在外出就餐时,您是否遇到过不关注商家的微信公众号、不授权商家获取个人信息就不能进行点餐的情况?这样的做法是否涉嫌侵权?近日,北京市第三中级人民法院对一例个人信息保护纠纷作出了终审判决。
孔某至某餐饮公司用餐时,通过手机扫码进入商家小程序进行了线上点餐并结账,在这一过程中,孔某必须先关注商家的微信公众号,授权商家获取其微信昵称、头像、手机号码等信息并注册成为商家会员后才能点餐,若不同意授权商家获取前述信息,则无法进行线上点餐。此外,孔某点餐后发现,即使取消关注商家的微信公众号,自己的个人信息仍存储在商家处,无法自行删除,孔某遂将某餐饮公司诉至法院。北京市第三中级人民法院认定商家在扫码点餐环节设置关注微信公众号、获取个人信息授权的前置程序属于变相强制获取消费者个人信息的行为,构成侵权,判决某餐饮公司停止侵害、赔礼道歉并赔偿孔某公证费用5000元。
微信小程序侵害个人信息被通报的类型统计及相关监管规定
近年来,移动互联网小程序以其“无需下载、无需安装、不占内存、用完即走”的特点深受广大企业的欢迎,但也成为网络违法违规活动滋生的温床,其中缺乏或未完善隐私政策、未建立健全用户信息安全保护机制、违法违规收集使用个人信息的行为尤其突出。以微信小程序为例,2022年至2023年工信部发布的《关于侵害用户权益行为的APP(SDK)通报》统计中,违规收集个人信息,强制、频繁、过度索取权限等违规行为屡见不鲜,屈臣氏、小象充电等常见的微信小程序纷纷被点名。
在监管规定方面,除了大家所熟知的《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》“三驾马车”外,工信部信管函〔2020〕164号文在把APP服务提供者纳入整治对象时,将包括快应用和小程序等新应用形态也纳入其中,因此,适用于APP的标准和规定将逐渐被运用于小程序合规审查。此外,小程序运营者还应参考《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》等规定和标准。
若未完善数据合规而造成用户个人信息泄露的,小程序或将被下架,小程序运营者可能还面临行政责任、民事责任,如果涉及非法获取或出售公民个人信息达到规定情节的,还会面临刑事方面的法律责任。
小程序对于用户个人信息处理的合规风险点及应对
根据各地监管机关对小程序的违规通报及我们的经验,企业作为小程序运营者应当先从以下几个层面开展个人信息数据合规自查自纠自整:
| 合规风险审查层面 |
主要合规风险点 |
整改建议 |
| 1.缺乏或未明显提示隐私政策 |
(1)未设置或无法访问隐私政策 |
1.制定合法完备的隐私政策并合理提示用户: (1)严格遵守国家法律法规及平台关于用户隐私的规则,配置并同步更新企业个人信息隐私政策规则和安全保护措施; (2)采用用户隐私授权弹窗提示用户阅读个人信息处理规则; (3)在用户首次使用或注册小程序时提示用户勾选“同意”,而非以用户注册的方式默认同意、使用小程序功能默认同意等方式获取用户同意; (4)在隐私政策中明示收集使用个人信息的目的、方式和范围,不得率先申请获取权限收集个人信息; (5)应当在隐私政策规则等公示文本中逐一列明第三方SDK处理个人信息的目的、方式和范围。 |
| (2)未通过弹窗等方式明示用户阅读隐私政策 |
||
| (3)未征得用户同意,用户首次打开小程序即默认勾选隐私政策 |
||
| (4)未申请用户同意隐私政策,提前申请获取权限 |
||
| (5)未在隐私政策等公示文本中逐一列明小程序所集成第三方软件开发工具包(SDK)收集使用个人信息的目的、方式和范围 |
||
| 2.违规收集或处理个人信息 |
(1)收集用户个人信息未清晰同步告知用户收集个人信息的目的、方式和范围 |
