小程序隐私政策怎么弄

来源:数据何规

文章摘要
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「小程序隐私政策怎么弄」
「统一账户体系的合法性基础」
「多主体SCC备案」
「加密传输要求」
「视听证要求」
小程序隐私政策怎么弄
-问:微信小程序现在统一要求开发者隐私政策模版和弹窗,这个大家伙哪家微信小程序多,碰到了吗?弹窗展示上,要求展示开发者统一模板的隐私政策,可是那玩意儿很粗糙,我们自己也写了隐私政策。一开始我以为只是调用头像,昵称手机号弹出,但是现在看来微信模板隐私政策覆盖手机权限,这个描述会和我们自己写的隐私政策有重复哇,但是实务上还不得不按照微信模板来还得展示,想问各位这种就是小程序应付下平台不管了还是后面老实一起展示了。
-答1:我理解是后者。
-答2:我也倾向后者,但是用户应该会迷迷的。我最近才收到产品求助,估计是迭代碰到了。
-答3:不用按照微信的模板展示,那个说是参考,可以展示自己的隐私政策,他们关注的重点是通过微信隐私接口调用用户信息前需要弹窗取得同意。这点我问过,可以让你们小程序的业务同学和微信侧再确认下。
-答4:碰到了,2023年9月15日起,对于涉及处理用户个人信息的小程序开发者,微信要求,仅当开发者主动向平台同步用户已阅读并同意了小程序的隐私保护指引等信息处理规则后,方可调用微信提供的隐私接口。看这里:关于小程序隐私保护指引设置的公告。

-答5:微信小程序和支付宝小程序还不太一样,支付宝小程序支持开发者自定义隐私政策,但是微信即便开发者提供了自定义的隐私政策,在进入微信小程序之后的某些环节微信的隐私政策模板还是会出现。
-答6:没错,我就在想能不能省点力以后,现在用自己定制还挺累。
-答7:我也想问,增值电信许可哪里说必须要的啊?来源在哪里呢?
-答8:直接用平台模板存在一个问题就是,相当于自家多了一个隐私政策版本,对于在线协议的更新维护又更麻烦了。
-答9:大家会想把小程序的揉进大协议吗,但感觉小程序采集的字段和功能,和APP端也不太一样,能不能揉一起,我也吃不准。业务部门就是想放一起,不然单独维护很麻烦。未来不同平台不同小程序,如果单独都一个隐私政策。确实也挺可怕的。而且不同的平台,采集的字段信息肯定也不一样吧。
-答10:严格就是分开写,但是你也要考虑维护成本,然后腾讯也给了模版,那个改不了。不同安卓版本应该SDK也是不一样的。
-答11:除非小程序产品非常特殊或系主营业态,市面上的普遍做法(国内外)还是统一一个隐私政策的,不会专门针对同一业务的不同客户端(APP/小程序/网站端/其他智能终端等)来开发不同版本的在线隐私政策和用户协议,只是其中对不同客户端样态有一些专有条款(例如APP端插入的SDK清单或权限问题)。如果多平台方发布客户端应用就得写不同版本的隐私政策、布放在不同页面、不同的增强告知弹窗机制,这是要把开发者的创新精力和成本耗费在隐私合规的“形式工作”上……即使是隐私合规从业者,也要应该旗帜鲜明地反对不适当地增加开发者合规成本和负担。这个问题上挺支付宝。平台方不适宜一刀切地否定开发者的自定义隐私政策和弹窗告知,特别是平台方提供的模板并不能确保完备适当、兼容不同产品情况。
-追问:小程序公众号的隐私协议,大家要写SDK接入情况吗?
-答12:我看有写了的。
-答13:主要公众号小程序的SDK情况和App还不一样,有的甚至没有接入,我还想过要不要不写了。
总结:平台越来越多,不同小程序功能、收集字段均不同,如何写大一统统一政策,好难。
统一账户体系的合法性基础
-问:这个是微博的隐私政策,这个强制账号关联是可以的嘛?那当时微信读书那个案子罚的啥?或者说,微信账号,用在微信读书登录,为啥还要勾选问一遍是不是同意用微信账号登录?如果强制统一账户系统,那如果要注销一个平台上的账户,其他平台账户不注销,咋整啊?

-答1:这不都这么做么,淘宝的协议里也是一揽子授权淘宝平台下的账号:天猫,菜鸟,闲鱼一堆,只不过会二次注册。
-答2:可以选择注销单个服务,参考滴滴。
-答3:国标35273第8.5注2对这种账号注销有方案的,简单说就是切断账号关联+删除应用数据。不限于是否是统一主体运营的产品。通常对“关联方”应该有定义。创建一个中心账号,只是创建了一个身份标识,≠同时默认创建了使用该账号登录的每一个应用下的用户账号身份、自动变成这些应用的用户。
-答4:统一账号的合法性基础可以是告知同意或者合同,一般会有一个单独的隐私政策或者用户协议来说明内部如何打通的。多产品线时就会遇到这个问题,例如平安系。目前实务实践是这样的,你可以研究一下平安保险系,典型之金管家。同一个账户底层user ID有互通,但数据是隔离的。
-答5:这个就是为啥要二次注册的原因了,可以理解为注册这个动作“激活”了关联方的这个账号,合法性基础倒是没有特别深入研究,实操中我们是用协议条款告知的方式。A平台开了a账号,一揽子授权给 A 平台关联的 多个应用,比如 B 应用。当你使用 a 账号登入 B 应用的时候,B 应用底层是已经有了 a 账号的身份标识了,但仍然会让勾选 B 应用的用户协议和隐私政策。微博这个没有淘宝和平安金管家的用了列举式的清晰,所以对这个关联方会有质疑。

