小程序个人信息违规问题引关注,未来监管或加强

2024-06-04
来源:网络整理

可以看出,在小程序个人信息流通全生命周期(收集、使用、对外提供/传输、删除)的主要环节中,存在一定的个人信息侵权行为。基于小程序的普及及其处理的个人信息规模的扩大,结合个人信息保护相关执法工作进一步深化的监管状况,监管部门未来可能会对小程序采取相应的执法行动。

二、审查小程序收集、使用个人信息的法律法规和国家标准

近年来,数据安全和个人信息安全受到监管层面的广泛关注,但在移动互联网领域,监管部门的立法工作和监管工作主要集中在应用的个人信息安全上,无法有效应用于小程序的监管。与App相比,与小程序个人信息安全直接相关的法律规定相对较少,在这种情况下,上级法律《中华人民共和国网络安全法》(以下简称《网络安全法》)成为开展小程序个人信息安全合规工作的重要依据。

1、梳理相关法律

《网络安全法》第76条规定,“......(三)网络运营者,是指网络所有人、管理者、网络服务提供者......“。因此,小程序运营者作为“网络服务提供者”,属于《网络安全法》规定的“网络运营者”范畴,应履行《网络安全法》规定的网络信息安全义务,主要包括:按照合法、正当、必要等原则收集、使用个人信息;公开收集、使用规则,明确说明收集、使用的目的、方法和范围,并征得被收集人的同意;采取技术措施和必要措施,确保所收集的个人信息的安全;确保用户个人信息的删除和更正权;建立网络信息安全投诉举报制度。

2、梳理相关规定《

电信和互联网用户个人信息保护规定》《儿童个人信息保护规定》等规定也适用于小程序收集和处理个人信息。同时,虽然《移动互联网应用信息服务管理规定》《违法违法应用收集、使用个人信息的认定方法》等关于应用个人信息保护的相关规定,并未直接提及小程序的个人信息安全保护, 一些监管部门在小程序的监管实践中也适用了这些规定。有鉴于此,虽然小程序与App在接口调用、权限获取、权限管理、定向推送等方面存在一定差异,但为全面合规起见,也建议小程序运营者在开展小程序个人信息合规相关工作的过程中,参照小程序个人信息保护相关规定进行整改。

3、相关国家标准梳理

《信息安全技术——个人信息安全规范》(GB/T-2020,以下简称“个人信息安全规范”)在《网络安全法》框架下,对企业如何保护个人信息安全作了大量细化规定。在监管实践中,虽然只是推荐的国家标准,但监管部门经常援引,[2]是监管部门监管实践中的重要指引,也是企业个人信息合规的重要参考。小程序运营者是《个人信息安全规范》第3.4条规定的个人信息控制者,即“有能力决定处理个人信息的目的和方式的组织或个人”,因此《个人信息安全规范》也是小程序运营者开展个人信息合规工作的重要参考。

三、《小程序个人信息保护合规建议》

在按照《网络安全法》、《个人信息安全规范》等相关法律和国家标准开展小程序个人信息保护合规工作的过程中,结合当前相关监管工作中发现的主要问题,建议小程序运营者重点关注以下几点:

1、遵守小程序平台对小程序个人信息保护的要求

目前,所有小程序都依赖小程序平台运营,在个人信息活动方面,小程序与平台的关系主要表现为小程序通过平台直接或间接获取用户个人信息,平台通过个人信息相关要求限制小程序处理个人信息的具体活动在平台服务协议和操作规范中提供保护。小

程序平台在接入小程序平台时,一般会与小程序运营方签订相应的平台服务协议,一般会对“用户个人信息保护”的相关内容作出明确规定。此外,小程序平台一般会通过操作规范中的“用户隐私和数据规范”对个人信息保护提出额外的要求。目前,主流小程序平台通过平台服务协议和操作规范对小程序运营者施加的限制主要包括:应有隐私政策;在收集或处理用户个人信息之前,应征得用户的同意;应平台和用户的要求,删除保留的个人信息;遵守个人信息保护相关法律法规,向平台提供必要的信息;未经本平台同意,不得向外界提供通过本平台获取的个人信息。

该等平台服务协议及操作规范构成小程序运营者与小程序平台之间具有法律约束力的约定,如小程序运营者违反个人信息保护相关规定,构成违约,可能承担相应违约责任。同时,如果相关违约行为违反《网络安全法》等有关个人信息保护的法律法规的规定,还可能面临相应的行政处罚。

