2022-07-16 分類: 網(wǎng)站建設(shè)
據(jù)統(tǒng)計(jì),截至2019年11月,全網(wǎng)小程序數(shù)量超過(guò)450萬(wàn),日活躍用戶數(shù)突破3.3億,全年用戶人均使用小程序數(shù)超過(guò)60個(gè),可見(jiàn),小程序已經(jīng)成為人們?nèi)粘I钪蝎@取移動(dòng)互聯(lián)網(wǎng)服務(wù)的重要載體之一。
而伴隨著小程序的發(fā)展,各類小程序收集的個(gè)人信息規(guī)模逐漸攀升,相應(yīng)的個(gè)人信息安全隱患也逐漸顯現(xiàn)。近日,中國(guó)信通院聯(lián)合南都個(gè)人信息保護(hù)研究中心編寫(xiě)并發(fā)布了《小程序個(gè)人信息保護(hù)研究報(bào)告》,小程序個(gè)人信息保護(hù)問(wèn)題再度被推到臺(tái)前。早在去年年底,某知名旅游服務(wù)公司便曾因其微信小程序存在未公示用戶個(gè)人信息收集使用規(guī)則等問(wèn)題被工信部約談;今年3月16日,天津市委網(wǎng)信辦在專項(xiàng)治理行動(dòng)中發(fā)現(xiàn)7款App存在收集使用個(gè)人信息問(wèn)題并公開(kāi)了《疫情防控App問(wèn)題清單》,而7款問(wèn)題App中5款涉及小程序個(gè)人信息安全問(wèn)題。個(gè)人信息保護(hù)相關(guān)治理工作逐漸步入深水區(qū),在App個(gè)人信息保護(hù)水平逐漸提升的同時(shí),可以預(yù)見(jiàn)的是,小程序個(gè)人信息保護(hù)問(wèn)題必將引發(fā)監(jiān)管部門(mén)更多的關(guān)注。對(duì)此,小程序運(yùn)營(yíng)者需要高度重視并提前進(jìn)行相應(yīng)的合規(guī)安排。
一、小程序在個(gè)人信息保護(hù)方面存在的主要問(wèn)題
結(jié)合《小程序個(gè)人信息保護(hù)研究報(bào)告》及監(jiān)管實(shí)踐,當(dāng)前小程序在個(gè)人信息保護(hù)方面存在的主要問(wèn)題如下:
1無(wú)獨(dú)立的隱私政策
2未通過(guò)彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則
3未逐一列出收集使用個(gè)人信息的目的、方式和范圍
4收集個(gè)人敏感信息,或申請(qǐng)打開(kāi)地理位置等可收集個(gè)人信息權(quán)限時(shí),未同步說(shuō)明收集目的
5收集的個(gè)人信息類型或打開(kāi)的可收集個(gè)人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無(wú)關(guān)
6用戶關(guān)閉授權(quán)后仍使用其個(gè)人信息
7傳輸個(gè)人敏感信息時(shí),未采用加密等安全措施
8未提供有效的更正、刪除個(gè)人信息及注銷用戶賬號(hào)功能
9未公布投訴、舉報(bào)方式等信息
可見(jiàn),小程序在個(gè)人信息流轉(zhuǎn)全生命周期的主要環(huán)節(jié)(收集、使用、對(duì)外提供/傳輸、刪除)中均存在一定的個(gè)人信息違規(guī)問(wèn)題?;谛〕绦虻钠占捌涮幚淼膫€(gè)人信息規(guī)模的擴(kuò)大,結(jié)合個(gè)人信息保護(hù)相關(guān)執(zhí)法工作進(jìn)一步深化的監(jiān)管現(xiàn)狀,監(jiān)管部門(mén)未來(lái)可能會(huì)針對(duì)小程序開(kāi)展相應(yīng)的執(zhí)法動(dòng)作。
二、規(guī)制小程序收集使用個(gè)人信息的法律、規(guī)定及國(guó)家標(biāo)準(zhǔn)梳理
