“个信法”实施！小程序如何开展信息处理的合规工作？

摘要 / 目录

（上下滑动查看）

根据研究显示，2020年，借助于小程序的疫情防控数据填报、疫情新闻传递、疫情信息查询、在线医疗问诊、健康码申报管理等功能，有效推动疫情防控管理工作，提升在线医疗服务效率，保障线上复工复产【1】。而且，疫情期间线下服务行业业务受阻，新型“宅经济”迅速崛起，小程序在其中扮演重要角色。

如今，小程序已经深入教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用，涵盖民众日常生活中的常见场景。下文将通过小程序运营者的视角予以分析。

小程序与SDK（软件开发工具包）都与APP平台关联密切，两者都具有促进APP平台元素多元化、活跃平台内用户的功能。同时两者又有如下区别：

SDK（Software Development Kit）与平台是一种合作关系，SDK作为独立的软件开发工具包，对APP平台的依附性较弱，因此行政机关对SDK运营者的监管较为独立。

SDK是一种软件开发工具包，可以为APP提供流畅及定制化的用户体验，帮助提高APP的兼容性，扩大用户使用范围【2】。常见的SDK如第三方登录分享（微信、微博登录）、百度地图（导航类）、支付宝支付（支付类）。

APP平台使用较多的SDK包括定位、支付类基础服务，如抖音APP平台就使用了很多SDK服务，并在其隐私政策中列明了具体使用的第三方SDK目录，明确了SDK的使用目的、收集数据类型和提供主体。

小程序与平台是一种搭载关系，与SDK相比，其对APP平台的依附性较强，一般认为平台运营者对搭载其内的小程序具有管理义务，但目前官方尚无具体规范指南对小程序运营者与APP平台之间的主体责任进行明确划分。

小程序是移动互联网时代开发者探索的新模式，小程序类似于一个独立的网站，内容开发、信息存储均由开发者决定。小程序内容是存储在开发者服务器中的，小程序平台通过开发者域名作为端口与开发者服务器之间进行通信，APP平台（如微信、支付宝等）在其应用中搭载第三方小程序，如湖北微法院。

尽管首例涉微信小程序知识产权侵权案中【3】，平台公司未承担责任，但在涉及个人信息安全方面平台仍存在着潜在法律风险，下文将对此进行论述。

SDK产生于互联网技术早期，开发时间早，技术较为成熟。近年来，SDK违规收集用户个人信息的问题引起了国家的重视。2020年央视播出“3·15”晚会的报道后，工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》，明确将SDK违规处理用户个人信息方面作为整治任务，SDK目前仍处在高压监管态势之下。

小程序开发为移动互联网技术深入发展的新产物，与SDK相比，开发时间较晚，技术积累薄弱，但小程序的迅猛发展也引起了监管部门的注意。工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》中明确将小程序作为整治对象，并在每期《关于侵害用户权益行为的APP通报》里披露。如在2021年第3批通报中，微信小程序“草料二维码”因违规收集个人信息未完成整改而被通报。

按照个人信息数据处理的流程，笔者从如下三方面予以分析：1.数据的收集；2.数据的留存与传输；3.数据的删除。

《常见类型移动互联网应用程序必要个人信息范围规定》明确了包括小程序在内的常见类型APP的必要个人信息范围。

根据该规定，必要个人信息范围均未包含人脸识别信息；且在13类应用场景中（女性健康、网络直播、在线影音、新闻资讯、运动健身、浏览器、输入法、安全管理、电子图书、拍摄美化、应用商店、实用工具）明确要求“无须个人信息”。该规定第4条载明，APP不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

因此，小程序运营者应当根据所处行业及应用场景，明确收集信息的范围。

数据留存具有较大的法律风险。

首先，小程序运营者应当明确数据安全是在国家安全、网络安全的大前提下进行。《网络安全审查办法（修订草案征求意见稿）》规定，数据处理者（下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

其次，应当对照《数据安全法》《移动互联网应用程序信息服务管理规定》《网络安全审查办法》等规定，对于因违规收集数据引发侵犯公民个人信息的常规法律风险需时刻保持关注并有效防范。

