杭州開發小程序個人信息合規要點
分享 2021.11.26 瀏覽次數:7489次
杭州開發小程序個人信息保護問題需要更多關注,小程序運營者需要高度重視并提前進行相應的合規安排。
一、小程序在個人信息保護方面存在的主要問題
結合《小程序個人信息保護研究報告》及監管實踐,當前小程序在個人信息保護方面存在的主要問題如下:
1無獨立的隱私政策
2未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則
3未逐一列出收集使用個人信息的目的、方式和范圍
4收集個人敏感信息,或申請打開地理位置等可收集個人信息權限時,未同步說明收集目的
5收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關
6用戶關閉授權后仍使用其個人信息
7傳輸個人敏感信息時,未采用加密等安全措施
8未提供有效的更正、刪除個人信息及注銷用戶賬號功能
9未公布投訴、舉報方式等信息
可見,小程序在個人信息流轉全生命周期的主要環節(收集、使用、對外提供/傳輸、刪除)中均存在一定的個人信息違規問題。基于小程序的普及其處理的個人信息規模的擴大,結合個人信息保護相關執法工作進一步深化的監管現狀,監管部門未來可能會針對小程序開展相應的執法動作。
二、規制小程序收集使用個人信息的法律、規定及國家標準梳理
近年來,數據安全和個人信息安全受到監管層面的普遍重視,但在移動互聯網領域,監管部門的立法工作和監管工作主要集中于App的個人信息安全,無法有效適用于小程序的監管。同App相比,直接涉及小程序個人信息安全的法律規定相對較少,這種情況下,上位法《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)成為開展小程序個人信息安全合規工作的重要依據。
1、相關法律梳理
《網絡安全法》第76條規定,“……(三)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者……”。據此,作為“網絡服務提供者”,小程序運營者落入《網絡安全法》規定的“網絡運營者”范疇,應當履行《網絡安全法》規定的網絡信息安全義務,其中就個人信息層面,主要包括:遵循合法、正當、必要原則收集、使用個人信息;公開收集、使用規則,明示收集、使用目的、方式和范圍,并經被收集者同意;采取技術措施和必要措施確保收集的個人信息安全;確保用戶個人信息的刪除權和更正權;建立網絡信息安全投訴、舉報制度等。
2、相關規定梳理
《電信和互聯網用戶個人信息保護規定》《兒童個人信息保護規定》等法規同樣適用于小程序收集、處理個人信息的場景。同時,盡管《移動互聯網應用程序信息服務管理規定》《App違法違規收集使用個人信息行為認定方法》等針對App個人信息保護的相關規定并未直接指向小程序的個人信息安全保護工作,但在針對小程序開展的監管實踐中,亦有部分監管部門適用了該等規定。有鑒于此,雖然小程序同App在接口調用、權限獲取、權限管理、定向推送等方面都存在著一定的差異,但出于充分合規的考慮,在開展小程序個人信息合規相關工作的過程中,亦建議小程序運營者參照App個人信息保護的相關規定對小程序進行整改。
3、相關國家標準梳理
對于企業如何保護個人信息安全,《信息安全技術 個人信息安全規范》(GB/T 35273—2020,以下簡稱“《個人信息安全規范》”)在《網絡安全法》框架下作出了大量細化規定。在監管實踐中,盡管其僅為推薦性國家標準,但頻繁為監管部門援引,[2]系監管部門監管實踐中的重要指引,也是企業個人信息合規的重要參考。小程序運營者系《個人信息安全規范》第3.4條規定的個人信息控制者,即“有能力決定個人信息處理目的、方式等的組織或個人”,故《個人信息安全規范》亦是小程序運營者開展個人信息合規工作的重要參考。
三、小程序個人信息保護的合規建議
在根據《網絡安全法》和《個人信息安全規范》等相關法律、國家標準開展小程序個人信息保護合規工作的過程中,結合當前相關監管工作中發現的主要問題,建議小程序運營者著重關注以下內容:
1、遵守小程序平臺對小程序個人信息保護方面的要求
目前,所有的小程序都依托于小程序平臺運營,就個人信息活動而言,小程序同平臺的關系主要表現為,小程序通過平臺直接或間接獲取用戶的個人信息,平臺通過平臺服務協議及運營規范中個人信息保護的相關要求對小程序處理個人信息的具體活動作出限制。
