无需对方授权即可直接定位|对方不授权怎么定位( 三 ) 「问人人知识网」

◎探讨
实时全量监测不太现实平台可做小程序认证
在业界一线，小程序平台监管小程序有哪些难题？在专家学者、一线实务人员眼中，平台和小程序的责任又该如何划分？6月11日，南都数字经济治理论坛第一期“小程序个人信息保护研究报告发布暨研讨会”在线上百思特网召开，多位专家、企业代表围绕上述议题进行了探讨。
小程序已达百万，难以实时全量监测
南都采访人员梳理发现，微信、支付宝、百度、今日头条四大主流平台均在《运营规范》中设立了“用户隐私和数据规范”章节，从数据收集、存储与授权，数据使用规范，数据安全等方面对小程序提出了具体要求。然而，报告显示，逾六成被测小程序未提供独立的隐私政策，94%未告知如何关闭已授权权限路径。为什么平台明明有要求，小程序却还是暴露出诸多个人信息保护方面的问题？
对此，微信法务副总监、微信小程序法务负责人梁博文表示，从微信平台来说，制定的一些规则其实是行之有效的，遇到违法违规行为也会对小程序进行严厉处理，包括限制其获取某些权限，甚至直接下架。
但面对百万量级的小程序，平台运营监管上的确会有一些客观的难点。他坦言，平台和小程序属于一对多的法律关系，要求实时全量监测是不太现实的，日常用户投诉反馈等方式是发现违规行为的有效补充。
另一方面，一些小程序并不是调用微信提供的接口，而是提供表单由用户主动填写信息。“这就类似于我们在其他App或者网页上面填写表单，这种直接由开发者与用户之间的交互，是一些业务的客观需要，但也给平台的管理增加了难度。”梁博文说。
在中国信息安全研究院副院长左晓栋看来，相较以静态评估为主的App治理，小程序的生态模式使得平台有机会采用更多技术手段在线监控小程序的行为，动态地掌握小程序的运行状态。
“我一直认为当初App治理启动的时候，自然就应该包含小程序，甚至我们现在看到很多地方开展的App治理已经把小程序纳进去了。”他强调，从治理工作开展的机制设计来讲，把小程序纳进去“是没有问题的” 。
针对小程序个人信息保护机制不完善的问题，梁博文建议，平台、小程序运营者和用户都参与进来。
首先平台除了制定规则之外，还应该从技术层面进行提升；其次小程序应该加强对用户数据获取的认知，而不是总觉得越多越好，服务带给用户的安全感更有价值；用户则需更多地关注自己的信息是否被合理收集和使用。
平台应承担更多责任，进行主动治理
基于小程序依附于平台的特性，一旦发生个人信息安全事件，就一定会涉及平台和小程序的责任划分。
中国人民大学法学院未来法治研究院副院长丁晓东指出，小程序作为第三方，很容易在数据融合阶段引发风险。因此，平台应该承担起数据信托的责任，其中既包括对个体用户的信托责任，也包括对整体消费者的信托责任。
“我想这不仅是对于用户的个人信息保护很重要，对未来的数据共享和数据权属问题也非常重要”，他进一步谈到，现在很多数据争议都涉及了小程序，需要平台这样的信托者来保障用户权益，指引小程序在合理范围内进行数据应用，而不是“用户授权了就怎么用都可以” 。
南都采访人员注意到，国家标准《信息安全技术个人信息安全规范》其实已经对于小程序场景下的平台责任做了比较明确的要求。比如开展技术检测确保其个人信息收集、使用行为符合约定要求，对其收集个人信息的行为进行审计。
根据上述要求，左晓栋认为，平台至少应该做到在线监测。如果平台认为小程序有违法违规行为，也可以据此采取措施，不过最好是在合同里就做出规范。
与此同时，也要考虑到救济的方式。他举例说，比如给小程序开发者、运营者开放投诉渠道，或者参照国家法律法规中对于平台监测违法违规信息现有的流程。
来自中国信息通信研究院安全研究所信息安全研究部的闫希敏则提出了一些具体建议。她指出，小程序的个人信息保护可以考虑做一些主动性治理。比如设置个人信息保护优秀小程序的认证，利用一些推荐使用机制或者其他的鼓励政策，激发小程序运营者产生自我优化的动力，使其自发自觉地实践个人信息保护措施。
平台至少应该做到在线监测，如果平台认为小程序有违法违规行为，也可以据此采取措施，不过最好是在合同里就做出规范。