法律小知識:小程序個人信息合規(guī)要點及操作指引
分享 2020.06.30 瀏覽次數(shù):7200次
據(jù)統(tǒng)計,截至2019年11月,全網(wǎng)小程序數(shù)量超過450萬,日活躍用戶數(shù)突破3.3億,全年用戶人均使用小程序數(shù)超過60個,可見,小程序已經(jīng)成為人們?nèi)粘I钪蝎@取移動互聯(lián)網(wǎng)服務(wù)的重要載體之一。
而伴隨著小程序的發(fā)展,各類小程序收集的個人信息規(guī)模逐漸攀升,相應(yīng)的個人信息安全隱患也逐漸顯現(xiàn)。近日,中國信通院聯(lián)合南都個人信息保護研究中心編寫并發(fā)布了《小程序個人信息保護研究報告》,小程序個人信息保護問題再度被推到臺前。早在去年年底,某知名旅游服務(wù)公司便曾因其微信小程序存在未公示用戶個人信息收集使用規(guī)則等問題被工信部約談;今年3月16日,天津市委網(wǎng)信辦在專項治理行動中發(fā)現(xiàn)7款App存在收集使用個人信息問題并公開了《疫情防控App問題清單》,而7款問題App中5款涉及小程序個人信息安全問題。個人信息保護相關(guān)治理工作逐漸步入深水區(qū),在App個人信息保護水平逐漸提升的同時,可以預(yù)見的是,小程序個人信息保護問題必將引發(fā)監(jiān)管部門更多的關(guān)注。對此,小程序運營者需要高度重視并提前進行相應(yīng)的合規(guī)安排。
一、小程序在個人信息保護方面存在的主要問題
結(jié)合《小程序個人信息保護研究報告》及監(jiān)管實踐,當前小程序在個人信息保護方面存在的主要問題如下:
1無獨立的隱私政策
2未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則
3未逐一列出收集使用個人信息的目的、方式和范圍
4收集個人敏感信息,或申請打開地理位置等可收集個人信息權(quán)限時,未同步說明收集目的
5收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)
6用戶關(guān)閉授權(quán)后仍使用其個人信息
7傳輸個人敏感信息時,未采用加密等安全措施
8未提供有效的更正、刪除個人信息及注銷用戶賬號功能
9未公布投訴、舉報方式等信息
可見,小程序在個人信息流轉(zhuǎn)全生命周期的主要環(huán)節(jié)(收集、使用、對外提供/傳輸、刪除)中均存在一定的個人信息違規(guī)問題?;谛〕绦虻钠占捌涮幚淼膫€人信息規(guī)模的擴大,結(jié)合個人信息保護相關(guān)執(zhí)法工作進一步深化的監(jiān)管現(xiàn)狀,監(jiān)管部門未來可能會針對小程序開展相應(yīng)的執(zhí)法動作。
二、規(guī)制小程序收集使用個人信息的法律、規(guī)定及國家標準梳理
近年來,數(shù)據(jù)安全和個人信息安全受到監(jiān)管層面的普遍重視,但在移動互聯(lián)網(wǎng)領(lǐng)域,監(jiān)管部門的立法工作和監(jiān)管工作主要集中于App的個人信息安全,無法有效適用于小程序的監(jiān)管。同App相比,直接涉及小程序個人信息安全的法律規(guī)定相對較少,這種情況下,上位法《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)絡(luò)安全法》”)成為開展小程序個人信息安全合規(guī)工作的重要依據(jù)。
1、相關(guān)法律梳理
