国产 欧美 日韩 精品_亚洲性夜夜综合久久_丰满少妇在线观看视频_最新的av网址_这里都是精品久久_国产又黄又涩视频_91成人在线电影_√天堂中文资源在线地址

　　中國消費者報報道(記者武曉莉)近年來，移動應用軟件(APP)用戶增長已經(jīng)趨緩，而以小程序為主的輕應用正在成為互聯(lián)網(wǎng)信息服務的重要入口。

　　與APP相比，小程序無須安裝、即點即用、少占內(nèi)存，對用戶來說是一種使用體驗很好的快捷應用。但人們也擔心，小程序比APP更快捷，那是不是比APP不安全呢?

　　在與消費者日常生活不斷融合的過程中，小程序難免會像APP一樣涉及用戶個人敏感信息，用戶在享受便捷化服務的同時也面臨著潛在的安全隱患。梳理新的風險隱患，針對性地提出對策建議，提升小程序安全保障能力刻不容緩。

　　普及速度加快

　　“近年來，小程序、快應用等新應用形態(tài)在蓬勃發(fā)展。”中國泰爾終端實驗室信息安全部主任寧華指出，作為使用前端技術(shù)開發(fā)、在云聲環(huán)境里進行渲染的免安裝應用，這些即時應用包括了快應用、微信小程序、支付寶小程序，以及Google的InstantAPPs等內(nèi)容。這些應用的特點一是不需要安裝，即點即用，但又具備了傳統(tǒng)APP的完整應用體驗;二是它的資源消耗少，能夠避免由于APP安裝引起的空間不足問題;三是它可以通過傳統(tǒng)的應用市場、桌面圖標、全局搜索以及PUSH推送等入口，快速直達內(nèi)容詳情，能夠讓消費者有更好的使用體驗。“小程序一是功能簡單，更加關(guān)注核心業(yè)務、主要功能的實現(xiàn);二是使用便捷，用戶通過搜索、點擊、授權(quán)即可進入小程序獲取服務，不需經(jīng)歷下載、安裝、注冊、卸載等過程，降低了用戶的使用門檻;三是開發(fā)成本低。”中國信息通信研究院安全研究所信息安全研究部副主任張媛媛說。

　　用戶的多樣化需求使小程序得以快速普及和應用，成為人們?nèi)粘Ｉ钪蝎@取互聯(lián)網(wǎng)服務的主要載體。QuestMobile發(fā)布的《移動互聯(lián)網(wǎng)全景生態(tài)流量洞察報告》顯示，截至2019年11月，小程序總量超過450萬個，日活躍用戶突破3.3億人。

　　小程序已成為人們常用的互聯(lián)網(wǎng)服務入口。阿拉丁研究院發(fā)布的《2019年小程序互聯(lián)網(wǎng)發(fā)展白皮書》(以下簡稱《白皮書》)顯示，2019年人均使用小程序數(shù)量超過60個，多于同期人均安裝APP的個數(shù);支付寶小程序用戶次日留存率超過六成，微信小程序次日留存率超過五成。

　　小程序?qū)崿F(xiàn)了生活場景和適齡人口全覆蓋，已經(jīng)融入用戶的日常生活。中國信息通信研究院發(fā)布的《小程序個人信息保護研究報告》顯示，截至2020年4月，各平臺內(nèi)小程序覆蓋11大類型，從小游戲、視頻影音為代表的娛樂類應用到教育文化、旅游交通、日常工具、生活服務、體育健身、網(wǎng)絡購物、新聞資訊、醫(yī)療健康、政務公益等服務類應用，涵蓋日常生活中的常見場景，小程序已初步建立起生態(tài)體系。2019年上半年，小程序平臺從2018年的2家增長至8家，騰訊、阿里、百度、字節(jié)跳動等多家頭部互聯(lián)網(wǎng)企業(yè)開始布局小程序。