在接入小程序平臺時,小程序平臺一般會同小程序運營者訂立相應的平臺服務協議,其中一般會對“用戶個人信息保護”的相關內容作出明確約定。此外,小程序平臺一般還會通過運營規范中的“用戶隱私和數據規范”對個人信息保護提出額外的要求。當前主流小程序平臺通過平臺服務協議和運營規范對小程序運營者施加的限制主要包括:應具有隱私政策;收集或處理用戶個人信息前獲得用戶同意;應平臺及用戶要求刪除留存的個人信息;遵守個人信息保護相關法律法規并向平臺提供必要信息證明;未經平臺同意不得將通過平臺獲取的個人信息對外提供等。
該等平臺服務協議和運營規范構成小程序運營者同小程序平臺之間具有法律約束力的協議,小程序運營者若違反其中個人信息保護的相關約定,則將構成違約,可能需要承擔相應的違約責任。同時,若相關違約行為違反《網絡安全法》等相關法律、法規中個人信息保護的規定,還可能面臨相應的行政處罰。
基于此,建議小程序運營者充分梳理小程序平臺的服務協議及運營規范中同個人信息保護相關的條款,在遵守相關約定和要求的基礎上開展個人信息處理活動。
2、制定并公開隱私政策
《小程序個人信息保護研究報告》指出,評測發現,只有38.5%的小程序提供了獨立的隱私政策,“無獨立的隱私政策”系當前小程序個人信息保護方面最突出的問題之一。
雖然小程序并未作為單獨的App存在,而一般嵌套于小程序平臺的App之中,但如前所述,小程序運營者屬于《網絡安全法》下的“網絡運營者”,其應根據《網絡安全法》第41條的要求公開收集、使用規則。同時,小程序運營者作為《個人信息安全規范》下的個人信息控制者,根據《個人信息安全規范》第5.5條的規定,應制定個人信息保護政策。參照去年年底某知名旅游服務公司因其微信小程序存在未公示用戶個人信息收集使用規則等問題被工信部約談背后所折射出的監管意見,制定并公開隱私政策對于小程序而言,是最基本的合規要求。另一方面,部分小程序平臺亦明確要求小程序配置有隱私政策,制定并公開隱私政策,對于接入該等平臺的小程序運營者而言,亦是其遵守相關平臺服務協議和運營規范要求的需要。
基于此,建議小程序運營者制定并公開隱私政策。
3、隱私政策應適用于小程序
在明確應當制定并公開隱私政策的前提下,對于兼有App和小程序兩類業務渠道的運營者而言,小程序個人信息合規中的另一個常見問題即是,小程序隱私政策的內容能否同App隱私政策的內容保持一致。
當前實踐中,許多小程序運營者即使在小程序中配置了隱私政策,其隱私政策往往同App中所配置的隱私政策保持一致,而非針對小程序所定制。誠然,小程序和App后臺的服務器和數據庫通常是共用的,但App和小程序在很多涉個人信息的場景下的個人信息處理活動存在明顯區別。
例如,在用戶注冊環節,App一般直接收集用戶個人信息,而部分小程序內部可能無單獨的賬戶體系,收集的是用戶留存在平臺、由平臺通過API等方式共享的個人信息。同時,實踐中,小程序的功能一般較App更為簡單,這意味著App的隱私政策中部分業務功能及其對應收集的個人信息可能同小程序不相匹配。
基于此,在開展小程序個人信息合規的過程中,建議小程序運營者針對性地制定適用小程序自身業務功能需要的隱私政策。
4、采用適當的方式獲得用戶對收集、使用其個人信息的同意
根據《網絡安全法》、《個人信息安全規范》等相關法律、國家標準規定,就獲取用戶對收集使用其個人信息的同意的方式上,小程序的合規要求同App并無本質區別。然而,實踐中仍普遍存在部分小程序未通過明顯方式提示用戶閱讀隱私政策等收集使用規則、未逐一列出收集使用個人信息的目的、方式和范圍以及在收集個人敏感信息或請求打開相關權限時未同步向用戶說明收集使用目的的情形。在我國現有法律框架下,合法有效的用戶同意是收集、處理個人信息的合法性基礎。若小程序運營者未能采取適當的方式獲得用戶同意,則其收集、使用用戶個人信息行為可能面臨相應的合規風險。
基于此,對于獲得用戶對收集、使用其個人信息的同意,建議在用戶注冊或授權登錄前主動彈窗提示用戶閱讀隱私政策,并在征求用戶同意時避免采用默認勾選同意、登錄即代表同意等非明示方式。對于調取地理位置等設備權限的,建議小程序運營者在向用戶彈窗提示的同時同步在彈窗中說明收集相應個人信息的目的。
5、提供有效的注銷賬號或取消授權的渠道
《電信和互聯網用戶個人信息保護規定》第9條要求互聯網信息服務提供者為用戶提供注銷號碼或者賬號的服務。隨著專項治理工作的開展,該條規定逐步得以落實,以往App“賬號注銷難”的局面得到了較大改善。然而,在小程序場景下,部分小程序沒有獨立于小程序平臺的賬號體系,用戶往往通過授權小程序運營者從小程序平臺獲取其平臺賬號的方式、使用平臺賬號登錄小程序,在該場景下,可能不存在注銷“小程序賬號”的情形,小程序運營者可能也難以提供有效的注銷賬號渠道。
