中国消费者报报道(记者武晓莉)近年来,移动应用软件(App)用户增长已经趋缓,而以小程序为主的轻应用正在成为互联网信息服务的重要入口。
与APP相比,小程序无须安装、即点即用、少占内存,对用户来说是一种使用体验很好的快捷应用。但人们也担心,小程序比APP更快捷,那是不是比APP不安全呢?
在与消费者日常生活不断融合的过程中,小程序难免会像APP一样涉及用户个人敏感信息,用户在享受便捷化服务的同时也面临着潜在的安全隐患。梳理新的风险隐患,针对性地提出对策建议,提升小程序安全保障能力刻不容缓。
普及速度加快
“近年来,小程序、快应用等新应用形态在蓬勃发展。”中国泰尔终端实验室信息安全部主任宁华指出,作为使用前端技术开发、在云声环境里进行渲染的免安装应用,这些即时应用包括了快应用、微信小程序、支付宝小程序,以及google的InstantAPPs等内容。这些应用的特点一是不需要安装,即点即用,但又具备了传统APP的完整应用体验;二是它的资源消耗少,能够避免由于APP安装引起的空间不足问题;三是它可以通过传统的应用市场、桌面图标、全局搜索以及PUSH推送等入口,快速直达内容详情,能够让消费者有更好的使用体验。“小程序一是功能简单,更加关注核心业务、主要功能的实现;二是使用便捷,用户通过搜索、点击、授权即可进入小程序获取服务,不需经历下载、安装、注册、卸载等过程,降低了用户的使用门槛;三是开发成本低。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说。
用户的多样化需求使小程序得以快速普及和应用,成为人们日常生活中获取互联网服务的主要载体。QuestMobile发布的《移动互联网全景生态流量洞察报告》显示,截至2019年11月,小程序总量超过450万个,日活跃用户突破3.3亿人。
小程序已成为人们常用的互联网服务入口。阿拉丁研究院发布的《2019年小程序互联网发展白皮书》(以下简称《白皮书》)显示,2019年人均使用小程序数量超过60个,多于同期人均安装APP的个数;支付宝小程序用户次日留存率超过六成,微信小程序次日留存率超过五成。
小程序实现了生活场景和适龄人口全覆盖,已经融入用户的日常生活。中国信息通信研究院发布的《小程序个人信息保护研究报告》显示,截至2020年4月,各平台内小程序覆盖11大类型,从小游戏、视频影音为代表的娱乐类应用到教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用,涵盖日常生活中的常见场景,小程序已初步建立起生态体系。2019年上半年,小程序平台从2018年的2家增长至8家,腾讯、阿里、百度、字节跳动等多家头部互联网企业开始布局小程序。
信息安全存风险
“某购物类小程序,会向用户申请获取蓝牙权限,但是从其提供的功能和服务内容来看,这种信息采集的行为不合理。”张媛媛说,“我们测试发现,每一款小程序平均存在三个以上的安全问题。”
记者调查发现,小程序不时暴露出违规收集使用个人信息的风险,由于涉及大量个人信息的采集与使用,存在着个人信息泄露、滥用和被盗取的风险。
据张媛媛介绍,中国信息通信研究院今年上半年关注了四大主流小程序平台,从新闻资讯、生活服务、网络购物等10类典型的业务中,选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看,小程序涉及的个人信息安全风险问题较为普遍,其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出,主要集中在数据收集、传输以及删除等环节。
未提供有效的隐私政策,侵害了用户的知情权。23%到76%的平台提供了隐私政策,其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时,会申请获取个人的姓名、手机号、身份证号等个人信息,但小程序运营者本身并未提供任何隐私政策,或对收集上述信息的场景、用途及目的进行说明。
未采取主动选择同意,侵害了用户的选择权。95%的样本小程序向用户模糊政策隐私,很容易导致用户忽略隐私政策,无法准确了解与个人主体权益相关的重要信息。
超范围收集个人信息,带来数据违规收集风险。健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。
明文传输个人信息带来数据非法获取的风险。约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息,其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。
未告知用户关闭权限的路径,带来权限持续开放的风险。目前各大小程序平台均为用户提供了关闭权限的功能,但94%的样本未向用户告知上述功能开放的途径,这可能会导致用户在使用完小程序后,仍将一部分权限持续开放给小程序使用。
默认共享用户个人信息,带来数据脱离控制风险。在未向用户申请权限的情况下,某些小程序默认获取并使用了其关联小程序的用户信息,而用户无法关闭个人信息的授权功能。
监管待加强
“政府高度重视APP数据安全和个人信息安全,但目前的监督管理鲜少涉及小程序。”张媛媛说。
据了解,随着小程序的业务形态和用户数量的迅速发展,个人信息收集使用愈加频繁,对小程序开展安全管理的必要性急剧上升。不少平台运营者出于管理的需求,参考APP个人信息保护相关工作,对平台内小程序进行安全管理。
有关专家认为,与运营者相比,用户在使用小程序时处于弱势地位。若运营者存在不单纯的收集目的,超范围收集非必要用户个人信息,用户就会面临放弃使用或被动提供信息的两难选择。一旦相关个人信息被不法分子获取滥用,极易造成用户权益受损。
