小程序賬戶隱私保護指南

智能手機和移動互聯技術的迅猛發展，推動居民生產、生活及金融交易場景快速線上化。小程序的橫空出世，更是以其無需安裝、即用即走、觸手可及的用戶鏈接特性，有效超越了手機存儲空間和移動流量的相對限制，帶動居民線上場景生態的進一步躍升，在實質上已經成為居民使用數量最多、使用頻次最高、場景覆蓋最全面的線上生態。爆發式增長的小程序在為居民生產生活場景提供便捷服務的過程中，積累了海量的個人隱私數據，包括：姓名、身份證號、手機號、指紋、人臉、職業、生活習慣等。部分涉及資金交易的小程序，更是直接關聯了使用者的交易類賬戶。

但是，小程序目前存在的開發主體參差不齊、賬號與運營主體實質分離、數據存儲處理難以追蹤等問題，客觀上放大了數據泄露或濫用風險。特別是，在小程序關聯的銀行賬戶，所積累的身份證號、手機號、指紋、人臉等高隱私數據對銀行賬戶安全具有高突破可能性的現實下，使用者資產面臨較高的安全風險。

小程序沉淀巨量個人隱私數據

自2017年正式推出小程序后，應用數量、累計用戶、交易規模迅猛增長，在5年的時間內幾乎重構了線上場景生態、重塑了線上行為習慣。據統計，到2021年末，微信小程序應用數量300萬、累計用戶8.4億，月活用戶6.8億、日活用戶4.5億。在2019年創造8000億元交易額后，2020和2021年度連續兩年實現同比增長100%（數據來自微信公開課）。可以說，小程序生態就是全新的移動互聯生態，小程序場景就是全新的居民生活場景。在這個新的生態體系和場景中，也沉淀了海量的個人隱私數據。

數據領域，幾乎涵蓋所有個人信息

在數字化加速推進的新時代，數據已成為驗證個人身份的主要方式，使用者的賬戶、資產、交易等更是在形式上表現為數據。小程序采集的個人隱私數據領域，包括但不限于：姓名、身份證號、手機號、工作單位、家庭成員關系、家庭地址、交易習慣、行為習慣、指紋、人臉等。

如下圖，左側是某私營醫療機構的微信小程序信息采集頁面，右側是某小型私營超市采集的信息。不僅包含了具有惟一性和高可識別性的身份證，還涵蓋了銀行客戶常用的驗證碼獲取方式——手機號碼、個人高隱私性的性別和出生日期等。

多類惟一性和高可識別性個人隱私數據的交叉互驗，已基本等同于個人身份確認。小程序開發主體、數據處理主體或數據存儲主體，若保護不善造成泄漏或被不法分子不當利用，很有可能造成銀行客戶資產的直接損失。

數據規模，幾乎涵蓋所有微信用戶

在微信已經成為居民主要的通訊工具后，微信的頭像、昵稱在實質上已成為特定的個人標識，是個人身份識別的重要標志，與居民的姓名、手機號等具有同等的隱私地位。但是，所有的小程序在使用前都會要求用戶授權獲取微信頭像、昵稱等資料，如不獲取將難以使用。特別是部分小程序在獲取授權后，甚至并沒有設置“退出”按鈕，用戶一旦授權后就無法再解除授權。在所有微信用戶都會用到小程序的情況下，各類小程序的數據規模實際上與微信的用戶規模基本相同。

如下圖，在授權獲取微信的昵稱、頭像后，如不主動點擊退出，用戶的授權將始終保留在兩個小程序中。特別是，在下圖中兩個小程序均未設置明顯的用戶退出路徑設計缺陷下，用戶很容易忽略退出操作。實質上，用戶在小程序中持續處于登錄狀態。

