中国信通院近日发布《小程序个人信息保护研究报告》,团队于2020年4月7日至4月26日,测评了微信、支付宝、今日头条、百度四大平台中知名度较高、影响范围广、涉及较多个人信息的52款小程序。
报告表明,在调查范围内,只有38.5%的小程序提供了独立的隐私政策,并且各大平台之间差异较大,并没有做出一致的隐私政策规定。大部分小程序的问题体现在无隐私政策、使用与App不一致的隐私政策,以及默认勾选隐私政策等方面。其中政务公益、日常工具、体育健身、医疗健康类小程序这方面隐私问题突出。部分小程序提供了隐私政策,但是也存在链接无效的情况。
信通院表示,上述问题侵害了用户的知情权、选择权,而与App之间不一致的隐私政策将会带来数据收集使用规则混淆风险。
在数据安全检测上,报告发现,每款小程序平均存在3个问题,主要体现在信息的收集、删除、传输等环节,其中教育文化、旅游交通、新闻资讯、生活服务类小程序对个人信息保护的问题突出。
来源:中国信通院
部分小程序超范围收集个人信息,例如,某防疫类小程序不仅需要用户提供个人姓名、身份证号等敏感信息外,还需进行人脸识别;还有约四分之一的被测小程序明文传输包括敏感性的个人信息,例如,某酒店机票预订小程序明文传输包括用户机票起终点机场、航空公司、机票日期等订单信息。
这些未加密的明文信息在传输的过程中一旦被不法分子截获,无需破解即可利用,加大了用户隐私泄露、财产损失的风险。
除此之外,还有94%的被测小程序未向用户告知关闭已授权权限的路径;约四分之一的小程序在关闭“用户信息”授权之后再次进入,显示的仍然是上次授权时的个人隐私信息;过半的被测小程序没有提供删除用户个人信息的渠道,这或带来个人信息过度留存的风险。