随着业务形态和用户数量的迅速发展,小程序正在成为发展态势和使用场景比肩 APP的应用。《白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴,参照 APP安全治理模式,针对小程序特点,研究制定个人信息安全保护规范,明确小程序与小程序平台之间的主体责任划分等,鼓励小程序运营者和平台运营者强化用户个人信息安全保护。
在企业层面,切实落实个人信息保护主体责任。在用户层面,提升小程序使用者的个人信息保护意识和能力。
张媛媛指出,使用小程序的大部分用户对自身个人信息保护意识和能力仍然不足,为使用相关服务而被动提供个人敏感信息的情况屡见不鲜。因此,亟待通过科普讲座、社区宣传等形式,对用户进行解读和宣导,使其明确个体作为其个人信息控制者的权利,提升保护个人信息的意识和能力。在保护用户个人信息免受侵害的同时,鼓励用户积极举报违规行为,发动社会力量,推动小程序规范健康发展。
链接:
小程序和APP有何不同
“与 APP相比,小程序相关能力较为简单。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说,小程序在接口调用、权限获取和管理、消息推送等方面都受限于小程序平台。
小程序有权调用的API(应用程序编程接口)少于 APP。小程序无法绕过小程序平台直接调用手机系统API并和系统互动;APP则可调用所有手机系统 API,直接与系统对话,实现修改手机系统音量、网络连接等功能。
小程序可获取的权限少于APP。小程序只能获取小程序平台已经从手机系统获取的权限,通常仅限于用户信息、地理位置、后台定位、相册、通讯地址、发票、录音、摄像头、运动步数;而APP能够获取的手机系统权限多达100余项,其中包括日历、通讯录、麦克风、短信等敏感权限。
小程序的权限管理方式与APP不同。小程序的权限管理通常是从小程序平台“设置”中选择“允许”或“拒绝”某项权限,且一次只能进行一款小程序的权限设置;APP的权限管理则可在手机系统设置中完成,且可实现集中管理,即可一次性针对多款APP的权限情况进行修改。
小程序推送消息的渠道少于APP。小程序只能发送模板消息,或在被用户主动订阅后进行推送,APP则可以随时随地为用户推送消息。《2019年小程序互联网发展白皮书》显示,小程序可从小程序平台获取用户信息、设备信息和统计信息。小程序在获得用户授权后,可获取用户的平台昵称、头像、性别、所在地区、语言、手机号、身份证号等个人信息,人脸、指纹等个人生物信息,以及通过权限申请获取的地理位置、通讯地址等信息。除此之外,小程序还可从具备资金管理能力和实人认证能力的平台获取财产信息相关认证结果。
小程序可获取的设备信息有网络状态、WiFi、加速度传感器、罗盘、剪贴板、系统信息、屏幕等,其中系统相关信息包括操作系统版本、操作系统类型、手机品牌、手机型号、平台版本号、平台名称、屏幕宽度、屏幕高度、设备像素比等,屏幕相关的设备信息包括屏幕是否常亮、用户是否截屏等,有些平台还支持小程序添加手机通讯录联系人、获取设备电量、添加和删除日历活动等功能。
大量用户使用小程序的行为可汇聚形成统计数据,小程序运营者借此了解小程序的运营状况,分析小程序的用户来源、用户构成、用户增长趋势、用户留存与转化、用户使用行为习惯等,帮助小程序迭代优化和运营。除了常规的数据分析,例如通过用户访问规模、来源、频次、时长、深度、留存来判断产品使用年限,通过用户年龄、性别、地区、终端及机型分布刻画用户画像,通过展示各个页面的访次、停留时间、退出率等体现页面受欢迎的程度等之外,小程序还可在小程序平台内自定义分析用户实时行为,对其行为做精细化跟踪,满足页面访问等标准统计以外的个性化分析需求。
如何认定违规收集个人信息
国家市场监督管理总局、国家互联网信息办公室、工业和信息化部、公安部四部门曾联合发布了关于印发《APP违法违规收集使用个人信息行为认定方法》(以下简称 《认定方法》)的通知。专家指出,消费者可以在使用APP时参照上述规定,保护个人信息安全。《认定方法》分为6项认定准则,包含31种场景。其中最重要的是服务方应提供明确的隐私规则。在APP中没有隐私政策或隐私政策中没有收集使用个人信息规则、在APP首次运行时未通过明显方式提示用户收集使用规则等情形,就是“未公开收集使用规则”。《认定方法》中明确提出9种场景属于未经用户同意收集使用个人信息:征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;以默认选择同意隐私政策等非明示方式征求用户同意;未经用户同意更改其设置的可收集个人信息权限状态,如APP更新时自动将用户设置的权限恢复到默认状态;利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;未向用户提供撤回同意收集个人信息的途径、方式;违反其所声明的收集使用规则,收集使用个人信息。《认定方法》还定义了违反必要原则,收集与其提供的服务无关的个人信息的过度收集信息行为:收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;收集个人信息的频度等超出业务功能实际需要;仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
此外,《认定方法》还提及,APP接入第三方应用,未经用户同意,向第三方应用提供个人信息;既未经用户同意,也未做匿名化处理,数据传输至APP后台服务器后,向第三方提供其收集的个人信息等情况,将被认定为“未经同意向他人提供个人信息”。
