前言：

拉下微信界面，你会发现你使用过的小程序数量已经远远超过手机里的应用数量。随着互联网生态的演进，“轻量便捷”、“点开即用”的小程序越来越受到大众的青睐。即便是在同一操作平台上，微信小程序的日活跃用户也已经趋于超过应用的日活跃用户。小程序的应用场景十分广泛，比如订餐、注册、阅读、买菜等，已经渗透到我们生活的方方面面。如此庞大的用户规模，小程序不可避免地面临着个人信息保护监管的挑战。

在本文中，笔者将从个人信息保护与隐私合规的角度，为小程序运营者提供合规思路。

本期内容：

1、小程序与APP有何区别？是否受到同等监管？

2.小​​程序运营者应关注的个人信息保护与隐私合规重点。

3.小程序违法违规行为的告知、处罚及后果。

4、小程序备案最新监管要求。

1、小程序与APP有何区别？是否受到同等监管？

小程序是一种由开发者自主运营的移动网页访问服务系统，是基于开放平台开发的应用程序，具有“免安装”、“免下载”、“点击即可使用”的特点。例如最常见的微信小程序，就是利用微信App生态作为开放平台开发的具有各种功能的小程序。小程序开发者直接向用户提供数据和服务，收集的用户数据也存储在小程序运营商的服务器上，并不存储在腾讯。

从数据收集和存储的角度看，App与小程序在收集方式和范围上有明显区别。App一般通过操作系统提供的API获取用户个人信息，而小程序则只能通过开放平台提供的API获取用户个人信息。从这个角度看，由于小程序获取的个人信息范围不会超出开放平台本身允许的范围，即使是同一个运营平台，小程序收集的信息种类和频率也远少于App。

其次，从可获得的权限来看，APP可以获得上百项手机系统权限，而小程序获得的权限还是受到整个开放平台本身规则的限制。

再次，从消息推送渠道来看，只要用户同意接受通知，App就可以随时随地向用户推送消息，而小程序则需要用户主动订阅后才能推送消息，或者发送模板消息。从这个角度来看，一定程度上，小程序可以屏蔽过多的广告和营销，就像一个纯净版的App，提高实用性和效率，这或许也是小程序用户负载不断增加的原因之一。

综上所述，小程序与APP最主要的区别在于，小程序对开放平台的依赖性更强，因此小程序在个人信息保护和隐私合规方面需要关注的重点并不比APP容易，反而更多。

二、小程序运营者应关注的个人信息保护与隐私合规重点

1.小程序与App一样，受到同样的个人信息保护监管要求。

从主体身份上看，小程序运营者在向用户提供服务的过程中，会自行收集、存储、处理个人信息，以实现运营者自身的商业目的，因此其构成《个人信息保护法》中“个人信息处理者”的身份。

在监管要求方面，《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术移动互联网应用程序（APP）收集个人信息基本要求》、《网络安全标准实践指南——移动互联网应用程序（APP）收集使用个人信息评估指南》等均明确将小程序纳入与APP同等的管理范围和监管要求。在通信管理局历次的违法违规情况通报中，也可以看到不少小程序和APP一样，被通报违规并被要求整改。

2.小​​程序运营者需公开提供并主动提醒用户阅读隐私政策，不得抄袭App的隐私政策

如前文所明确，小程序属于个人信息处理者，根据《个人信息保护法》的要求，应当以显著的方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息收集、处理的有关事项。

但如何理解“公开”与“主动”，是大部分小程序运营者在实践中需要关注的问题。根据《App违法违规收集使用个人信息认定方法》，“首次运行过程中未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则”可认定为“未公开收集使用规则”；而《网络安全规范实践指南-移动互联网应用程序（App）收集使用个人信息评估指南》也规定，“在首次运行或用户注册过程中主动提示用户阅读隐私政策，例如，可以采用弹窗、醒目链接等主动方式提示用户阅读隐私政策”。 在撰写正文的过程中，笔者随机选取了不同类别的小程序，发现大部分小程序采取的是“登录后勾选同意《隐私政策》”的方式（如左图），而通过弹窗主动提示用户阅读《隐私政策》的小程序则寥寥无几（如右图）。这或许是未来小程序整改的高频环节。

