2020年6月11日，中國(guó)信息通信研究院安全研究所聯(lián)合南都個(gè)人信息保護(hù)研究中心編寫(xiě)的《小程序個(gè)人信息保護(hù)研究報(bào)告》正式發(fā)布。該報(bào)告聚焦信息服務(wù)新興業(yè)態(tài)，重點(diǎn)研究小程序最新發(fā)展趨勢(shì)與個(gè)人信息保護(hù)風(fēng)險(xiǎn)隱患，旨在加強(qiáng)小程序個(gè)人信息保護(hù)，推動(dòng)小程序規(guī)范健康發(fā)展。

　　報(bào)告指出，隨著移動(dòng)互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，“超級(jí)App+小程序”成為開(kāi)發(fā)者探索的新模式。以微信、支付寶等移動(dòng)應(yīng)用程序?yàn)榇淼钠脚_(tái)在其應(yīng)用中搭載第三方小程序，豐富向用戶(hù)提供服務(wù)的形式和內(nèi)容。2020年新冠肺炎疫情以來(lái)，小程序也成為政府機(jī)關(guān)、醫(yī)療機(jī)構(gòu)、企事業(yè)單位、社區(qū)學(xué)校疫情防控的重要工具，進(jìn)一步助推了其快速發(fā)展。小程序在匯聚大量用戶(hù)個(gè)人信息的同時(shí)也暴露了一些在用戶(hù)個(gè)人信息收集與使用方面的風(fēng)險(xiǎn)隱患，需進(jìn)一步加強(qiáng)政府、企業(yè)、用戶(hù)的多方協(xié)同，形成小程序個(gè)人信息保護(hù)體系。

　　提供獨(dú)立隱私政策的小程序不足四成

　　報(bào)告對(duì)微信、支付寶、百度、今日頭條四大主流小程序平臺(tái)的52款常用小程序進(jìn)行了測(cè)評(píng)，結(jié)果顯示，只有38.5%被測(cè)小程序提供了獨(dú)立的隱私政策，而且94%未向用戶(hù)告知如何關(guān)閉已授權(quán)權(quán)限路徑。報(bào)告指出，即使提供了隱私政策，少數(shù)小程序也存在鏈接無(wú)效的情況，用戶(hù)同樣無(wú)法得知個(gè)人信息收集使用規(guī)則。在21個(gè)提供了隱私政策的小程序中，絕大多數(shù)采用的都是“登錄即同意”的方式征得用戶(hù)同意，只有極少數(shù)需要用戶(hù)主動(dòng)勾選同意。其中政務(wù)公益、日常工具、體育健身、醫(yī)療健康類(lèi)小程序的問(wèn)題較為嚴(yán)重。

　　數(shù)據(jù)收集、傳輸、授權(quán)、刪除各環(huán)節(jié)均存安全風(fēng)險(xiǎn)

　　報(bào)告指出，在數(shù)據(jù)安全檢測(cè)方面，每款小程序平均約存在3個(gè)問(wèn)題，其中教育文化、旅游交通、新聞資訊、生活服務(wù)類(lèi)小程序個(gè)人信息保護(hù)問(wèn)題較為突出，主要問(wèn)題集中在收集、刪除、傳輸?shù)拳h(huán)節(jié)。

　　在信息收集方面，報(bào)告指出，某些小程序存在超范圍收集個(gè)人信息，帶來(lái)數(shù)據(jù)違規(guī)收集風(fēng)險(xiǎn)。例如，某防疫類(lèi)小程序除獲取個(gè)人姓名、身份證號(hào)等敏感信息外，還需進(jìn)行人臉識(shí)別，獲取大量人臉信息。而在實(shí)際線下防疫工作中通過(guò)姓名、身份證號(hào)再配合真人及身份證查驗(yàn)，在不獲取人臉信息的情況下可保證信息的準(zhǔn)確性。

　　而在數(shù)據(jù)傳輸過(guò)程中，報(bào)告顯示，約有四分之一的被測(cè)小程序明文傳輸個(gè)人信息甚至個(gè)人敏感信息。這給網(wǎng)絡(luò)黑客提供了攻擊截獲傳輸數(shù)據(jù)包，進(jìn)行數(shù)據(jù)竊聽(tīng)、數(shù)據(jù)篡改、身份偽造的可能。小程序運(yùn)營(yíng)者應(yīng)采取加密等技術(shù)措施，確保數(shù)據(jù)即使被惡意泄露或截獲也難以被破解。