數據類型，對銀行賬戶安全具有高突破性

小程序應用過程中除積累多領域、大規模數據外，還直接或間接關聯了使用者的儲蓄卡、信用卡等多類銀行賬戶。大多數交易型的小程序，在關聯銀行賬戶外還設置了免密碼支付。

關聯銀行賬戶、特別是設置有免密支付的小程序，對使用者銀行賬戶安全具有直接的高突破性。多領域、大規模數據，特別是身份證、手機號、用戶密碼等高隱私數據，在現有的數據分析技術、虛擬基站技術下，對使用者銀行賬戶安全同樣具有間接的高突破性。如，現有的數據分析技術很容易將身份證、手機號、姓名、用戶密碼進行直接關聯，虛擬基站技術則很容易攔截用戶手機獲取的各類驗證碼。即使在用戶密碼與銀行賬戶支付密碼不同的情況下，不法分子仍可以通過以身份證信息申請、以虛擬基站截取發送給特定手機號驗證碼的方式更改銀行賬戶密碼，進而對使用者銀行賬戶安全進行間接突破。

在上圖的某交易性小程序中，不僅關聯了多家銀行的多類銀行卡、設置了免密支付，而且保存了用戶的身份證、姓名、手機號和賬戶密碼。無論是小程序運營主體管理不善還是存儲信息泄露，都會直接和間接形成對使用者銀行賬戶安全的突破。一旦使用者銀行賬戶安全被突破，資產將十分危險。

小程序對數據的處理存儲難以追蹤

在爆發式、野蠻式增長的過程中，小程序實質上存在賬號主體與開發主體不一致、開發主體與運營主體不一致、賬戶或開發主體與數據管理主體不一致等情況。這些情況的存在，造成現實中既難以追蹤客戶個人隱私數據的實際存儲方、處理方，更難以在數據泄露后界定相關主體的法律責任。數據是否妥善儲存、是否存在不當處理、是否被不當使用，是否泄漏給無關第三方，均難以確定或追蹤。

特別是，部分賬號主體、開發主體、服務器管理主體為生命周期較為短暫、運營能力相對較弱、抗風險能力相對較差的小微企業，個別主體甚至為個人。如遇相關主體經營不善、內部控制失效，極易造成客戶個人隱私數據的疏于管控甚至泄露。

賬號主體與開發主體不一致

在現實中，小程序的賬號主體多為希望借助小程序生態實現業務經營線上化的各類實體企業、組織或個人，并不具備小程序的開發能力。因此，大多數小程序賬號主體采取了外包科技公司開發的形式。部分賬號主體甚至直接采用了租用科技公司已開發小程序，僅通過變更賬號主體名稱的形式上線了小程序，實際的管理、運營特別是數據處理和存儲仍由原來的科技公司控制。

在賬號主體與開發主體不一致，特別是賬號主體和開發主體能力參差不齊，賬號主體僅關注經濟效益、開發主體僅關注外包收入，均認為數據安全不屬于自身責任的情況下，能否確保積累的大量使用者個人隱私數據安全可控，存在較大不確定性。如遇數據安全突發事件，賬號主體與開發主體的分離更是增大了事件處理應對的難度，很可能形成難以應對使用者數據安全事件的現實困境。

上述情況，不僅存在于經營范圍、區域和使用人群相對有限的小微企業，在經營范圍廣泛、區域涵蓋全國、用戶人群多樣、交易頻繁高額的大型集團性企業同樣存在。

如右圖，兩個小程序賬號主體均為區域性零售企業，擁有區域內眾多的消費者用戶，下方的兩個小程序賬號主體分別為服務范圍涵蓋全國的旅游類大型國企、零售類大型國企。但是，四個小程序開發主體實際均為某家信息科技公司，特別是圖中下方的兩個小程序開發主體與賬號主體并不在同一地域。因此，客戶的個人隱私數據到底由賬號主體還是開發主體處理、存儲、管理難以判斷，在哪個地域處理、存儲也難以確定，更難以界定數據管理的法律責任。如遇某家主體經營不善，很容易形成客戶個人隱私數據安全事件。

賬號或開發主體與數據存儲主體不一致

小程序的開發實際上存在三種形式：一是自備服務器開發；二是租用專門或虛擬服務器開發；三是借助騰訊云等云平臺開發。因開發方式的不同，小程序數據存儲也就形成了三種方式，即：存儲在自備服務器中、存儲在租用服務器中、存儲在騰訊云等云平臺。

