资讯中心

及时了解相关的市场研究数据和报告,为研究和咨询及IT行业,

电商运营者提供适当前沿资讯。


小程序的个人信息保护现状,未授权获取位置信息等屡见不鲜

发布时间:2020-06-27 10:12:42

围绕各种平台如何收集、使用个人信息的规范性文件相继出台,违法违规专项治理行动拉开序幕,众多为人熟知的微信小程序悉数触雷,或被责令限期整改,或被处以警告、罚款,部分微信小程序因涉嫌侵犯公民个人信息罪已被公安机关立案侦查。由此可见,微信小程序已经成为个人信息保护执法的“重灾区”。
auto_2371.png自己明明没有同意微信小程序获取定位信息,后台还是能精准定位到我的坐标。这到底是如何做到的?如今,微信小程序正在逐渐改变人们使用手机的习惯——不用花费流量等待微信小程序下载完成,即用即走的清爽体验让它迅速跻身互联网服务主要入口的行列,值得注意的是,相比受到强力监管的微信小程序,微信小程序似乎暂时还处于“野蛮生长”时期。

几年前,有人提出过这个问题。近日,某开发公司开发的一款定位微信小程序成功复现了上述情况,可以绕过用户的定位授权,获取并存储了用户所在地点的经纬度信息。

有专家表示,在明确拒绝或未授权的情况下,微信小程序能获取用户的精确位置属于技术漏洞。如果平台明知漏洞的存在,却不采取相应措施,则难逃纵容微信小程序获取用户位置信息的嫌疑。

为了使用标记所在位置,或者向朋友发送定位等功能,很多人往往会开启App或平台的定位功能——这代表你授权这些App获取精准位置。


然而,根据该开发机构实测,在部分平台上,只要开启平台定位,即使用户拒绝微信小程序获取位置信息,微信小程序依然可以获取坐标信息。

该开发机构实测发现,如果关闭平台定位,微信小程序也无法定位;但一旦开启平台定位,无论用户是否授权,有些微信小程序就能够直接精准定位。

以某运动地图类微信小程序为例,关闭平台定位时,它显示定位在非洲;开启平台定位后,即使用户拒绝授权微信小程序定位,它也能立即准确定位到该开发机构所在位置。
为此,该开发机构开发了一个简易微信小程序,证实了在未经用户授权的情况下,该微信小程序能够获取当前位置中心点的坐标,并成功将坐标值导到微信小程序后台。

不过,该开发机构梳理发现,这一“漏洞”是完全可以避免的。目前市场上就有平台从技术层面杜绝了微信小程序绕过用户授权获取位置信息的可能性。

该开发机构注意到,过去几年,有至少两名开发者曾反馈过这个漏洞,他们的质疑都指向同一套地图定位功能组件。

2017年,开发者在网上发帖称,自己做了真机实测,无论在苹果还是安卓系统上,即使微信小程序的定位授权被拒绝,仍然可以定位用户位置,并列出了详细方法。

对此,相关技术专员回应称“这种情况比较特殊”,并承诺会对该授权逻辑进行修复包加。之后另一名技术专员回应类似问题时说,尽管微信小程序可以显示用户位置,但不能获取坐标值,所以不需要授权。

但该开发机构实测证实,只要结合某核心地图组件和专门获取定位信息的接口,就能在未获授权的情形下获取用户的坐标信息。

“你做登录了,那会员授权你就能有登录信息,你上传位置坐标的时候就可以带上会员信息。”刘伟告诉该开发机构,微信小程序可以在后台把坐标信息和账号信息关联起来。这就等于未经授权获取了用户的行踪轨迹,属于个人敏感信息。

据了解,刘伟开发的微信小程序的功能是根据用户的位置信息,推荐附近的贷款公司。“貌似这个漏洞还没有修复。”他解释说,现在体验当初开发的微信小程序,在拒绝授权位置信息的情况下,地图上还是能显示附近贷款公司。

有技术专家表示,在用户明确拒绝或未授权的情况下,微信小程序能展示用户的位置信息并将经纬度值导入到后台,这属于平台的“漏洞”。

该开发机构查阅相关平台的微信小程序开发文档发现,地图定位功能组件不再其列举的“需要会员授权才能使用的功能”之中。这意味着,微信小程序调用该地图定位功能组件获取位置信息时,很有可能无需经过会员授权。

《网络安全法》规定,网络运营者收集、使用个人信息时,应经被收集者同意。国家标准《信息安全技术个人信息安全规范》也要求,个人信息控制者收集、分享精准定位等个人敏感信息前,应征得个人信息主体的明示同意。

由于依托于平台,微信小程序获取会员信息时,受到平台的限制和管控。如果因平台存在“漏洞”,导致微信小程序可在未获授权的情况下,获取用户位置信息,微信小程序和平台是否涉嫌违规?

