（原標(biāo)題：小程序個(gè)人信息保護(hù)的合規(guī)應(yīng)對）

2022年8月26日，工信部通報(bào)47款侵害用戶權(quán)益APP和SDK，多款A(yù)PP與SDK因違規(guī)收集個(gè)人信息被點(diǎn)名。值得注意的是，本次通報(bào)8款酒店餐飲類微信小程序存在違規(guī)收集個(gè)人信息行為，具體所涉問題包括強(qiáng)制用戶使用定向推送功能、強(qiáng)制、頻繁、過度索取權(quán)限以及欺騙誤導(dǎo)強(qiáng)迫用戶等。

（本次通報(bào)的違規(guī)行為及其占比）

近期有不少小伙伴對企業(yè)是否應(yīng)開展小程序個(gè)人信息保護(hù)合規(guī)存在困惑，互聯(lián)網(wǎng)合規(guī)君借此文簡單聊一下關(guān)于小程序個(gè)人信息保護(hù)合規(guī)的相關(guān)問題：

一、APP與小程序的差異

APP與小程序都具備個(gè)人信息收集的功能，但二者在個(gè)人信息收集的方式、范圍等存在較大差異。APP一般通過操作系統(tǒng)提供的API獲取用戶個(gè)人信息，而小程序作為依托于小程序開放平臺（以下稱“開放平臺”）開發(fā)的應(yīng)用，僅能通過開放平臺提供的API獲取用戶個(gè)人信息。因此，小程序可以獲取的個(gè)人信息范圍不會(huì)超過開放平臺可以獲取的個(gè)人信息范圍。如開放平臺本身對小程序獲取用戶個(gè)人信息施加限制，那么小程序可獲取的個(gè)人信息范圍就更少。因此，不少小伙伴在盤點(diǎn)自家小程序的個(gè)人信息收集清單的時(shí)候會(huì)發(fā)現(xiàn)，小程序收集的信息種類、頻次等都遠(yuǎn)少于APP。

關(guān)于APP、開放平臺、小程序可獲取的個(gè)人信息范圍大致如下圖所示：

某小程序開放平臺對其生態(tài)內(nèi)小程序獲取、使用高精度定位提出的要求示例：

• 評級達(dá)A類，且信用分達(dá)到 100分；
• 小程序所屬主體半年內(nèi)，沒有嚴(yán)重的違規(guī)記錄；
• 小程序內(nèi)使用獲取高精度定位的場景，需滿足平臺要求，且確為業(yè)務(wù)場景強(qiáng)需求；
• 小程序開發(fā)者需用當(dāng)前小程序真實(shí)的內(nèi)容進(jìn)行提交；
• 若開通后，發(fā)現(xiàn)開發(fā)者在使用過程中，不能按照規(guī)范要求使用此能力,平臺將有權(quán)利隨時(shí)對該功能進(jìn)行收回，并視情況對違規(guī)的小程序進(jìn)行處罰。

APP與小程序除了個(gè)人信息收集的方式存在較大差異外，在權(quán)限的獲取、管理方式等方面也存在較大差異。中國信息通信研究院安全研究所與南都個(gè)人信息保護(hù)研究中心2020年6月所發(fā)布的《小程序個(gè)人信息保護(hù)研究報(bào)告》，就小程序和APP的差異進(jìn)行對比，互聯(lián)網(wǎng)合規(guī)君簡要總結(jié)如下，以供參考：

從上述差異總結(jié)可以看出，小程序?qū)€(gè)人信息收集、權(quán)限獲取以及管理等均重度依賴開放平臺，這是小程序區(qū)別于APP的最大差異。

二、小程序與開放平臺合規(guī)

為遵守《個(gè)人信息保護(hù)法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法律法規(guī)以及國標(biāo)行標(biāo)的要求，主流的小程序開放平臺為履行其管理職責(zé)，逐漸升級其個(gè)人信息保護(hù)管理策略，對其生態(tài)內(nèi)應(yīng)用（包括小程序）收集用戶個(gè)人信息的行為提出較為嚴(yán)格的要求，包括：

1.在開發(fā)者相關(guān)服務(wù)協(xié)議中要求開發(fā)者采取合理措施保護(hù)用戶個(gè)人信息；

2.對需要獲取用戶個(gè)人信息的小程序?qū)嵤└鼮閲?yán)格的準(zhǔn)入審核機(jī)制；

3.將用戶的授權(quán)同意作為小程序調(diào)用可獲取個(gè)人信息的接口的前提；

4.限制小程序獲取部分類型用戶個(gè)人信息，例如不對小程序提供獲取生物認(rèn)證信息的接口、限制小程序調(diào)用可獲取用戶個(gè)人信息接口的頻次；

5.要求小程序開發(fā)者在處理用戶個(gè)人信息時(shí)采取一定的安全措施（例如加密等）；

6.要求小程序開發(fā)者配置隱私協(xié)議（開放平臺會(huì)為小程序開發(fā)者提供隱私協(xié)議模板）、選擇需要申請的權(quán)限等。

鑒于開放平臺對小程序收集用戶個(gè)人信息提出了合規(guī)要求，個(gè)別開發(fā)者認(rèn)為只要遵循了開放平臺的規(guī)則就已履行個(gè)人信息保護(hù)的合規(guī)義務(wù)。但遵循開放平臺制定的個(gè)人信息處理規(guī)范只能預(yù)防小程序運(yùn)營者免受開放平臺的處罰，并不能證明其已全面、有效地履行了個(gè)人信息保護(hù)的合規(guī)義務(wù)。

