违法违规收集个人信息！小程序泄露了你多少秘密？

中国消费者报

点个菜就必须关注，使用一下就得授权个人信息．．．．．．

即点即用、少占内存的小程序真的安全吗？拒绝授权定位小程序却能获取位置坐标。明明拒绝了小程序获取自己的位置信息，后台还是能精准定位，今年6月有媒体实测发现↓

如果关闭平台定位，小程序也无法定位；但一旦开启平台定位，无论用户是否授权，有些小程序就能够直接精准定位。

▲来源：南方都市报·隐私护卫队

华东政法大学数据法律研究中心主任高富平认为，这种行为属于不法获得用户信息，难以认定侵犯用户隐私；但如果造成用户位置信息泄露的话，平台和小程序均需承担相应责任。

他还表示，如果平台知道这样的“漏洞”，却不采取相应措施，就有帮助小程序获取用户位置信息的嫌疑。

涉及个人信息采集与使用 泄露、滥用和被盗取风险大

今年上半年，中国信息通信研究院选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看，小程序涉及的个人信息安全风险问题较为普遍，其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出，主要集中在数据收集、传输以及删除等环节。

未提供有效的隐私政策，侵害了用户的知情权

23%到76%的平台提供了隐私政策，其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时，会申请获取个人的姓名、手机号、身份证号等个人信息，但小程序运营者本身并未提供任何隐私政策，或对收集上述信息的场景、用途及目的进行说明。

未采取主动选择同意，侵害了用户的选择权

95%的样本小程序向用户模糊政策隐私，很容易导致用户忽略隐私政策，无法准确了解与个人主体权益相关的重要信息。

超范围收集个人信息，带来数据违规收集风险

健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。

明文传输个人信息带来数据非法获取的风险

约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息；医疗健康类小程序会明文传输用户的健康档案信息，其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。

未告知用户关闭权限的路径，带来权限持续开放的风险

目前各大小程序平台均为用户提供了关闭权限的功能，但94%的样本未向用户告知上述功能开放的途径，这可能会导致用户在使用完小程序后，仍将一部分权限持续开放给小程序使用。

默认共享用户个人信息，带来数据脱离控制风险

在未向用户申请权限的情况下，某些小程序默认获取并使用了其关联小程序的用户信息，而用户无法关闭个人信息的授权功能。

随着业务形态和用户数量的迅速发展，小程序正在成为发展态势和使用场景比肩 APP的应用。《2019年小程序互联网发展白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴，参照 APP安全治理模式，针对小程序特点，研究制定个人信息安全保护规范，明确小程序与小程序平台之间的主体责任划分等，鼓励小程序运营者和平台运营者强化用户个人信息安全保护。