2020年小程序个人信息保护研究报告.pdf

小程序 个人信息保护研究报告 （ 2020 年）中国信息通信研究院安全研究所南都个人信息保护研究中心 2020 年 6 月版权声明本报告 版权属于 中国信息通信研究院 安全 研究所 和南都个人信息保护研究中心，并受法律保护 。 转载、摘编或利用其它方式使用 本 报告 文字或者观点的，应 注明 “ 来源： 中国信息通信研究院 安全 研究所 和南都个人信息保护研究中心 ” 。违反上述声明者，将追究其相关法律责任。 编写团队编写单位： 中国信息通信研究院安全研究所 南都个人信息保护研究中心 编写组成员：（ 按 姓氏笔画排序） 尤一炜、石莹、闫希敏、张则阳、张媛媛、彭志艺、 蒋琳、魏薇 前 言 随着移动互联网的进一步发展， “超级 App+小程序 ”成为 移动互联网时代开发者探索的新模式。以微信、支付宝等移动应用 程序 （以下简称 “App”） 为代表的平台在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。 2020 年新冠肺炎疫情以来，小程序 也 成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步推动其快速发展。 目前， 小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化 时代 不可或缺的一部分 。 小程序 在 汇聚大量用户个人信息的 同时也暴露一些在用户个人信息收集与使用方面的风险隐患。本报告在研判小程序发展趋势和社会经济影响的基础上，系统梳理总结小程序与 App 以及 小程序平台的关系，并通过个人信息安全评测，重点分析目前主流小程序存在的个人信息安全风险隐患，最 后从政府、企业、用 户三方面研究提出小程序个人信息保护的对策建议 。目 录一、 研究背景 . 1 （一）小程序定义及特点 . 1 （二）小程序发展现状 . 2 （三）小程序管理现状 . 4 二、 小程序与 APP和小程序平台的关系 . 5 （一）小程序和 APP的差异 . 5 （二）小程序和小程序平台的关系 . 6 （三）小程序和小程序平台的责任划分 . 9 三、 小程序个人信息安全风险 . 12 （一）隐私政策评测 . 12 （二）数据安全检测 . 15 四、 对策建议 . 20 （一）规范层面，建议将小程序纳入个人信息保护管理范畴 . 20 （二）企业层面，切实落实个人信息保护主体责任 . 21 （三）用户层面，提升 使用小程序的个人信息保护意识和能力 . 21 附 录 . 22 小程序个人信息保护研究报告 1 一、 研究背景 （一） 小程序 定义及特点 近年来，受用户红利趋减、市场规模趋于饱和等影响，我国移动互联网用户增速在 2019 年 2 月 已 降至 5%以下， 2019 年 2 月较 2018年 12 月仅增长 700 万用户 1， 基于存量市场的 流量竞争形势愈发严峻 。相较 拥有庞大流量的 “超级 App”，新 App 的发展情况 更加 不容乐观， 就 开发者 而言 ，新 App 开发推广成本高、周期长、市场生存空间小； 就 用户 而言 ，大量新 App使用 流量多、占用手机内存高 、学习门槛高 。为提升流量资源的分发效率，满足用户多样化需求，进一步挖掘用户价值， “超级 App+小程序 ”成为移动互联网 时代 开发者探索 的新模式。 以微信、支付宝等移动互联网应用为代表的平台，开始在其应用中搭载第三方小程序，丰富向用户提供服务的形式和内容。小程序通常具备信息收集、资讯浏览、线上交易等功能，搭载于可承载轻型应用运行、具备流量分发功能 、 拥有庞大 用户量 的“超级 App”平台 （以下简称“小程序平台”或“平台”） ，利用平台的技术优势 和 流量资源，在生活服务、政务公益、网络购物、旅游交通等领域提供便捷化服务。 小程序具备以下主要特点：一是功能简单。出于对小程序启动、加载速度的考虑，小程序平台严格限制小程序代码包大小，促使 小程序业务逻辑简单，更加关注核心业务 、 主要功能的实现 。二是使用便捷。 用户通过搜索、点击、授权即可进入小程序 获取服务 ，不需 经历1 数据来源： QuestMobile，移动互联网全景生态流量洞察报告 小程序个人信息保护研究报告 2 下载、安装、注册、卸载等过程， 降低 了用户的使用 门槛 。 三是开发成本低。开发者利用小程序平台提供的开发工具，基于小程序平台框架，调用 API 接口，通过组件化编程即可开发具有原生 App 体验的小程序应用 ，节约开发时间和人力成本。 （二） 小程序 发展现状 移动互联网的持续渗透推动了数字经 济的快速发展，用户的需求呈现多样化趋势，小程序得以快速普及和应用，其数量和用户量持续增长 。 截至 2019 年 11 月， 小程序 总 量超过 450万，日活跃用户突破3.3亿 2，已 成为人们日常生活中获取互联网服务的主要载体。 用户粘度提升，小程序成为常用互联网服务入口。 2019年人均使用小程序数量和时长持续增长，用户使用互联网服务的方式已发生转变。据统计， 2019 年人均使用小程序数量超过 60，多于同期人均安装 App个数 2；支付宝小程序用户次日留存率超过六成，微信小程序次日留存率超过五成 3，小程序发展初期用户留存难的问题得到改善，用户粘度的提升加深用户对小程序的信任和依赖，小程序成为用户获取互联网服务的常用载体。 