基于此,建议小程序运营者全面梳理小程序平台服务协议和操作规范中有关个人信息保护的规定,在遵守相关协议和要求的基础上开展个人信息处理活动。

2. 制定和披露隐私政策

根据《小程序个人信息保护研究报告》,只有38.5%的小程序提供独立的隐私政策,“没有独立的隐私政策”是小程序个人信息保护中最突出的问题之一。

虽然小程序不是作为独立的应用程序存在的,一般嵌套在小程序平台的应用程序中,但如上所述,小程序运营者是《网络安全法》规定的“网络运营者”,应按照《网络安全法》第四十一条的要求披露收集和使用规则。同时,小程序运营者作为《个人信息安全规范》规定的个人信息控制者,应当按照《个人信息安全规范》第五条第五款的规定制定个人信息保护政策。参考去年年底某知名旅游服务公司因微信小程序未披露用户个人信息收集和使用规则而接受工信部(工信部)采访背后的监管意见,制定和披露隐私政策是小程序最基本的合规要求。另一方面,一些小程序平台也明确要求小程序配备隐私政策,制定和披露隐私政策,对于与这些平台相连的小程序运营者,也需要遵守相关平台服务协议和操作规范的要求。

基于此,建议小程序运营者制定并披露隐私政策。

3. 本隐私政策适用于小程序

在隐私政策应当制定并公开的前提下,同时拥有App和小程序业务渠道的运营商,小程序个人信息合规的另一个常见问题是小程序隐私政策的内容能否与App隐私政策的内容一致。

在目前的实践中,即使很多小程序运营商在小程序中配置了隐私政策,但其隐私政策往往与App中配置的隐私政策保持一致,而不是针对小程序定制。诚然,小程序和App后台的服务器和数据库通常是共享的,但在很多涉及个人信息的场景下,App和小程序的个人信息处理活动存在明显差异。

例如,在用户注册过程中,应用一般直接收集用户的个人信息,而部分小程序可能没有单独的账号系统,收集用户保留在平台上并通过API等方式共享的个人信息。同时,在实践中,小程序的功能通常比App的功能简单,这意味着App隐私政策中的某些业务功能以及据此收集的个人信息可能与小程序不匹配。

基于此,建议小程序运营者在对小程序进行个人信息合规的过程中,制定适用于小程序自身业务功能的隐私政策。

4. 以适当的方式征得用户同意收集和使用其个人信息

根据《网络安全法》、《个人信息安全规范》等相关法律和国家标准,小程序的合规要求与App的合规要求在获取用户同意收集和使用其个人信息的方式上没有本质区别。然而,在实践中,一些小程序在收集敏感个人信息或要求开放相关权限时,未明确提醒用户阅读隐私政策等收集使用规则,未逐一列出收集和使用个人信息的目的、方式和范围,以及未向用户说明收集和使用目的的情况仍然很常见。在中国现行法律框架下,合法有效的用户同意是收集和处理个人信息的法律依据。如果小程序运营者未能以适当的方式获得用户的同意,其对用户个人信息的收集和使用可能面临相应的合规风险。

基于此,为了获得用户对收集和使用其个人信息的同意,建议在用户注册或授权登录前主动提示用户阅读隐私政策,避免在征得用户同意时使用默认检查同意、登录表示同意等非显式方式。对于地理位置等设备权限,建议小程序操作者在弹窗中同时说明收集相应个人信息的目的,同时在弹窗中提示用户。

5、提供注销账号或注销授权的有效渠道

《电信和互联网用户个人信息保护规定》第九条要求互联网信息服务提供者向用户提供注销号码或账户的服务。随着专项治理工作的发展,这一规定逐步落实,App中“注销账号难”的情况得到了很大的改善。然而,在小程序场景中,部分小程序没有独立于小程序平台的账号系统,用户经常通过授权小程序运营商从小程序平台获取平台账号,使用平台账号登录小程序。

与《网络安全法》第43条规定用户在违反法律法规时享有删除权不同,《电信和互联网个人信息保护规定》第9条规定了无条件注销账号的权利。小程序运营者应尽可能保护用户注销账号的权利。

基于此,对于小程序运营者来说,如果他们拥有独立于小程序平台的账号系统,他们应该为用户提供注销账号的方式。在用户授权小程序获取其平台账号登录的情况下,小程序运营方至少应保证用户终止该授权的权利,并在用户取消授权后尽快删除或匿名化处理用户的个人信息。当然,除非法律法规另有规定,个人信息的存储。

分享