存儲在自備服務器中的數據，賬號或開發主體完全可控；存儲在騰訊云等云平臺中的數據，因云服務的強監管相對可控。但是，存儲在租用服務器中的數據，可控性相對較差。一方面被租用方可能會將數據移做他用；另一方面小程序的數據可能與其他數據在服務器中混用，進而帶來不可控風險。特別是，如遇被租用方道德或技術風險，小程序的賬號主體和開發主體均難以追蹤，個人隱私數據泄露事件將難以處置。

個別小程序公開了個人隱私數據

個別文檔性、統計性、共享辦公性小程序還存在實質上公開使用者個人隱私數據的情況。

如上圖：某共享文檔小程序，可以將用戶在文檔中填寫的各類信息在多個群中進行分發和在線編輯。特別是，某些學校、單位、親友群樂于使用該工具進行個人隱私信息的調查，無論填寫的是何種數據均以公開形式顯示，整個群中的所有人都能看、能下載、能轉發，事實上公開了用戶隱私數據。

如何安全使用小程序？

有效統籌發展與安全是小程序生態長期可持續、使用者資金安全可控的基本保障。在小程序已發展成為主流線上生態的客觀形勢下，完全割裂使用者的賬戶與小程序服務既不現實也不可能。但是，在小程序數據安全存在較大隱患的情況下，使用者的賬戶、交易、資金安全同樣不容忽視。

鑒于小程序數據安全成因的復雜性、涉及主體的廣泛性、防控技術的滯后性、防控成本的難以預測性，其數據安全形勢難以在短期內驟然改觀。在當前的形勢下，保障賬戶、交易、資金安全，首先需要使用者自身培養良好的小程序使用習慣和賬戶交易習慣，同時也需要銀行業機構主動作為、提供相關的輔助性支持。其中：培養良好的小程序使用習慣是基礎和關鍵、良好的賬戶交易習慣能夠有效止損，銀行業機構的主動作為和輔助性支持能夠及時向銀行客戶提供支持和預警。

培養良好的使用習慣

1.對不明來源小程序，不提供或授權獲取隱私數據

個別小游戲類、投票交友類、視頻音樂類小程序，無法判定真實的賬戶主體、開發主體和數據處理主體、存儲主體，更無法確認數據是否被濫用或泄露，未來的數據風險敞口過大。對于此類小程序，使用者應盡量避免使用并拒絕關聯銀行賬戶，即使偶爾使用也應不提供或授權其獲取各類隱私數據。特別是，應避免提供類似身份證號、銀行卡號、銀行賬戶密碼等高隱私性信息。

2.對臨時應用小程序，應即使退出或卸載

小程序使用后不在主顯示屏顯示的特有表現形式，往往讓使用者誤以為小程序不需要退出或卸載。實際上，小程序在使用完后如不及時退出將長時間保持在登錄狀態，如不及時卸載也將會在后臺自動運行。特別是，對于關聯銀行賬戶并開通免密支付的小程序，在登錄或后臺運行狀態下，很容易觸發扣款操作或被不法分子利用。對此類小程序，使用者在臨時使用后應主動退出并卸載。

3.對常用小程序，應設置支付限額、增強密碼強度

日常需要經常使用的交易型小程序，如：購物、出行、服務等。使用者在關聯銀行賬戶時，應選擇資金額度相對較小的二類賬戶或信用卡賬戶，避免關聯大額度資金賬戶或一類賬戶。特別是，無論關聯何種賬戶，對每個小程序均應設置每日、每月的支付金額和筆數限額，確保在數據安全事件發生后能夠實現最大程度的止損。同時，對支付密碼應主動避免與手機號、身份證號雷同，避免設置低強度密碼，通過設置“字母+符號+數字”式中高強度密碼提高銀行賬戶保護強度。

培養良好的賬戶交易習慣

小程序主要是為滿足使用者的日常性、高頻度生產生活，金融性交易的金額不應過大。對使用者來說，大額度的資金交易應盡量避免使用小程序渠道，主動選擇銀行手機銀行、網上銀行或線下網點等辦理渠道。

同時，使用者對大額度資金交易應設置“生物技術+硬件+軟信息”等多維安全控制。如：通過“指紋+U盾+密碼”的三維驗證方式對大額資金交易進行控制。即使在密碼被泄露的情況下，只有使用者擁有的指紋和U盾仍能對不法分子的盜竊行為進行阻斷。