小程序个人信息保护研究报告

小程序个人信息保护研究报告 （2020 年）中国信息通信研究院安全研究所·南都个人信息保护研究中心 2020 年 6 月版权声明本报告版权属于中国信息通信研究院安全研究所和南都个人信息保护研究中心，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院安全研究所和南都个人信息保护研究中心”。违反上述声明者，将追究其相关法律责任。 编写团队编写单位： 中国信息通信研究院安全研究所 南都个人信息保护研究中心 编写组成员：（按姓氏笔画排序） 尤一炜、石莹、闫希敏、张则阳、张媛媛、彭志艺、 蒋琳、魏薇 前 言 随着移动互联网的进一步发展，“超级 App+小程序”成为移动互联网时代开发者探索的新模式。以微信、支付宝等移动应用程序（以下简称“App”）为代表的平台在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。2020 年新冠肺炎疫情以来，小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步推动其快速发展。 目前，小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化时代不可或缺的一部分。小程序在汇聚大量用户个人信息的同时也暴露一些在用户个人信息收集与使用方面的风险隐患。本报告在研判小程序发展趋势和社会经济影响的基础上，系统梳理总结小程序与 App 以及小程序平台的关系，并通过个人信息安全评测，重点分析目前主流小程序存在的个人信息安全风险隐患，最后从政府、企业、用户三方面研究提出小程序个人信息保护的对策建议。目 录一、 研究背景 ......................................................................................................... 1 （一）小程序定义及特点 ........................................................................................ 1 （二）小程序发展现状 ............................................................................................ 2 （三）小程序管理现状 ............................................................................................ 4 二、 小程序与 APP 和小程序平台的关系 ............................................................ 5 （一）小程序和 APP 的差异 .................................................................................... 5 （二）小程序和小程序平台的关系 ........................................................................ 6 （三）小程序和小程序平台的责任划分 ................................................................ 9 三、 小程序个人信息安全风险 ........................................................................... 12 （一）隐私政策评测 .............................................................................................. 12 （二）数据安全检测 .............................................................................................. 15 四、 对策建议 ....................................................................................................... 20 （一）规范层面，建议将小程序纳入个人信息保护管理范畴 .......................... 20 （二）企业层面，切实落实个人信息保护主体责任 .......................................... 21 （三）用户层面，提升使用小程序的个人信息保护意识和能力 ...................... 21 附 录............................................................................................................................ 22 小程序个人信息保护研究报告 1 一、 研究背景 （一）小程序定义及特点 近年来，受用户红利趋减、市场规模趋于饱和等影响，我国移动互联网用户增速在 2019 年 2 月已降至 5%以下，2019 年 2 月较 2018年 12 月仅增长 700 万用户1，基于存量市场的流量竞争形势愈发严峻。相较拥有庞大流量的“超级 App”，新 App 的发展情况更加不容乐观，就开发者而言，新 App 开发推广成本高、周期长、市场生存空间小；就用户而言，大量新 App 使用流量多、占用手机内存高、学习门槛高。为提升流量资源的分发效率，满足用户多样化需求，进一步挖掘用户价值，“超级 App+小程序”成为移动互联网时代开发者探索的新模式。以微信、支付宝等移动互联网应用为代表的平台，开始在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。小程序通常具备信息收集、资讯浏览、线上交易等功能，搭载于可承载轻型应用运行、具备流量分发功能、拥有庞大用户量的“超级 App”平台（以下简称“小程序平台”或“平台”），利用平台的技术优势和流量资源，在生活服务、政务公益、网络购物、旅游交通等领域提供便捷化服务。 小程序具备以下主要特点：一是功能简单。出于对小程序启动、加载速度的考虑，小程序平台严格限制小程序代码包大小，促使小程序业务逻辑简单，更加关注核心业务、主要功能的实现。二是使用便捷。用户通过搜索、点击、授权即可进入小程序获取服务，不需经历 1 数据来源：QuestMobile，《移动互联网全景生态流量洞察报告》 小程序个人信息保护研究报告 2 下载、安装、注册、卸载等过程，降低了用户的使用门槛。三是开发成本低。开发者利用小程序平台提供的开发工具，基于小程序平台框架，调用 API 接口，通过组件化编程即可开发具有原生 App 体验的小程序应用，节约开发时间和人力成本。 （二）小程序发展现状 移动互联网的持续渗透推动了数