违法违规收集个人信息!小程序泄露了你多少秘密?
中国消费者报
点个菜就必须关注
使用一下就得授权个人信息
......
即点即用、少占内存的小程序
真的安全吗
拒绝授权定位
小程序却能获取位置坐标
明明拒绝了小程序获取
自己的位置信息
后台还是能精准定位
今年6月
有媒体实测发现↓
如果关闭平台定位,小程序也无法定位;但一旦开启平台定位,无论用户是否授权,有些小程序就能够直接精准定位。
▲来源:南方都市报·隐私护卫队华东政法大学数据法律研究中心主任高富平认为,这种行为属于不法获得用户信息,难以认定侵犯用户隐私;但如果造成用户位置信息泄露的话,平台和小程序均需承担相应责任。
他还表示,如果平台知道这样的“漏洞”,却不采取相应措施,就有帮助小程序获取用户位置信息的嫌疑。
涉及个人信息采集与使用
泄露、滥用和被盗取风险大
今年上半年,中国信息通信研究院选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看,小程序涉及的个人信息安全风险问题较为普遍,其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出,主要集中在数据收集、传输以及删除等环节。
未提供有效的隐私政策,侵害了用户的知情权
23%到76%的平台提供了隐私政策,其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时,会申请获取个人的姓名、手机号、身份证号等个人信息,但小程序运营者本身并未提供任何隐私政策,或对收集上述信息的场景、用途及目的进行说明。
未采取主动选择同意,侵害了用户的选择权
95%的样本小程序向用户模糊政策隐私,很容易导致用户忽略隐私政策,无法准确了解与个人主体权益相关的重要信息。
超范围收集个人信息,带来数据违规收集风险
健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。
明文传输个人信息带来数据非法获取的风险
约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息,其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。
未告知用户关闭权限的路径,带来权限持续开放的风险
目前各大小程序平台均为用户提供了关闭权限的功能,但94%的样本未向用户告知上述功能开放的途径,这可能会导致用户在使用完小程序后,仍将一部分权限持续开放给小程序使用。
默认共享用户个人信息,带来数据脱离控制风险
在未向用户申请权限的情况下,某些小程序默认获取并使用了其关联小程序的用户信息,而用户无法关闭个人信息的授权功能。
随着业务形态和用户数量的迅速发展,小程序正在成为发展态势和使用场景比肩 APP的应用。《2019年小程序互联网发展白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴,参照 APP安全治理模式,针对小程序特点,研究制定个人信息安全保护规范,明确小程序与小程序平台之间的主体责任划分等,鼓励小程序运营者和平台运营者强化用户个人信息安全保护。