小程序个人信息保护的合规应对
发布时间:2024-11-25 | 发布者: 东东工作室 | 浏览次数: 次(原标题:小程序个人信息保护的合规应对)
2022年8月26日,工信部通报47款侵害用户权益APP和SDK,多款APP与SDK因违规收集个人信息被点名。值得注意的是,本次通报8款酒店餐饮类微信小程序存在违规收集个人信息行为,具体所涉问题包括强制用户使用定向推送功能、强制、频繁、过度索取权限以及欺骗误导强迫用户等。
(本次通报的违规行为及其占比)
近期有不少小伙伴对企业是否应开展小程序个人信息保护合规存在困惑,互联网合规君借此文简单聊一下关于小程序个人信息保护合规的相关问题:
一、APP与小程序的差异
APP与小程序都具备个人信息收集的功能,但二者在个人信息收集的方式、范围等存在较大差异。APP一般通过操作系统提供的API获取用户个人信息,而小程序作为依托于小程序开放平台(以下称“开放平台”)开发的应用,仅能通过开放平台提供的API获取用户个人信息。因此,小程序可以获取的个人信息范围不会超过开放平台可以获取的个人信息范围。如开放平台本身对小程序获取用户个人信息施加限制,那么小程序可获取的个人信息范围就更少。因此,不少小伙伴在盘点自家小程序的个人信息收集清单的时候会发现,小程序收集的信息种类、频次等都远少于APP。
关于APP、开放平台、小程序可获取的个人信息范围大致如下图所示:
-
评级达A类,且信用分达到 100分; -
小程序所属主体半年内,没有严重的违规记录; -
小程序内使用获取高精度定位的场景,需满足平台要求,且确为业务场景强需求; -
小程序开发者需用当前小程序真实的内容进行提交; -
若开通后,发现开发者在使用过程中,不能按照规范要求使用此能力,平台将有权利随时对该功能进行收回,并视情况对违规的小程序进行处罚。
APP与小程序除了个人信息收集的方式存在较大差异外,在权限的获取、管理方式等方面也存在较大差异。中国信息通信研究院安全研究所与南都个人信息保护研究中心2020年6月所发布的《小程序个人信息保护研究报告》,就小程序和APP的差异进行对比,互联网合规君简要总结如下,以供参考:
从上述差异总结可以看出,小程序对个人信息收集、权限获取以及管理等均重度依赖开放平台,这是小程序区别于APP的最大差异。
二、小程序与开放平台合规
为遵守《个人信息保护法》、《信息安全技术个人信息安全规范》等法律法规以及国标行标的要求,主流的小程序开放平台为履行其管理职责,逐渐升级其个人信息保护管理策略,对其生态内应用(包括小程序)收集用户个人信息的行为提出较为严格的要求,包括:
1.在开发者相关服务协议中要求开发者采取合理措施保护用户个人信息;
2.对需要获取用户个人信息的小程序实施更为严格的准入审核机制;
3.将用户的授权同意作为小程序调用可获取个人信息的接口的前提;
4.限制小程序获取部分类型用户个人信息,例如不对小程序提供获取生物认证信息的接口、限制小程序调用可获取用户个人信息接口的频次;
5.要求小程序开发者在处理用户个人信息时采取一定的安全措施(例如加密等);
6.要求小程序开发者配置隐私协议(开放平台会为小程序开发者提供隐私协议模板)、选择需要申请的权限等。
鉴于开放平台对小程序收集用户个人信息提出了合规要求,个别开发者认为只要遵循了开放平台的规则就已履行个人信息保护的合规义务。但遵循开放平台制定的个人信息处理规范只能预防小程序运营者免受开放平台的处罚,并不能证明其已全面、有效地履行了个人信息保护的合规义务。
当前开放平台所提供的隐私协议模板也往往较为简单,仅要求小程序运营者根据小程序内对应的业务场景披露收集的信息与用途。但许多小程序运营者往往会将通过小程序收集的用户个人信息与其它渠道(如APP、线下渠道)收集的个人信息进行汇聚融合、建模分析等。如未在小程序的隐私协议等文件中告知用户并征得用户同意,前述相关信息处理行为亦缺乏合法性基础。小程序运营者应当按照小程序处理个人信息的实际情况以起草隐私政策。而将小程序作为核心运营工具的经营者更应关注其个人信息处理行为全生命周期的合规性。
三、小程序的合规策略
工信部并非首次通报小程序违规收集个人信息,在之前的APP侵害用户权益专项整治行动中,工信部已零星通报、下架过几款小程序。工信部信管函〔2020〕164号文明确“APP服务提供者,即互联网信息服务提供者提供的可以下载、安装、升级的应用软件,包括快应用和小程序等新应用形态”。《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》将小程序包括在App的定义范畴之内。因此为应对专项整治行动的合规要求,小程序运营者应参考《个人信息保护法》、《App 违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术移动互联网应用(App)收集个人信息基本规范》等法律法规、标准文件的合规要求开展自查自纠。
本次工信部通报的8款小程序问题集中在强制用户使用定向推送功能、违规收集个人信息与强制、频繁、过度索取权限这三个方面,其中还有一款小程序存在欺骗误导强迫用户的行为。其中强制用户使用定向推送功能的典型行为表现为利用用户个人信息和算法定向推送信息,但未提供非定向推送信息的选项。违规收集个人信息涵盖的范围较广,包括未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与其提供的服务无关的个人信息等。强制、频繁、过度索取权限的典型行为包括征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围、未经用户同意更改其设置的可收集个人信息权限状态等。
建议以小程序为核心运营工具的企业参考以上典型违规行为进行自查,并密切关注工信、地方通管局、网信等部门的执法动向。
四、小程序的合规趋势与应对
值得注意的是,由于小程序的信息处理重度依赖开放平台。因此小程序以何种方式履行其个人信息合规义务有赖于开放平台提供的能力,如小程序的单独同意等授权弹窗按钮需要通过开放平台提供的组件实现。不同于APP应用商店,开放平台有能力直接决定小程序获取信息的方式和范围。因此,互联网合规君认为,如后续重点针对小程序开展整治行动,参考APP强化责任链治理的思路,开放平台也将承受一部分的监管压力,从而进一步严格约束小程序获取用户个人信息的能力。
虽然与APP相比,小程序面临的监管环境相对宽松,但其可获取的数据资源受到开放平台的限制,如开放平台更改平台规则,小程序运营者可能面临数据获取及分析能力下降、用户流失等后果。因此,小程序运营者不仅需要关注合规要点,还应当预判与降低如开放平台因监管压力而限制或阻止其获取用户个人信息和/或开放平台数据对其运营所造成的可能的影响。
本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:我爱技术网——小程序个人信息保护的合规应对