3、基于小程序业务功能收集用户个人信息，禁止过度请求权利、强制收集、超范围收集。

2021年，上海某餐饮公司小程序通过强制消费者授权手机号“扫码点餐”，违规收集消费者个人信息5893条，最终遭到市场监管局警告和罚款。读完此文，不知道读者们是否还记得，自己去餐厅扫码点餐时，是否被小程序要求授权手机号登录，否则无法享受扫码点餐服务。

虽然此案发生在2021年，但类似超范围采集、强制采集的违法违规情况如今屡见不鲜。以用户手机号为例，实践中部分小程序在用户刚进入小程序，还未浏览任何内容或弹窗提示隐私政策时，就要求用户获取手机号，或仅提供通过手机号登录、自动注册的方式（如下图）等。

对此，小程序运营者应注意：

（1）用户进入小程序后，方可体验相关服务，不得在不展示任何信息的情况下，强制用户授权手机号等个人信息；

（2）用户在浏览小程序栏目或页面时，不得授权输入手机号等个人信息；

（3）如用户需要授权使用手机号等个人信息用于购物订单、支付等用途的，应向用户明确说明授权的原因。

（4）重点关注GB/T-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》附录A，确定你的小程序属于哪一类常见类型，以及该类型小程序的基本业务功能可以收集的个人信息范围。

(国标/T-2022)

三、小程序违法违规行为的告知、处罚及后果

我们来看看最新公布的数据（如下所示）。

（上海市通信管理局8月）

通过这些被举报的数据，我们可以看出，目前各省市的监管对小程序的整改力度很大、效率很高。现阶段，被举报的小程序大多是受到批评、限期整改，情节严重的，会受到暂停运营、下架等处罚。同时，小程序的违法违规情况，通常涉及侵犯个人信息，既有民事侵权责任，也有行政处罚责任，如果涉及非法获取、出售公民个人信息达到法定的程度，还会面临刑事指控。

（2018）浙0192民初7184号判决书，是杭州某互联网科技公司与腾讯公司侵害信息网络传播权纠纷案的“小程序第一案”。从该判决书可以看出，目前的司法实践往往倾向于认定，当App开放平台主观上“不知晓”小程序存在各类侵权行为，客观上又不具备技术干预能力时，小程序运营者应独自承担全部违法违约责任。

四、小程序备案最新监管要求

根据工信部2023年8月4日发布的《工业和信息化部关于移动互联网应用备案工作的通知》，小程序与APP一样，上架前需要统一备案。新开发的应用和小程序，如果没有完成备案，是无法投入使用的。备案主要通过阿里云、华为云、腾讯云等网络服务接入商完成，但如果已经做过ICP网站备案，则无需再次填写基础信息，只需补充APP备案的信息即可。

微信生态的小程序自2023年9月1日起开启备案制度。微信平台在通知中要求：尚未上架的微信小程序，自2023年9月1日起，必须完成备案后方可上架；已上架的微信小程序，请于2024年3月31日前完成备案。逾期未完成备案的，平台将从2024年4月1日起按照备案相关规定予以清理。

备案操作：详见小程序备案操作指南。

结论：

由于小程序的信息处理严重依赖开放平台，开放平台有能力直接限制小程序获取信息的方式和范围。笔者认为，未来小程序在应对监管整改行动时不仅要注意合规点，还应预估并降低开放平台因监管压力而限制或阻止其获取用户个人信息可能对其运营造成的影响。

最后，我最近接到不少App或小程序运营者的咨询，即便有些App已经被监管部门通报，但他们还在犹豫业务部门人员是否可以根据通报的问题进行点对点整改处理，这种态度令人遗憾。再次提醒大家，个人信息保护和隐私合规这一环节，开发者和运营者必须认真对待。App和小程序面临的专项合规工作难度和专业壁垒，并没有想象中那么简单，同样，运营者面临的监管责任也并非只是通知、责令改正那么小事。

关于作者

郭和义

北京市京师律师事务所 律师

外太空防御局

数据安全专家

企业合规官（高级）

中国中小企业协会调解员