《網(wǎng)絡(luò)安全法》第76條規(guī)定,“……(三)網(wǎng)絡(luò)運營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者……”。據(jù)此,作為“網(wǎng)絡(luò)服務(wù)提供者”,小程序運營者落入《網(wǎng)絡(luò)安全法》規(guī)定的“網(wǎng)絡(luò)運營者”范疇,應(yīng)當履行《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)信息安全義務(wù),其中就個人信息層面,主要包括:遵循合法、正當、必要原則收集、使用個人信息;公開收集、使用規(guī)則,明示收集、使用目的、方式和范圍,并經(jīng)被收集者同意;采取技術(shù)措施和必要措施確保收集的個人信息安全;確保用戶個人信息的刪除權(quán)和更正權(quán);建立網(wǎng)絡(luò)信息安全投訴、舉報制度等。
2、相關(guān)規(guī)定梳理
《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《兒童個人信息保護規(guī)定》等法規(guī)同樣適用于小程序收集、處理個人信息的場景。同時,盡管《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《App違法違規(guī)收集使用個人信息行為認定方法》等針對App個人信息保護的相關(guān)規(guī)定并未直接指向小程序的個人信息安全保護工作,但在針對小程序開展的監(jiān)管實踐中,亦有部分監(jiān)管部門適用了該等規(guī)定。有鑒于此,雖然小程序同App在接口調(diào)用、權(quán)限獲取、權(quán)限管理、定向推送等方面都存在著一定的差異,但出于充分合規(guī)的考慮,在開展小程序個人信息合規(guī)相關(guān)工作的過程中,亦建議小程序運營者參照App個人信息保護的相關(guān)規(guī)定對小程序進行整改。
3、相關(guān)國家標準梳理
對于企業(yè)如何保護個人信息安全,《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2020,以下簡稱“《個人信息安全規(guī)范》”)在《網(wǎng)絡(luò)安全法》框架下作出了大量細化規(guī)定。在監(jiān)管實踐中,盡管其僅為推薦性國家標準,但頻繁為監(jiān)管部門援引,[2]系監(jiān)管部門監(jiān)管實踐中的重要指引,也是企業(yè)個人信息合規(guī)的重要參考。小程序運營者系《個人信息安全規(guī)范》第3.4條規(guī)定的個人信息控制者,即“有能力決定個人信息處理目的、方式等的組織或個人”,故《個人信息安全規(guī)范》亦是小程序運營者開展個人信息合規(guī)工作的重要參考?!?/p>
三、小程序個人信息保護的合規(guī)建議
在根據(jù)《網(wǎng)絡(luò)安全法》和《個人信息安全規(guī)范》等相關(guān)法律、國家標準開展小程序個人信息保護合規(guī)工作的過程中,結(jié)合當前相關(guān)監(jiān)管工作中發(fā)現(xiàn)的主要問題,建議小程序運營者著重關(guān)注以下內(nèi)容:
1、遵守小程序平臺對小程序個人信息保護方面的要求
目前,所有的小程序都依托于小程序平臺運營,就個人信息活動而言,小程序同平臺的關(guān)系主要表現(xiàn)為,小程序通過平臺直接或間接獲取用戶的個人信息,平臺通過平臺服務(wù)協(xié)議及運營規(guī)范中個人信息保護的相關(guān)要求對小程序處理個人信息的具體活動作出限制。
在接入小程序平臺時,小程序平臺一般會同小程序運營者訂立相應(yīng)的平臺服務(wù)協(xié)議,其中一般會對“用戶個人信息保護”的相關(guān)內(nèi)容作出明確約定。此外,小程序平臺一般還會通過運營規(guī)范中的“用戶隱私和數(shù)據(jù)規(guī)范”對個人信息保護提出額外的要求。當前主流小程序平臺通過平臺服務(wù)協(xié)議和運營規(guī)范對小程序運營者施加的限制主要包括:應(yīng)具有隱私政策;收集或處理用戶個人信息前獲得用戶同意;應(yīng)平臺及用戶要求刪除留存的個人信息;遵守個人信息保護相關(guān)法律法規(guī)并向平臺提供必要信息證明;未經(jīng)平臺同意不得將通過平臺獲取的個人信息對外提供等。
