明明拒绝了小程序获取自己的位置信息,后台还是能精准定位。这究竟是怎么做到的?
早在几年前,就有人提出了这个问题。近日,隐私护卫队自主开发的一款定位小程序成功复现了上述情况,绕过用户授权,获取并存储了用户所在地点的经纬度信息。有专家表示,在明确拒绝或未授权的情况下,小程序能获取用户的精确位置属于技术“漏洞”。如果平台明知“漏洞”的存在,却不采取相应措施,则难逃纵容小程序获取用户位置信息的嫌疑。
实测发现部分小程序
可绕过用户授权获取位置信息
为了使用标记所在位置,或者向朋友发送定位等功能,很多人往往会开启App或平台的定位功能——这代表你授权这些App获取精准位置。不过,假如是依附于这些平台的小程序想获取位置信息,则需先弹窗申请:理论上只有用户点击“同意”,它们才有权获取位置信息。然而,根据隐私护卫队实测,在部分平台上,只要开启平台定位,即使用户拒绝小程序获取位置信息,小程序依然可以获取坐标信息。
隐私护卫队实测发现,如果关闭平台定位,小程序也无法定位;但一旦开启平台定位,无论用户是否授权,有些小程序就能够直接精准定位。
以某运动地图类小程序为例,关闭平台定位时,它显示定位在非洲;开启平台定位后,即使用户拒绝授权小程序定位,它也能立即准确定位到隐私护卫队所在位置。
为此,隐私护卫队开发了一个简易小程序,证实了在未经用户授权的情况下,该小程序能够获取当前位置中心点的坐标,并成功将坐标值导到小程序后台。
隐私护卫队实测了多个平台发现,上述情况并非孤例。一旦将位置信息与账号相关联,用户的个人信息就完全暴露,小程序则有违规获取个人信息的嫌疑。
不过,隐私护卫队梳理发现,这一“漏洞”是完全可以避免的。目前市场上就有平台从技术层面杜绝了小程序绕过用户授权获取位置信息的可能性。
“漏洞”曾被数名开发者提出
至今仍未修复
隐私护卫队注意到,过去几年,有至少两名开发者曾反馈过这个“漏洞”,他们的质疑都指向同一套地图定位功能组件。
2017年,开发者刘伟(化名)在网上发帖称,自己做了“真机实测”,无论在iOS还是安卓系统上,即使小程序的定位授权被拒绝,仍然可以定位用户位置,并列出了详细方法。对此,相关技术专员回应称“这种情况比较特殊”,并承诺会对该授权逻辑进行修复。之后另一名技术专员回应类似问题时说,尽管小程序可以显示用户位置,但不能获取坐标值,所以不需要授权。
但隐私护卫队实测证实,只要结合某核心地图组件和专门获取定位信息的接口,就能在未获授权的情形下获取用户的坐标信息。
“你做登录了,那用户授权你就能有登录信息,你上传位置坐标的时候就可以带上用户信息。”刘伟告诉隐私护卫队,小程序可以在后台把坐标信息和账号信息关联起来。这就等于未经授权获取了用户的行踪轨迹,属于个人敏感信息。
据了解,刘伟开发的小程序的功能是根据用户位置信息,推荐附近的贷款公司。“貌似这个bug还没有修复。”他解释说,现在体验当初开发的小程序,在拒绝授权位置信息的情况下,地图上还是能显示附近贷款公司。
有技术专家表示,在用户明确拒绝或未授权的情况下,小程序能展示用户的位置信息并将经纬度值导入到后台,这属于平台的“漏洞”。
若造成用户位置信息泄露
小程序和平台或需共同担责
隐私护卫队查阅相关平台的小程序开发文档发现,地图定位功能组件不在其列举的“需要用户授权才能使用的功能”之中。这意味着,小程序调用该地图定位功能组件获取位置信息时,很有可能无需经过用户授权。
《网络安全法》规定,网络运营者收集、使用个人信息时,应经被收集者同意。国家标准《信息安全技术 个人信息安全规范》也要求,个人信息控制者收集、分享精准定位等个人敏感信息前,应征得个人信息主体的明示同意。
由于依托于平台,小程序获取用户信息时,受到平台的限制和管控。如果因平台存在“漏洞”,导致小程序可在未获授权的情况下,获取用户位置信息,小程序和平台是否涉嫌违规?
