小程序是一种全新的连接用户与服务的方式,可以在宿主App内快速地部署和传播,同时具有便利的使用体验。其最大的特点是“不安装”、“不下载”,依托拥有庞大流量和技术资源的超级App快速上线并向App积累的既存用户更好的提供服务。例如最常见的微信小程序和支付宝小程序就分别搭建在微信App和支付宝App中向用户更好的提供服务。
目前,法规层面对小程序尚未有一个明确的定义,参考小程序第一案中[2]对小程序的认定,“小程序是开发者独立运营的一组框架网页架构,只通过指定域名与开发者服务器通信,开发者服务器数据不保存于腾讯公司,开发者通过小程序直接向用户更好的提供数据和服务。”可知,小程序实质上是一种移动页面接入技术服务,虽然底层的开发和运行环境依赖于App平台(即宿主App)提供的操作系统和工具,但小程序内部的空间配置、页面布局、产品或服务内容等均由小程序运营者自行设置,有关数据也存储于小程序运营者的服务器中。通俗地说,可以将小程序视为以App为平台的轻量级应用。
在开发阶段和运行阶段,宿主App会向小程序开发者开放辅助开发的小程序开发者工具(如框架、组件和接口)供其调用,并为小程序开发者和用户之间提供信息接入通道。得益于宿主App的流量和技术上的支持,小程序开发和推广经营成本相较于全新开发一款App而言有显著的下降。
但也正因为小程序的开发和运行均依赖于宿主App环境,小程序关于接口调用、权限获取和管理、消息推送等方面要受制于宿主App,需要符合宿主App的开发者文档和各类规则,因此与App相比相关能力较为简单,运营过程也受宿主App限制。例如:小程序有权调用的API接口少于App;小程序可获取的权限少于App;小程序推送消息的渠道要少于App等。[3]
小程序运营者在向用户更好的提供服务过程中会收集、处理个人隐私信息,收集方式既可以从宿主App那里接受用户个人信息(如用户头像、昵称、ID)分享,也能够最终靠与用户交互直接采集个人隐私信息。而采集后的个人隐私信息存储于小程序运营者控制下的服务器中,由小程序运营者自行采取安全措施保障数据安全,用于小程序运营者自身的经营目的。从这一层面上看,小程序运营者构成《个人隐私信息保护法》项下的“个人隐私信息处理者”的身份应该毫无疑问。
我们注意到近些年立法和执法领域也关注到“小程序”这一新型应用。例如,《常见类型移动互联网应用程序必要个人隐私信息范围规定》《信息安全技术 移动互联网应用程序(App)收集个人信息基础要求》《网络安全标准实践指南—移动网络应用程序(App)收集使用个人隐私信息自评估指南》《移动互联网应用程序(App)个人隐私信息安全防范指引(征求意见稿)》等明确将小程序纳入了管理范围,赋以与App等同的监督管理要求。天津、海南、江西[4]等地网信部门将小程序视同为App进行监管,陆续通报了一些违规情形(具体可见问题八)。因此,App监管规定与合规要求同样适用于小程序,预计后续各地针对小程序的执法行动将更为频繁。
答案是肯定的。小程序作为移动应用程序的一类,具备收集用户个人隐私信息的功能和能力。根据《个人隐私信息保护法》的要求,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关事项。因此,对那些收集个人隐私信息的小程序运营者,应当及时公开隐私政策,并便于用户查阅和保存。
需要注意的是,如果个人信息处理者同时拥有小程序和App,而小程序与App的业务功能及收集的信息类型不完全一致,则需要为小程序专门定制个人信息处理规则,不可照搬App的隐私政策,否则同样容易受到监管部门质疑。
过度索权、强制收集信息、无法更改信息、未提供注销路径等都是小程序受到用户诟病和投诉的高频违背法律规定的行为。2021年,上海某餐饮公司的小程序通过强制消费者授权手机号码进行“扫码点餐”的方式非法收集了5893条消费者个人隐私信息,最终受到了市场监督管理局的警告和罚款。[5]
在《个人隐私信息保护法》下,用户依法享有充分的权利,包括查询、复制权,更正权,删除权等等。小程序运营者作为个人信息处理方应提供便捷方式供用户行使此类权利。实践中部分企业以“小程序运营平台不支持”、“版本不兼容”、“技术开发过于复杂”等理由拒绝或妨碍用户权利实现显然难以站得住脚。我们提议小程序运营者在开发过程中就将隐私合规理念考虑进去,设计简便易达的操作界面和自助行权按钮,方便用户行使其法定权利。
