2020年6月11日，中國信息通信研究院安全研究所聯(lián)合南都個人信息保護研究中心編寫的《小程序個人信息保護研究報告》正式發(fā)布。該報告聚焦信息服務(wù)新興業(yè)態(tài)，重點研究小程序最新發(fā)展趨勢與個人信息保護風(fēng)險隱患，旨在加強小程序個人信息保護，推動小程序規(guī)范健康發(fā)展。

　　報告指出，隨著移動互聯(lián)網(wǎng)的進一步發(fā)展，“超級App+小程序”成為開發(fā)者探索的新模式。以微信、支付寶等移動應(yīng)用程序為代表的平臺在其應(yīng)用中搭載第三方小程序，豐富向用戶提供服務(wù)的形式和內(nèi)容。2020年新冠肺炎疫情以來，小程序也成為政府機關(guān)、醫(yī)療機構(gòu)、企事業(yè)單位、社區(qū)學(xué)校疫情防控的重要工具，進一步助推了其快速發(fā)展。小程序在匯聚大量用戶個人信息的同時也暴露了一些在用戶個人信息收集與使用方面的風(fēng)險隱患，需進一步加強政府、企業(yè)、用戶的多方協(xié)同，形成小程序個人信息保護體系。

　　提供獨立隱私政策的小程序不足四成

　　報告對微信、支付寶、百度、今日頭條四大主流小程序平臺的52款常用小程序進行了測評，結(jié)果顯示，只有38.5%被測小程序提供了獨立的隱私政策，而且94%未向用戶告知如何關(guān)閉已授權(quán)權(quán)限路徑。報告指出，即使提供了隱私政策，少數(shù)小程序也存在鏈接無效的情況，用戶同樣無法得知個人信息收集使用規(guī)則。在21個提供了隱私政策的小程序中，絕大多數(shù)采用的都是“登錄即同意”的方式征得用戶同意，只有極少數(shù)需要用戶主動勾選同意。其中政務(wù)公益、日常工具、體育健身、醫(yī)療健康類小程序的問題較為嚴重。

　　數(shù)據(jù)收集、傳輸、授權(quán)、刪除各環(huán)節(jié)均存安全風(fēng)險

　　報告指出，在數(shù)據(jù)安全檢測方面，每款小程序平均約存在3個問題，其中教育文化、旅游交通、新聞資訊、生活服務(wù)類小程序個人信息保護問題較為突出，主要問題集中在收集、刪除、傳輸?shù)拳h(huán)節(jié)。

　　在信息收集方面，報告指出，某些小程序存在超范圍收集個人信息，帶來數(shù)據(jù)違規(guī)收集風(fēng)險。例如，某防疫類小程序除獲取個人姓名、身份證號等敏感信息外，還需進行人臉識別，獲取大量人臉信息。而在實際線下防疫工作中通過姓名、身份證號再配合真人及身份證查驗，在不獲取人臉信息的情況下可保證信息的準確性。

　　而在數(shù)據(jù)傳輸過程中，報告顯示，約有四分之一的被測小程序明文傳輸個人信息甚至個人敏感信息。這給網(wǎng)絡(luò)黑客提供了攻擊截獲傳輸數(shù)據(jù)包，進行數(shù)據(jù)竊聽、數(shù)據(jù)篡改、身份偽造的可能。小程序運營者應(yīng)采取加密等技術(shù)措施，確保數(shù)據(jù)即使被惡意泄露或截獲也難以被破解。

　　在授權(quán)方面，報告團隊實測發(fā)現(xiàn)，94%被測小程序未向用戶告知如何關(guān)閉已授權(quán)權(quán)限路徑，這可能導(dǎo)致用戶在使用完小程序后仍然將一些權(quán)限開放給小程序；約25%的小程序在用戶關(guān)閉“用戶信息”授權(quán)后再次進入，仍顯示上次授權(quán)時的個人信息，這可能導(dǎo)致小程序在用戶已經(jīng)解除授權(quán)的情況下繼續(xù)收集使用用戶個人信息，存在個人信息濫用風(fēng)險。

　　經(jīng)檢測，超過一半的小程序未提供刪除個人信息渠道，用戶使用小程序填寫個人信息后，小程序未對相關(guān)個人敏感信息的后續(xù)處理提供說明，或者為用戶提供刪除或匿名化個人信息的渠道。報告指出，盡管小程序功能簡單，絕大多數(shù)基于小程序平臺賬號進行服務(wù)，可能無法提供單獨的注銷賬號服務(wù)，但也應(yīng)賦予用戶控制個人信息的權(quán)利，否則可能帶來個人信息過度留存的風(fēng)險。

　　多方協(xié)同，共建小程序個人信息保護管理系統(tǒng)

　　針對上述問題，報告建議，應(yīng)加強政府、企業(yè)、用戶的多方協(xié)同，形成小程序個人信息保護管理體系。在政策層面，應(yīng)明確將小程序納入數(shù)據(jù)安全及個人信息保護管理范疇，研究制定個人信息安全保護指南規(guī)范，明確小程序與小程序平臺之間的主體責(zé)任劃分等；在企業(yè)層面，應(yīng)切實落實個人信息保護主體責(zé)任，一方面小程序運營者主動開展數(shù)據(jù)安全及個人信息保護自評估工作，另一方面小程序平臺運營者進一步加強對搭載其上的小程序的管理工作；在用戶層面，應(yīng)提升使用小程序的個人信息保護意識和能力，使其明確個體作為其個人信息控制者的權(quán)利。在保護用戶個人信息免受侵害的同時，鼓勵用戶積極舉報違規(guī)行為，發(fā)動社會力量，推動小程序規(guī)范健康發(fā)展。

　　近年來，我國高度重視移動應(yīng)用程序（App）數(shù)據(jù)安全和個人信息安全工作，從法規(guī)標準、專項治理等多方面開展安全治理工作，目前的監(jiān)督管理基本集中于App，鮮少涉及小程序。

　　在國家法律層面，《網(wǎng)絡(luò)安全法》明確了我國個人信息保護的基本原則，規(guī)定網(wǎng)絡(luò)運營者的保護義務(wù)和責(zé)任。在政策法規(guī)層面，相關(guān)部門針對App業(yè)務(wù)特點制定細化規(guī)章落實國家法律。小程序的業(yè)務(wù)形態(tài)和用戶數(shù)量迅速發(fā)展，其個人信息收集使用愈加頻繁，對其開展安全管理的必要性急劇上升。小程序和App在前端的表現(xiàn)形式不同，但后臺的服務(wù)器、數(shù)據(jù)庫通常是共用的，且小程序的功能往往不會超出App。因此，兩者收集和使用用戶個人信息也應(yīng)該適用同一套規(guī)則。

　?。ㄐ畔⒎?wù)部 牟艷霞）