华东政法大学数据法律研究中心主任高富平认为,这种行为属于不法获得会员信息,难以认定侵犯用户隐私;但如果造成用户位置信息泄露的话,平台和微信小程序均需承担相应责任。

他还表示,如果平台知道这样的‘漏洞’,却不采取相应措施,就有帮助微信小程序获取用户位置信息的嫌疑。

南京信息工程大学法政学院教授蒋洁表示,用户的地理位置属于个人信息,微信小程序未经同意收集个人信息,显然侵害了用户隐私,如果平台存在漏洞,微信小程序和平台需共同担责。若平台能够自证没有过错,仅需承担及时修补和合理范围内的补偿责任。

对于微信小程序获取用户位置信息的合规做法,有律师建议说,微信小程序首先应弹窗向用户申请授权;之后只有在确认用户同意的情况下,平台才能允许微信小程序调用相关功能,获取用户位置信息。

结果显示,只有39%被测微信小程序提供了独立的隐私政策,而且94%未向用户告知如何关闭已授权权限路径。据悉,微信小程序使用与App不一致的隐私政策、超范围收集个人信息、默认共享用户个人信息等问题较为严重。

近些年,“超级App+微信小程序”成为移动互联网时代开发者探索的新模式。2019上半年,微信小程序平台从2018年的两家扩充至八家阿里、腾讯、百度、字节跳动等多家头部互联网企业均开始进行小程序入局。

据了解,目前,微信小程序涉及个人信息收集使用的情况愈加频繁,对其开展安全管理的必要性急剧上升。但目前的监督管理基本集中于App,鲜少涉及微信小程序。报告建议,微信小程序可参照App进行数据安全及个人信息安全管理。

报告认为,微信小程序和App在前端的表现形式不同,但后台的服务器、数据库通常是共用的,且微信小程序的功能往往不会超出App。因此,两者收集和使用用户个人信息也应该适用同一套规则。

然而,经测评发现,近半微信小程序没有提供隐私政策,或使用了与其对应的App不同版本的隐私政策。在21个提供了隐私政策的微信小程序中,绝大多数采用的都是“登录即同意”的方式征得用户同意,只有极少数需要用户主动勾选同意。

在隐私政策测评中,报告指出,只有38%的微信小程序提供了独立的隐私政策,且各平台的微信小程序情况相差较大,提供了隐私政策的微信小程序在各平台占比从23%到77%不等,其中政务公益、日常工具、体育健 身、医疗健康类微信小程序的问题较为严重。

报告认为,上述情况侵害了用户的知情权和选择权,还容易导致数据收集使用规则混淆。

报告还在数据安全检测中发现,每款微信小程序平均约存在三个问题,其中教育文化、旅游交通、新闻资讯、生活服务类微信小程序个人信息保护问题较为突出,主要问题集中在收集、删除、传输等环节。

比如某防疫类微信小程序,除获取个人姓名、身份证号等敏感信息外,还需进行人脸识别。报告认为,在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系,再配合真人及身份证查验,在不获取人脸信息的情况下即可保证信息的准确性。

“与运营者相比,用户在使用微信小程序时处于弱势地位。”报告写道,若CEO存在不单纯的收集目的,超范围收集非必要用户个人信息,用户处于放弃使用或被动提供信息的两难选择,一旦相关个人信息被不法分子获取滥用,极易造成用户权益损害。

在授权方面,报告实测发现,90%被测微信小程序未向用户告知如何关闭已授权权限路径;约25%的微信小程序在用户关闭“会员信息”授权后再次进入,仍显示上次授权时的个人信息。这可能导致微信小程序在用户已经解除授权的情况下继续收集使用用户个人信息,存在个人信息滥用风险。

经报告团队检测,超过一半的微信小程序未提供删除个人信息渠道。报告指出,尽管微信小程序功能简单,可能无法提供单独的注销账号服务,但也应赋予用户控制个人信息的权利,否则可能带来个人信息过度留存的风险。

此外,报告还指出,某些与平台关联或同一公司旗下的微信小程序存在默认获取使用会员信息的现象,由于这类微信小程序跳过权限申请步骤,用户无法关闭授权。另外,有约1/4的被测微信小程序明文传输个人信息甚至个人敏感信息,可能带来骚扰诈骗风险。


根据网络安全法第四十一条规定,网络CEO收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

针对上述问题,报告建议,应加强政府、企业、用户的多方协同。在政策层面,应明确将微信小程序纳入数据安全及个人信息保护管理范畴;在企业层面,应切实落实个人信息保护主体责任;在用户层面,应提升使用微信小程序的个人信息保护意识和能力。

相关文章

在线咨询

建站在线咨询

QQ咨询

QQ在线咨询

电话沟通

0760-87889208

TOP