該等平臺服務(wù)協(xié)議和運營規(guī)范構(gòu)成小程序運營者同小程序平臺之間具有法律約束力的協(xié)議,小程序運營者若違反其中個人信息保護的相關(guān)約定,則將構(gòu)成違約,可能需要承擔相應(yīng)的違約責任。同時,若相關(guān)違約行為違反《網(wǎng)絡(luò)安全法》等相關(guān)法律、法規(guī)中個人信息保護的規(guī)定,還可能面臨相應(yīng)的行政處罰。
基于此,建議小程序運營者充分梳理小程序平臺的服務(wù)協(xié)議及運營規(guī)范中同個人信息保護相關(guān)的條款,在遵守相關(guān)約定和要求的基礎(chǔ)上開展個人信息處理活動。
2、制定并公開隱私政策
《小程序個人信息保護研究報告》指出,評測發(fā)現(xiàn),只有38.5%的小程序提供了獨立的隱私政策,“無獨立的隱私政策”系當前小程序個人信息保護方面最突出的問題之一。
雖然小程序并未作為單獨的App存在,而一般嵌套于小程序平臺的App之中,但如前所述,小程序運營者屬于《網(wǎng)絡(luò)安全法》下的“網(wǎng)絡(luò)運營者”,其應(yīng)根據(jù)《網(wǎng)絡(luò)安全法》第41條的要求公開收集、使用規(guī)則。同時,小程序運營者作為《個人信息安全規(guī)范》下的個人信息控制者,根據(jù)《個人信息安全規(guī)范》第5.5條的規(guī)定,應(yīng)制定個人信息保護政策。參照去年年底某知名旅游服務(wù)公司因其微信小程序存在未公示用戶個人信息收集使用規(guī)則等問題被工信部約談背后所折射出的監(jiān)管意見,制定并公開隱私政策對于小程序而言,是最基本的合規(guī)要求。另一方面,部分小程序平臺亦明確要求小程序配置有隱私政策,制定并公開隱私政策,對于接入該等平臺的小程序運營者而言,亦是其遵守相關(guān)平臺服務(wù)協(xié)議和運營規(guī)范要求的需要。
基于此,建議小程序運營者制定并公開隱私政策。
3、隱私政策應(yīng)適用于小程序
在明確應(yīng)當制定并公開隱私政策的前提下,對于兼有App和小程序兩類業(yè)務(wù)渠道的運營者而言,小程序個人信息合規(guī)中的另一個常見問題即是,小程序隱私政策的內(nèi)容能否同App隱私政策的內(nèi)容保持一致。
當前實踐中,許多小程序運營者即使在小程序中配置了隱私政策,其隱私政策往往同App中所配置的隱私政策保持一致,而非針對小程序所定制。誠然,小程序和App后臺的服務(wù)器和數(shù)據(jù)庫通常是共用的,但App和小程序在很多涉?zhèn)€人信息的場景下的個人信息處理活動存在明顯區(qū)別。
例如,在用戶注冊環(huán)節(jié),App一般直接收集用戶個人信息,而部分小程序內(nèi)部可能無單獨的賬戶體系,收集的是用戶留存在平臺、由平臺通過API等方式共享的個人信息。同時,實踐中,小程序的功能一般較App更為簡單,這意味著App的隱私政策中部分業(yè)務(wù)功能及其對應(yīng)收集的個人信息可能同小程序不相匹配。
基于此,在開展小程序個人信息合規(guī)的過程中,建議小程序運營者針對性地制定適用小程序自身業(yè)務(wù)功能需要的隱私政策。
4、采用適當?shù)姆绞将@得用戶對收集、使用其個人信息的同意
