查看原文
其他

小程序个人信息合规要点及操作指引

刘新宇 吴豪雳 中伦视界 2022-03-20

前言

近年来,小程序逐渐成为开发者们的新宠。对于开发者而言,小程序开发及推广成本较App更低,且小程序平台多由巨头运营,开发者可以有效利用小程序平台的技术、流量优势;对于平台而言,在应用中搭载各类小程序可以丰富App功能,满足用户的多样性需求。基于此,小程序得到快速普及和应用。据统计,截至2019年11月,全网小程序数量超过450万,日活跃用户数突破3.3亿,全年用户人均使用小程序数超过60个,[1]可见,小程序已经成为人们日常生活中获取移动互联网服务的重要载体之一。


而伴随着小程序的发展,各类小程序收集的个人信息规模逐渐攀升,相应的个人信息安全隐患也逐渐显现。近日,中国信通院联合南都个人信息保护研究中心编写并发布了《小程序个人信息保护研究报告》,小程序个人信息保护问题再度被推到台前。早在去年年底,某知名旅游服务公司便曾因其微信小程序存在未公示用户个人信息收集使用规则等问题被工信部约谈;今年3月16日,天津市委网信办在专项治理行动中发现7款App存在收集使用个人信息问题并公开了《疫情防控App问题清单》,而7款问题App中5款涉及小程序个人信息安全问题。个人信息保护相关治理工作逐渐步入深水区,在App个人信息保护水平逐渐提升的同时,可以预见的是,小程序个人信息保护问题必将引发监管部门更多的关注。对此,小程序运营者需要高度重视并提前进行相应的合规安排。



一、小程序在个人信息保护方面存在的主要问题


结合《小程序个人信息保护研究报告》及监管实践,当前小程序在个人信息保护方面存在的主要问题如下:


序号

问题类型

1、

无独立的隐私政策

2、

未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则

3、

未逐一列出收集使用个人信息的目的、方式和范围

4、

收集个人敏感信息,或申请打开地理位置等可收集个人信息权限时,未同步说明收集目的

5、

收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关

6、

用户关闭授权后仍使用其个人信息

7、

传输个人敏感信息时,未采用加密等安全措施

8、

未提供有效的更正、删除个人信息及注销用户账号功能

9、

未公布投诉、举报方式等信息


可见,小程序在个人信息流转全生命周期的主要环节(收集、使用、对外提供/传输、删除)中均存在一定的个人信息违规问题。基于小程序的普及其处理的个人信息规模的扩大,结合个人信息保护相关执法工作进一步深化的监管现状,监管部门未来可能会针对小程序开展相应的执法动作。



二、规制小程序收集使用个人信息的法律、规定及国家标准梳理


近年来,数据安全和个人信息安全受到监管层面的普遍重视,但在移动互联网领域,监管部门的立法工作和监管工作主要集中于App的个人信息安全,无法有效适用于小程序的监管。同App相比,直接涉及小程序个人信息安全的法律规定相对较少,这种情况下,上位法《中华人民共和国网络安全法》(以下简称“《网络安全法》”)成为开展小程序个人信息安全合规工作的重要依据。


1、相关法律梳理


《网络安全法》第76条规定,“……(三)网络运营者,是指网络的所有者、管理者和网络服务提供者……”。据此,作为“网络服务提供者”,小程序运营者落入《网络安全法》规定的“网络运营者”范畴,应当履行《网络安全法》规定的网络信息安全义务,其中就个人信息层面,主要包括:遵循合法、正当、必要原则收集、使用个人信息;公开收集、使用规则,明示收集、使用目的、方式和范围,并经被收集者同意;采取技术措施和必要措施确保收集的个人信息安全;确保用户个人信息的删除权和更正权;建立网络信息安全投诉、举报制度等。


2、相关规定梳理


《电信和互联网用户个人信息保护规定》《儿童个人信息保护规定》等法规同样适用于小程序收集、处理个人信息的场景。同时,尽管《移动互联网应用程序信息服务管理规定》《App违法违规收集使用个人信息行为认定方法》等针对App个人信息保护的相关规定并未直接指向小程序的个人信息安全保护工作,但在针对小程序开展的监管实践中,亦有部分监管部门适用了该等规定。有鉴于此,虽然小程序同App在接口调用、权限获取、权限管理、定向推送等方面都存在着一定的差异,但出于充分合规的考虑,在开展小程序个人信息合规相关工作的过程中,亦建议小程序运营者参照App个人信息保护的相关规定对小程序进行整改。


3、相关国家标准梳理


对于企业如何保护个人信息安全,《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称“《个人信息安全规范》”)在《网络安全法》框架下作出了大量细化规定。在监管实践中,尽管其仅为推荐性国家标准,但频繁为监管部门援引,[2]系监管部门监管实践中的重要指引,也是企业个人信息合规的重要参考。小程序运营者系《个人信息安全规范》第3.4条规定的个人信息控制者,即“有能力决定个人信息处理目的、方式等的组织或个人”,故《个人信息安全规范》亦是小程序运营者开展个人信息合规工作的重要参考。 