　　在授權(quán)方面，報(bào)告團(tuán)隊(duì)實(shí)測(cè)發(fā)現(xiàn)，94%被測(cè)小程序未向用戶(hù)告知如何關(guān)閉已授權(quán)權(quán)限路徑，這可能導(dǎo)致用戶(hù)在使用完小程序后仍然將一些權(quán)限開(kāi)放給小程序；約25%的小程序在用戶(hù)關(guān)閉“用戶(hù)信息”授權(quán)后再次進(jìn)入，仍顯示上次授權(quán)時(shí)的個(gè)人信息，這可能導(dǎo)致小程序在用戶(hù)已經(jīng)解除授權(quán)的情況下繼續(xù)收集使用用戶(hù)個(gè)人信息，存在個(gè)人信息濫用風(fēng)險(xiǎn)。

　　經(jīng)檢測(cè)，超過(guò)一半的小程序未提供刪除個(gè)人信息渠道，用戶(hù)使用小程序填寫(xiě)個(gè)人信息后，小程序未對(duì)相關(guān)個(gè)人敏感信息的后續(xù)處理提供說(shuō)明，或者為用戶(hù)提供刪除或匿名化個(gè)人信息的渠道。報(bào)告指出，盡管小程序功能簡(jiǎn)單，絕大多數(shù)基于小程序平臺(tái)賬號(hào)進(jìn)行服務(wù)，可能無(wú)法提供單獨(dú)的注銷(xiāo)賬號(hào)服務(wù)，但也應(yīng)賦予用戶(hù)控制個(gè)人信息的權(quán)利，否則可能帶來(lái)個(gè)人信息過(guò)度留存的風(fēng)險(xiǎn)。

　　多方協(xié)同，共建小程序個(gè)人信息保護(hù)管理系統(tǒng)

　　針對(duì)上述問(wèn)題，報(bào)告建議，應(yīng)加強(qiáng)政府、企業(yè)、用戶(hù)的多方協(xié)同，形成小程序個(gè)人信息保護(hù)管理體系。在政策層面，應(yīng)明確將小程序納入數(shù)據(jù)安全及個(gè)人信息保護(hù)管理范疇，研究制定個(gè)人信息安全保護(hù)指南規(guī)范，明確小程序與小程序平臺(tái)之間的主體責(zé)任劃分等；在企業(yè)層面，應(yīng)切實(shí)落實(shí)個(gè)人信息保護(hù)主體責(zé)任，一方面小程序運(yùn)營(yíng)者主動(dòng)開(kāi)展數(shù)據(jù)安全及個(gè)人信息保護(hù)自評(píng)估工作，另一方面小程序平臺(tái)運(yùn)營(yíng)者進(jìn)一步加強(qiáng)對(duì)搭載其上的小程序的管理工作；在用戶(hù)層面，應(yīng)提升使用小程序的個(gè)人信息保護(hù)意識(shí)和能力，使其明確個(gè)體作為其個(gè)人信息控制者的權(quán)利。在保護(hù)用戶(hù)個(gè)人信息免受侵害的同時(shí)，鼓勵(lì)用戶(hù)積極舉報(bào)違規(guī)行為，發(fā)動(dòng)社會(huì)力量，推動(dòng)小程序規(guī)范健康發(fā)展。

　　近年來(lái)，我國(guó)高度重視移動(dòng)應(yīng)用程序（App）數(shù)據(jù)安全和個(gè)人信息安全工作，從法規(guī)標(biāo)準(zhǔn)、專(zhuān)項(xiàng)治理等多方面開(kāi)展安全治理工作，目前的監(jiān)督管理基本集中于App，鮮少涉及小程序。

　　在國(guó)家法律層面，《網(wǎng)絡(luò)安全法》明確了我國(guó)個(gè)人信息保護(hù)的基本原則，規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者的保護(hù)義務(wù)和責(zé)任。在政策法規(guī)層面，相關(guān)部門(mén)針對(duì)App業(yè)務(wù)特點(diǎn)制定細(xì)化規(guī)章落實(shí)國(guó)家法律。小程序的業(yè)務(wù)形態(tài)和用戶(hù)數(shù)量迅速發(fā)展，其個(gè)人信息收集使用愈加頻繁，對(duì)其開(kāi)展安全管理的必要性急劇上升。小程序和App在前端的表現(xiàn)形式不同，但后臺(tái)的服務(wù)器、數(shù)據(jù)庫(kù)通常是共用的，且小程序的功能往往不會(huì)超出App。因此，兩者收集和使用用戶(hù)個(gè)人信息也應(yīng)該適用同一套規(guī)則。

　　（信息服務(wù)部 牟艷霞）