华东政法大学数据法律研究中心主任高富平认为,这种行为属于不法获得用户信息,难以认定侵犯用户隐私;但如果造成用户位置信息泄露的话,平台和小程序均需承担相应责任。他还表示,如果平台知道这样的“漏洞”,却不采取相应措施,就有帮助小程序获取用户位置信息的嫌疑。
南京信息工程大学法政学院教授蒋洁表示,用户的地理位置属于个人信息,小程序未经同意收集个人信息,显然侵害了用户隐私,如果平台存在漏洞,小程序和平台需共同担责。若平台能够自证没有过错,仅需承担及时修补和合理范围内的补偿责任。
对于小程序获取用户位置信息的合规做法,有律师建议说,小程序首先应弹窗向用户申请授权;只有在确认用户同意的情况下,平台才能允许小程序调用相关功能,获取用户位置信息。
◎纵深
提供独立隐私政策的小程序不足四成
近日,南都个人信息保护研究中心联合中国信息通信研究院安全研究所发布《小程序个人信息保护研究报告》(下称“报告”),对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行测评。结果显示,只有38.5%被测小程序提供了独立的隐私政策。
近些年,“超级App 小程序”成为移动互联网时代开发者探索的新模式。2019上半年,小程序平台从2018年的2家扩充至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业均开始进行小程序布局。
据了解,目前,小程序涉及个人信息收集使用的情况愈加频繁,对其开展安全管理的必要性急剧上升。但目前的监督管理基本集中于App,鲜少涉及小程序。报告建议,小程序可参照App进行数据安全及个人信息安全管理。
报告认为,小程序和App在前端的表现形式不同,但后台的服务器、数据库通常是共用的,且小程序的功能往往不会超出App。因此,两者收集和使用用户个人信息也应该适用同一套规则。
然而,经测评发现,近半小程序没有提供隐私政策,或使用了与其对应的App不同版本的隐私政策。在21个提供了隐私政策的小程序中,绝大多数采用的都是“登录即同意”的方式征得用户同意,只有极少数需要用户主动勾选同意。
在隐私政策测评中,报告指出,只有38.5%的小程序提供了独立的隐私政策,且各平台的小程序情况相差较大,提供了隐私政策的小程序在各平台占比从23.1%到76.9%不等,其中政务公益、日常工具、体育健身、医疗健康类小程序的问题较为严重。
报告认为,上述情况侵害了用户的知情权和选择权,还容易导致数据收集使用规则混淆。
超九成小程序未告知关闭权限路径
报告还在数据安全检测中发现,每款小程序平均约存在三个问题,其中教育文化、旅游交通、新闻资讯、生活服务类小程序个人信息保护问题较为突出,主要问题集中在收集、删除、传输等环节。
比如某防疫类小程序,除获取个人姓名、身份证号等敏感信息外,还需进行人脸识别。报告认为,在实际线下防疫工作中通过姓名、身份证号以及二者的对应关系,再配合真人及身份证查验,在不获取人脸信息的情况下即可保证信息的准确性。
“与运营者相比,用户在使用小程序时处于弱势地位。”报告写道,若运营者存在不单纯的收集目的,超范围收集非必要用户个人信息,用户处于放弃使用或被动提供信息的两难选择,一旦相关个人信息被不法分子获取滥用,极易造成用户权益损害。
在授权方面,报告实测发现,94%被测小程序未向用户告知如何关闭已授权权限路径;约25%的小程序在用户关闭“用户信息”授权后再次进入,仍显示上次授权时的个人信息。这可能导致小程序在用户已经解除授权的情况下继续收集使用用户个人信息,存在个人信息滥用风险。
经报告团队检测,超过一半的小程序未提供删除个人信息渠道。报告指出,尽管小程序功能简单,可能无法提供单独的注销账号服务,但也应赋予用户控制个人信息的权利,否则可能带来个人信息过度留存的风险。
此外,报告还指出,某些与平台关联或同一公司旗下的小程序存在默认获取使用用户信息的现象,由于这类小程序跳过权限申请步骤,所以用户无法关闭授权。另外,有约1/4的被测小程序明文传输个人信息甚至个人敏感信息,可能带来*扰诈骗风险。
针对上述问题,报告建议,应加强政府、企业、用户的多方协同。在政策层面,应明确将小程序纳入数据安全及个人信息保护管理范畴;在企业层面,应切实落实个人信息保护主体责任;在用户层面,应提升使用小程序的个人信息保护意识和能力。
◎探讨
实时全量监测不太现实 平台可做小程序认证
在业界一线,小程序平台监管小程序有哪些难题?在专家学者、一线实务人员眼中,平台和小程序的责任又该如何划分?6月11日,南都数字经济治理论坛第一期“小程序个人信息保护研究报告发布暨研讨会”在线上召开,多位专家、企业代表围绕上述议题进行了探讨。
小程序已达百万,难以实时全量监测
南都记者梳理发现,微信、支付宝、百度、今日头条四大主流平台均在《运营规范》中设立了“用户隐私和数据规范”章节,从数据收集、存储与授权,数据使用规范,数据安全等方面对小程序提出了具体要求。然而,报告显示,逾六成被测小程序未提供独立的隐私政策,94%未告知如何关闭已授权权限路径。为什么平台明明有要求,小程序却还是暴露出诸多个人信息保护方面的问题?