数据传输安全同样至关重要。

小程序运营者应当采取必要技术手段确保数据传输安全，防范因遭受攻击导致数据包被非法获取的情形，出现数据泄露等安全问题应当保证及时追索事故源头并采取有效措施防止损害扩大。

小程序搭载在平台之上，用户授权后可直接使用小程序平台账号登录使用。如用户需要仅注销某小程序中的账号而不是注销自己的小程序平台账号时，关闭对于小程序的“用户信息”授权即可。

但研究发现，部分小程序在用户关闭“用户信息”授权后再次进入，仍显示上次授权时的个人信息，如姓名、手机号等。且小程序存在无法单独注销账号、未提供删除个人信息（如收货地址、运动轨迹、人脸信息）的渠道【1】。因此，小程序运营者仍存在个人信息过度留存的风险。

小程序的数据合规边界可从民事责任、行政责任和刑事责任三个维度展开：

1. 法律依据：《民法典》第1032条至1038条关于隐私权和个人信息保护的规定。

案例：

在2017年庞某鹏诉中国东方航空股份有限公司（下称“东航公司”）、北京趣拿信息技术有限公司（下称“趣拿公司”）隐私权纠纷案件中，庞某鹏委托其助理通过趣拿公司运营的去哪儿网购买东航公司机票，而后收到诈骗短信，短信内容含有庞某鹏所乘航班的起飞时间、降落时间、机场名称、航班号。

法院在本案中认定，被告东航公司和趣拿公司掌握了庞某鹏的身份证号、手机号和航程信息，其后，相关信息又在合理时间内发生泄露，根据高度盖然性的证明标准，足以认定信息泄露系被告导致，故二被告构成对庞某鹏隐私权的侵犯，应当承担侵权责任。

该案中的信息承载主体虽非小程序和平台，但对于责任主体无法辨别的情况下由小程序和平台共同承担责任这一划分方式提供了参考。

2. 法律依据：《个人信息保护法》第51条至第59条、第66条至第70条的规定也与此有关。《个人信息保护法》第69条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

案例：

2019年黄某与腾讯科技（深圳）有限公司广州分公司、腾讯科技（北京）有限公司隐私权、个人信息权益网络侵权责任纠纷一案中，法院认为被公开的用户读书信息，不足以形成对原告人格的刻画而未达到私密性标准，不构成对原告隐私权的侵害。

但微信读书收集原告的微信好友列表、向共同使用微信读书的微信好友公开读书信息这一整体行为应向用户显著提示并获得用户同意。微信读书因无任何证据证明就此获得了用户的知情同意，且在软件内显著位置展示了读书信息，侵犯了用户的个人信息权益。

法院最终判决由平台公司深圳市腾讯计算机系统有限公司停止收集、使用并删除微信好友列表信息。

该案例中的信息承载主体之间也非小程序和平台之间的关系，但对于微信小程序收集用户信息范围具有一定的参考意义。

1. 主要行政监管部门

小程序属于互联网技术领域，现行监管体系由中国共产党中央国家安全委员会统筹领导，具体监管部门包括：国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局、数据所属部委等。如下图所示：

2. 主要行政法规

包括：《电信和互联网用户个人信息保护规定》《征信管理条例》《关键信息基础设施安全保护条例》《移动互联网应用程序信息服务管理规定》《网络安全审查办法》等。

3. 目前主要的行政处罚措施有：①通报责令限期整改；②下架；③行政罚款。

以“滴滴出行”APP为例，因其存在严重违法违规收集使用个人信息问题，2021年7月9日，国家互联网信息办公室发布通报，下架“滴滴企业版”等25款APP。

1. 法律依据：《刑法》第253条和第287条之二，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条。

案例：

如被称为网络爬虫入刑第一案的“杭州魔蝎数据科技有限公司侵犯公民个人信息罪”案【4】。魔蝎公司将其开发的前端插件嵌入上述网贷平台ＡＰＰ中，在网贷平台用户使用网贷平台的ＡＰＰ借款时，贷款用户需要在魔蝎公司提供的前端插件上，输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。经过贷款用户授权后，魔蝎公司的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取佣金。

魔蝎公司未经用户许可采用技术手段长期保存用户各类账户和密码条数约2124万条，法院认定魔蝎公司以非法方式获取个人信息，情节特别严重，魔蝎公司及公司主要负责人均构成侵犯个人信息安全罪，并处罚金共计3080万元。