當(dāng)前開放平臺所提供的隱私協(xié)議模板也往往較為簡單，僅要求小程序運(yùn)營者根據(jù)小程序內(nèi)對應(yīng)的業(yè)務(wù)場景披露收集的信息與用途。但許多小程序運(yùn)營者往往會(huì)將通過小程序收集的用戶個(gè)人信息與其它渠道（如APP、線下渠道）收集的個(gè)人信息進(jìn)行匯聚融合、建模分析等。如未在小程序的隱私協(xié)議等文件中告知用戶并征得用戶同意，前述相關(guān)信息處理行為亦缺乏合法性基礎(chǔ)。小程序運(yùn)營者應(yīng)當(dāng)按照小程序處理個(gè)人信息的實(shí)際情況以起草隱私政策。而將小程序作為核心運(yùn)營工具的經(jīng)營者更應(yīng)關(guān)注其個(gè)人信息處理行為全生命周期的合規(guī)性。

三、小程序的合規(guī)策略

工信部并非首次通報(bào)小程序違規(guī)收集個(gè)人信息，在之前的APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)中，工信部已零星通報(bào)、下架過幾款小程序。工信部信管函〔2020〕164號文明確“APP服務(wù)提供者，即互聯(lián)網(wǎng)信息服務(wù)提供者提供的可以下載、安裝、升級的應(yīng)用軟件，包括快應(yīng)用和小程序等新應(yīng)用形態(tài)”?！缎畔踩夹g(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本要求》將小程序包括在App的定義范疇之內(nèi)。因此為應(yīng)對專項(xiàng)整治行動(dòng)的合規(guī)要求，小程序運(yùn)營者應(yīng)參考《個(gè)人信息保護(hù)法》、《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》、《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范》等法律法規(guī)、標(biāo)準(zhǔn)文件的合規(guī)要求開展自查自糾。

本次工信部通報(bào)的8款小程序問題集中在強(qiáng)制用戶使用定向推送功能、違規(guī)收集個(gè)人信息與強(qiáng)制、頻繁、過度索取權(quán)限這三個(gè)方面，其中還有一款小程序存在欺騙誤導(dǎo)強(qiáng)迫用戶的行為。其中強(qiáng)制用戶使用定向推送功能的典型行為表現(xiàn)為利用用戶個(gè)人信息和算法定向推送信息，但未提供非定向推送信息的選項(xiàng)。違規(guī)收集個(gè)人信息涵蓋的范圍較廣，包括未公開收集使用規(guī)則、未明示收集使用個(gè)人信息的目的、方式和范圍、未經(jīng)用戶同意收集使用個(gè)人信息、違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息等。強(qiáng)制、頻繁、過度索取權(quán)限的典型行為包括征得用戶同意前就開始收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限、用戶明確表示不同意后，仍收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用、實(shí)際收集的個(gè)人信息或打開的可收集個(gè)人信息權(quán)限超出用戶授權(quán)范圍、未經(jīng)用戶同意更改其設(shè)置的可收集個(gè)人信息權(quán)限狀態(tài)等。

建議以小程序?yàn)楹诵倪\(yùn)營工具的企業(yè)參考以上典型違規(guī)行為進(jìn)行自查，并密切關(guān)注工信、地方通管局、網(wǎng)信等部門的執(zhí)法動(dòng)向。

四、小程序的合規(guī)趨勢與應(yīng)對

值得注意的是，由于小程序的信息處理重度依賴開放平臺。因此小程序以何種方式履行其個(gè)人信息合規(guī)義務(wù)有賴于開放平臺提供的能力，如小程序的單獨(dú)同意等授權(quán)彈窗按鈕需要通過開放平臺提供的組件實(shí)現(xiàn)。不同于APP應(yīng)用商店，開放平臺有能力直接決定小程序獲取信息的方式和范圍。因此，互聯(lián)網(wǎng)合規(guī)君認(rèn)為，如后續(xù)重點(diǎn)針對小程序開展整治行動(dòng)，參考APP強(qiáng)化責(zé)任鏈治理的思路，開放平臺也將承受一部分的監(jiān)管壓力，從而進(jìn)一步嚴(yán)格約束小程序獲取用戶個(gè)人信息的能力。

雖然與APP相比，小程序面臨的監(jiān)管環(huán)境相對寬松，但其可獲取的數(shù)據(jù)資源受到開放平臺的限制，如開放平臺更改平臺規(guī)則，小程序運(yùn)營者可能面臨數(shù)據(jù)獲取及分析能力下降、用戶流失等后果。因此，小程序運(yùn)營者不僅需要關(guān)注合規(guī)要點(diǎn)，還應(yīng)當(dāng)預(yù)判與降低如開放平臺因監(jiān)管壓力而限制或阻止其獲取用戶個(gè)人信息和/或開放平臺數(shù)據(jù)對其運(yùn)營所造成的可能的影響。

本文系未央網(wǎng)專欄作者:張豪 發(fā)表，內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表網(wǎng)站觀點(diǎn)，未經(jīng)許可嚴(yán)禁轉(zhuǎn)載，違者必究！

免責(zé)聲明：信息網(wǎng)轉(zhuǎn)載此文目的在于傳遞更多信息，不代表本站的觀點(diǎn)和立場。文章內(nèi)容僅供參考，不構(gòu)成投資建議。如果您發(fā)現(xiàn)網(wǎng)站上有侵犯您的知識產(chǎn)權(quán)的作品，請與我們?nèi)〉寐?lián)系，我們會(huì)及時(shí)修改或刪除。

Tags：[db:TAG標(biāo)簽](1450167)

轉(zhuǎn)載請標(biāo)注：信息網(wǎng)——小程序個(gè)人信息保護(hù)的合規(guī)應(yīng)對