2.收集和处理个人信息需获取授权并明示用户: (1)遵循个人信息最小必要原则,企业对于小程序各功能、业务环节进行调研评估,确定可能收集处理的个人信息目的、方式和范围,制定独立的个人信息处理规则并同步告知用户; (2)应当确保敏感个人信息的采集均与服务功能相关,需要经过用户的单独同意,可同步建立弹窗明示用户同意,不可采取“一揽子同意”的方式; (3)在隐私政策中披露共享个人信息的具体情况,并附上其他应用+隐私政策链接。或将个人信息去标识化、匿名化,再进行流转可防止数据泄露; (4)应当保证权限调取均与服务功能相关,当用户拒绝无关权限时,仍可以正常使用其他功能,用户拒绝授权后,不宜频繁反复申请权限; (5)不得以“小程序运营平台不支持”“版本不兼容”“技术开发过于复杂”等理由强制用户授权。 |
| (2)敏感数据的超范围收集(通讯录、实时位置、身份证、人脸信息等)未经用户单独同意 |
||
| (3)未经用户同意,与其他应用共享、使用用户个人信息(设备识别信息、商品浏览记录、搜索使用习惯等) |
||
| (4)因用户不同意开启非必要权限,拒绝展示业务功能,或用户拒绝后频繁弹窗申请权限 |
||
| (5)以改善服务质量为由强制用户授权 |
||
| 3.未设置权利救济或为用户设置救济障碍 |
(1)无法注销账号或删除、更正个人信息 |
3.采取合理便捷的权利救济方式: (1)为用户提供有效的信息更正、删除、注销账号入口,账号注销时需要用户提供的个人信息,不得超过用户注册及使用小程序期间所提供的信息。账号注销后,应及时删除用户信息,或对相关个人信息进行去标识化处理,使其不可被检索、访问。 (2)须建立或公布个人信息的投诉、举报渠道,在小程序页面中予以公示; (3)应建立投诉管理机制和投诉跟踪流程,及时响应用户请求。需要人工处理的,需根据不同情形在承诺时限内(不超过15个工作日)核查和处理。 (4)应在《隐私政策》中向用户告知定向推送的功能并对定向推送显著标示,同时提供关闭定向推荐的选项。 |
| (2)未建立或公布个人信息投诉、举报路径 |
||
| (3)超期处理投诉、举报 |
||
| (4)强制用户使用定向推送功能且不提供关闭该功能的选项 |
除了上述情形,小程序运营者还需依法履行许可(备案)义务。根据《互联网信息服务管理办法》第四条规定,未取得许可或者未履行备案手续的,不得从事互联网信息服务。以微信小程序为例,尚未上架的微信小程序,自2023年9月1日起,须完成备案后才可上架;若微信小程序已上架,应于2024年3月31日前完成备案,逾期未完成备案,平台将按照备案相关规定于2024年4月1日起进行清退处理。对于已开发上架的小程序,运营者应密切关注个人信息保护的立法与平台规则动向,定期进行安全与合规评估与自查自纠。
小程序合规的实务建议
继《网络安全法》《个人信息保护法》《数据安全法》颁布实施以来,我国对网络数据安全及个人信息保护的规则及监管的重视程度不断提高,这些法律的实施对于企业的数据合规提出了更高的标准。企业在借助数字经济快车的同时也应当建立健全数据合规体系,包括合规制度、技术措施和组织架构,确保个人信息的合法性、安全性及隐私权益得到有效保护。自觉遵守并全面履行相关法律法规及开放平台的规则,企业应主动提高数据安全和隐私保护水平,以此赢得用户和市场的信任,为企业的健康长足发展保驾护航。
针对小程序的合规要求,建议企业还应做到:
1.分级分类保护数据安全
建立数据的分类机制,区别重点和一般数据,对于敏感信息的数据,要采取加密、设定权限等方式进行管理。
2.增设企业数据安全的规培活动
制定数据操作规程,明确责任部门与人员,构建以技术和制度组成的防火墙,加强数据安全的教育培训,避免数据“泄露”。
3.制定企业数据安全应急预案
制定应急预案,是为了让企业有应对数据安全风险的能力,应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。
综上所述,小程序个人信息合规是企业数据合规中的关键一环,将小程序作为运营工具的经营者都应关注其个人信息处理行为全生命周期的合规性。
企业小程序合规审查的参考:
范本:《隐私政策》、个人信息保护字段等可参考《GB/T35273-2020信息安全技术个人信息安全规范》的附录D、附录A/B。