除了与小程序运营者密切关联的国家法律和法规外,还有一类规则在实践中容易遭到忽视,即App运营者公布的小程序平台规则。以微信小程序平台为例,目前微信官方出台了《微信小程序平台运营规范》《微信小程序平台服务条款》等平台规则和一系列开发者文档。《微信小程序平台运营规范》与《微信小程序平台服务条款》分别设有“15.用户隐私和数据规范”、“四、用户个人隐私信息保护”特别章节,要求小程序运营者严格遵守,如果小程序存在侵犯用户隐私等违背法律规定的行为,微信平台有权根据违规程度对该小程序封禁相应能力直至封号处理。此类服务协议和运营规范构成App平台与小程序运营者之间的具有法律约束力的协议,如小程序运营者未遵守协议,则构成违约,在大多数情况下要承担对应的违约责任。
值得注意的是,在协议之外,微信平台还会通过技术审核方式要求微信小程序开发者提升个人隐私信息保护水平。根据《用户隐私保护指引填写说明》,小程序开发者在开发阶段每次提交代码审核时,微信平台默认拉取小程序现网版本隐私协议,作为开发版本的隐私协议进入平台审核。若提交审核的开发版本,其隐私接口调用情况与隐私协议内容有出入,或隐私协议内容为空,则在提审时会提醒开发者进行更新。换句话说,只有当微信审核确认小程序开发者提交的代码、接口等与其隐私政策描述一致后,才允许小程序在微信平台上发布。
侵犯个人隐私信息行为既有民事方面的侵权责任,也有行政处罚责任,如果涉及非法获取或出售公民个人隐私信息达到规定情节的,还会引来刑事方面的法律责任。除此之外,小程序运营者可能还会面临来自App平台的违约索赔。
在小程序第一案中,法院认为腾讯公司仅为被诉小程序运营者提供基础性网络服务,腾讯公司既不存储小程序的数据,亦没办法进入开发者服务器查看或处理相关联的内容,因此不构成帮助侵权,不承担侵权责任。虽然该案主要围绕“信息网络传播权”展开,但也可以据此推断,当App平台对于小程序各类侵犯权利的行为处于主观上“不明知”且客观上也无技术能力进行干预的状态下,司法实践会倾向于认定由小程序运营者独自承担全部违法违约责任。
早在2018年12月,因小程序未公示用户个人隐私信息收集使用规则等情况,同程艺龙曾被工信部约谈并被要求整改,工信部同时还要求腾讯公司对所分发的应用小程序加强管理。[6]2020年以来,天津网信[7]、海南网信[8]共计通报了十几款小程序违法违规处理个人隐私信息的情况(详细的细节内容见下表)。从地方网信部门通报的违反相关规定的行为来看,小程序违规的主体问题与App类似,包括隐私政策层面、设备权限问题、页面中的敏感信息告知与单独同意机制、用户权利实现问题等。监管措施主要是要求限期改正。可见,小程序早已不再是“法外之地”。
3.未在隐私政策逐一列明小程序集成的第三方SDK收集使用个人隐私信息的目的、方式和范围;
1.收集详细地址、行程证明图(如机票、船票、火车票)等信息,未同步告知使用目的。
1.未按法律和法规规定提供删除、更正个人隐私信息功能,或未建立投诉、举报路径;
肯德基自助点餐、必胜客排队、友谊阳光城、电子票夹、街电、九毛九、快停科技、栖枝海口店、日月广场智能导航、学而思邀请有礼、易享住、海口就医、海南省人民医院共13款小程序
目前市场上已有一些事业单位和技术公司支持对小程序的技术检验测试,但其提供的检测工具侧重于安全漏洞方面的测试(一般不包含合规评估),且测试能力不一。我们提议小程序运营者选择具有较好资质和知名度的第三方检验测试的机构开展技术安全测评,同时对照有关法律和法规自行或者委托专业服务机构完成必要的合规自检。
我们建议小程序运营者主动做合规,将“Privacy By Design”理念融入到小程序开发环节,在系统、业务的设计与开发阶段即将个人隐私信息保护的方法与合规要求、平台规范等纳入考量。对于已开发上架的小程序,运营者应重视个人隐私信息保护的立法与监管动向,以及所依赖的App平台不时发布的运营规范与指引,定期对自身产品做安全与合规评估与自检,及时寻找合规差距并整改完善,必要时寻求外部法律和信息安全的支持力量。
[2] 杭州刀豆网络科技有限公司与长沙百赞网络科技有限公司、深圳市腾讯计算机系统有限公司侵害作品信息网络传播权纠纷一审民事一审判决书(2018)浙0192民初7184号
[6] 工业与信息化部信息通信管理局就用户个人隐私信息保护问题约谈同程艺龙,