-答6:就是虽然是统一账户,但不同app或者不同业务的数据一般都分开存储,不是混着的,除非业务必要并且有告知共享的,内部才共享。
-答7:这问题得从产品形态和账户关系入手、统一账户、授权、关联。权利是成对出现的。统一账户,注册-注销、授权-取消、关联-解除。需要注意的是其实很多看似统一账户,底层逻辑是关联。
-答8:实际上还是因为底层是一张表,跨平台统一账户背后是技术逻辑而不是法律逻辑导向。我们没办法用一个21年生效的法律去回溯一个10年前推技术中台时期的决策呀。
-答9:数据部门:改表结构最艰难了,不知道什么时候会冒出来一堆乱七八糟的勾稽关系。
总结:历史问题。
多主体SCC备案
-问:个人信息出境标准合同的备案,对于一个境内处理者对多个境外接收方、处理场景类似的情况下,目前允许合并备案吗?谢谢!
-答1:如果是同场景是可以一并申报的,同一个场景可以签一个scc。
-追问:签几份合同,做一个备案?
-答2:看看这两篇:
(一)标准合同备案FAQs:集团公司如何进行多实体合并备案?
(二)标准合同备案FAQs:多个出境场景、多个境外接收方应如何进行备案?
加密传输要求
-问:SHWXB对数据加密传输的要求是什么程度的,https够不够?
-答1:https传输是可以的。
-答2:TLS1.2。
-答3:tls 1.0--高危;tls 1.1--中危。但凡做外部扫描检测都能查出来。下面就看爸爸会不会下整改通知了。
-答4:哈哈,现在body对敏感数据加密?在做https传输?
-答5:敏感信息一般建议前端加密。
-答6:不同场景不一样,还有个点,大部分企业内部传输都是明文。
-答7:这是数据加密,加密的数据 加密的传输 加密的存储。
-答8:对的,我的意思是都要加密,TLS1.2是加密协议的强度。
-答9:上海公安网警对tls1.2以下协议都会开整改通报。
总结:TSL1.2才行。
视听证要求
-问:请教各位一个问题,APP有:
1)让用户上传视频给公众分享;
2)公司自己制作科普视频放送两项功能,业务说各大平台不需要《信息网络传播视听节目许可证》(功能1)也不用《广播电视节目制作经营许可证》(据说广电已经停放,影视剧才需要)?


以上分别是小米和OPPO的要求,但是我看《网络短视频平台管理规范》和《互联网视听节目服务管理规定》仍然有要求啊。APP有两个功能,有自己制作科普节目推送,之前有外部律师指出要广播电视证。OPPO的详细,业务认为APP属于短视频类,连用户上传视频也不需要信息网络视听许可证。
-答1:一个是提交截图,一个是通过。
-答2:《广播电视节目制作经营许可证》没问你要啊,2个平台写的一样的吧,只是一个糙了点,一个写的细化了。这个证书一般办不出来的。
-答3:现在一般应用商店没要求,我印象中,微信平台对有视频的小程序又要求,可以看看微信开放平台的要求。
-答4:刚发的文件。
(一)从事车载网络音视频服务应取得相应许可。车载网络音视频服务机构应向广播电视主管部门申领《信息网络传播视听节目许可证》,取得车载网络音视频服务资质,向工业和信息化主管部门履行移动互联网应用程序(以下简称APP)备案手续。
公众号:江苏省广播电视局
广电总局、工信部和市场监管总局联合印发《关于进一步加强车载音视频管理的通知》
-答5:国企可以,视听证最大的难度就是国有控股。
-答6:我们之前评估的是国有独资才行。

-答7:市面上有立法之前审批出来的证,是个人持有的,你们也可以收购,很少很少了,某大厂是这么搞定资质问题的。

-答8:视听传播这个证,没有国资股东就不要考虑了。我之前帮个做知识付费的客户做过评估,评估的结论是:这类政策制定时的监管对象肯定不是短视频类的经营主体,但这类主体从条文定义上会落入适用范围内。可以去看一下得到的证书,我认为它已经是在非国资背景下主体能做到的最安全范围了。。根据条文,拍摄视听作品的供应商也是要有许可的,我去问广电和电视台的人,他们说:是么?我们都是直接找合作的广告公司拍,没看过他们有没有什么资质。
-答9:视听证真的是一个法律规定远远跟不上产业需要的实例,再加上广电,文旅,中宣这些年的部委权责改革,这个证成了先有鸡还是先有蛋的困境了。
-答10:短视频有个信息网络视听节目备案就行了吧。
-答11:我当时给客户的建议是去拿个“网络文化经营许可”。这个证相对来说算是最好拿的,覆盖直播和娱乐类型的短视频可以用用。
-答12:文网文现在某些地方还能拿,浙江这边也不好拿了。做短剧的都先拿这个证和信息网络视听证。

技术驱动法律,专业成就未来