小程序个人信息保护研究报告:不足四成小程序提供独立隐私政策-k8凯发天生赢家

小程序个人信息保护研究报告:不足四成小程序提供独立隐私政策
作者:南方都市报 发布时间:2020-06-14

近年来,小程序快速普及应用,尤其在疫情期间,个人信息收集使用的情况愈加频繁,但相关监督管理鲜少涉及。6月11日,南都个人信息保护研究中心联合中国信息通信研究院安全研究所发布《小程序个人信息保护研究报告》(下称“报告”),对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行测评。结果显示,只有38.5%被测小程序提供了独立的隐私政策,而且94%未向用户告知如何关闭已授权权限路径。据悉,小程序使用与app不一致的隐私政策、超范围收集个人信息、默认共享用户个人信息等问题较为严重。

  健身医疗类小程序问题较严重

  近些年,“超级app 小程序”成为移动互联网时代开发者探索的新模式。2019上半年,小程序平台从2018年的2家扩充至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业均开始进行小程序布局。

  据了解,目前,小程序涉及个人信息收集使用的情况愈加频繁,对其开展安全管理的必要性急剧上升。但目前的监督管理基本集中于app,鲜少涉及小程序。报告建议,小程序可参照app进行数据安全及个人信息安全管理。报告认为,小程序和app在前端的表现形式不同,但后台的服务器、数据库通常是共用的,且小程序的功能往往不会超出app。因此,两者收集和使用用户个人信息也应该适用同一套规则。

  然而,经测评发现,近半小程序没有提供隐私政策,或使用了与其对应的app不同版本的隐私政策。在21个提供了隐私政策的小程序中,绝大多数采用的都是“登录即同意”的方式征得用户同意,只有极少数需要用户主动勾选同意。

  在隐私政策测评中,报告指出,只有38.5%的小程序提供了独立的隐私政策,且各平台的小程序情况相差较大,提供了隐私政策的小程序在各平台占比从23.1%到76.9%不等,其中政务公益、日常工具、体育健身、医疗健康类小程序的问题较为严重。

  报告认为,上述情况侵害了用户的知情权和选择权,还容易导致数据收集使用规则混淆。

  超九成小程序未告知关闭权限路径

  报告还在数据安全检测中发现,每款小程序平均约存在三个问题,其中教育文化、旅游交通、新闻资讯、生活服务类小程序个人信息保护问题较为突出,主要问题集中在收集、删除、传输等环节。

  比如某防疫类小程序,除获取个人姓名、身份证号等敏感信息外,还需进行人脸识别。报告认为,在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系,再配合真人及身份证查验,在不获取人脸信息的情况下即可保证信息的准确性。

  “与运营者相比,用户在使用小程序时处于弱势地位。”报告写道,若运营者存在不单纯的收集目的,超范围收集非必要用户个人信息,用户处于放弃使用或被动提供信息的两难选择,一旦相关个人信息被不法分子获取滥用,极易造成用户权益损害。

  在授权方面,报告实测发现,94%被测小程序未向用户告知如何关闭已授权权限路径;约25%的小程序在用户关闭“用户信息”授权后再次进入,仍显示上次授权时的个人信息。这可能导致小程序在用户已经解除授权的情况下继续收集使用用户个人信息,存在个人信息滥用风险。

  经检测,超过一半的小程序未提供删除个人信息渠道。报告指出,尽管小程序功能简单,可能无法提供单独的注销账号服务,但也应赋予用户控制个人信息的权利,否则可能带来个人信息过度留存的风险。

  此外,报告还指出,某些与平台关联或同一公司旗下的小程序存在默认获取使用用户信息的现象,由于这类小程序跳过权限申请步骤,用户无法关闭授权。另外,有约1/4的被测小程序明文传输个人信息甚至个人敏感信息,可能带来骚扰诈骗风险。

  针对上述问题,报告建议,应加强政府、企业、用户的多方协同。在政策层面,应明确将小程序纳入数据安全及个人信息保护管理范畴;在企业层面,应切实落实个人信息保护主体责任;在用户层面,应提升使用小程序的个人信息保护意识和能力。

  回应

  微信小程序法务负责人:将为小程序提供隐私政策模板

  6月11日,南都个人信息保护研究中心在线上举办“南都数字经济治理论坛。第一期主题为“小程序个人信息保护研究报告发布暨研讨会”,微信法务副总监、微信小程序法务负责人梁博文在会上透露,微信未来将为小程序提供隐私政策模板,使每一个小程序都有隐私政策。

