小程序审核标准 第1篇
对于企业如何保护个人信息安全,《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称“《个人信息安全规范》”)在《网络安全法》框架下作出了大量细化规定。在监管实践中,尽管其仅为推荐性国家标准,但频繁为监管部门援引,[2]系监管部门监管实践中的重要指引,也是企业个人信息合规的重要参考。小程序运营者系《个人信息安全规范》第条规定的个人信息控制者,即“有能力决定个人信息处理目的、方式等的组织或个人”,故《个人信息安全规范》亦是小程序运营者开展个人信息合规工作的重要参考。
小程序审核标准 第2篇
根据《网络安全法》、《个人信息安全规范》等相关法律、国家标准规定,就获取用户对收集使用其个人信息的同意的方式上,小程序的合规要求同App并无本质区别。然而,实践中仍普遍存在部分小程序未通过明显方式提示用户阅读隐私政策等收集使用规则、未逐一列出收集使用个人信息的目的、方式和范围以及在收集个人敏感信息或请求打开相关权限时未同步向用户说明收集使用目的的情形。在我国现有法律框架下,合法有效的用户同意是收集、处理个人信息的合法性基础。若小程序运营者未能采取适当的方式获得用户同意,则其收集、使用用户个人信息行为可能面临相应的合规风险。
基于此,对于获得用户对收集、使用其个人信息的同意,建议在用户注册或授权登录前主动弹窗提示用户阅读隐私政策,并在征求用户同意时避免采用默认勾选同意、登录即代表同意等非明示方式。对于调取地理位置等设备权限的,建议小程序运营者在向用户弹窗提示的同时同步在弹窗中说明收集相应个人信息的目的。
小程序审核标准 第3篇
在明确应当制定并公开隐私政策的前提下,对于兼有App和小程序两类业务渠道的运营者而言,小程序个人信息合规中的另一个常见问题即是,小程序隐私政策的内容能否同App隐私政策的内容保持一致。
当前实践中,许多小程序运营者即使在小程序中配置了隐私政策,其隐私政策往往同App中所配置的隐私政策保持一致,而非针对小程序所定制。诚然,小程序和App后台的服务器和数据库通常是共用的,但App和小程序在很多涉个人信息的场景下的个人信息处理活动存在明显区别。
例如,在用户注册环节,App一般直接收集用户个人信息,而部分小程序内部可能无单独的账户体系,收集的是用户留存在平台、由平台通过API等方式共享的个人信息。同时,实践中,小程序的功能一般较App更为简单,这意味着App的隐私政策中部分业务功能及其对应收集的个人信息可能同小程序不相匹配。
基于此,在开展小程序个人信息合规的过程中,建议小程序运营者针对性地制定适用小程序自身业务功能需要的隐私政策。