　　信息安全存風險

　　“某購物類小程序，會向用戶申請獲取藍牙權(quán)限，但是從其提供的功能和服務內(nèi)容來看，這種信息采集的行為不合理。”張媛媛說，“我們測試發(fā)現(xiàn)，每一款小程序平均存在三個以上的安全問題。”

　　記者調(diào)查發(fā)現(xiàn)，小程序不時暴露出違規(guī)收集使用個人信息的風險，由于涉及大量個人信息的采集與使用，存在著個人信息泄露、濫用和被盜取的風險。

　　據(jù)張媛媛介紹，中國信息通信研究院今年上半年關(guān)注了四大主流小程序平臺，從新聞資訊、生活服務、網(wǎng)絡購物等10類典型的業(yè)務中，選取了知名度高、影響范圍廣、涉及較多個人信息的52款小程序進行了個人信息保護安全評測。從測試的內(nèi)容看，小程序涉及的個人信息安全風險問題較為普遍，其中教育文化、旅游交通、新聞資訊類小程序的問題最為突出，主要集中在數(shù)據(jù)收集、傳輸以及刪除等環(huán)節(jié)。

　　未提供有效的隱私政策，侵害了用戶的知情權(quán)。23%到76%的平臺提供了隱私政策，其中只有不到四成的小程序提供了獨立的隱私政策。例如某共享單車小程序在首次打開時，會申請獲取個人的姓名、手機號、身份證號等個人信息，但小程序運營者本身并未提供任何隱私政策，或?qū)κ占鲜鲂畔⒌膱鼍?、用途及目的進行說明。

　　未采取主動選擇同意，侵害了用戶的選擇權(quán)。95%的樣本小程序向用戶模糊政策隱私，很容易導致用戶忽略隱私政策，無法準確了解與個人主體權(quán)益相關(guān)的重要信息。

　　超范圍收集個人信息，帶來數(shù)據(jù)違規(guī)收集風險。健身類、購物類、防疫類小程序存在收集與當時場景無關(guān)的個人信息的行為。

　　明文傳輸個人信息帶來數(shù)據(jù)非法獲取的風險。約有25%的樣本小程序明文傳輸了個人信息。如共享單車、快遞外賣類小程序會明文傳輸用戶的精準地理位置信息;醫(yī)療健康類小程序會明文傳輸用戶的健康檔案信息，其中不乏用戶的姓名、出生年月日以及藥物過敏等相應的個人敏感信息。

　　未告知用戶關(guān)閉權(quán)限的路徑，帶來權(quán)限持續(xù)開放的風險。目前各大小程序平臺均為用戶提供了關(guān)閉權(quán)限的功能，但94%的樣本未向用戶告知上述功能開放的途徑，這可能會導致用戶在使用完小程序后，仍將一部分權(quán)限持續(xù)開放給小程序使用。

　　默認共享用戶個人信息，帶來數(shù)據(jù)脫離控制風險。在未向用戶申請權(quán)限的情況下，某些小程序默認獲取并使用了其關(guān)聯(lián)小程序的用戶信息，而用戶無法關(guān)閉個人信息的授權(quán)功能。

　　監(jiān)管待加強

　　“政府高度重視APP數(shù)據(jù)安全和個人信息安全，但目前的監(jiān)督管理鮮少涉及小程序。”張媛媛說。

　　據(jù)了解，隨著小程序的業(yè)務形態(tài)和用戶數(shù)量的迅速發(fā)展，個人信息收集使用愈加頻繁，對小程序開展安全管理的必要性急劇上升。不少平臺運營者出于管理的需求，參考APP個人信息保護相關(guān)工作，對平臺內(nèi)小程序進行安全管理。

　　有關(guān)專家認為，與運營者相比，用戶在使用小程序時處于弱勢地位。若運營者存在不單純的收集目的，超范圍收集非必要用戶個人信息，用戶就會面臨放棄使用或被動提供信息的兩難選擇。一旦相關(guān)個人信息被不法分子獲取濫用，極易造成用戶權(quán)益受損。