疫情期间小程序发展迅速，助力疫情防控工作。 2020 年新冠肺炎疫情的爆发推动了小程序的发展，截至 2020 年 3 月， 月 活跃用户数大于五百万的微信 小程序 数量升至 317 个， 较 2019 年 12 月提升61.7%4。 小程序成为政府机关、医疗机构、 企事业单位 、社区学校疫2 数据来源 ：阿拉丁研究院， 2019 年小程序互联网发展白皮书 3 数据来源：即速应用，小程序 2019 行业年中增长研究报告 4 数据来源： QuestMobile，中国移动互联网春季大报告 小程序个人信息保护研究报告 3 情防控的重要工具， 借助于 小程序 的 疫情防控数据填报、疫情新闻传递、疫情信息查询、在线医疗问诊、健康码申报管理等功能，有效推动疫情防控管理 工作，提升在线 医疗服务效率 ，保障 线上复工复产。 小程序实现生活场景和适龄人口全覆盖，融入用户日常生活。 截至 2020 年 4月，各平台内小程序覆盖 11 大类型，从小游戏、视频影音为代表的娱乐类应用到教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用，涵盖民众日常生活中的常见场景。小程序的用户群覆盖各个年龄区间，其中 30-39 岁用户占比最多达到 27.4%，生活服务、网络购物、日常工具、视频影音类小程序在不同年龄段用户群体中使用频率较高。 数据来源：阿拉丁研究院 2019年小程序互联网发展白皮书 图 1 2019年小程序 用户年龄分布 小程序连接线上线下场景，助推消费提质升级。 以小程序为载体3.9%17.8% 17.5%27.4%18.6%14.8%0.0%5.0%10.0%15.0%20.0%25.0%30.0%17岁及以下 18-24岁 25-29岁 30-39岁 40-49岁 50岁及以上小程序个人信息保护研究报告 4 的互联网零售业消费规模进一步加大， 2019 年小程序交易金额超过12000 亿，同比增长超过 100%5。 2019年 4 月，同程旅游 97.2%的流量来自于微信小程序，淘票票 79.5%流量来自于支付宝小程序 6。新冠肺炎疫情期间，线下服务行业业务受阻，小程序在迅速崛起的新型“宅经济”中扮演重要角色，数据显示， 2020 年 3 月上旬，小程序点餐相比 2 月上旬增长 322%。小程序凭借其线上线下枢纽功能，持续赋能“无接触”商业模式，有效提升用户消费体验和商家服务效率。 小程序初步建立生态体系，平台各有所长、特点鲜 明。 2019 上半年，小程序平台从 2018 年的 2 家扩充至 8 家，腾讯、阿里、百度、字节跳动等多家头部互联网企业开始小程序布局。微信小程序平台利用其社交属性，涉及小程序种类广泛，先发优势明显；支付宝小程序平台着重消费与金融场景，以生活服务、商业服务类型为主；百度小程序平台以搜索、信息流形式结合人工智能实现小程序智能推荐；今日头条小程序平台为小程序提供多种流量入口，利用资讯浏览业务形态优势，通过信息流推荐小程序。 （三） 小程序 管理现状 近年来，我国高度重视移动应用程序（ App）数据安全和个人信息安全工作，从法规标准、专项治理等多方面开展安全治理工作。 目前的监督管理基本集中于 App，鲜少涉及小程序。 在国家法律层面，网络安全法明确了我国个人信息保护的基本原则，规定网络运营者的保护义务和责任。在政策法规层面，相关5 数据来源：阿拉丁研究院， 2019 年小程序互联网发展白皮书 6 数据来源： QuestMobile，移动互联网全景生态流量洞察报告 小程序个人信息保护研究报告 5 部门针对 App 业务特点制定细化规章落实国家法律。 2013 年 7 月 ，工业和信息化部公布电信和互联网用户个人信息保护规定，明确了行业内个人信息的保护范围、个人信息收集使用原则等内容。 2016年 6 月 ，国家互联网信息办公室发布移动互联网应用程序信息服务管理规定，要求移动互 联网应用程序提供者保护用户信息安全，依法履行相关义务。 2019 年 12月， 国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合印发 App 违法违规收集使用个人信息行为认定方法 ，明确细化了 App 违法违规收集使用个人信息行为 标准。 小程序的 业务形态和用户数量迅速发展， 其 个人信息收集使用愈加频繁，对其开展安全管理的必要性急剧上升。 不少平台运营者出于管理的需求，参考 App个人信息保护相关工作，对平台内小程序进行安全管理 。 随着小程序与民众日常生活进一步融合，为提供更加个性化的服务，小程序在开展业务的过程中难免会涉及更多的用户个人敏感信息，用户在享受便捷化服务的同时将面临潜在安全隐患，亟需梳理分析小程序目前存在的数据安全和个人信息安全风险 ，针对性提出对策建议，推动 提升小程序安全保障能力，促进小程序健康有序发展。 二、 小程序与 App 和小程序平台的关系 （一）小程序和 App的差异 小程序的开发以及运行均基于小程序平台，这使得小程序具备无需安装、使用便捷等优点的同时，在接口调用、权限获取和管理、消息推送等方面受限于小程序平台，与 App 相比相关能力较为简单。