三、小程序个人信息保护的合规建议


在根据《网络安全法》和《个人信息安全规范》等相关法律、国家标准开展小程序个人信息保护合规工作的过程中,结合当前相关监管工作中发现的主要问题,建议小程序运营者着重关注以下内容:


1、遵守小程序平台对小程序个人信息保护方面的要求


目前,所有的小程序都依托于小程序平台运营,就个人信息活动而言,小程序同平台的关系主要表现为,小程序通过平台直接或间接获取用户的个人信息,平台通过平台服务协议及运营规范中个人信息保护的相关要求对小程序处理个人信息的具体活动作出限制


在接入小程序平台时,小程序平台一般会同小程序运营者订立相应的平台服务协议,其中一般会对“用户个人信息保护”的相关内容作出明确约定。此外,小程序平台一般还会通过运营规范中的“用户隐私和数据规范”对个人信息保护提出额外的要求。当前主流小程序平台通过平台服务协议和运营规范对小程序运营者施加的限制主要包括:应具有隐私政策;收集或处理用户个人信息前获得用户同意;应平台及用户要求删除留存的个人信息;遵守个人信息保护相关法律法规并向平台提供必要信息证明;未经平台同意不得将通过平台获取的个人信息对外提供等。


该等平台服务协议和运营规范构成小程序运营者同小程序平台之间具有法律约束力的协议,小程序运营者若违反其中个人信息保护的相关约定,则将构成违约,可能需要承担相应的违约责任。同时,若相关违约行为违反《网络安全法》等相关法律、法规中个人信息保护的规定,还可能面临相应的行政处罚。


基于此,建议小程序运营者充分梳理小程序平台的服务协议及运营规范中同个人信息保护相关的条款,在遵守相关约定和要求的基础上开展个人信息处理活动。


2、制定并公开隐私政策


《小程序个人信息保护研究报告》指出,评测发现,只有38.5%的小程序提供了独立的隐私政策,“无独立的隐私政策”系当前小程序个人信息保护方面最突出的问题之一。


虽然小程序并未作为单独的App存在,而一般嵌套于小程序平台的App之中,但如前所述,小程序运营者属于《网络安全法》下的“网络运营者”,其应根据《网络安全法》第41条的要求公开收集、使用规则。同时,小程序运营者作为《个人信息安全规范》下的个人信息控制者,根据个人信息安全规范》第5.5的规定,应制定个人信息保护政策。参照去年年底某知名旅游服务公司因其微信小程序存在未公示用户个人信息收集使用规则等问题被工信部约谈背后所折射出的监管意见,制定并公开隐私政策对于小程序而言,是最基本的合规要求。另一方面,部分小程序平台亦明确要求小程序配置有隐私政策,制定并公开隐私政策,对于接入该等平台的小程序运营者而言,亦是其遵守相关平台服务协议和运营规范要求的需要。


基于此,建议小程序运营者制定并公开隐私政策。


3、隐私政策应适用于小程序


在明确应当制定并公开隐私政策的前提下,对于兼有App和小程序两类业务渠道的运营者而言,小程序个人信息合规中的另一个常见问题即是,小程序隐私政策的内容能否同App隐私政策的内容保持一致。


当前实践中,许多小程序运营者即使在小程序中配置了隐私政策,其隐私政策往往同App中所配置的隐私政策保持一致,而非针对小程序所定制。诚然,小程序和App后台的服务器和数据库通常是共用的,但App和小程序在很多涉个人信息的场景下的个人信息处理活动存在明显区别。


例如,在用户注册环节,App一般直接收集用户个人信息,而部分小程序内部可能无单独的账户体系,收集的是用户留存在平台、由平台通过API等方式共享的个人信息。同时,实践中,小程序的功能一般较App更为简单,这意味着App的隐私政策中部分业务功能及其对应收集的个人信息可能同小程序不相匹配。


基于此,在开展小程序个人信息合规的过程中,建议小程序运营者针对性地制定适用小程序自身业务功能需要的隐私政策。


4、采用适当的方式获得用户对收集、使用其个人信息的同意


根据《网络安全法》、《个人信息安全规范》等相关法律、国家标准规定,就获取用户对收集使用其个人信息的同意的方式上,小程序的合规要求同App并无本质区别。然而,实践中仍普遍存在部分小程序未通过明显方式提示用户阅读隐私政策等收集使用规则、未逐一列出收集使用个人信息的目的、方式和范围以及在收集个人敏感信息或请求打开相关权限时未同步向用户说明收集使用目的的情形。在我国现有法律框架下,合法有效的用户同意是收集、处理个人信息的合法性基础。若小程序运营者未能采取适当的方式获得用户同意,则其收集、使用用户个人信息行为可能面临相应的合规风险。