　　隨著業(yè)務形態(tài)和用戶數(shù)量的迅速發(fā)展，小程序正在成為發(fā)展態(tài)勢和使用場景比肩 APP的應用?！栋灼方ㄗh將小程序這一新興業(yè)態(tài)納入個人信息保護管理范疇，參照 APP安全治理模式，針對小程序特點，研究制定個人信息安全保護規(guī)范，明確小程序與小程序平臺之間的主體責任劃分等，鼓勵小程序運營者和平臺運營者強化用戶個人信息安全保護。

　　在企業(yè)層面，切實落實個人信息保護主體責任。在用戶層面，提升小程序使用者的個人信息保護意識和能力。

　　張媛媛指出，使用小程序的大部分用戶對自身個人信息保護意識和能力仍然不足，為使用相關(guān)服務而被動提供個人敏感信息的情況屢見不鮮。因此，亟待通過科普講座、社區(qū)宣傳等形式，對用戶進行解讀和宣導，使其明確個體作為其個人信息控制者的權(quán)利，提升保護個人信息的意識和能力。在保護用戶個人信息免受侵害的同時，鼓勵用戶積極舉報違規(guī)行為，發(fā)動社會力量，推動小程序規(guī)范健康發(fā)展。

      鏈接：

　　小程序和APP有何不同

　　“與 APP相比，小程序相關(guān)能力較為簡單。”中國信息通信研究院安全研究所信息安全研究部副主任張媛媛說，小程序在接口調(diào)用、權(quán)限獲取和管理、消息推送等方面都受限于小程序平臺。

　　小程序有權(quán)調(diào)用的API(應用程序編程接口)少于 APP。小程序無法繞過小程序平臺直接調(diào)用手機系統(tǒng)API并和系統(tǒng)互動;APP則可調(diào)用所有手機系統(tǒng) API，直接與系統(tǒng)對話，實現(xiàn)修改手機系統(tǒng)音量、網(wǎng)絡連接等功能。

　　小程序可獲取的權(quán)限少于APP。小程序只能獲取小程序平臺已經(jīng)從手機系統(tǒng)獲取的權(quán)限，通常僅限于用戶信息、地理位置、后臺定位、相冊、通訊地址、發(fā)票、錄音、攝像頭、運動步數(shù);而APP能夠獲取的手機系統(tǒng)權(quán)限多達100余項，其中包括日歷、通訊錄、麥克風、短信等敏感權(quán)限。

　　小程序的權(quán)限管理方式與APP不同。小程序的權(quán)限管理通常是從小程序平臺“設(shè)置”中選擇“允許”或“拒絕”某項權(quán)限，且一次只能進行一款小程序的權(quán)限設(shè)置;APP的權(quán)限管理則可在手機系統(tǒng)設(shè)置中完成，且可實現(xiàn)集中管理，即可一次性針對多款APP的權(quán)限情況進行修改。

　　小程序推送消息的渠道少于APP。小程序只能發(fā)送模板消息，或在被用戶主動訂閱后進行推送，APP則可以隨時隨地為用戶推送消息?！?019年小程序互聯(lián)網(wǎng)發(fā)展白皮書》顯示，小程序可從小程序平臺獲取用戶信息、設(shè)備信息和統(tǒng)計信息。小程序在獲得用戶授權(quán)后，可獲取用戶的平臺昵稱、頭像、性別、所在地區(qū)、語言、手機號、身份證號等個人信息，人臉、指紋等個人生物信息，以及通過權(quán)限申請獲取的地理位置、通訊地址等信息。除此之外，小程序還可從具備資金管理能力和實人認證能力的平臺獲取財產(chǎn)信息相關(guān)認證結(jié)果。

