《小程序个人信息保护研究报告》正式发布，助力小程序规范健康发展 - 网安

2020年6月11日，中国信息通信研究院安全研究所联合南都个人信息保护研究中心编写的《小程序个人信息保护研究报告》正式发布。该研究报告聚焦信息服务新兴业态，重点研究小程序最新发展趋势与个人信息保护风险隐患，旨在加强小程序个人信息保护，推动小程序规范健康发展。

研究报告指出，随着移动互联网的进一步发展，“超级App+小程序”成为开发者探索的新模式。以微信、支付宝等移动应用程序为代表的平台在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。2020年新冠肺炎疫情以来，小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步推动其快速发展。小程序在汇聚大量用户个人信息的同时也暴露一些在用户个人信息收集与使用方面的风险隐患，需进一步加强政府、企业、用户的多方协同，形成小程序个人信息保护体系。

该报告在研判小程序发展趋势和社会经济影响的基础上，系统梳理总结小程序与 App 以及小程序平台的关系，并通过个人信息安全评测，重点分析目前主流小程序存在的个人信息安全风险隐患，最后从政府、企业、用户三方面研究提出小程序个人信息保护的对策建议。

小程序因其便捷性已经深入经济社会的各个领域，不时暴露出违法违规收集使用个人信息的风险。不法分子利用小程序开发、上线流程简易快速和可利用小程序平台引流等特点，以领取红包、参与抽奖等名义，通过设置登录授权或诱导用户填写的方式，套取用户个人信息，存在个人信息安全隐患。疫情期间，个人健康信息上报、健康码获取等疫情防控工作大多借助小程序开展，涉及大量个人信息的收集使用，存在个人信息泄露、滥用、窃取风险，其数据安全性引起广泛关注。

所以针对小程序个人信息可以进行以下评测：
1. 隐私政策评测
隐私政策评测项目包括：是否提供了隐私政策，隐私政策的规范性和实用性，履行必要的告知和警示义务，收集、存储、使用用户个人信息的规则，关于定向推送的说明，用户的选择权和同意权，用户的访问权、更正权、删除权、撤回同意及注销权，披露开发者相关信息，向第三方披露用户个人信息的说明，安全承诺，在个人信息泄露事件中的救济机制，特殊情形下对用户个人信息的处理原则，对于使 13 本评测所采用的标准仅代表第三方机构观点，旨在提供合规建议，小程序运营者并非必须按照这一标准进行隐私合规。

未提供有效的隐私政策，侵害用户的知情权
未采取主动选择同意的形式，侵害用户的选择权
隐私政策与APP不同，带来数据收集使用规则混淆风险

2.数据安全检测
数据安全检测项目包括：是否明示收集使用个人信息的目的、方式、范围；是否经用户同意收集使用个人信息；收集使用个人信息是否遵循必要原则；个人信息传输安全性；删除更正个人信息渠道；敏感权限与业务功能的对应关系；权限申请使用情况；用户身份鉴别等8大类15项检测项。

超范围收集个人信息，带来数据违规收集风险
明文传输个人信息，带来数据非法获取风险
未告知用户关闭权限路径，带来权限持续开放风险
关闭授权后仍使用之前授权信息，带来数据滥用风险
默认共享用户个人信息，带来数据脱离控制风险
未提供删除个人信息渠道，带来数据过度留存风险

从个人，企业和用户方面采取的对策建议如下所示：
1. 规范层面，建议将小程序纳入个人信息保护管理范畴

2. 企业层面，切实落实个人信息保护主体责任

3. 用户层面，提升使用小程序的个人信息保护意识和能力

从隐私政策和数据安全两大方面对小程序进行评测，督促小程序运营者在开展收集、使用、传输、共享、删除等个人信息处理活动时，遵守国家相关法律法规、政策标准的要求，保障个人信息安全且不侵犯个人信息主体权益。法律依据如下：

《中华人民共和国网络安全法》
《电信和互联网用户个人信息保护规定》
《移动互联网应用程序信息服务管理规定》
《App 违法违规收集使用个人信息行为认定方法》
《数据安全管理办法（征求意见稿）》

附件为全文报告【可下载】：小程个人信息保护研究报告