查看原文
其他

南都报告在网安周发布!近三成被测小程序明文传输用户信息

隐私护卫队 隐私护卫队 2020-11-21

2020年国家网络安全宣传周如期而至,今年主题为“网络安全为人民,网络安全靠人民”。9月15日,在网安周的个人信息保护主题论坛上,南都个人信息保护研究中心发布了《小程序个人信息保护研究报告》。


报告对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行测评。结果显示,只有38.5%被测小程序提供了独立的隐私政策。据悉,小程序使用与App不一致的隐私政策、超范围收集个人信息、默认共享用户个人信息等问题较为严重。


文|李慧琪
南都个人信息保护研究中心出品

疫情期间小程序迅速覆盖,个人信息保护问题凸显

近年来,小程序快速普及,“超级App+小程序”成为移动互联网时代开发者探索的新模式。2019上半年,小程序平台从2018年的2家扩充至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业均开始进行小程序布局。

尤其在此次疫情期间,小程序可谓是“异军突起”,借助小程序来进行健康码申报、购物已经成为普通人的日常。据微信2月中旬发布的《微信战“疫”数据报告》,截至2月14日,小程序超市业态访问量同比增长115%,生鲜果蔬业态访问量同比增长168%,社区电商业态同比增长83%。

但与此同时,小程序在个人信息保护方面的一些问题也开始凸显。比如,许多小区在疫情期间“趁势”投入使用人脸识别等智能门禁系统。据报道,一些物业使用的门禁系统,会通过小程序来收集居民的姓名、身份证号、人脸等敏感信息,而许多业主都会担心个人隐私被泄露。

南都个人信息保护研究中心实测20款疫情期间常用的微信小程序发现,有11款小程序都没有独立的隐私政策。其中,卖口罩、卖菜的零售平台和统计报名的实用工具类小程序问题较为严重。

在九款提供了隐私政策的小程序中,仅有一款采取主动选择同意的形式,绝大多数采用的都是“登录即同意”的方式征得用户同意。

此外,卖口罩、卖菜的零售平台类小程序大部分需要用户一进入小程序就先获取用户的定位信息,因为此类小程序的使用场景直接和社区服务相关。

测评发现,有一款“美菜商场”小程序会强制获取用户的定位信息,如果不输入小区名则无法使用。还有一款“长效消毒防疫用品商城”小程序会在未经用户授权的情况下,直接获取用户的微信头像、用户名和性别等个人信息。


提供独立隐私政策的小程序不足四成

目前,小程序涉及个人信息收集使用的情况愈加频繁,对其开展安全管理的必要性急剧上升。但目前的监督管理基本集中于App,鲜少涉及小程序。在这样的背景下,南都个人信息保护研究中心联合中国信通院安全研究所一起发布了《小程序个人信息保护报告》。

报告认为,小程序和App在前端的表现形式不同,但后台的服务器、数据库通常是共用的,且小程序的功能往往不会超出App。因此,两者收集和使用用户个人信息也应该适用同一套规则,或按照实际功能制定。

然而,经测评发现,近半小程序没有提供隐私政策,或使用了与其对应的App不同版本的隐私政策。而且,如果小程序仅使用所在平台账号登录,常常会出现小程序不提供隐私政策,而是由平台代为提供相关协议的情况。有少数小程序即使提供了隐私政策,也存在链接无效的情况。

此外,在21个提供了隐私政策的小程序中,绝大多数采用的都是“登录即同意”的方式征得用户同意,只有极少数需要用户主动勾选同意。

在隐私政策测评中,报告指出,只有38.5%的小程序提供了独立的隐私政策,且各平台的小程序情况相差较大,提供了隐私政策的小程序在各平台占比从23.1%到76.9%不等,其中政务公益、日常工具、体育健身、医疗健康类小程序的问题较为严重。

报告认为,上述情况侵害了用户的知情权和选择权,还容易导致数据收集使用规则混淆。


超九成小程序未告知关闭权限路径

报告还在数据安全检测中发现,每款小程序平均约存在三个问题,其中教育文化、旅游交通、新闻资讯、生活服务类小程序个人信息保护问题较为突出,主要问题集中在收集、删除、传输等环节。

比如某防疫类小程序,除获取个人姓名、身份证号等敏感信息外,还需进行人脸识别。报告认为,在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系,再配合真人及身份证查验,在不获取人脸信息的情况下即可保证信息的准确性。

“与运营者相比,用户在使用小程序时处于弱势地位。”报告写道,若运营者存在不单纯的收集目的,超范围收集非必要用户个人信息,用户处于放弃使用或被动提供信息的两难选择,一旦相关个人信息被不法分子获取滥用,极易造成用户权益损害。

在授权方面,报告实测发现,94%被测小程序未向用户告知如何关闭已授权权限路径;约25%的小程序在用户关闭“用户信息”授权后再次进入,仍显示上次授权时的个人信息。这可能导致小程序在用户已经解除授权的情况下继续收集使用用户个人信息,存在个人信息滥用风险。

经报告团队检测,超过一半的小程序未提供删除个人信息渠道。报告指出,尽管小程序功能简单,可能无法提供单独的注销账号服务,但也应赋予用户控制个人信息的权利,否则可能带来个人信息过度留存的风险。

此外,报告还指出,某些与平台关联或同一公司旗下的小程序存在默认获取使用用户信息的现象,由于这类小程序跳过权限申请步骤,用户无法关闭授权。另外,有约1/4的被测小程序明文传输个人信息甚至个人敏感信息,可能带来骚扰诈骗风险。

针对上述问题,报告建议,应加强政府、企业、用户的多方协同。在政策层面,应明确将小程序纳入数据安全及个人信息保护管理范畴;在企业层面,应切实落实个人信息保护主体责任;在用户层面,应提升使用小程序的个人信息保护意识和能力。



叮!这里有一组来自网安周的隐私保护短视频,请查收


为手机男子勇斗黑产 纵有十数年网安经验也被盗刷 败在哪?


国家邮政局推出寄递身份二维码、隐私面单,防快递信息泄露


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存