　　小程序可獲取的設(shè)備信息有網(wǎng)絡狀態(tài)、WiFi、加速度傳感器、羅盤、剪貼板、系統(tǒng)信息、屏幕等，其中系統(tǒng)相關(guān)信息包括操作系統(tǒng)版本、操作系統(tǒng)類型、手機品牌、手機型號、平臺版本號、平臺名稱、屏幕寬度、屏幕高度、設(shè)備像素比等，屏幕相關(guān)的設(shè)備信息包括屏幕是否常亮、用戶是否截屏等，有些平臺還支持小程序添加手機通訊錄聯(lián)系人、獲取設(shè)備電量、添加和刪除日歷活動等功能。

　　大量用戶使用小程序的行為可匯聚形成統(tǒng)計數(shù)據(jù)，小程序運營者借此了解小程序的運營狀況，分析小程序的用戶來源、用戶構(gòu)成、用戶增長趨勢、用戶留存與轉(zhuǎn)化、用戶使用行為習慣等，幫助小程序迭代優(yōu)化和運營。除了常規(guī)的數(shù)據(jù)分析，例如通過用戶訪問規(guī)模、來源、頻次、時長、深度、留存來判斷產(chǎn)品使用年限，通過用戶年齡、性別、地區(qū)、終端及機型分布刻畫用戶畫像，通過展示各個頁面的訪次、停留時間、退出率等體現(xiàn)頁面受歡迎的程度等之外，小程序還可在小程序平臺內(nèi)自定義分析用戶實時行為，對其行為做精細化跟蹤，滿足頁面訪問等標準統(tǒng)計以外的個性化分析需求。

　　如何認定違規(guī)收集個人信息

　　國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部四部門曾聯(lián)合發(fā)布了關(guān)于印發(fā)《APP違法違規(guī)收集使用個人信息行為認定方法》(以下簡稱 《認定方法》)的通知。專家指出，消費者可以在使用APP時參照上述規(guī)定，保護個人信息安全?！墩J定方法》分為6項認定準則，包含31種場景。其中最重要的是服務方應提供明確的隱私規(guī)則。在APP中沒有隱私政策或隱私政策中沒有收集使用個人信息規(guī)則、在APP首次運行時未通過明顯方式提示用戶收集使用規(guī)則等情形，就是“未公開收集使用規(guī)則”。《認定方法》中明確提出9種場景屬于未經(jīng)用戶同意收集使用個人信息：征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限;用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用;實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍;以默認選擇同意隱私政策等非明示方式征求用戶同意;未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài)，如APP更新時自動將用戶設(shè)置的權(quán)限恢復到默認狀態(tài);利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項;以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權(quán)限，如故意欺瞞、掩飾收集使用個人信息的真實目的;未向用戶提供撤回同意收集個人信息的途徑、方式;違反其所聲明的收集使用規(guī)則，收集使用個人信息?！墩J定方法》還定義了違反必要原則，收集與其提供的服務無關(guān)的個人信息的過度收集信息行為：收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務功能無關(guān);因用戶不同意收集非必要個人信息或打開非必要權(quán)限，拒絕提供業(yè)務功能;APP新增業(yè)務功能申請收集的個人信息超出用戶原有同意范圍，若用戶不同意，則拒絕提供原有業(yè)務功能，新增業(yè)務功能取代原有業(yè)務功能的除外;收集個人信息的頻度等超出業(yè)務功能實際需要;僅以改善服務質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為由，強制要求用戶同意收集個人信息;要求用戶一次性同意打開多個可收集個人信息的權(quán)限，用戶不同意則無法使用。

　　此外，《認定方法》還提及，APP接入第三方應用，未經(jīng)用戶同意，向第三方應用提供個人信息;既未經(jīng)用戶同意，也未做匿名化處理，數(shù)據(jù)傳輸至APP后臺服務器后，向第三方提供其收集的個人信息等情況，將被認定為“未經(jīng)同意向他人提供個人信息”。