专业文章 | 小程序的个人信息保护合规与备案

【珠海律师、珠海法律咨询、珠海律师事务所、京师律所、京师珠海律所】

本文作者：郭贺依律师

前言:

把微信界面向下拉，你会发现，使用过的小程序数量已经远超过手机里App的数量。随着互联网生态的演进，“轻量便捷”、“即点即用”的小程序已经越来越受大众的欢迎。甚至在同一个运营平台，微信小程序日活量已经有超过App日活量的趋势。小程序的应用场景极多，点餐、挂号、阅读、买菜……已渗透到我们生活的各方各面。在如此庞大的用户基数之上，小程序不可避免地迎来了个人信息保护监管的挑战。

本文，作者将围绕个人信息保护与隐私合规的视角，为小程序相关运营商提供合规思路。

本期目录：

一、小程序与App的区别，以及是否受到同等的监管？

二、小程序运营者应当关注的个人信息保护与隐私合规要点。

三、小程序违法违规的通报、处罚与后果。

四、最新监管要求之小程序的备案。

一、小程序与App的区别，以及是否受到同等的监管？

小程序是开发者独立运营的一种移动页面接入服务系统，是依托于开放平台开发的应用，具有“不安装”、“不下载”、“即点即用”的特点。例如，最为常见的微信小程序，就是以微信App这个生态系统作为开放平台，开发的各种功能的小程序。小程序开发者直接向用户提供数据和服务，采集到的用户数据也由小程序运营者的服务器存储，并不保存在腾讯公司。

从数据收集和存储的角度讲，App和小程序在收集方式、范围等方面就具有明显的区别。App一般通过操作系统提供的API获取用户个人信息，而小程序仅能通过开放平台提供的API获取用户个人信息。从这个角度看，因小程序获取的个人信息的范围不会超过开放平台本身允许的范围，因此，即使是同一家运营平台，小程序上收集的信息种类、频次等也都远远小于App。

其次，从可调取的权限的角度讲，App能够获取的手机系统权限多达100余项，而小程序获取的权限仍然受到整个开放平台本身规则的限制。

再次，从消息推送的渠道上看，只要用户同意接受通知，App可以随时随地为用户推送消息，而小程序只能在被用户主动订阅后进行推送，或者发送模板消息。从这个点考虑，一定程度上，小程序能屏蔽过度的广告营销，像是App的纯净版，提高实用性和使用效率，这可能这也是小程序的用户载量越来越多的原因之一。

综上，小程序和App最主要的区别，就在于前者更依赖开放平台。因此，小程序的个人信息保护与隐私合规所要注意的要点，不是比App更容易了，而是更多了。

二、小程序运营者应当关注的个人信息保护与隐私合规要点

1.小程序和App一样，受到等同的个人信息保护的监管要求

从主体身份而言，小程序运营者在向用户提供服务的过程中，会自行收集、存储、处理个人信息，从而实现运营者自身经营的目的，因此，构成《个人信息保护法》中的“个人信息处理者”的身份。

从监管要求上讲，《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》《网络安全标准实践指南-移动互联网应用程序（App）收集使用个人信息评估指南》等明确将小程序纳入同App等同的管理范围和监管要求上来。在每一批通管局违法违规情形通报中，也可以看到，很多小程序和App一样被进行了违规情形通报，并被要求整改。

2.小程序运营者需要公开提供并主动提示用户阅读隐私政策，切勿照抄照搬App的隐私政策

上文已明确，小程序属于个人信息处理者，依据《个人信息保护法》的要求，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息收集、处理等有关事项。

但如何理解“公开”和“主动”，笔者认为这是多数小程序运营者在实务当中都需要注意的问题。根据《App违法违规收集使用个人信息行为认定方法》规定“首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则”可被认定为“未公开收集使用规则”；而《网络安全标准实践指南-移动互联网应用程序（App）收集使用个人信息评估指南》也规定了“首次运行或用户注册时主动提示用户阅读隐私政策，例如可以采用通过弹窗、突出链接等主动方式提示用户阅读隐私政策。”在撰写文本的过程中，笔者随机筛选了不同类别的小程序，发现多数都是采取“登录、勾选即表示同意《隐私政策》”的方式（如图左），而采取弹窗等主动提示用户阅读《隐私政策》的小程序却寥寥无几（如图右）。这或许是未来小程序整改的高频部分。