基于此,对于获得用户对收集、使用其个人信息的同意,建议在用户注册或授权登录前主动弹窗提示用户阅读隐私政策,并在征求用户同意时避免采用默认勾选同意、登录即代表同意等非明示方式。对于调取地理位置等设备权限的,建议小程序运营者在向用户弹窗提示的同时同步在弹窗中说明收集相应个人信息的目的。


5、提供有效的注销账号或取消授权的渠道


《电信和互联网用户个人信息保护规定》第9条要求互联网信息服务提供者为用户提供注销号码或者账号的服务。随着专项治理工作的开展,该条规定逐步得以落实,以往App“账号注销难”的局面得到了较大改善。然而,在小程序场景下,部分小程序没有独立于小程序平台的账号体系,用户往往通过授权小程序运营者从小程序平台获取其平台账号的方式、使用平台账号登录小程序,在该场景下,可能不存在注销“小程序账号”的情形,小程序运营者可能也难以提供有效的注销账号渠道。


不同于《网络安全法》第43条规定的用户在网络运营者违法违规或违约的情况下享有的删除权,《电信和互联网个人信息保护规定》第9条规定的注销账号的权利未附任何前提条件。小程序运营者应尽可能保障用户注销账号的权利。


基于此,对于小程序运营者而言,若其有独立于小程序平台的账号体系,其应当为用户提供注销账号的途径。而对于用户授权小程序获取其平台账号用于登录的情形,小程序运营者应当至少确保用户解除该等授权的权利,并在用户解除授权后尽快删除其个人信息或进行匿名化处理。当然,法律法规对于个人信息存储另有规定的除外。


6、公布个人信息安全投诉、举报方式


《网络安全法》第49条第1款规定,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。据此,小程序运营者应当在小程序内建立有效的个人信息相关投诉、举报渠道,但实践中,许多小程序内往往未配置相应的个人信息相关投诉、举报页面,限制了用户小程序场景下个人信息相关投诉、举报权利的行使。


基于此,建议小程序运营者应通过隐私政策向用户说明个人信息相关投诉、举报渠道。同时,小程序运营者宜在小程序内开发相应的个人信息投诉、举报板块,或至少明确提示用户可以通过小程序内置的客服或意见反馈等渠道进行个人信息投诉、举报。


结语


在《民法典》以专章形式将“隐私权和个人信息保护”放入人格权编,《个人信息保护法》出台在即之际,个人信息保护无疑且将继续是监管部门关注的热点问题。当前个人信息保护相关治理工作的开展带来了移动App的总体个人信息保护水平的提升,而在App个人信息保护状况逐渐改善的同时,监管部门和社会公众的焦点也逐渐转向了一些在之前的监管行动中相对被忽视的领域,小程序的个人信息保护就是其中之一。开展小程序个人信息合规工作,不仅是顺应监管趋势的要求,亦是企业尊重用户权利的体现,建议小程序运营者充分重视小程序个人信息合规工作。个人信息合规,方能更好前行。


[注] 

[1] 数据源自阿拉丁:《2019年小程序互联网发展白皮书》。

[2] 例如,2018年1月,国家网信办网络安全协调局在约谈某互联网巨头时,指出其收集使用个人信息的方式“不符合《个人信息安全规范》国家标准的精神”;2019年3月,中央网信办、市场监管总局发布《关于开展App安全认证工作的公告》,其附件《移动互联网应用程序(App)安全认证实施规则》中明确:“App安全认证的认证依据为GB/T 35273-2017《信息安全技术 个人信息安全规范》及相关标准、规范。”



The End


 作者简介

刘新宇  律师


上海办公室  合伙人

业务领域:资产证券化与金融产品, 收购兼并, 诉讼仲裁

吴豪雳  


上海办公室  金融部

作者往期文章推荐:

《私募基金爆雷后的风险处置机制研究》

《银行互联网贷款新规解读》

《十二部委联合发布<网络安全审查办法>,逐条对比解读来了》

《第一时间 | <上海市地方金融监督管理条例>十大重点内容细数+组织经营要求逐条解读》

《解读<上海金融法院关于证券纠纷代表人诉讼机制的规定(试行)>》

《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(下)》

《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(中)》

《新版App收集使用个人信息自评估指南(征求意见稿)逐条对比解读(上)》

《第一时间 | <个人信息安全规范>最新正式稿,你想知道的都在这里》

《迈进2020,拥抱互联网保险》

《人在家中坐,合同线上签——“电子签名”的用武之地》

《第一时间 | <App违法违规收集使用个人信息行为认定方法>逐条对比解读》

《银行跨界电商,可能遇到的法律合规问题有哪些?》

《聚焦<个人信息安全规范(征求意见稿)>十大主要变化》

《敲黑板 !<网络安全漏洞管理规定(征求意见稿)>逐条解读》

《第一时间 | 一文读懂 <个人信息出境安全评估办法(征求意见稿)>》

《逐条解读 | 儿童个人信息保护新规出台》

《互联网贷款导流:业务模式与监管合规》

《地方银保监局下发监管提示函,银行互联网贷款业务路在何方》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存