不同于《網絡安全法》第43條規定的用戶在網絡運營者違法違規或違約的情況下享有的刪除權,《電信和互聯網個人信息保護規定》第9條規定的注銷賬號的權利未附任何前提條件。小程序運營者應盡可能保障用戶注銷賬號的權利。
基于此,對于小程序運營者而言,若其有獨立于小程序平臺的賬號體系,其應當為用戶提供注銷賬號的途徑。而對于用戶授權小程序獲取其平臺賬號用于登錄的情形,小程序運營者應當至少確保用戶解除該等授權的權利,并在用戶解除授權后盡快刪除其個人信息或進行匿名化處理。當然,法律法規對于個人信息存儲另有規定的除外。
6、公布個人信息安全投訴、舉報方式
《網絡安全法》第49條第1款規定,網絡運營者應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關網絡信息安全的投訴和舉報。據此,小程序運營者應當在小程序內建立有效的個人信息相關投訴、舉報渠道,但實踐中,許多小程序內往往未配置相應的個人信息相關投訴、舉報頁面,限制了用戶小程序場景下個人信息相關投訴、舉報權利的行使。
基于此,建議杭州開發小程序與運營者應通過隱私政策向用戶說明個人信息相關投訴、舉報渠道。同時,小程序運營者宜在小程序內開發相應的個人信息投訴、舉報板塊,或至少明確提示用戶可以通過小程序內置的客服或意見反饋等渠道進行個人信息投訴、舉報。
- PREV:杭州開發小程序的實際價值怎么樣?
- NEXT:無
-
杭州定制小程序:引領小程序行業的未來趨勢
日期:2025-06-10瀏覽次數:1843次
-
杭州APP開發:引領移動應用新潮流
日期:2025-06-10瀏覽次數:1810次
-
杭州APP定制:打造智慧社區新生態
日期:2025-06-10瀏覽次數:1828次
-
杭州小程序開發公司:選擇合作伙伴的五大關鍵
日期:2025-05-16瀏覽次數:4310次
-
杭州APP定制公司:如何選擇一家專業的開發伙伴
日期:2025-05-16瀏覽次數:4307次
相關新聞
整合同類新聞,相關新聞一手掌握
-
蕪湖網站建設公司哪家比較好?
日期:2023-02-08瀏覽次數:5645次
-
如何應對直播類蕪湖app開發問題?
日期:2021-02-05瀏覽次數:6059次
-
蕪湖app開發之物流app是否有必要?
日期:2021-02-05瀏覽次數:6067次
-
蕪湖網頁設計:作為優秀的網站設計者要做好什么事情
日期:2020-09-11瀏覽次數:6107次
-
蕪湖網站制作:如何定位新聞類網站設計風格
日期:2020-09-11瀏覽次數:6495次
最新新聞
與互聯網同行,實時掌握網建行業最新動態
-
中國版“谷歌地球”上線 資料陳舊功能欠缺
日期:2010-11-03瀏覽次數:11170次
-
為什么互聯網企業都在做SEO優化?
日期:2020-01-07瀏覽次數:9143次
-
直播APP的開發過程是怎樣的?
日期:2020-04-20瀏覽次數:8106次
-
杭州網站優化為什么總是不被收錄?
日期:2021-04-28瀏覽次數:7987次
-
杭州開發小程序報備審核的流程
日期:2021-08-12瀏覽次數:8421次
隨機新聞
新聞新動態,您需要的新聞管家
洞悉市場趨勢演變讓傳播回歸社會
免費獲取網站建設與網絡推廣方案報價
-
關于我們
杭州帷拓科技有限公司,是一家新型的全案網絡開發公司,作為以互聯網高端網站建設、APP開發、小程序開發為核心的專業網絡技術服務供應商,帷拓科技致力于全面分析市場環境、衡量與預測市場需求、整合區別于行業競爭對手的絕對優勢,結合品牌理念深度挖掘項目優勢和產品價值,提升客戶品牌認知、認可度。
-
我們的客戶
帷拓科技歷經十年沉淀,與國內外上千家客戶達成合作關系,其中穩定合作的公司有:浙江華為、浙江移動、浙江5G產業聯盟、浙江省社科院、綠城足球俱樂部、娃哈哈雙語學校、健康中國杭州峰會、科雷機電等,帷拓科技始終堅持“帷有專業,才能拓展無限”的服務理念,堅持“認真堅持細節”的優質服務理念,不斷完善自身,成就企業,最終實現共贏。
-
我們的業務
帷拓科技主營業務范圍包含互聯網高端網站建設、APP開發、小程序開發、商城網站建設、公眾號運營以及數字營銷等,涵蓋了服務、房產、數碼、服裝、物流貿易等行業,根據品牌現狀,為每個客戶量身定制項目整體服務方案,以敏銳的市場洞察力、創新的市場策劃能力,全面把握市場變化,為客戶實現從企業到消費者的價值轉換。