3.根据小程序业务功能收集用户个人信息，禁止过度索权、强制收集、超范围收集

2021年，上海某餐饮公司的小程序通过强制消费者授权手机号码，进行“扫码点餐”的方式违法收集了5893条消费者个人信息，最终受到了市场监督管理局的警告和罚款。读到这里，不知道读者们有没有回想到，自己去餐馆扫码点餐的时候，是否被小程序要求过一键授权手机号登录，否则无法享受扫码点餐服务。

虽然这个案例是2021年发生的，但当下类似超范围收集、强制收集的违法违规情形并不少见。以用户手机号为例，在实践中，部分小程序用户刚进入小程序还未浏览任何内容，也未弹窗提示隐私政策时，即要求获取用户的手机号，或者是，只提供通过手机号登录、自动注册的方式（如下图）等等。

对此，小程序运营者应当注意：

（1）用户进入小程序后，可体验相关业务，不得在未展示任何信息的情况下，强制授权手机号等个人信息；

（2）用户正常浏览小程序板块或页面过程中，不得强制授权手机号等个人信息；

（3）如涉及购物下单、支付等需要授权手机号等个人信息的场景，应当明确向用户说明授权原由。

（4）重点参照GB/T 41391-2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中的附录A，判断自己的小程序属于那种常见类型，以及该类型小程序的基础业务功能可收集的个人信息范围。

（GB/T 41391-2022）

三、小程序违法违规的通报、处罚与后果

我们直接来看最新通报数据（如下图）。

（8月上海通管局）

通过这些被通报的数据，我们可以看到，目前各省市的监管对于小程序的整改力度之大，整改效率之高。现阶段，被通报的小程序多数是通报批评、限期整改，情况严重的，会进行停止运营、下架等处罚。同时，小程序的违法违规情形，通常会涉及侵犯个人信息行为，这一行为既有民事方面的侵权责任，也会有行政处罚责任，如果涉及到非法获取或出售公民个人信息达到规定情节的，还会面临刑事罪名的指控。

（2018）浙0192民初7184号判决系关于杭州某网络科技公司与腾讯公司的侵害作品信息网络传播权纠纷的“小程序第一案”。从这一判决中可见，目前司法实践亦会倾向于认定，当App开放平台对于小程序各类侵权行为处于主观上“不明知”且客观上无技术能力进行干预的状态下，由小程序运营者独自承担全部违法违约责任。

四、最新监管要求之小程序的备案

根据2023年8月4日工信部发布的《工业和信息化部关于开展移动互联网应用程序备案工作的通知》，要求小程序和App一样， 均需要在上架前统一备案，新开发的App和小程序，未完成备案的情况下之下，则不能投入使用。备案主要通过网络服务接入商，如阿里云、华为云、腾讯云等来完成，但已经做过ICP网址备案的，基本信息不用再填写，仅需针对App备案补充信息即可。

微信生态的小程序，已于2023年9月1日起开通备案系统，微信平台在通知中要求：若微信小程序未上架，自2023年9月1日起，微信小程序须完成备案后才可上架；若微信小程序已上架，请于2024年3月31日前完成备案，逾期未完成备案，平台将按照备案相关规定于2024年4月1日起进行清退处理。

备案操作：详见《小程序备案操作指引》

https://developers.weixin.qq.com/miniprogram/product/record_guidelines.html

结语：

由于小程序的信息处理重度依赖于开放平台，开放平台有能力直接限制小程序获取信息的方式和范围。笔者认为，在未来，小程序在应对监管与整治行动过程中，不仅需要关注合规要点，还应当预判与降低如开放平台因监管压力而限制或组织其获取用户个人信息对其运营所可能造成的影响。

最后，近期笔者也接受了大量App或小程序运营者的咨询，甚至有的App在已经受到监管部门通报后，仍然犹豫是否能由业务部门工作人员依据通报的问题做点对点的整改以应付了事，此种态度令人遗憾。再次提醒，这一部分的个人信息保护与隐私合规务必需要引起开发者和运营者的重视，App和小程序所面临整改的合规专项工作难度和专业壁垒，并非想象中那么简单，同样的，运营者所面临的监管责任，也不仅仅是通报、责令改正那么轻微。

作者介绍

郭贺依

北京市京师律师事务所律师

EXIN-DPO

数据安全师

企业合规师（高级）

中国中小企业协会调解员