当前，随着人们生活节奏加快，具有无需下载直接使用特点的小程序已经深入人们的日常工作与生活，如餐饮外卖，自助服务等。小程序给人们带来便利的同时，违规收集用户个人信息安全问题也越发严重，且引起监管部门的重视，各地监管部门对小程序的治理也开展一系列专项行动（如亮剑浦江 | 上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》（一））。

为了协助开发者/运营者更加规范地开发小程序，小本文将针对 T/TAF 180.2标准中的“小程序个人信息保护规范 第 2 部分：个人信息收集行为”进行解读。

一、条款解读

二、测评思路

T/TAF 180.2为了使测评机构、小程序开发者/运营者充分了解如何合规的处理收集用户个人信息，将主要从以下几个点进行解析：

隐私政策：

1.个人信息处理规则应简洁、清晰描述其收集个人信息的目的、方式及范围。

2.收集不满 14 周岁未成年人个人信息，应制定专门的个人信息处理规则，并取得未成年人监护人的单独同意。

业务功能：

1.收集个人信息前应向用户告知并获得授权同意或具备其他合法性基础，告知方式包括但不限于个人信息处理规则、授权弹窗等。

2.小程序向用户征求收集个人信息的同意环节，应提供明确的同意或拒绝选项，不应仅使用“好的”、“我知道了”等无法清晰表达用户同意的词语，不应设置为默认同意或采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。

3.当个人信息处理的目的、方式、范围发生变更时，应重新告知用户并征得用户同意。

4.收集生物识别、行踪轨迹、金融账户等敏感个人信息时，应同步告知用户收集使目的，且描述应明确具体、通俗易懂，并取得用户单独同意。

 

三、具体测评方法

1、收集个人信息前应向用户告知并获得授权同意或具备其他合法性基础，告知方式包括但不限于个人信息处理规则、授权弹窗

小程序在收集用户个人信息前，应告知用户并且征得用户同意。如用户在使用小程序前应主动提示用户阅读个人信息收集规则;小程序在申请权限前，也应弹窗告知用户目的并征得用户同意。示例如下：

小程序获取授权示例图

2、收集不满 14 周岁未成年人个人信息，应制定专门的个人信息处理规则，并取得未成年人监护人的单独同意

小程序如涉及未成年人业务功能，需要收集未成年人个人信息的，应制定专门的个人信息处理规则。示例如下：

 

未成年人个人信息处理规则示例图

3、个人信息处理规则应简洁、清晰描述其收集个人信息的目的、方式及范围。

个人信息处理规则应简洁清晰的描述各业务收集个人信息的目的、方式及范围。部分小程序是App的阉割版，但开发者/运营者可能会直接适用App版本的隐私政策，导致收集信息的目的、方式及范围与小程序自身不一致。所以开发者/运营者在书写个人信息处理规则时，应从小程序实际出发。示例如下：

收集个人信息示例图

4、小程序向用户征求收集个人信息的同意环节，应提供明确的同意或拒绝选项，不应仅使用“好的”、“我知道了”等无法清晰表达用户同意的词语，不应设置为默认同意或采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。

小程序在征求用户同意的环节，应提供明确同意和拒绝选项，如“同意”“拒绝，仅浏览”等意义明确的词汇；同时不应采用“登录即同意”“注册即同意”或者默认勾选等默认同意的方式诱导用户同意个人信息处理规则。示例如下：

明确同意/拒绝示例图

5、收集生物识别、行踪轨迹、金融账户等敏感个人信息时，应同步告知用户收集使目的，且描述应明确具体、通俗易懂，并取得用户单独同意。

生物识别信息（如人脸识别，指纹识别等信息）、行踪轨迹、金融账户等个人敏感信息如发生泄露，会对信息提供者造成严重后果。小程序如必须收集这些敏感个人信息，应同步告知用户收集目的，并且收集使用的目的应明确具体，通俗易懂。

 敏感信息告知目的示例图

6、当个人信息处理的目的、方式、范围发生变更时，应重新告知用户并征得用户同意。

随着版本更迭，小程序业务可能会存在拓展，收集个人信息的范围可能会随之发生变化。当小程序个人信息处理目的、方式、范围发生变更时，应通过明显的方式告知用户变更范围，并且重新征得用户同意。

 

个人信息处理规则变更告知示例图

四、结语

 

小程序在向用户提供业务功能时，开发者/运营者应充分保障用户的合法权益，尊重用户的自主意愿，不能强迫用户接受小程序所提供的业务功能及相应的个人信息收集请求。数字化的时代，小程序在提供快捷服务的同时，也应充分尊重用户知情权，收集用户的个人信息也需遵循最小必要的原则，为用户提供更加优质安全的服务。