2020年6月11日,中國信息通信研究院安全研究所聯(lián)合南都個人信息保護研究中心編寫的《小程序個人信息保護研究報告》正式發(fā)布。該報告聚焦信息服務新興業(yè)態(tài),重點研究小程序最新發(fā)展趨勢與個人信息保護風險隱患,旨在加強小程序個人信息保護,推動小程序規(guī)范健康發(fā)展。
報告指出,隨著移動互聯(lián)網的進一步發(fā)展,“超級App+小程序”成為開發(fā)者探索的新模式。以微信、支付寶等移動應用程序為代表的平臺在其應用中搭載第三方小程序,豐富向用戶提供服務的形式和內容。2020年新冠肺炎疫情以來,小程序也成為政府機關、醫(yī)療機構、企事業(yè)單位、社區(qū)學校疫情防控的重要工具,進一步助推了其快速發(fā)展。小程序在匯聚大量用戶個人信息的同時也暴露了一些在用戶個人信息收集與使用方面的風險隱患,需進一步加強政府、企業(yè)、用戶的多方協(xié)同,形成小程序個人信息保護體系。
提供獨立隱私政策的小程序不足四成
報告對微信、支付寶、百度、今日頭條四大主流小程序平臺的52款常用小程序進行了測評,結果顯示,只有38.5%被測小程序提供了獨立的隱私政策,而且94%未向用戶告知如何關閉已授權權限路徑。報告指出,即使提供了隱私政策,少數小程序也存在鏈接無效的情況,用戶同樣無法得知個人信息收集使用規(guī)則。在21個提供了隱私政策的小程序中,絕大多數采用的都是“登錄即同意”的方式征得用戶同意,只有極少數需要用戶主動勾選同意。其中政務公益、日常工具、體育健身、醫(yī)療健康類小程序的問題較為嚴重。
數據收集、傳輸、授權、刪除各環(huán)節(jié)均存安全風險
報告指出,在數據安全檢測方面,每款小程序平均約存在3個問題,其中教育文化、旅游交通、新聞資訊、生活服務類小程序個人信息保護問題較為突出,主要問題集中在收集、刪除、傳輸等環(huán)節(jié)。
在信息收集方面,報告指出,某些小程序存在超范圍收集個人信息,帶來數據違規(guī)收集風險。例如,某防疫類小程序除獲取個人姓名、身份證號等敏感信息外,還需進行人臉識別,獲取大量人臉信息。而在實際線下防疫工作中通過姓名、身份證號再配合真人及身份證查驗,在不獲取人臉信息的情況下可保證信息的準確性。
而在數據傳輸過程中,報告顯示,約有四分之一的被測小程序明文傳輸個人信息甚至個人敏感信息。這給網絡黑客提供了攻擊截獲傳輸數據包,進行數據竊聽、數據篡改、身份偽造的可能。小程序運營者應采取加密等技術措施,確保數據即使被惡意泄露或截獲也難以被破解。
在授權方面,報告團隊實測發(fā)現,94%被測小程序未向用戶告知如何關閉已授權權限路徑,這可能導致用戶在使用完小程序后仍然將一些權限開放給小程序;約25%的小程序在用戶關閉“用戶信息”授權后再次進入,仍顯示上次授權時的個人信息,這可能導致小程序在用戶已經解除授權的情況下繼續(xù)收集使用用戶個人信息,存在個人信息濫用風險。
經檢測,超過一半的小程序未提供刪除個人信息渠道,用戶使用小程序填寫個人信息后,小程序未對相關個人敏感信息的后續(xù)處理提供說明,或者為用戶提供刪除或匿名化個人信息的渠道。報告指出,盡管小程序功能簡單,絕大多數基于小程序平臺賬號進行服務,可能無法提供單獨的注銷賬號服務,但也應賦予用戶控制個人信息的權利,否則可能帶來個人信息過度留存的風險。
多方協(xié)同,共建小程序個人信息保護管理系統(tǒng)
針對上述問題,報告建議,應加強政府、企業(yè)、用戶的多方協(xié)同,形成小程序個人信息保護管理體系。在政策層面,應明確將小程序納入數據安全及個人信息保護管理范疇,研究制定個人信息安全保護指南規(guī)范,明確小程序與小程序平臺之間的主體責任劃分等;在企業(yè)層面,應切實落實個人信息保護主體責任,一方面小程序運營者主動開展數據安全及個人信息保護自評估工作,另一方面小程序平臺運營者進一步加強對搭載其上的小程序的管理工作;在用戶層面,應提升使用小程序的個人信息保護意識和能力,使其明確個體作為其個人信息控制者的權利。在保護用戶個人信息免受侵害的同時,鼓勵用戶積極舉報違規(guī)行為,發(fā)動社會力量,推動小程序規(guī)范健康發(fā)展。
近年來,我國高度重視移動應用程序(App)數據安全和個人信息安全工作,從法規(guī)標準、專項治理等多方面開展安全治理工作,目前的監(jiān)督管理基本集中于App,鮮少涉及小程序。
在國家法律層面,《網絡安全法》明確了我國個人信息保護的基本原則,規(guī)定網絡運營者的保護義務和責任。在政策法規(guī)層面,相關部門針對App業(yè)務特點制定細化規(guī)章落實國家法律。小程序的業(yè)務形態(tài)和用戶數量迅速發(fā)展,其個人信息收集使用愈加頻繁,對其開展安全管理的必要性急劇上升。小程序和App在前端的表現形式不同,但后臺的服務器、數據庫通常是共用的,且小程序的功能往往不會超出App。因此,兩者收集和使用用戶個人信息也應該適用同一套規(guī)則。
(信息服務部 牟艷霞)