近年來(lái),數(shù)據(jù)安全和個(gè)人信息安全受到監(jiān)管層面的普遍重視,但在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域,監(jiān)管部門(mén)的立法工作和監(jiān)管工作主要集中于App的個(gè)人信息安全,無(wú)法有效適用于小程序的監(jiān)管。同App相比,直接涉及小程序個(gè)人信息安全的法律規(guī)定相對(duì)較少,這種情況下,上位法《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱“《網(wǎng)絡(luò)安全法》”)成為開(kāi)展小程序個(gè)人信息安全合規(guī)工作的重要依據(jù)。
1、相關(guān)法律梳理
《網(wǎng)絡(luò)安全法》第76條規(guī)定,“……(三)網(wǎng)絡(luò)運(yùn)營(yíng)者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者……”。據(jù)此,作為“網(wǎng)絡(luò)服務(wù)提供者”,小程序運(yùn)營(yíng)者落入《網(wǎng)絡(luò)安全法》規(guī)定的“網(wǎng)絡(luò)運(yùn)營(yíng)者”范疇,應(yīng)當(dāng)履行《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)信息安全義務(wù),其中就個(gè)人信息層面,主要包括:遵循合法、正當(dāng)、必要原則收集、使用個(gè)人信息;公開(kāi)收集、使用規(guī)則,明示收集、使用目的、方式和范圍,并經(jīng)被收集者同意;采取技術(shù)措施和必要措施確保收集的個(gè)人信息安全;確保用戶個(gè)人信息的刪除權(quán)和更正權(quán);建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度等。
2、相關(guān)規(guī)定梳理
《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《兒童個(gè)人信息保護(hù)規(guī)定》等法規(guī)同樣適用于小程序收集、處理個(gè)人信息的場(chǎng)景。同時(shí),盡管《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等針對(duì)App個(gè)人信息保護(hù)的相關(guān)規(guī)定并未直接指向小程序的個(gè)人信息安全保護(hù)工作,但在針對(duì)小程序開(kāi)展的監(jiān)管實(shí)踐中,亦有部分監(jiān)管部門(mén)適用了該等規(guī)定。有鑒于此,雖然小程序同App在接口調(diào)用、權(quán)限獲取、權(quán)限管理、定向推送等方面都存在著一定的差異,但出于充分合規(guī)的考慮,在開(kāi)展小程序個(gè)人信息合規(guī)相關(guān)工作的過(guò)程中,亦建議小程序運(yùn)營(yíng)者參照App個(gè)人信息保護(hù)的相關(guān)規(guī)定對(duì)小程序進(jìn)行整改。
3、相關(guān)國(guó)家標(biāo)準(zhǔn)梳理
對(duì)于企業(yè)如何保護(hù)個(gè)人信息安全,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273—2020,以下簡(jiǎn)稱“《個(gè)人信息安全規(guī)范》”)在《網(wǎng)絡(luò)安全法》框架下作出了大量細(xì)化規(guī)定。在監(jiān)管實(shí)踐中,盡管其僅為推薦性國(guó)家標(biāo)準(zhǔn),但頻繁為監(jiān)管部門(mén)援引,[2]系監(jiān)管部門(mén)監(jiān)管實(shí)踐中的重要指引,也是企業(yè)個(gè)人信息合規(guī)的重要參考。小程序運(yùn)營(yíng)者系《個(gè)人信息安全規(guī)范》第3.4條規(guī)定的個(gè)人信息控制者,即“有能力決定個(gè)人信息處理目的、方式等的組織或個(gè)人”,故《個(gè)人信息安全規(guī)范》亦是小程序運(yùn)營(yíng)者開(kāi)展個(gè)人信息合規(guī)工作的重要參考?!?/p>
三、小程序個(gè)人信息保護(hù)的合規(guī)建議
