随着国内APP软件生态的成熟,依托于头部APP的小程序逐渐成为零售、娱乐、出行等行业必选的获客渠道之一。较低的开发成本和成熟的用户营销功能,令小程序的数量在过去几年呈指数级增长。截止2023年,头部APP内集成的小程序总量已超千万。然而,大量的小程序开发过程注重效率,缺乏对用户数据的保护意识,这为不法分子提供了可乘之机。APP用户数据隐私泄露相关的公共事件屡见不鲜,也为小程序主体企业带来了法律风险。2021年,某社交平台因未能有效保护用户数据,导致超过500万用户的个人信息(包括姓名、电话号码、邮箱地址等)被黑客窃取,并在黑市上出售。2022年,某电商应用因数据处理漏洞,导致数千名用户的交易记录和支付信息被不法分子获取。这些案件都为企业带来了巨大的经济和声誉损失,数据隐私保护也正在成为法律关注的重点。
小程序的隐私合规风险主要由以下因素导致;
风险来源一:技术漏洞
系统安全漏洞:软件开发过程中,存在未修复的安全漏洞,使得黑客能够通过例如SQL注入、XSS攻击等方式轻易入侵系统,窃取用户数据。
加密不当:许多平台在数据传输和存储过程中未采用充分的加密措施,导致数据在传输过程中被拦截或在存储时被盗取。
管理不善:访问控制不严:某些平台对内部员工和第三方合作伙伴的访问权限控制不当,导致内部人员或外部人员滥用权限,泄露用户数据。
数据备份管理不当:部分平台未对数据备份进行妥善管理,导致备份数据被盗或丢失。
风险来源二:合规性问题
未遵守隐私保护法规:许多平台未能严格遵守《个人信息保护法》、《数据安全法》等隐私保护法规,导致在法律层面出现漏洞,被恶意利用。
隐私政策不透明:部分平台未向用户明确告知数据收集、使用和共享的方式,用户在不知情的情况下,其数据被滥用。
关于合规性风险,通过小程序对用户数据的收集过度也可能为企业带来一系列法律风险。部分开发者缺乏法律意识,在展示的《隐私政策》中隐瞒了部分拟收集的用户信息,例如用户剪贴板信息、截图信息等。2020年1月,某网络科技公司的APP在用户使用过程中被发现存在未经用户许可监测、读取剪贴板信息的行为,遂被用户诉至广州互联网法院。类似案例凸显了数据隐私合规的重要性,也让专业的小程序隐私合规检测服务受到更多企业的青睐。
WeTest 小程序隐私合规检测服务是基于《个人信息保护法》、《数据安全法》等法律法规要求,通过对隐私政策配置合规、用户授权合规、个人数据采集、个人数据处理使用、数据主体权益、敏感行为、应用分发等数据采集、存储、传输及使用行为的深度审查和分析,同时检测小程序是否违反了平台规则,旨在通过自主研发动态沙箱检测技术和DPI深度报文检测技术,帮助企业小程序在隐私保护方面符合法律法规和平台要求,保护用户隐私和数据安全,避免企业在竞争激烈的市场因软件缺陷导致的用户信任危机。
小程序隐私合规检测基于13大检测依据,提供7大检测类别,覆盖43项评估点。基于专家检测结果生成的"小程序隐私合规风险报告”,涵盖小程序总体评估结论、检测项结论、检测项明细及修复建议(风险情形、风险等级、参考依据、检测详情、风险存证、修复建议),帮助企业全面排除各类隐私合规风险。
在WeTest的服务客户中,许多是希望通过本土化策略拓展获客渠道的国际企业,包括某零售业世界500强企业。该客户在入华运营初期便确定了基于小程序的会员体系。出于对中国市场监管要求和会员数据隐私的重视,客户选择了WeTest的隐私合规检测服务。在服务过程中,WeTest不仅帮助企业及时识别和纠正潜在的合规问题,降低法律风险,保护企业的合法权益,同时重点加密会员用户数据的安全性和隐私性,最大程度降低由小程序渠道导致的数据泄露风险,确保企业在竞争激烈的中国市场行稳致远。
在需求沟通初期,WeTest专家团队深入了解客户业务特性和需求。在测试过程中,双方将签署《隐私合规风险测评授权书》,由客户明确其接受和授权WeTest执行相关隐私合规风险测评,并确定送测小程序、公众号、H5及网站名称。在送测前双方还需确认了包括测试环境、小程序的APPID及二维码、小程序相关服务域名/网站相关api接口、测试范围、交付时间等信息,明确双方权责。
在如期交付隐私合规检查报告后,WeTest专家团队还将就客户对检测点和结果的疑问提供相对应的复测服务,并追加补充报告,最终保障客户小程序的合规上线。
纵观近期小程序隐私合规检测结果,WeTest团队通过7大类合规项检测排查,总结出以下常见中高危风险:
- 检测发现小程序在申请用户授权时目的不明确;
- 检测发现小程序授权弹框无拒绝按钮以及在用户未授权时,部分功能无法使用;
- 检测发现小程序在隐私协议中地方提供了个人信息查阅的途径,但未提供复制途径。
Demo报告展示:
相较于传统的质量保证服务,小程序隐私合规服务是WeTest总结行业经验、持续满足客户需求的创新服务项目,具备以下服务亮点;
- 贴合最新国家监管标准。依据最新法律法规及监管要求,包括《网络安全法》《个人信息保护法》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》等,对数据采集、存储、传输及使用行为的深度审查和分析。
- 全面深入的检测能力。采用自主研发动态沙箱检测技术和DPI深度报文检测技术,结合多年的专家经验沉淀了一套方法论。能够全面检测小程序在个人信息收集、存储、传输、使用和共享等各个环节的隐私合规性。提供独家平台规则检测。
- 直观易懂的报告输出。逐一罗列出小程序合规检测的检测项详情,包括合规标准、风险描述、参考依据等,并根据实际情况评估风险等级,客户可明确认知其应用的风险程度并进行整改。
- 专业的修复建议和报告解读。在检测详情中针对客户小程序具体的违规检测项,提出切实可行的修复建议,并支持一对一讲解指导。客户修复漏洞后,免费提供复测,确保隐私合规安全。
了解更多小程序隐私合规服务细节,欢迎前往WeTest官网查看。