程序|逾两成被测小程序明文传输用户信息
_原题为 逾两成被测小程序明文传输用户信息 
文章图片
文章图片
【程序|逾两成被测小程序明文传输用户信息】9月15日 , 在个人信息保护主题论坛上 , 南都发布了《小程序个人信息保护研究报告》 。
2020年国家网络安全宣传周如期而至 , 今年主题为“网络安全为人民 , 网络安全靠人民” 。 9月15日 , 在网安周的个人信息保护主题论坛上 , 南都个人信息保护研究中心发布了《小程序个人信息保护研究报告》 。
报告对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行测评 。 结果显示 , 只有38.5%被测小程序提供了独立的隐私政策 。 据悉 , 小程序使用与App不一致的隐私政策、超范围收集个人信息、默认共享用户个人信息等问题较为严重 。
疫情期间小程序迅速覆盖
个人信息保护问题凸显
近年来 , 小程序快速普及 , “超级App+小程序”成为移动互联网时代开发者探索的新模式 。 2019上半年 , 小程序平台从2018年的2家扩充至8家 , 腾讯、阿里、百度、字节跳动等多家头部互联网企业均开始进行小程序布局 。
尤其在此次疫情期间 , 小程序可谓是“异军突起” , 借助小程序来进行健康码申报、购物已经成为普通人的日常 。 据微信2月中旬发布的《微信战“疫”数据报告》 , 截至2月14日 , 小程序超市业态访问量同比增长115% , 生鲜果蔬业态访问量同比增长168% , 社区电商业态同比增长83% 。
但与此同时 , 小程序在个人信息保护方面的一些问题也开始凸显 。 比如 , 许多小区在疫情期间“趁势”投入使用人脸识别等智能门禁系统 。 据报道 , 一些物管使用的门禁系统 , 会通过小程序来收集居民的姓名、身份证号、人脸等敏感信息 , 而许多业主都会担心个人隐私被泄露 。
南都个人信息保护研究中心实测20款疫情期间常用的微信小程序发现 , 有11款小程序都没有独立的隐私政策 。 其中 , 卖口罩、卖菜的零售平台和统计报名的实用工具类小程序问题较为严重 。
在九款提供了隐私政策的小程序中 , 仅有一款采取主动选择同意的形式 , 绝大多数采用的都是“登录即同意”的方式征得用户同意 。
此外 , 卖口罩、卖菜的零售平台类小程序 , 大部分需要用户一进入小程序就先获取用户的定位信息 , 因为此类小程序的使用场景直接和社区服务相关 。
测评发现 , 有一款“美菜商场”小程序会强制获取用户的定位信息 , 如果不输入小区名则无法使用 。 还有一款“长效消毒防疫用品商城”小程序会在未经用户授权的情况下 , 直接获取用户的微信头像、用户名和性别等个人信息 。
不足四成小程序
提供独立隐私政策
目前 , 小程序涉及个人信息收集使用的情况愈加频繁 , 对其开展安全管理的必要性急剧上升 。 但目前的监督管理基本集中于App , 鲜少涉及小程序 。 在这样的背景下 , 南都个人信息保护研究中心联合中国信通院安全研究所一起发布了《小程序个人信息保护报告》 。
报告认为 , 小程序和App在前端的表现形式不同 , 但后台的服务器、数据库通常是共用的 , 且小程序的功能往往不会超出App 。 因此 , 两者收集和使用用户个人信息也应该适用同一套规则 , 或按照实际功能制定 。
然而 , 经测评发现 , 近半小程序没有提供隐私政策 , 或使用了与其对应的App不同版本的隐私政策 。 而且 , 如果小程序仅使用所在平台账号登录 , 常常会出现小程序不提供隐私政策 , 而是由平台代为提供相关协议的情况 。 有少数小程序即使提供了隐私政策 , 也存在链接无效的情况 。
此外 , 在21个提供了隐私政策的小程序中 , 绝大多数采用的都是“登录即同意”的方式征得用户同意 , 只有极少数需要用户主动勾选同意 。
在隐私政策测评中 , 报告指出 , 只有38.5%的小程序提供了独立的隐私政策 , 且各平台的小程序情况相差较大 , 提供了隐私政策的小程序在各平台占比从23.1%到76.9%不等 , 其中政务公益、日常工具、体育健身、医疗健康类小程序的问题较为严重 。
报告认为 , 上述情况侵害了用户的知情权和选择权 , 还容易导致数据收集使用规则混淆 。
超九成小程序
未告知关闭权限路径
报告还在数据安全检测中发现 , 每款小程序平均约存在三个问题 , 其中教育文化、旅游交通、新闻资讯、生活服务类小程序个人信息保护问题较为突出 , 主要问题集中在收集、删除、传输等环节 。
比如某防疫类小程序 , 除获取个人姓名、身份证号等敏感信息外 , 还需进行人脸识别 。 报告认为 , 在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系 , 再配合真人及身份证查验 , 在不获取人脸信息的情况下即可保证信息的准确性 。
“与运营者相比 , 用户在使用小程序时处于弱势地位 。 ”报告写道 , 若运营者存在不单纯的收集目的 , 超范围收集非必要用户个人信息 , 用户将面对放弃使用或被动提供信息的两难选择 , 一旦相关个人信息被不法分子获取滥用 , 极易造成用户权益损害 。
推荐阅读
- 云上|“云上”小程序助力 幼儿园招生便捷高效
- 首发团|因行政程序拖延 泰国特殊签证首发团暂缓入境
- 观点评论|实体店开发小程序:店铺客流、收益,成倍增长
- 程序中|十年之久!谷歌和甲骨文版权纠纷案提交美国最高法院
- 云聚|中新社携手腾讯推出“云聚中秋”小程序 可云拍团圆照
- 肯塔基州|美检方不起诉暴力执法警察 被害者家属要求公布诉讼程序笔录
- 大厂员工|带着阿里工牌上飞机却被路人吐槽,程序员小伙伴纷纷站出来力挺
- 软件|英国新冠病毒追踪定位应用程序上线,一旦发现附近有确诊病例,将提示用户自我隔离
- 社交|2020社交电商白皮书发布 行业规模占网络零售总额两成
- 字节|商务部回应字节跳动提交许可申请:将按相关规定和程序依法依规处理