在根據(jù)《網(wǎng)絡(luò)安全法》和《個(gè)人信息安全規(guī)范》等相關(guān)法律、國(guó)家標(biāo)準(zhǔn)開(kāi)展小程序個(gè)人信息保護(hù)合規(guī)工作的過(guò)程中,結(jié)合當(dāng)前相關(guān)監(jiān)管工作中發(fā)現(xiàn)的主要問(wèn)題,建議小程序運(yùn)營(yíng)者著重關(guān)注以下內(nèi)容:
1、遵守小程序平臺(tái)對(duì)小程序個(gè)人信息保護(hù)方面的要求
目前,所有的小程序都依托于小程序平臺(tái)運(yùn)營(yíng),就個(gè)人信息活動(dòng)而言,小程序同平臺(tái)的關(guān)系主要表現(xiàn)為,小程序通過(guò)平臺(tái)直接或間接獲取用戶的個(gè)人信息,平臺(tái)通過(guò)平臺(tái)服務(wù)協(xié)議及運(yùn)營(yíng)規(guī)范中個(gè)人信息保護(hù)的相關(guān)要求對(duì)小程序處理個(gè)人信息的具體活動(dòng)作出限制。
在接入小程序平臺(tái)時(shí),小程序平臺(tái)一般會(huì)同小程序運(yùn)營(yíng)者訂立相應(yīng)的平臺(tái)服務(wù)協(xié)議,其中一般會(huì)對(duì)“用戶個(gè)人信息保護(hù)”的相關(guān)內(nèi)容作出明確約定。此外,小程序平臺(tái)一般還會(huì)通過(guò)運(yùn)營(yíng)規(guī)范中的“用戶隱私和數(shù)據(jù)規(guī)范”對(duì)個(gè)人信息保護(hù)提出額外的要求。當(dāng)前主流小程序平臺(tái)通過(guò)平臺(tái)服務(wù)協(xié)議和運(yùn)營(yíng)規(guī)范對(duì)小程序運(yùn)營(yíng)者施加的限制主要包括:應(yīng)具有隱私政策;收集或處理用戶個(gè)人信息前獲得用戶同意;應(yīng)平臺(tái)及用戶要求刪除留存的個(gè)人信息;遵守個(gè)人信息保護(hù)相關(guān)法律法規(guī)并向平臺(tái)提供必要信息證明;未經(jīng)平臺(tái)同意不得將通過(guò)平臺(tái)獲取的個(gè)人信息對(duì)外提供等。
該等平臺(tái)服務(wù)協(xié)議和運(yùn)營(yíng)規(guī)范構(gòu)成小程序運(yùn)營(yíng)者同小程序平臺(tái)之間具有法律約束力的協(xié)議,小程序運(yùn)營(yíng)者若違反其中個(gè)人信息保護(hù)的相關(guān)約定,則將構(gòu)成違約,可能需要承擔(dān)相應(yīng)的違約責(zé)任。同時(shí),若相關(guān)違約行為違反《網(wǎng)絡(luò)安全法》等相關(guān)法律、法規(guī)中個(gè)人信息保護(hù)的規(guī)定,還可能面臨相應(yīng)的行政處罰。
基于此,建議小程序運(yùn)營(yíng)者充分梳理小程序平臺(tái)的服務(wù)協(xié)議及運(yùn)營(yíng)規(guī)范中同個(gè)人信息保護(hù)相關(guān)的條款,在遵守相關(guān)約定和要求的基礎(chǔ)上開(kāi)展個(gè)人信息處理活動(dòng)。
2、制定并公開(kāi)隱私政策
《小程序個(gè)人信息保護(hù)研究報(bào)告》指出,評(píng)測(cè)發(fā)現(xiàn),只有38.5%的小程序提供了獨(dú)立的隱私政策,“無(wú)獨(dú)立的隱私政策”系當(dāng)前小程序個(gè)人信息保護(hù)方面最突出的問(wèn)題之一。
雖然小程序并未作為單獨(dú)的App存在,而一般嵌套于小程序平臺(tái)的App之中,但如前所述,小程序運(yùn)營(yíng)者屬于《網(wǎng)絡(luò)安全法》下的“網(wǎng)絡(luò)運(yùn)營(yíng)者”,其應(yīng)根據(jù)《網(wǎng)絡(luò)安全法》第41條的要求公開(kāi)收集、使用規(guī)則。同時(shí),小程序運(yùn)營(yíng)者作為《個(gè)人信息安全規(guī)范》下的個(gè)人信息控制者,根據(jù)《個(gè)人信息安全規(guī)范》第5.5條的規(guī)定,應(yīng)制定個(gè)人信息保護(hù)政策。參照去年年底某知名旅游服務(wù)公司因其微信小程序存在未公示用戶個(gè)人信息收集使用規(guī)則等問(wèn)題被工信部約談背后所折射出的監(jiān)管意見(jiàn),制定并公開(kāi)隱私政策對(duì)于小程序而言,是最基本的合規(guī)要求。另一方面,部分小程序平臺(tái)亦明確要求小程序配置有隱私政策,制定并公開(kāi)隱私政策,對(duì)于接入該等平臺(tái)的小程序運(yùn)營(yíng)者而言,亦是其遵守相關(guān)平臺(tái)服務(wù)協(xié)議和運(yùn)營(yíng)規(guī)范要求的需要。
