《小程序個人信息保護研究報告》正式發布，助力小程序規范健康發展 - 網安

2020年6月11日，中國信息通信研究院安全研究所聯合南都個人信息保護研究中心編寫的《小程序個人信息保護研究報告》正式發布。該研究報告聚焦信息服務新興業態，重點研究小程序最新發展趨勢與個人信息保護風險隱患，旨在加強小程序個人信息保護，推動小程序規范健康發展。

研究報告指出，隨著移動互聯網的進一步發展，“超級App+小程序”成為開發者探索的新模式。以微信、支付寶等移動應用程序為代表的平臺在其應用中搭載第三方小程序，豐富向用戶提供服務的形式和內容。2020年新冠肺炎疫情以來，小程序也成為政府機關、醫療機構、企事業單位、社區學校疫情防控的重要工具，進一步推動其快速發展。小程序在匯聚大量用戶個人信息的同時也暴露一些在用戶個人信息收集與使用方面的風險隱患，需進一步加強政府、企業、用戶的多方協同，形成小程序個人信息保護體系。

該報告在研判小程序發展趨勢和社會經濟影響的基礎上，系統梳理總結小程序與 App 以及小程序平臺的關系，并通過個人信息安全評測，重點分析目前主流小程序存在的個人信息安全風險隱患，最后從政府、企業、用戶三方面研究提出小程序個人信息保護的對策建議。

小程序因其便捷性已經深入經濟社會的各個領域，不時暴露出違法違規收集使用個人信息的風險。不法分子利用小程序開發、上線流程簡易快速和可利用小程序平臺引流等特點，以領取紅包、參與抽獎等名義，通過設置登錄授權或誘導用戶填寫的方式，套取用戶個人信息，存在個人信息安全隱患。疫情期間，個人健康信息上報、健康碼獲取等疫情防控工作大多借助小程序開展，涉及大量個人信息的收集使用，存在個人信息泄露、濫用、竊取風險，其數據安全性引起廣泛關注。

所以針對小程序個人信息可以進行以下評測：
1. 隱私政策評測
隱私政策評測項目包括：是否提供了隱私政策，隱私政策的規范性和實用性，履行必要的告知和警示義務，收集、存儲、使用用戶個人信息的規則，關于定向推送的說明，用戶的選擇權和同意權，用戶的訪問權、更正權、刪除權、撤回同意及注銷權，披露開發者相關信息，向第三方披露用戶個人信息的說明，安全承諾，在個人信息泄露事件中的救濟機制，特殊情形下對用戶個人信息的處理原則，對于使 13 本評測所采用的標準僅代表第三方機構觀點，旨在提供合規建議，小程序運營者并非必須按照這一標準進行隱私合規。

未提供有效的隱私政策，侵害用戶的知情權
未采取主動選擇同意的形式，侵害用戶的選擇權
隱私政策與APP不同，帶來數據收集使用規則混淆風險

2.數據安全檢測
數據安全檢測項目包括：是否明示收集使用個人信息的目的、方式、范圍；是否經用戶同意收集使用個人信息；收集使用個人信息是否遵循必要原則；個人信息傳輸安全性；刪除更正個人信息渠道；敏感權限與業務功能的對應關系；權限申請使用情況；用戶身份鑒別等8大類15項檢測項。

超范圍收集個人信息，帶來數據違規收集風險
明文傳輸個人信息，帶來數據非法獲取風險
未告知用戶關閉權限路徑，帶來權限持續開放風險
關閉授權后仍使用之前授權信息，帶來數據濫用風險
默認共享用戶個人信息，帶來數據脫離控制風險
未提供刪除個人信息渠道，帶來數據過度留存風險

從個人，企業和用戶方面采取的對策建議如下所示：
1. 規范層面，建議將小程序納入個人信息保護管理范疇

2. 企業層面，切實落實個人信息保護主體責任

3. 用戶層面，提升使用小程序的個人信息保護意識和能力

從隱私政策和數據安全兩大方面對小程序進行評測，督促小程序運營者在開展收集、使用、傳輸、共享、刪除等個人信息處理活動時，遵守國家相關法律法規、政策標準的要求，保障個人信息安全且不侵犯個人信息主體權益。法律依據如下：

《中華人民共和國網絡安全法》
《電信和互聯網用戶個人信息保護規定》
《移動互聯網應用程序信息服務管理規定》
《App 違法違規收集使用個人信息行為認定方法》
《數據安全管理辦法（征求意見稿）》

附件為全文報告【可下載】：小程個人信息保護研究報告