）、選擇需要申請的權(quán)限等。

鑒于開放平臺對小程序收集用戶個人信息提出了合規(guī)要求，個別開發(fā)者認(rèn)為只要遵循了開放平臺的規(guī)則就已履行個人信息保護的合規(guī)義務(wù)。但遵循開放平臺制定的個人信息處理規(guī)范只能預(yù)防小程序運營者免受開放平臺的處罰，并不能證明其已全面、有效地履行了個人信息保護的合規(guī)義務(wù)。

當(dāng)前開放平臺所提供的隱私協(xié)議模板也往往較為簡單，僅要求小程序運營者根據(jù)小程序內(nèi)對應(yīng)的業(yè)務(wù)場景披露收集的信息與用途。但許多小程序運營者往往會將通過小程序收集的用戶個人信息與其它渠道（如APP、線下渠道）收集的個人信息進(jìn)行匯聚融合、建模分析等。如未在小程序的隱私協(xié)議等文件中告知用戶并征得用戶同意，前述相關(guān)信息處理行為亦缺乏合法性基礎(chǔ)。小程序運營者應(yīng)當(dāng)按照小程序處理個人信息的實際情況以起草隱私政策。而將小程序作為核心運營工具的經(jīng)營者更應(yīng)關(guān)注其個人信息處理行為全生命周期的合規(guī)性。

三、小程序的合規(guī)策略

工信部并非首次通報小程序違規(guī)收集個人信息，在之前的APP侵害用戶權(quán)益專項整治行動中，工信部已零星通報、下架過幾款小程序。工信部信管函〔2020〕164號文明確“APP服務(wù)提供者，即互聯(lián)網(wǎng)信息服務(wù)提供者提供的可以下載、安裝、升級的應(yīng)用軟件，包括快應(yīng)用和小程序等新應(yīng)用形態(tài)”?！缎畔踩夹g(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求》將小程序包括在App的定義范疇之內(nèi)。因此為應(yīng)對專項整治行動的合規(guī)要求，小程序運營者應(yīng)參考《個人信息保護法》、《App 違法違規(guī)收集使用個人信息行為認(rèn)定方法》、《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》、《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范》等法律法規(guī)、標(biāo)準(zhǔn)文件的合規(guī)要求開展自查自糾。

本次工信部通報的8款小程序問題集中在強制用戶使用定向推送功能、違規(guī)收集個人信息與強制、頻繁、過度索取權(quán)限這三個方面，其中還有一款小程序存在欺騙誤導(dǎo)強迫用戶的行為。其中強制用戶使用定向推送功能的典型行為表現(xiàn)為利用用戶個人信息和算法定向推送信息，但未提供非定向推送信息的選項。違規(guī)收集個人信息涵蓋的范圍較廣，包括未公開收集使用規(guī)則、未明示收集使用個人信息的目的、方式和范圍、未經(jīng)用戶同意收集使用個人信息、違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息等。強制、頻繁、過度索取權(quán)限的典型行為包括征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限、用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用、實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍、未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài)等。

建議以小程序為核心運營工具的企業(yè)參考以上典型違規(guī)行為進(jìn)行自查，并密切關(guān)注工信、地方通管局、網(wǎng)信等部門的執(zhí)法動向。

四、小程序的合規(guī)趨勢與應(yīng)對

值得注意的是，由于小程序的信息處理重度依賴開放平臺。因此小程序以何種方式履行其個人信息合規(guī)義務(wù)有賴于開放平臺提供的能力，如小程序的單獨同意等授權(quán)彈窗按鈕需要通過開放平臺提供的組件實現(xiàn)。不同于APP應(yīng)用商店，開放平臺有能力直接決定小程序獲取信息的方式和范圍。因此，互聯(lián)網(wǎng)合規(guī)君認(rèn)為，如后續(xù)重點針對小程序開展整治行動，參考APP強化責(zé)任鏈治理的思路，開放平臺也將承受一部分的監(jiān)管壓力，從而進(jìn)一步嚴(yán)格約束小程序獲取用戶個人信息的能力。

雖然與APP相比，小程序面臨的監(jiān)管環(huán)境相對寬松，但其可獲取的數(shù)據(jù)資源受到開放平臺的限制，如開放平臺更改平臺規(guī)則，小程序運營者可能面臨數(shù)據(jù)獲取及分析能力下降、用戶流失等后果。因此，小程序運營者不僅需要關(guān)注合規(guī)要點，還應(yīng)當(dāng)預(yù)判與降低如開放平臺因監(jiān)管壓力而限制或阻止其獲取用戶個人信息和/或開放平臺數(shù)據(jù)對其運營所造成的可能的影響。

本文系未央網(wǎng)專欄作者:張豪 發(fā)表，內(nèi)容屬作者個人觀點，不代表網(wǎng)站觀點，未經(jīng)許可嚴(yán)禁轉(zhuǎn)載，違者必究！

免責(zé)聲明：信息網(wǎng)轉(zhuǎn)載此文目的在于傳遞更多信息，不代表本站的觀點和立場。文章內(nèi)容僅供參考，不構(gòu)成投資建議。如果您發(fā)現(xiàn)網(wǎng)站上有侵犯您的知識產(chǎn)權(quán)的作品，請與我們?nèi)〉寐?lián)系，我們會及時修改或刪除。

Tags：[db:TAG標(biāo)簽](1450167)

轉(zhuǎn)載請標(biāo)注：信息網(wǎng)——小程序個人信息保護的合規(guī)應(yīng)對