该案中，魔蝎公司将其开发的前端插件嵌入上述网贷平台ＡＰＰ的方式获取巨量用户信息，在业务完成后未及时删除销毁，而是采用技术手段长期保存用户各类账户和密码的信息。公司主要负责人未尽到管理职责，存在部分账号密码未经授权被二次使用的情况，具有严重的社会危害性。插件软件和APP平台的关系上与小程序相似，本案对于小程序运营者具有警示意义。

2. 法律依据：《刑法》第287条之二：帮助信息网络犯罪活动罪，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。单位犯罪的，追究主要负责人的刑事责任，刑罚一般并处罚金。根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第12条规定：（一）为三个以上对象提供帮助的；……（四）违法所得一万元以上的；……，应当认定为该条规定的“情节严重”。

案例：

如刘某春、欧某帮助信息网络犯、公民个人信息一案，被告人刘某春、欧某、周某明知网络小额贷款APP会获取贷款人手机通讯录、通话记录等个人信息，仍直接推广或以森亿公司的名义联系下家进行推广，被告人刘某春将从代理群或小程序平台下载的公民个人信息提供给他人共计31700条，被告人欧某将非法获取的公民个人信息提供给他人共计14134条。法院判决被告人刘某春、欧某犯帮助信息网络犯罪活动罪、侵犯公民个人信息罪数罪并罚，并处罚金。

该案中，被告人通过小程序下载公民个人信息提供给他人，也反映出小程序的管理疏漏，尽管涉案小程序运营主体及相关方未被追究刑事责任，但警钟长鸣，本案对小程序运营者同样具有警示意义。

近年来，APP侵害用户权益事件频发，相关部门加大了整治力度，互联网生态有所改善，但由于互联网行业创新迭代迅速，监管措施常常滞后于技术创新。

尤其是面对诸如“超级APP平台＋小程序”（超级APP平台，即拥有庞大活跃用户数量的APP平台，如微信、支付宝、百度、今日头条，）的新模式时稍显乏力。超级APP平台之上搭载的小程序种类庞杂，涉及主体多，监管难度大。

对此，《个人信息保护法》第58条予以回应，对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者课以“守门人”角色。小程序依附的“超级APP”平台，一般认为符合“守门人”角色，对于其搭载的小程序的日常个人信息处理行为具有监管义务。立法层面，《民法典》、《数据安全法》、《个人信息保护法》相继生效后，与《网络安全法》形成了数据合规的框架。

因此，对小程序运营者而言，在了解法律政策的调整变化之外，一方面，应当熟悉并遵守其所搭载APP平台的内部管理制度，如腾讯公司通过《微信小程序平台服务条款》《微信小程序平台运营规范》《微信小程序平台常见拒绝情形》《微信小程序开放的服务类目》等制度文件对微信小程序进行规范管理；

另一方面，应当主动开展数据安全及个人信息保护自评估工作，及时发现运营应用存在的个人信息保护风险，配备与业务功能相适应的个人信息保护管理制度要求和技术手段能力，降低违规收集、使用、传输、共享个人信息的风险。

参考文献 / 注解：

[1] 中国信息通信研究院安全研究所、南都个人信息保护研究中心：《小程序个人信息保护研究报告（2020年）》。

[2] 中国信息通信研究院安全研究所、北京环球律师事务所：《软件开发包（SDK）安全与合规报告（2020年）》。

[3] 杭州刀豆网络科技有限公司与长沙百赞网络科技有限公司、深圳腾讯计算机系统有限公司侵害作品信息网络传播权纠纷一审判决书：（2018）浙0192民初7184号。

[4] 杭州魔蝎数据科技有限公司、周某、袁某侵犯公民个人信息罪一审刑事判决书：（2020）浙0106刑初437号。

[5] 刘某、欧某帮助信息网络犯、公民个人信息一审刑事判决书：（2020）鲁1703刑初119号。

声明：本文仅代表作者的观点，不代表本公众号观点，仅供学习参考之用。该文为独家投稿，如需转载、节选，请在本文章发布48小时后才可联系小编（xm-planet）授权转载。