  当小程序的使用者越来越多时,如何保护庞大的用户信息呢?梁博文在会上表示,微信在平台服务条款和平台运营规范中都有专章对用户信息保护进行约定。比如平台服务条款规定了小程序如何收集、使用用户数据,在哪些情况下需要获取用户相应授权。微信小程序平台运营规范则进行了更细致的规范,涉及小程序具体获取授权的方法等内容。

  制定保护规则后,更重要的是将规则普及到产品中。为此梁博文提到,微信设置了独立管理用户信息授权的功能;2019年初新增了一个专门针对用户隐私的投诉入口——当用户发现隐私信息被小程序违规违法收集使用时,可通过该入口向平台反馈。微信还为小程序预留了个性化填写数据获取用途的功能,当小程序获取用户敏感权限时,可自己设置获取信息的目的等内容。

  此外,去年微信上线“马甲头像昵称授权登录”功能。如果用户不愿意使用微信账号现有的头像和昵称登录小程序时,可设置另一套昵称头像进行登录。

  为了更好地帮助小程序进行合规,更好地保护用户信息,梁博文还透露说,微信正在准备升级一个功能——希望让每一个小程序都有隐私政策。微信会从产品上帮助开发者设置简洁明了的隐私政策,使之更方便快速地介绍收集使用个人信息的目的、范围、方法等内容。

  实测

  明明已拒绝授权定位,小程序还能获取用户坐标

  明明拒绝了小程序获取自己的位置信息,后台还是能精准定位。这究竟是怎么做到的?早在几年前,就有人提出了这个问题。近日,南都隐私护卫队自主开发的一款定位小程序成功复现了上述情况,绕过用户授权,获取并存储了用户所在地点的经纬度信息。

  有专家表示,在明确拒绝或未授权的情况下,小程序能获取用户的精确位置属于技术“漏洞”。如果平台明知“漏洞”的存在,却不采取相应措施,则难逃纵容小程序获取用户位置信息的嫌疑。

  小程序利用“漏洞”获取坐标

  为了使用标记所在位置,或者向朋友发送定位等功能,很多人往往会开启app或平台的定位功能——这代表你授权这些app获取精准位置。

  不过,假如是依附于这些平台的小程序想获取位置信息,则需先弹窗申请:理论上只有用户点击“同意”,它们才有权获取位置信息。

  然而,根据隐私护卫队实测,在部分平台上,只要开启平台定位,即使用户拒绝小程序获取位置信息,小程序依然可以获取坐标信息。隐私护卫队实测发现,如果关闭平台定位,小程序也无法定位;但一旦开启平台定位,无论用户是否授权,有些小程序就能够直接精准定位。

  为此,隐私护卫队开发了一个简易小程序,证实了在未经用户授权的情况下,该小程序能够获取当前位置中心点的坐标,并成功将坐标值导到小程序后台。

  隐私护卫队实测了多个平台发现,上述情况并非孤例。一旦将位置信息与账号相关联,用户的个人信息就完全暴露,小程序则有违规获取个人信息的嫌疑。

  不过,隐私护卫队梳理发现,这一“漏洞”是完全可以避免的。目前市场上就有平台从技术层面杜绝了小程序绕过用户授权获取位置信息的可能性。

  该“漏洞”至今未修复

  隐私护卫队注意到,过去几年,已有开发者曾反馈过这个“漏洞”,指向地图定位功能组件。

  2017年,开发者刘伟(化名)在网上发帖称,自己做了“真机实测”,无论在ios还是安卓系统上,即使小程序的定位授权被拒绝,仍然可以定位用户位置,并列出了详细方法。据了解,刘伟开发的小程序的功能是根据用户的位置信息,推荐附近的贷款公司。“貌似这个bug还没有修复。”他解释说,现在体验当初开发的小程序,在拒绝授权位置信息的情况下,地图上还是能显示附近贷款公司。

  有技术专家表示,在用户明确拒绝或未授权的情况下,小程序能展示用户的位置信息并将经纬度值导入到后台,这属于平台的“漏洞”。

  声音

  专家:小程序和平台或需共同担责

  由于依托于平台,小程序获取用户信息时,受到平台的限制和管控。如果因平台存在“漏洞”,导致小程序可在未获授权的情况下,获取用户位置信息,小程序和平台是否涉嫌违规?

  华东政法大学数据法律研究中心主任高富平认为,这种行为属于不法获得用户信息,难以认定侵犯用户隐私;但如果造成用户位置信息泄露的话,平台和小程序均需承担相应责任。

  他还表示,如果平台知道这样的‘漏洞’,却不采取相应措施,就有帮助小程序获取用户位置信息的嫌疑。

  出品:南都北京新闻中心

  南都个人信息保护研究中心

  采写:南都记者 李慧琪 研究员 尤一炜 石莹

来源:

网站地图