基于此,建議小程序運(yùn)營(yíng)者制定并公開(kāi)隱私政策。
3、隱私政策應(yīng)適用于小程序
在明確應(yīng)當(dāng)制定并公開(kāi)隱私政策的前提下,對(duì)于兼有App和小程序兩類業(yè)務(wù)渠道的運(yùn)營(yíng)者而言,小程序個(gè)人信息合規(guī)中的另一個(gè)常見(jiàn)問(wèn)題即是,小程序隱私政策的內(nèi)容能否同App隱私政策的內(nèi)容保持一致。
當(dāng)前實(shí)踐中,許多小程序運(yùn)營(yíng)者即使在小程序中配置了隱私政策,其隱私政策往往同App中所配置的隱私政策保持一致,而非針對(duì)小程序所定制。誠(chéng)然,小程序和App后臺(tái)的服務(wù)器和數(shù)據(jù)庫(kù)通常是共用的,但App和小程序在很多涉?zhèn)€人信息的場(chǎng)景下的個(gè)人信息處理活動(dòng)存在明顯區(qū)別。
例如,在用戶注冊(cè)環(huán)節(jié),App一般直接收集用戶個(gè)人信息,而部分小程序內(nèi)部可能無(wú)單獨(dú)的賬戶體系,收集的是用戶留存在平臺(tái)、由平臺(tái)通過(guò)API等方式共享的個(gè)人信息。同時(shí),實(shí)踐中,小程序的功能一般較App更為簡(jiǎn)單,這意味著App的隱私政策中部分業(yè)務(wù)功能及其對(duì)應(yīng)收集的個(gè)人信息可能同小程序不相匹配。
基于此,在開(kāi)展小程序個(gè)人信息合規(guī)的過(guò)程中,建議小程序運(yùn)營(yíng)者針對(duì)性地制定適用小程序自身業(yè)務(wù)功能需要的隱私政策。
4、采用適當(dāng)?shù)姆绞将@得用戶對(duì)收集、使用其個(gè)人信息的同意
根據(jù)《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范》等相關(guān)法律、國(guó)家標(biāo)準(zhǔn)規(guī)定,就獲取用戶對(duì)收集使用其個(gè)人信息的同意的方式上,小程序的合規(guī)要求同App并無(wú)本質(zhì)區(qū)別。然而,實(shí)踐中仍普遍存在部分小程序未通過(guò)明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則、未逐一列出收集使用個(gè)人信息的目的、方式和范圍以及在收集個(gè)人敏感信息或請(qǐng)求打開(kāi)相關(guān)權(quán)限時(shí)未同步向用戶說(shuō)明收集使用目的的情形。在我國(guó)現(xiàn)有法律框架下,合法有效的用戶同意是收集、處理個(gè)人信息的合法性基礎(chǔ)。若小程序運(yùn)營(yíng)者未能采取適當(dāng)?shù)姆绞将@得用戶同意,則其收集、使用用戶個(gè)人信息行為可能面臨相應(yīng)的合規(guī)風(fēng)險(xiǎn)。
基于此,對(duì)于獲得用戶對(duì)收集、使用其個(gè)人信息的同意,建議在用戶注冊(cè)或授權(quán)登錄前主動(dòng)彈窗提示用戶閱讀隱私政策,并在征求用戶同意時(shí)避免采用默認(rèn)勾選同意、登錄即代表同意等非明示方式。對(duì)于調(diào)取地理位置等設(shè)備權(quán)限的,建議小程序運(yùn)營(yíng)者在向用戶彈窗提示的同時(shí)同步在彈窗中說(shuō)明收集相應(yīng)個(gè)人信息的目的。
5、提供有效的注銷賬號(hào)或取消授權(quán)的渠道
