2020年6月11日，中国信息通信研究院安全研究所联合南都个人信息保护研究中心编写的《小程序个人信息保护研究报告》正式发布。该报告聚焦信息服务新兴业态，重点研究小程序最新发展趋势与个人信息保护风险隐患，旨在加强小程序个人信息保护，推动小程序规范健康发展。

　　报告指出，随着移动互联网的进一步发展，“超级App+小程序”成为开发者探索的新模式。以微信、支付宝等移动应用程序为代表的平台在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。2020年新冠肺炎疫情以来，小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步助推了其快速发展。小程序在汇聚大量用户个人信息的同时也暴露了一些在用户个人信息收集与使用方面的风险隐患，需进一步加强政府、企业、用户的多方协同，形成小程序个人信息保护体系。

　　提供独立隐私政策的小程序不足四成

　　报告对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行了测评，结果显示，只有38.5%被测小程序提供了独立的隐私政策，而且94%未向用户告知如何关闭已授权权限路径。报告指出，即使提供了隐私政策，少数小程序也存在链接无效的情况，用户同样无法得知个人信息收集使用规则。在21个提供了隐私政策的小程序中，绝大多数采用的都是“登录即同意”的方式征得用户同意，只有极少数需要用户主动勾选同意。其中政务公益、日常工具、体育健身、医疗健康类小程序的问题较为严重。

　　数据收集、传输、授权、删除各环节均存安全风险

　　报告指出，在数据安全检测方面，每款小程序平均约存在3个问题，其中教育文化、旅游交通、新闻资讯、生活服务类小程序个人信息保护问题较为突出，主要问题集中在收集、删除、传输等环节。

　　在信息收集方面，报告指出，某些小程序存在超范围收集个人信息，带来数据违规收集风险。例如，某防疫类小程序除获取个人姓名、身份证号等敏感信息外，还需进行人脸识别，获取大量人脸信息。而在实际线下防疫工作中通过姓名、身份证号再配合真人及身份证查验，在不获取人脸信息的情况下可保证信息的准确性。

　　而在数据传输过程中，报告显示，约有四分之一的被测小程序明文传输个人信息甚至个人敏感信息。这给网络黑客提供了攻击截获传输数据包，进行数据窃听、数据篡改、身份伪造的可能。小程序运营者应采取加密等技术措施，确保数据即使被恶意泄露或截获也难以被破解。

　　在授权方面，报告团队实测发现，94%被测小程序未向用户告知如何关闭已授权权限路径，这可能导致用户在使用完小程序后仍然将一些权限开放给小程序；约25%的小程序在用户关闭“用户信息”授权后再次进入，仍显示上次授权时的个人信息，这可能导致小程序在用户已经解除授权的情况下继续收集使用用户个人信息，存在个人信息滥用风险。

　　经检测，超过一半的小程序未提供删除个人信息渠道，用户使用小程序填写个人信息后，小程序未对相关个人敏感信息的后续处理提供说明，或者为用户提供删除或匿名化个人信息的渠道。报告指出，尽管小程序功能简单，绝大多数基于小程序平台账号进行服务，可能无法提供单独的注销账号服务，但也应赋予用户控制个人信息的权利，否则可能带来个人信息过度留存的风险。

　　多方协同，共建小程序个人信息保护管理系统

　　针对上述问题，报告建议，应加强政府、企业、用户的多方协同，形成小程序个人信息保护管理体系。在政策层面，应明确将小程序纳入数据安全及个人信息保护管理范畴，研究制定个人信息安全保护指南规范，明确小程序与小程序平台之间的主体责任划分等；在企业层面，应切实落实个人信息保护主体责任，一方面小程序运营者主动开展数据安全及个人信息保护自评估工作，另一方面小程序平台运营者进一步加强对搭载其上的小程序的管理工作；在用户层面，应提升使用小程序的个人信息保护意识和能力，使其明确个体作为其个人信息控制者的权利。在保护用户个人信息免受侵害的同时，鼓励用户积极举报违规行为，发动社会力量，推动小程序规范健康发展。

　　近年来，我国高度重视移动应用程序（App）数据安全和个人信息安全工作，从法规标准、专项治理等多方面开展安全治理工作，目前的监督管理基本集中于App，鲜少涉及小程序。

　　在国家法律层面，《网络安全法》明确了我国个人信息保护的基本原则，规定网络运营者的保护义务和责任。在政策法规层面，相关部门针对App业务特点制定细化规章落实国家法律。小程序的业务形态和用户数量迅速发展，其个人信息收集使用愈加频繁，对其开展安全管理的必要性急剧上升。小程序和App在前端的表现形式不同，但后台的服务器、数据库通常是共用的，且小程序的功能往往不会超出App。因此，两者收集和使用用户个人信息也应该适用同一套规则。

　　（信息服务部 牟艳霞）