小程序需隱私政策嗎?天津通報五款應用無隱私政策,過半為小程序

南方都市報 發佈 2020-03-17T02:44:17+00:00

2020年3月16日,天津網信辦通報七款應用違法違規收集使用個人信息,其中五款應用存在無隱私政策的問題。

2020年3月16日,天津網信辦通報七款應用違法違規收集使用個人信息,其中五款應用存在無隱私政策的問題。值得注意的是,在這五款應用中,三款為小程序。

如今,小程序種類繁多,功能多樣。儘管上述通報指出小程序無隱私政策的問題,但業界存在疑問:對於小程序的定性還存在爭議,它需要設置隱私政策嗎?

同款App和小程序收集、使用的信息近乎相同

憑藉「免下載、低成本」等優勢,小程序日益深入人們的生活當中。

所謂小程序,是一種不需要下載、安裝即可使用的應用。用戶掃一掃或搜一下就可打開應用,用完即走,無須卸載。

與獨立存在的App不同,小程序需要依附其他平台。但兩者在提供服務、實現功能時,都需要收集、使用用戶的個人信息。

比如,隱私護衛隊在某平台里體驗一款提供同城速遞服務的小程序,一點進去,其立即彈窗申請獲取地理位置,附帶小字解釋說「使用您的定位,以獲取準確的訂單起點」。

小程序申請獲取地理位置

在下單過程中,用戶需提交發件人和收件人的姓名、聯繫方式、地址等信息。

等到支付時,小程序要求用戶完成註冊。此時,用戶有兩種選擇,一種是「授權登錄」,小程序會獲取用戶在平台綁定的手機號;另一種是「手機號驗證碼登錄」,用戶需提交手機號和簡訊驗證碼。

註冊之後,小程序提醒,根據《郵政法》等相關法律規定,用戶需上傳個人身份信息,包括姓名和身份證號,完成實名認證。

小程序提醒用戶實名認證。

同時,隱私護衛隊體驗同款App。結果發現,App和小程序的操作流程相似,比如一開始都要求授權地理位置;為實現速遞業務,都需要收集發件人和收件人的信息以及實名認證。

下單需提交收發件人的信息。

對於用戶而言,無論是使用小程序還是App,需提交的個人信息基本相同。不同的是,小程序可通過平台間接獲取用戶信息,比如「授權登錄」註冊方式,小程序是從平台獲取用戶手機號。

受測App都有隱私政策,而對應小程序一半無隱私政策

在體驗上述提供同城速遞服務的小程序時,隱私護衛隊發現,App 在初次打開時會立即彈窗顯示用戶協議和隱私政策;並且,註冊帳號過程中,用戶還可以查看上述文件。而小程序只有在使用「手機號驗證碼」註冊帳號時,用戶才能看到用戶協議,但沒有隱私政策。

為粗略估計小程序設置隱私政策占比率,隱私護衛隊檢測了三款視頻應用小程序,結果只有一款有隱私政策;在四款購物小程序中,只有兩款有隱私政策;三款叫車服務小程序中,儘管它們都含隱私政策,但其中一款的隱私政策並未介紹收集使用個人信息的類型、目的、方法等內容;而在對應App中,隱私政策內容詳盡,區分個人信息和個人敏感信息,甚至用表格介紹App所需權限及對應的功能。

某叫車應用小程序和App的隱私政策對比。左側為小程序的隱私政策

嚴格來講,上述十款小程序的隱私政策設置率為50%;值得注意的是,它們對應的App都有隱私政策。

律師建議小程序設置隱私政策,但不能完全照搬App

環球律師事務所合伙人孟潔對隱私護衛隊表示,雖然小程序嵌套在其他平台中,但收集個人信息的還是小程序運營者本身。由此來看,小程序需受到網安法等法規的約束,它「需要隱私政策」,以告知用戶信息收集、使用的規則、目的等內容。

「按照相關規定,只要企業涉及到收集個人信息,都應該有隱私政策,並且得到用戶同意。」北京璽澤律師事務所高級合伙人程貞持相同意見。

《網絡安全法》規定,網絡運營者收集、使用個人信息,應當公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。

國家標準《信息安全技術 個人信息安全規範》明確要求,個人信息控制者應制定個人信息保護政策(習慣稱隱私政策),內容包括個人信息的收集方式、存儲期限、共享、轉讓等。

同時,孟潔強調,小程序不能完全照搬App的隱私政策。她解釋說,App和小程序的很多場景是有區別的,比如App從註冊就開始直接收集用戶信息,而小程序可能是收集平台共享的信息。

無論是四部委聯合開展的App違法違規收集使用個人信息專項治理活動,還是工信部開展的整治活動,監管機構要求產品的隱私合規設計需和實際功能相符合,充分保障用戶的知情權。「如果把App的隱私政策放到小程序上,是有風險的。」孟潔指出,小程序的隱私政策必須吻合其本身的功能。

具體如何做,北京市中倫律師事務所律師吳佳蔚建議說,小程序種類繁多,針對非常簡單的,僅基於提供服務的必要收集很少類型的個人信息且後續使用不會對個人信息主體產生負面影響的,未超出用戶合理期待的,進行基本的告知和說明即可;複雜的小程序,具有多樣收集信息場景的,則需要更完整的隱私政策。

雖然目前「對於小程序的定性(是App的附屬功能還是視為一類單獨應用等)仍存在爭議,但處於謹慎的角度,我們會建議企業參考App相關規定進行整改。」吳佳蔚說。

其實,因未公示個人信息收集使用規則,小程序被官方通報的事件早有先例。隱私護衛隊注意到,2018年12月,因小程序中「12306暢行會員」服務存在默認開通會員協議等情況,同程藝龍被工信部約談。值得注意的是,工信部在通報中還強調,同程藝龍小程序存在未公示用戶個人信息收集使用規則等問題。同時,平台方被要求加強小程序管理。

對於集成小程序的平台,吳佳蔚認為,其可在小程序跳轉啟動時告知用戶共享信息的類型、目的等內容並獲得用戶授權;其他收集信息的情形可以結合雙方的合作關係,進行適當的提示並由用戶確認,例如開啟權限等。

《個人信息安全規範》規定,個人信息控制者共享信息時,應向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的後果,並事先徵得個人信息主體的授權同意。

文/南都個人信息保護研究中心研究員 尤一煒

關鍵字: