拒绝授权定位，小程序却能获

东莞石碣律师获悉

尽管小程序明确拒绝获取用户的位置信息，但后台仍然能够准确定位用户。这是怎么做到的？

这个问题几年前就被提出过。近日，隐私卫士自主研发的一款定位小程序成功复现了上述情况，绕过用户授权，获取并存储用户所在位置的经纬度信息。

有专家表示，小程序在未经明确许可或未经授权的情况下获取用户精确位置是一个技术“漏洞”。如果平台明知“漏洞”的存在但未采取相应措施，难免会被怀疑允许小程序获取用户位置信息。

拒绝授权定位，但小程序可以获取位置坐标

为了使用标记自己的位置或向朋友发送位置信息等功能，许多人经常打开应用程序或平台的定位功能——这意味着您授权这些应用程序获取精确位置。

不过，依赖这些平台的小程序想要获取位置信息，必须先通过弹窗申请：理论上，只有用户点击“同意”，它们才有权获取位置信息。

但根据隐私卫士的实际测量，在某些平台上，只要开启平台定位，即使用户拒绝小程序获取位置信息，小程序仍然可以获得坐标信息。

隐私卫士实际测试发现，关闭平台定位，小程序无法定位；但一旦开启平台定位，一些小程序无论用户授权与否，都可以直接准确地定位用户。

以体育地图小程序为例。当平台定位关闭时，显示位于非洲。平台定位开启后，即使用户拒绝授权小程序进行定位，也能立即准确定位隐私卫士的位置。

为此，隐私卫士开发了一个简单的小程序，确认该小程序无需用户授权即可获取当前位置中心点的坐标，并成功将坐标值导出到小程序后台。

“定位小程序”后台存储的用户所在位置的测量坐标值。

隐私卫士团队测试了多个平台，发现上述情况并非孤例。一旦位置信息与账户关联，用户个人信息彻底暴露，小程序涉嫌非法获取个人信息。

然而，隐私卫士团队发现这个“漏洞”是完全可以避免的。目前市面上已有平台从技术上杜绝了小程序绕过用户授权获取位置信息的可能性。

该“漏洞”已被多个开发者提出，但尚未得到修复。

隐私卫士注意到，过去几年，至少有两家开发者报告过这个“漏洞”，他们的疑虑都指向同一套地图定位功能组件。

2017年，开发者刘伟（化名）在网上发帖表示，他做过“真机测试”，发现即使小程序的定位授权被拒绝，无论是在iOS还是上，仍然可以定位并列出用户的位置。详细方法。

对此，相关技术专家回应称“这种情况比较特殊”，并承诺修复并添加授权逻辑。随后，另一位技术专家回应了类似的问题，并表示小程序虽然可以显示用户的位置，但无法获取坐标值，因此不需要授权。

但隐私卫士的实际测试证实，只要将某个核心地图组件与专门用于获取定位信息的接口结合起来，就可以在未经授权的情况下获取用户的坐标信息。

“登录后，如果用户授权，你就会拥有登录信息。上传位置坐标时，可以带上用户信息。”刘伟告诉隐私卫士，小程序可以将坐标信息与后台的账户信息关联起来。 。这无异于未经授权获取用户的行踪，属于敏感的个人信息。

据了解，刘伟开发的小程序的功能是根据用户的位置信息推荐附近的贷款公司。 “看来这个bug还没有修复。”他解释说，现在他正在试用自己最初开发的小程序，即使拒绝授权位置信息，附近的贷款公司仍然可以显示在地图上。

有技术专家表示，如果用户明确拒绝或不授权，小程序可以显示用户的位置信息，并将经纬度值导入后台，这是平台的一个“漏洞”。

专家：小程序和平台或需分担责任

隐私卫士查阅了相关平台的小程序开发文档，发现地图定位功能组件已不再是其中列出的“需要用户授权才能使用的功能”。这意味着小程序调用地图定位功能组件获取位置信息时东莞石碣律师，很可能不需要用户授权。

《网络安全法》规定，网络运营者收集、使用个人信息，必须征得被收集人同意。国家标准《信息安全技术个人信息安全规范》还要求，个人信息控制者在收集、共享精准定位等敏感个人信息前，应当获得个人信息主体的明示同意。

由于依赖于平台，小程序获取用户信息时，受到平台的限制和控制。如果平台存在“漏洞”，允许小程序未经授权获取用户位置信息，那么小程序和平台是否涉嫌违规？

华东政法大学数据法研究中心主任高福平认为，这种行为属于非法获取用户信息的行为，很难认定为侵犯用户隐私；但如果用户的位置信息泄露，平台和小程序都必须承担相应的责任。

他还表示，如果平台知道这样的“漏洞”但没有采取相应措施，就涉嫌帮助小程序获取用户位置信息。

南京信息工程大学法政学院教授姜杰表示，用户地理位置属于个人信息，小程序未经同意收集个人信息，显然侵犯了用户隐私。如果平台出现漏洞，小程序和平台必须共同承担责任。若平台能够证明自身无过错，则仅负责及时修复并合理赔偿。

对于小程序获取用户位置信息的合规做法，东莞世杰律师建议，小程序首先应弹出窗口申请用??户授权；然后，只有在确认用户同意后，平台才可以允许小程序调用相关功能。获取用户位置信息。

第一份小程序个人信息保护研究报告发布

2010年6月11日东莞石碣律师，南都个人信息保护研究中心联合中国信息通信研究院安全研究所发布了《小程序个人信息保护研究报告》（以下简称《报告》），包括微信、支付宝、百度、今日头条。对来自各大主流小程序平台的52个常用小程序进行了评估。

结果显示，只有38.5%的被测小程序提供了独立的隐私政策，94%的小程序没有告知用户如何关闭授权权限路径。据悉，小程序存在使用与应用不一致的隐私政策、超范围收集个人信息、默认共享用户个人信息等严重问题。

不到40%的小程序提供独立的隐私政策

近年来，“超级App+小程序”成为移动互联网时代开发者探索的新模式。 2019年上半年，小程序平台数量从2018年的2个扩大到8个，腾讯、阿里巴巴、百度、字节跳动等多家领先互联网公司开始布局小程序。

据了解，目前小程序涉及个人信息收集和使用的情况越来越频繁，小程序安全管理的需求急剧增加。但目前的监管基本上集中在App上，很少涉及小程序。报告认为，小程序可以指用于数据安全和个人信息安全管理的应用程序。

报告认为，小程序和APP在前端的表现形式不同，但后端服务器和数据库通常是共享的，小程序的功能往往不会超越APP的功能。因此，双方对用户个人信息的收集和使用应适用同一套规则。

但经过评估发现，近一半的小程序没有提供隐私政策，或者使用了与对应应用程序不同版本的隐私政策。在提供隐私政策的21个小程序中，绝大多数采用“登录并同意”的方式获取用户同意，只有少数需要用户主动查看并同意。

在隐私政策评估中，报告指出，仅有38.5%的小程序提供了独立的隐私政策，且各平台小程序的情况差异较大。各平台提供隐私政策的小程序比例为23.1%至76.9%。 %范围内，其中政务公益、生活工具、运动健身、医疗健康小程序问题较为严重。

报告认为，上述情况侵犯了用户的知情权和选择权，且极易导致数据收集和使用规则混乱。

90%以上的小程序没有告知要关闭的权限路径。

报告在数据安全检查中还发现，每个小程序平均存在3个左右的问题。其中，教育文化、旅游交通、新闻资讯、生活服务等小程序的个人信息保护问题较为突出。主要问题集中在采集、删除、传输等环节。

例如，一个与防疫相关的小程序，除了获取个人姓名、身份证号等敏感信息外，还需要进行人脸识别。报告认为，在实际的线下防疫工作中，通过姓名、身份证号码以及两者的对应关系，再加上真人和身份证验证，无需获取人脸信息就可以保证信息的准确性。

“与运营商相比，用户在使用小程序时处于弱势地位。”报告称，如果运营者收集目的不纯，超出收集不必要的用户个人信息的范围，用户有权放弃使用或被动提供信息。进退两难。相关个人信息一旦被不法分子获取并滥用，很容易对用户权益造成损害。

在授权方面，报告发现，94%的测试小程序没有告知用户如何关闭授权权限路径；约25%的小程序在关闭“用户信息”授权后重新进入时仍显示上次授权。个人信息。这可能会导致小程序在用户取消授权后仍继续收集和使用用户的个人信息，存在个人信息滥用的风险。

经举报团队检测，超过一半的小程序没有提供删除个人信息的渠道。报告指出，虽然小程序功能简单，可能无法提供单独的账户注销服务，但也应赋予用户个人信息的控制权，否则可能存在个人信息过度保留的风险。

此外，报道还指出，部分与平台关联或同一公司旗下的小程序存在默认获取用户信息的现象。由于此类小程序跳过了权限申请步骤，用户无法关闭授权。此外，约1/4的被测小程序以明文形式传输个人信息甚至个人敏感信息，可能带来骚扰和欺诈的风险。

针对上述问题，报告建议加强政府、企业、用户之间的多方协作。政策层面，应明确将小程序纳入数据安全和个人信息保护管理范围；企业层面要切实落实个人信息保护主体责任；在用户层面，应提高使用小程序时的个人信息保护意识和能力。 （本文综合自微信公众号“隐私卫士”，作者：尤一伟、施颖、李慧琪。）

-------------------

微信公众号名称：《个人信息与数据保护实践回顾》

石碣 镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。