為了遵守《個人信息保護法》、《信息安全技術、個人信息安全規(guī)范》等法律法規(guī)和國家標準的要求,主流小程序開放平臺逐步升級其個人信息保護管理策略,以履行其管理職責,對其在生態(tài)中的應用(包括小程序)收集用戶個人信息提出了嚴格要求,包括:
1.要求開發(fā)者采取合理措施,在開發(fā)者相關服務協議中保護用戶個人信息;
2.對需要獲取用戶個人信息的小程序實施更嚴格的準入審核機制;
3.將用戶的授權同意作為小程序調用接口獲取個人信息的前提;
4.限制小程序獲取某些類型用戶的個人信息。例如,提供小程序獲取生物認證信息的接口,限制小程序獲取用戶個人信息的頻率;
5.在處理用戶個人信息時,要求小程序開發(fā)人員采取一定的安全措施(如加密等);
6.要求小程序開發(fā)人員配置隱私協議(開放平臺將為小程序開發(fā)人員提供隱私協議模板),選擇需要申請的權限等。
鑒于開放平臺對小程序收集用戶個人信息的合規(guī)要求,個人開發(fā)人員認為,只要遵循開放平臺的規(guī)則,他們就已經履行了個人信息保護的合規(guī)義務。但是,遵循開放平臺制定的個人信息處理規(guī)范,只能防止小程序運營商免受開放平臺的處罰,不能證明他們已經全面有效地履行了個人信息保護的合規(guī)義務。
目前,開放平臺提供的隱私協議模板通常相對簡單,只需要小程序運營商根據小程序中相應的業(yè)務場景披露收集的信息和用途。然而,許多小程序運營商傾向于通過小程序收集用戶的個人信息和其他渠道(例如APP,線下渠道)收集的個人信息收集、整合、建模分析等。
如果用戶未在小程序的隱私協議和其他文件中通知用戶并獲得用戶同意,則上述相關信息處理行為也缺乏法律依據。小程序運營商應根據小程序處理個人信息的實際情況,起草隱私政策。以小程序為核心操作工具的運營商應更加關注其個人信息處理行為整個生命周期的合規(guī)性。