根據(jù)《網(wǎng)絡(luò)安全法》、《個人信息安全規(guī)范》等相關(guān)法律、國家標準規(guī)定,就獲取用戶對收集使用其個人信息的同意的方式上,小程序的合規(guī)要求同App并無本質(zhì)區(qū)別。然而,實踐中仍普遍存在部分小程序未通過明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則、未逐一列出收集使用個人信息的目的、方式和范圍以及在收集個人敏感信息或請求打開相關(guān)權(quán)限時未同步向用戶說明收集使用目的的情形。在我國現(xiàn)有法律框架下,合法有效的用戶同意是收集、處理個人信息的合法性基礎(chǔ)。若小程序運營者未能采取適當?shù)姆绞将@得用戶同意,則其收集、使用用戶個人信息行為可能面臨相應(yīng)的合規(guī)風險。
基于此,對于獲得用戶對收集、使用其個人信息的同意,建議在用戶注冊或授權(quán)登錄前主動彈窗提示用戶閱讀隱私政策,并在征求用戶同意時避免采用默認勾選同意、登錄即代表同意等非明示方式。對于調(diào)取地理位置等設(shè)備權(quán)限的,建議小程序運營者在向用戶彈窗提示的同時同步在彈窗中說明收集相應(yīng)個人信息的目的。
5、提供有效的注銷賬號或取消授權(quán)的渠道
《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第9條要求互聯(lián)網(wǎng)信息服務(wù)提供者為用戶提供注銷號碼或者賬號的服務(wù)。隨著專項治理工作的開展,該條規(guī)定逐步得以落實,以往App“賬號注銷難”的局面得到了較大改善。然而,在小程序場景下,部分小程序沒有獨立于小程序平臺的賬號體系,用戶往往通過授權(quán)小程序運營者從小程序平臺獲取其平臺賬號的方式、使用平臺賬號登錄小程序,在該場景下,可能不存在注銷“小程序賬號”的情形,小程序運營者可能也難以提供有效的注銷賬號渠道。
不同于《網(wǎng)絡(luò)安全法》第43條規(guī)定的用戶在網(wǎng)絡(luò)運營者違法違規(guī)或違約的情況下享有的刪除權(quán),《電信和互聯(lián)網(wǎng)個人信息保護規(guī)定》第9條規(guī)定的注銷賬號的權(quán)利未附任何前提條件。小程序運營者應(yīng)盡可能保障用戶注銷賬號的權(quán)利。
基于此,對于小程序運營者而言,若其有獨立于小程序平臺的賬號體系,其應(yīng)當為用戶提供注銷賬號的途徑。而對于用戶授權(quán)小程序獲取其平臺賬號用于登錄的情形,小程序運營者應(yīng)當至少確保用戶解除該等授權(quán)的權(quán)利,并在用戶解除授權(quán)后盡快刪除其個人信息或進行匿名化處理。當然,法律法規(guī)對于個人信息存儲另有規(guī)定的除外。
6、公布個人信息安全投訴、舉報方式
《網(wǎng)絡(luò)安全法》第49條第1款規(guī)定,網(wǎng)絡(luò)運營者應(yīng)當建立網(wǎng)絡(luò)信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報。據(jù)此,小程序運營者應(yīng)當在小程序內(nèi)建立有效的個人信息相關(guān)投訴、舉報渠道,但實踐中,許多小程序內(nèi)往往未配置相應(yīng)的個人信息相關(guān)投訴、舉報頁面,限制了用戶小程序場景下個人信息相關(guān)投訴、舉報權(quán)利的行使。
基于此,建議小程序運營者應(yīng)通過隱私政策向用戶說明個人信息相關(guān)投訴、舉報渠道。同時,小程序運營者宜在小程序內(nèi)開發(fā)相應(yīng)的個人信息投訴、舉報板塊,或至少明確提示用戶可以通過小程序內(nèi)置的客服或意見反饋等渠道進行個人信息投訴、舉報。
想了解更多小程序相關(guān)內(nèi)容,歡迎瀏覽杭州帷拓科技官網(wǎng)更多文章。
- PREV:開發(fā)小說APP,注意這些細節(jié)
- NEXT:手機APP開發(fā),到底有哪些困難?
-
杭州APP定制:選擇合適開發(fā)公司的重要性
日期:2024-12-20瀏覽次數(shù):396次
-
杭州app開發(fā):如何選擇專業(yè)開發(fā)公司?
