用戶拒絕授權定位 部分小程序卻能獲取位置坐標

明明拒絕了小程序獲取自己的位置信息，後臺還是能精準定位。這究竟是怎麼做到的？

早在幾年前，就有人提出了這個問題。近日，隱私護衛隊自主開發的一款定位小程序成功復現了上述情況，繞過用戶授權，獲取並存儲了用戶所在地點的經緯度信息。有專家表示，在明確拒絕或未授權的情況下，小程序能獲取用戶的精確位置屬於技術「漏洞」。如果平臺明知「漏洞」的存在，卻不採取相應措施，則難逃縱容小程序獲取用戶位置信息的嫌疑。

實測發現部分小程序

可繞過用戶授權獲取位置信息

為了使用標記所在位置，或者向朋友發送定位等功能，很多人往往會開啟App或平臺的定位功能——這代表你授權這些App獲取精準位置。不過，假如是依附於這些平臺的小程序想獲取位置信息，則需先彈窗申請：理論上只有用戶點擊「同意」，它們才有權獲取位置信息。然而，根據隱私護衛隊實測，在部分平臺上，只要開啟平臺定位，即使用戶拒絕小程序獲取位置信息，小程序依然可以獲取坐標信息。

隱私護衛隊實測發現，如果關閉平臺定位，小程序也無法定位；但一旦開啟平臺定位，無論用戶是否授權，有些小程序就能夠直接精準定位。

以某運動地圖類小程序為例，關閉平臺定位時，它顯示定位在非洲；開啟平臺定位後，即使用戶拒絕授權小程序定位，它也能立即準確定位到隱私護衛隊所在位置。

為此，隱私護衛隊開發了一個簡易小程序，證實了在未經用戶授權的情況下，該小程序能夠獲取當前位置中心點的坐標，並成功將坐標值導到小程序後臺。

隱私護衛隊實測了多個平臺發現，上述情況並非孤例。一旦將位置信息與帳號相關聯，用戶的個人信息就完全暴露，小程序則有違規獲取個人信息的嫌疑。

不過，隱私護衛隊梳理發現，這一「漏洞」是完全可以避免的。目前市場上就有平臺從技術層面杜絕了小程序繞過用戶授權獲取位置信息的可能性。

「漏洞」曾被數名開發者提出

至今仍未修復

隱私護衛隊注意到，過去幾年，有至少兩名開發者曾反饋過這個「漏洞」，他們的質疑都指向同一套地圖定位功能組件。

2017年，開發者劉偉（化名）在網上發帖稱，自己做了「真機實測」，無論在iOS還是安卓系統上，即使小程序的定位授權被拒絕，仍然可以定位用戶位置，並列出了詳細方法。對此，相關技術專員回應稱「這種情況比較特殊」，並承諾會對該授權邏輯進行修復。之後另一名技術專員回應類似問題時說，儘管小程序可以顯示用戶位置，但不能獲取坐標值，所以不需要授權。

但隱私護衛隊實測證實，只要結合某核心地圖組件和專門獲取定位信息的接口，就能在未獲授權的情形下獲取用戶的坐標信息。

「你做登錄了，那用戶授權你就能有登錄信息，你上傳位置坐標的時候就可以帶上用戶信息。」劉偉告訴隱私護衛隊，小程序可以在後臺把坐標信息和帳號信息關聯起來。這就等於未經授權獲取了用戶的行蹤軌跡，屬於個人敏感信息。

據了解，劉偉開發的小程序的功能是根據用戶位置信息，推薦附近的貸款公司。「貌似這個bug還沒有修復。」他解釋說，現在體驗當初開發的小程序，在拒絕授權位置信息的情況下，地圖上還是能顯示附近貸款公司。

有技術專家表示，在用戶明確拒絕或未授權的情況下，小程序能展示用戶的位置信息並將經緯度值導入到後臺，這屬於平臺的「漏洞」。

若造成用戶位置信息洩露

小程序和平臺或需共同擔責

隱私護衛隊查閱相關平臺的小程序開發文檔發現，地圖定位功能組件不在其列舉的「需要用戶授權才能使用的功能」之中。這意味著，小程序調用該地圖定位功能組件獲取位置信息時，很有可能無需經過用戶授權。

《網絡安全法》規定，網絡運營者收集、使用個人信息時，應經被收集者同意。國家標準《信息安全技術 個人信息安全規範》也要求，個人信息控制者收集、分享精準定位等個人敏感信息前，應徵得個人信息主體的明示同意。