《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第9條要求互聯(lián)網(wǎng)信息服務(wù)提供者為用戶提供注銷號(hào)碼或者賬號(hào)的服務(wù)。隨著專項(xiàng)治理工作的開(kāi)展,該條規(guī)定逐步得以落實(shí),以往App“賬號(hào)注銷難”的局面得到了較大改善。然而,在小程序場(chǎng)景下,部分小程序沒(méi)有獨(dú)立于小程序平臺(tái)的賬號(hào)體系,用戶往往通過(guò)授權(quán)小程序運(yùn)營(yíng)者從小程序平臺(tái)獲取其平臺(tái)賬號(hào)的方式、使用平臺(tái)賬號(hào)登錄小程序,在該場(chǎng)景下,可能不存在注銷“小程序賬號(hào)”的情形,小程序運(yùn)營(yíng)者可能也難以提供有效的注銷賬號(hào)渠道。
不同于《網(wǎng)絡(luò)安全法》第43條規(guī)定的用戶在網(wǎng)絡(luò)運(yùn)營(yíng)者違法違規(guī)或違約的情況下享有的刪除權(quán),《電信和互聯(lián)網(wǎng)個(gè)人信息保護(hù)規(guī)定》第9條規(guī)定的注銷賬號(hào)的權(quán)利未附任何前提條件。小程序運(yùn)營(yíng)者應(yīng)盡可能保障用戶注銷賬號(hào)的權(quán)利。
基于此,對(duì)于小程序運(yùn)營(yíng)者而言,若其有獨(dú)立于小程序平臺(tái)的賬號(hào)體系,其應(yīng)當(dāng)為用戶提供注銷賬號(hào)的途徑。而對(duì)于用戶授權(quán)小程序獲取其平臺(tái)賬號(hào)用于登錄的情形,小程序運(yùn)營(yíng)者應(yīng)當(dāng)至少確保用戶解除該等授權(quán)的權(quán)利,并在用戶解除授權(quán)后盡快刪除其個(gè)人信息或進(jìn)行匿名化處理。當(dāng)然,法律法規(guī)對(duì)于個(gè)人信息存儲(chǔ)另有規(guī)定的除外。
6、公布個(gè)人信息安全投訴、舉報(bào)方式
《網(wǎng)絡(luò)安全法》第49條第1款規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度,公布投訴、舉報(bào)方式等信息,及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)。據(jù)此,小程序運(yùn)營(yíng)者應(yīng)當(dāng)在小程序內(nèi)建立有效的個(gè)人信息相關(guān)投訴、舉報(bào)渠道,但實(shí)踐中,許多小程序內(nèi)往往未配置相應(yīng)的個(gè)人信息相關(guān)投訴、舉報(bào)頁(yè)面,限制了用戶小程序場(chǎng)景下個(gè)人信息相關(guān)投訴、舉報(bào)權(quán)利的行使。
基于此,建議小程序運(yùn)營(yíng)者應(yīng)通過(guò)隱私政策向用戶說(shuō)明個(gè)人信息相關(guān)投訴、舉報(bào)渠道。同時(shí),小程序運(yùn)營(yíng)者宜在小程序內(nèi)開(kāi)發(fā)相應(yīng)的個(gè)人信息投訴、舉報(bào)板塊,或至少明確提示用戶可以通過(guò)小程序內(nèi)置的客服或意見(jiàn)反饋等渠道進(jìn)行個(gè)人信息投訴、舉報(bào)。
想了解更多小程序相關(guān)內(nèi)容,歡迎瀏覽成都創(chuàng)新互聯(lián)官網(wǎng)更多文章。
標(biāo)題名稱:法律小知識(shí):小程序個(gè)人信息合規(guī)要點(diǎn)及操作指引
轉(zhuǎn)載來(lái)于:http://jinyejixie.com/news36/179436.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供云服務(wù)器、網(wǎng)站制作、全網(wǎng)營(yíng)銷推廣、電子商務(wù)、網(wǎng)站營(yíng)銷、品牌網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容