日期:2024-12-20瀏覽次數(shù):405次
-
杭州定制小程序公司:小程序行業(yè)的未來趨勢
日期:2024-12-20瀏覽次數(shù):393次
-
杭州小程序開發(fā)公司:如何運營小程序以吸引更多客戶
日期:2024-12-13瀏覽次數(shù):674次
-
杭州app定制公司:如何打造網(wǎng)站建設(shè)第一品牌的特色?
日期:2024-12-13瀏覽次數(shù):663次
相關(guān)新聞
整合同類新聞,相關(guān)新聞一手掌握
-
雅安做網(wǎng)站:網(wǎng)站從建設(shè),設(shè)計,開發(fā)都需要注意哪些問題?
日期:2020-10-10瀏覽次數(shù):1815次
-
雅安網(wǎng)站制作說說設(shè)計反饋如何促成出色的網(wǎng)站設(shè)計
日期:2020-10-10瀏覽次數(shù):1880次
最新新聞
與互聯(lián)網(wǎng)同行,實時掌握網(wǎng)建行業(yè)最新動態(tài)
-
網(wǎng)站應(yīng)用程序開發(fā)的步驟
日期:2016-06-14瀏覽次數(shù):5994次
-
杭州網(wǎng)站建設(shè)|電子商務(wù)網(wǎng)站的SEO最佳做法
日期:2018-10-11瀏覽次數(shù):4459次
-
鐘表類行業(yè)網(wǎng)站建設(shè)方案
日期:2019-08-20瀏覽次數(shù):4872次
-
哈爾濱網(wǎng)站建設(shè)擔心成本?高端≠價格貴!
日期:2020-10-12瀏覽次數(shù):2082次
-
杭州定制小程序:你的需求是否真的適合做小程序?
日期:2021-01-16瀏覽次數(shù):3898次
隨機新聞
新聞新動態(tài),您需要的新聞管家
洞悉市場趨勢演變讓傳播回歸社會
免費獲取網(wǎng)站建設(shè)與網(wǎng)絡(luò)推廣方案報價
-
關(guān)于我們
杭州帷拓科技有限公司,是一家新型的全案網(wǎng)絡(luò)開發(fā)公司,作為以互聯(lián)網(wǎng)高端網(wǎng)站建設(shè)、APP開發(fā)、小程序開發(fā)為核心的專業(yè)網(wǎng)絡(luò)技術(shù)服務(wù)供應(yīng)商,帷拓科技致力于全面分析市場環(huán)境、衡量與預(yù)測市場需求、整合區(qū)別于行業(yè)競爭對手的絕對優(yōu)勢,結(jié)合品牌理念深度挖掘項目優(yōu)勢和產(chǎn)品價值,提升客戶品牌認知、認可度。
-
我們的客戶
帷拓科技歷經(jīng)十年沉淀,與國內(nèi)外上千家客戶達成合作關(guān)系,其中穩(wěn)定合作的公司有:浙江華為、浙江移動、浙江5G產(chǎn)業(yè)聯(lián)盟、浙江省社科院、綠城足球俱樂部、娃哈哈雙語學(xué)校、健康中國杭州峰會、科雷機電等,帷拓科技始終堅持“帷有專業(yè),才能拓展無限”的服務(wù)理念,堅持“認真堅持細節(jié)”的優(yōu)質(zhì)服務(wù)理念,不斷完善自身,成就企業(yè),最終實現(xiàn)共贏。
-
我們的業(yè)務(wù)
帷拓科技主營業(yè)務(wù)范圍包含互聯(lián)網(wǎng)高端網(wǎng)站建設(shè)、APP開發(fā)、小程序開發(fā)、商城網(wǎng)站建設(shè)、公眾號運營以及數(shù)字營銷等,涵蓋了服務(wù)、房產(chǎn)、數(shù)碼、服裝、物流貿(mào)易等行業(yè),根據(jù)品牌現(xiàn)狀,為每個客戶量身定制項目整體服務(wù)方案,以敏銳的市場洞察力、創(chuàng)新的市場策劃能力,全面把握市場變化,為客戶實現(xiàn)從企業(yè)到消費者的價值轉(zhuǎn)換。