由於依託於平臺，小程序獲取用戶信息時，受到平臺的限制和管控。如果因平臺存在「漏洞」，導致小程序可在未獲授權的情況下，獲取用戶位置信息，小程序和平臺是否涉嫌違規？

華東政法大學數據法律研究中心主任高富平認為，這種行為屬於不法獲得用戶信息，難以認定侵犯用戶隱私；但如果造成用戶位置信息洩露的話，平臺和小程序均需承擔相應責任。他還表示，如果平臺知道這樣的「漏洞」，卻不採取相應措施，就有幫助小程序獲取用戶位置信息的嫌疑。

南京信息工程大學法政學院教授蔣潔表示，用戶的地理位置屬於個人信息，小程序未經同意收集個人信息，顯然侵害了用戶隱私，如果平臺存在漏洞，小程序和平臺需共同擔責。若平臺能夠自證沒有過錯，僅需承擔及時修補和合理範圍內的補償責任。

對於小程序獲取用戶位置信息的合規做法，有律師建議說，小程序首先應彈窗向用戶申請授權；只有在確認用戶同意的情況下，平臺才能允許小程序調用相關功能，獲取用戶位置信息。

◎縱深

提供獨立隱私政策的小程序不足四成

近日，南都個人信息保護研究中心聯合中國信息通信研究院安全研究所發布《小程序個人信息保護研究報告》(下稱「報告」)，對微信、支付寶、百度、今日頭條四大主流小程序平臺的52款常用小程序進行測評。結果顯示，只有38.5%被測小程序提供了獨立的隱私政策。

近些年，「超級App+小程序」成為移動網際網路時代開發者探索的新模式。2019上半年，小程序平臺從2018年的2家擴充至8家，騰訊、阿里、百度、字節跳動等多家頭部網際網路企業均開始進行小程序布局。

據了解，目前，小程序涉及個人信息收集使用的情況愈加頻繁，對其開展安全管理的必要性急劇上升。但目前的監督管理基本集中於App，鮮少涉及小程序。報告建議，小程序可參照App進行數據安全及個人信息安全管理。

報告認為，小程序和App在前端的表現形式不同，但後臺的伺服器、資料庫通常是共用的，且小程序的功能往往不會超出App。因此，兩者收集和使用用戶個人信息也應該適用同一套規則。

然而，經測評發現，近半小程序沒有提供隱私政策，或使用了與其對應的App不同版本的隱私政策。在21個提供了隱私政策的小程序中，絕大多數採用的都是「登錄即同意」的方式徵得用戶同意，只有極少數需要用戶主動勾選同意。

在隱私政策測評中，報告指出，只有38.5%的小程序提供了獨立的隱私政策，且各平臺的小程序情況相差較大，提供了隱私政策的小程序在各平臺佔比從23.1%到76.9%不等，其中政務公益、日常工具、體育健身、醫療健康類小程序的問題較為嚴重。

報告認為，上述情況侵害了用戶的知情權和選擇權，還容易導致數據收集使用規則混淆。

超九成小程序未告知關閉權限路徑

報告還在數據安全檢測中發現，每款小程序平均約存在三個問題，其中教育文化、旅遊交通、新聞資訊、生活服務類小程序個人信息保護問題較為突出，主要問題集中在收集、刪除、傳輸等環節。

比如某防疫類小程序，除獲取個人姓名、身份證號等敏感信息外，還需進行人臉識別。報告認為，在實際線下防疫工作中通過姓名、身份證號以及二者的對應關係，再配合真人及身份證查驗，在不獲取人臉信息的情況下即可保證信息的準確性。

「與運營者相比，用戶在使用小程序時處於弱勢地位。」報告寫道，若運營者存在不單純的收集目的，超範圍收集非必要用戶個人信息，用戶處於放棄使用或被動提供信息的兩難選擇，一旦相關個人信息被不法分子獲取濫用，極易造成用戶權益損害。

在授權方面，報告實測發現，94%被測小程序未向用戶告知如何關閉已授權權限路徑；約25%的小程序在用戶關閉「用戶信息」授權後再次進入，仍顯示上次授權時的個人信息。這可能導致小程序在用戶已經解除授權的情況下繼續收集使用用戶個人信息，存在個人信息濫用風險。

經報告團隊檢測，超過一半的小程序未提供刪除個人信息渠道。報告指出，儘管小程序功能簡單，可能無法提供單獨的註銷帳號服務，但也應賦予用戶控制個人信息的權利，否則可能帶來個人信息過度留存的風險。

此外，報告還指出，某些與平臺關聯或同一公司旗下的小程序存在默認獲取使用用戶信息的現象，由於這類小程序跳過權限申請步驟，所以用戶無法關閉授權。另外，有約1/4的被測小程序明文傳輸個人信息甚至個人敏感信息，可能帶來騷擾詐騙風險。

針對上述問題，報告建議，應加強政府、企業、用戶的多方協同。在政策層面，應明確將小程序納入數據安全及個人信息保護管理範疇；在企業層面，應切實落實個人信息保護主體責任；在用戶層面，應提升使用小程序的個人信息保護意識和能力。