对此,微信法务副总监、微信小程序法务负责人梁博文表示,从微信平台来说,制定的一些规则其实是行之有效的,遇到违法违规行为也会对小程序进行严厉处理,包括限制其获取某些权限,甚至直接下架。
但面对百万量级的小程序,平台运营监管上的确会有一些客观的难点。他坦言,平台和小程序属于一对多的法律关系,要求实时全量监测是不太现实的,日常用户投诉反馈等方式是发现违规行为的有效补充。
另一方面,一些小程序并不是调用微信提供的接口,而是提供表单由用户主动填写信息。“这就类似于我们在其他App或者网页上面填写表单,这种直接由开发者与用户之间的交互,是一些业务的客观需要,但也给平台的管理增加了难度。”梁博文说。
在中国信息安全研究院副院长左晓栋看来,相较以静态评估为主的App治理,小程序的生态模式使得平台有机会采用更多技术手段在线监控小程序的行为,动态地掌握小程序的运行状态。
“我一直认为当初App治理启动的时候,自然就应该包含小程序,甚至我们现在看到很多地方开展的App治理已经把小程序纳进去了。”他强调,从治理工作开展的机制设计来讲,把小程序纳进去“是没有问题的”。
针对小程序个人信息保护机制不完善的问题,梁博文建议,平台、小程序运营者和用户都参与进来。
首先平台除了制定规则之外,还应该从技术层面进行提升;其次小程序应该加强对用户数据获取的认知,而不是总觉得越多越好,服务带给用户的安全感更有价值;用户则需更多地关注自己的信息是否被合理收集和使用。
平台应承担更多责任,进行主动治理
基于小程序依附于平台的特性,一旦发生个人信息安全事件,就一定会涉及平台和小程序的责任划分。
中国人民大学法学院未来法治研究院副院长丁晓东指出,小程序作为第三方,很容易在数据融合阶段引发风险。因此,平台应该承担起数据信托的责任,其中既包括对个体用户的信托责任,也包括对整体消费者的信托责任。
“我想这不仅是对于用户的个人信息保护很重要,对未来的数据共享和数据权属问题也非常重要”,他进一步谈到,现在很多数据争议都涉及了小程序,需要平台这样的信托者来保障用户权益,指引小程序在合理范围内进行数据应用,而不是“用户授权了就怎么用都可以”。
南都记者注意到,国家标准《信息安全技术个人信息安全规范》其实已经对于小程序场景下的平台责任做了比较明确的要求。比如开展技术检测确保其个人信息收集、使用行为符合约定要求,对其收集个人信息的行为进行审计。
根据上述要求,左晓栋认为,平台至少应该做到在线监测。如果平台认为小程序有违法违规行为,也可以据此采取措施,不过最好是在合同里就做出规范。
与此同时,也要考虑到救济的方式。他举例说,比如给小程序开发者、运营者开放投诉渠道,或者参照国家法律法规中对于平台监测违法违规信息现有的流程。
来自中国信息通信研究院安全研究所信息安全研究部的闫希敏则提出了一些具体建议。她指出,小程序的个人信息保护可以考虑做一些主动性治理。比如设置个人信息保护优秀小程序的认证,利用一些推荐使用机制或者其他的鼓励政策,激发小程序运营者产生自我优化的动力,使其自发自觉地实践个人信息保护措施。
平台至少应该做到在线监测,如果平台认为小程序有违法违规行为,也可以据此采取措施,不过最好是在合同里就做出规范。
——中国信息安全研究院副院长左晓栋
统筹:
南都记者 蒋琳
采写:
南都记者 李慧琪
南都个人信息保护研究中心研究员 尤一炜 石莹
制图:林泳希