2020年3月16日，天津网信办通报七款应用违法违规收集使用个人信息，其中五款应用存在无隐私政策的问题。值得注意的是，在这五款应用中，三款为小程序。

如今，小程序种类繁多，功能多样。尽管上述通报指出小程序无隐私政策的问题，但业界存在疑问：对于小程序的定性还存在争议，它需要设置隐私政策吗？

同款App和小程序收集、使用的信息近乎相同

凭借“免下载、低成本”等优势，小程序日益深入人们的生活当中。

所谓小程序，是一种不需要下载、安装即可使用的应用。用户扫一扫或搜一下就可打开应用，用完即走，无须卸载。

与独立存在的App不同，小程序需要依附其他平台。但两者在提供服务、实现功能时，都需要收集、使用用户的个人信息。

比如，隐私护卫队在某平台里体验一款提供同城速递服务的小程序，一点进去，其立即弹窗申请获取地理位置，附带小字解释说“使用您的定位，以获取准确的订单起点”。

小程序申请获取地理位置

在下单过程中，用户需提交发件人和收件人的姓名、联系方式、地址等信息。

等到支付时，小程序要求用户完成注册。此时，用户有两种选择，一种是“授权登录”，小程序会获取用户在平台绑定的手机号；另一种是“手机号验证码登录”，用户需提交手机号和短信验证码。

注册之后，小程序提醒，根据《邮政法》等相关法律规定，用户需上传个人身份信息，包括姓名和身份证号，完成实名认证。

小程序提醒用户实名认证。

同时，隐私护卫队体验同款App。结果发现，App和小程序的操作流程相似，比如一开始都要求授权地理位置；为实现速递业务，都需要收集发件人和收件人的信息以及实名认证。

下单需提交收发件人的信息。

对于用户而言，无论是使用小程序还是App，需提交的个人信息基本相同。不同的是，小程序可通过平台间接获取用户信息，比如“授权登录”注册方式，小程序是从平台获取用户手机号。

受测App都有隐私政策，而对应小程序一半无隐私政策

在体验上述提供同城速递服务的小程序时，隐私护卫队发现，App 在初次打开时会立即弹窗显示用户协议和隐私政策；并且，注册账号过程中，用户还可以查看上述文件。而小程序只有在使用“手机号验证码”注册账号时，用户才能看到用户协议，但没有隐私政策。

为粗略估计小程序设置隐私政策占比率，隐私护卫队检测了三款视频应用小程序，结果只有一款有隐私政策；在四款购物小程序中，只有两款有隐私政策；三款叫车服务小程序中，尽管它们都含隐私政策，但其中一款的隐私政策并未介绍收集使用个人信息的类型、目的、方法等内容；而在对应App中，隐私政策内容详尽，区分个人信息和个人敏感信息，甚至用表格介绍App所需权限及对应的功能。

某叫车应用小程序和App的隐私政策对比。左侧为小程序的隐私政策

严格来讲，上述十款小程序的隐私政策设置率为50%；值得注意的是，它们对应的App都有隐私政策。

律师建议小程序设置隐私政策，但不能完全照搬App

环球律师事务所合伙人孟洁对隐私护卫队表示，虽然小程序嵌套在其他平台中，但收集个人信息的还是小程序运营者本身。由此来看，小程序需受到网安法等法规的约束，它“需要隐私政策”，以告知用户信息收集、使用的规则、目的等内容。

“按照相关规定，只要企业涉及到收集个人信息，都应该有隐私政策，并且得到用户同意。”北京玺泽律师事务所高级合伙人程贞持相同意见。

《网络安全法》规定，网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

国家标准《信息安全技术 个人信息安全规范》明确要求，个人信息控制者应制定个人信息保护政策（习惯称隐私政策），内容包括个人信息的收集方式、存储期限、共享、转让等。

同时，孟洁强调，小程序不能完全照搬App的隐私政策。她解释说，App和小程序的很多场景是有区别的，比如App从注册就开始直接收集用户信息，而小程序可能是收集平台共享的信息。

无论是四部委联合开展的App违法违规收集使用个人信息专项治理活动，还是工信部开展的整治活动，监管机构要求产品的隐私合规设计需和实际功能相符合，充分保障用户的知情权。“如果把App的隐私政策放到小程序上，是有风险的。”孟洁指出，小程序的隐私政策必须吻合其本身的功能。

具体如何做，北京市中伦律师事务所律师吴佳蔚建议说，小程序种类繁多，针对非常简单的，仅基于提供服务的必要收集很少类型的个人信息且后续使用不会对个人信息主体产生负面影响的，未超出用户合理期待的，进行基本的告知和说明即可；复杂的小程序，具有多样收集信息场景的，则需要更完整的隐私政策。

虽然目前“对于小程序的定性（是App的附属功能还是视为一类单独应用等）仍存在争议，但处于谨慎的角度，我们会建议企业参考App相关规定进行整改。”吴佳蔚说。

其实，因未公示个人信息收集使用规则，小程序被官方通报的事件早有先例。隐私护卫队注意到，2018年12月，因小程序中“12306畅行会员”服务存在默认开通会员协议等情况，同程艺龙被工信部约谈。值得注意的是，工信部在通报中还强调，同程艺龙小程序存在未公示用户个人信息收集使用规则等问题。同时，平台方被要求加强小程序管理。

对于集成小程序的平台，吴佳蔚认为，其可在小程序跳转启动时告知用户共享信息的类型、目的等内容并获得用户授权；其他收集信息的情形可以结合双方的合作关系，进行适当的提示并由用户确认，例如开启权限等。

《个人信息安全规范》规定，个人信息控制者共享信息时，应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。

文/南都个人信息保护研究中心研究员 尤一炜

编辑：蒋琳