◎探討

實時全量監測不太現實 平臺可做小程序認證

在業界一線，小程序平臺監管小程序有哪些難題？在專家學者、一線實務人員眼中，平臺和小程序的責任又該如何劃分？6月11日，南都數字經濟治理論壇第一期「小程序個人信息保護研究報告發布暨研討會」在線上召開，多位專家、企業代表圍繞上述議題進行了探討。

小程序已達百萬，難以實時全量監測

南都記者梳理發現，微信、支付寶、百度、今日頭條四大主流平臺均在《運營規範》中設立了「用戶隱私和數據規範」章節，從數據收集、存儲與授權，數據使用規範，數據安全等方面對小程序提出了具體要求。然而，報告顯示，逾六成被測小程序未提供獨立的隱私政策，94%未告知如何關閉已授權權限路徑。為什麼平臺明明有要求，小程序卻還是暴露出諸多個人信息保護方面的問題？

對此，微信法務副總監、微信小程序法務負責人梁博文表示，從微信平臺來說，制定的一些規則其實是行之有效的，遇到違法違規行為也會對小程序進行嚴厲處理，包括限制其獲取某些權限，甚至直接下架。

但面對百萬量級的小程序，平臺運營監管上的確會有一些客觀的難點。他坦言，平臺和小程序屬於一對多的法律關係，要求實時全量監測是不太現實的，日常用戶投訴反饋等方式是發現違規行為的有效補充。

另一方面，一些小程序並不是調用微信提供的接口，而是提供表單由用戶主動填寫信息。「這就類似於我們在其他App或者網頁上面填寫表單，這種直接由開發者與用戶之間的交互，是一些業務的客觀需要，但也給平臺的管理增加了難度。」梁博文說。

在中國信息安全研究院副院長左曉棟看來，相較以靜態評估為主的App治理，小程序的生態模式使得平臺有機會採用更多技術手段在線監控小程序的行為，動態地掌握小程序的運行狀態。

「我一直認為當初App治理啟動的時候，自然就應該包含小程序，甚至我們現在看到很多地方開展的App治理已經把小程序納進去了。」他強調，從治理工作開展的機制設計來講，把小程序納進去「是沒有問題的」。

針對小程序個人信息保護機制不完善的問題，梁博文建議，平臺、小程序運營者和用戶都參與進來。

首先平臺除了制定規則之外，還應該從技術層面進行提升；其次小程序應該加強對用戶數據獲取的認知，而不是總覺得越多越好，服務帶給用戶的安全感更有價值；用戶則需更多地關注自己的信息是否被合理收集和使用。

平臺應承擔更多責任，進行主動治理

基於小程序依附於平臺的特性，一旦發生個人信息安全事件，就一定會涉及平臺和小程序的責任劃分。

中國人民大學法學院未來法治研究院副院長丁曉東指出，小程序作為第三方，很容易在數據融合階段引發風險。因此，平臺應該承擔起數據信託的責任，其中既包括對個體用戶的信託責任，也包括對整體消費者的信託責任。

「我想這不僅是對於用戶的個人信息保護很重要，對未來的數據共享和數據權屬問題也非常重要」，他進一步談到，現在很多數據爭議都涉及了小程序，需要平臺這樣的信託者來保障用戶權益，指引小程序在合理範圍內進行數據應用，而不是「用戶授權了就怎麼用都可以」。

南都記者注意到，國家標準《信息安全技術個人信息安全規範》其實已經對於小程序場景下的平臺責任做了比較明確的要求。比如開展技術檢測確保其個人信息收集、使用行為符合約定要求，對其收集個人信息的行為進行審計。

根據上述要求，左曉棟認為，平臺至少應該做到在線監測。如果平臺認為小程序有違法違規行為，也可以據此採取措施，不過最好是在合同裡就做出規範。

與此同時，也要考慮到救濟的方式。他舉例說，比如給小程序開發者、運營者開放投訴渠道，或者參照國家法律法規中對於平臺監測違法違規信息現有的流程。

來自中國信息通信研究院安全研究所信息安全研究部的閆希敏則提出了一些具體建議。她指出，小程序的個人信息保護可以考慮做一些主動性治理。比如設置個人信息保護優秀小程序的認證，利用一些推薦使用機制或者其他的鼓勵政策，激發小程序運營者產生自我優化的動力，使其自發自覺地實踐個人信息保護措施。

平臺至少應該做到在線監測，如果平臺認為小程序有違法違規行為，也可以據此採取措施，不過最好是在合同裡就做出規範。

——中國信息安全研究院副院長左曉棟

【來源：南方都市報】

版權歸原作者所有，向原創致敬