■本报记者 武晓莉

　　近年来，移动应用软件(APP)用户增长已经趋缓，而以小程序为主的轻应用正在成为互联网信息服务的重要入口。

　　与APP相比，小程序无须安装、即点即用、少占内存，对用户来说是一种使用体验很好的快捷应用。但人们也担心，小程序比APP更快捷，那是不是比APP不安全呢?

　　在与消费者日常生活不断融合的过程中，小程序难免会像APP一样涉及用户个人敏感信息，用户在享受便捷化服务的同时也面临着潜在的安全隐患。梳理新的风险隐患，针对性地提出对策建议，提升小程序安全保障能力刻不容缓。

　　普及速度加快

　　“近年来，小程序、快应用等新应用形态在蓬勃发展。”中国泰尔终端实验室信息安全部主任宁华指出，作为使用前端技术开发、在云声环境里进行渲染的免安装应用，这些即时应用包括了快应用、微信小程序、支付宝小程序，以及Google的InstantAPPs等内容。这些应用的特点一是不需要安装，即点即用，但又具备了传统APP的完整应用体验;二是它的资源消耗少，能够避免由于APP安装引起的空间不足问题;三是它可以通过传统的应用市场、桌面图标、全局搜索以及PUSH推送等入口，快速直达内容详情，能够让消费者有更好的使用体验。“小程序一是功能简单，更加关注核心业务、主要功能的实现;二是使用便捷，用户通过搜索、点击、授权即可进入小程序获取服务，不需经历下载、安装、注册、卸载等过程，降低了用户的使用门槛;三是开发成本低。”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说。

　　用户的多样化需求使小程序得以快速普及和应用，成为人们日常生活中获取互联网服务的主要载体。QuestMobile发布的《移动互联网全景生态流量洞察报告》显示，截至2019年11月，小程序总量超过450万个，日活跃用户突破3.3亿人。

　　小程序已成为人们常用的互联网服务入口。阿拉丁研究院发布的《2019年小程序互联网发展白皮书》(以下简称《白皮书》)显示，2019年人均使用小程序数量超过60个，多于同期人均安装APP的个数;支付宝小程序用户次日留存率超过六成，微信小程序次日留存率超过五成。

　　小程序实现了生活场景和适龄人口全覆盖，已经融入用户的日常生活。中国信息通信研究院发布的《小程序个人信息保护研究报告》显示，截至2020年4月，各平台内小程序覆盖11大类型，从小游戏、视频影音为代表的娱乐类应用到教育文化、旅游交通、日常工具、生活服务、体育健身、网络购物、新闻资讯、医疗健康、政务公益等服务类应用，涵盖日常生活中的常见场景，小程序已初步建立起生态体系。2019年上半年，小程序平台从2018年的2家增长至8家，腾讯、阿里、百度、字节跳动等多家头部互联网企业开始布局小程序。

　　信息安全存风险

　　“某购物类小程序，会向用户申请获取蓝牙权限，但是从其提供的功能和服务内容来看，这种信息采集的行为不合理。”张媛媛说，“我们测试发现，每一款小程序平均存在三个以上的安全问题。”

　　记者调查发现，小程序不时暴露出违规收集使用个人信息的风险，由于涉及大量个人信息的采集与使用，存在着个人信息泄露、滥用和被盗取的风险。

　　据张媛媛介绍，中国信息通信研究院今年上半年关注了四大主流小程序平台，从新闻资讯、生活服务、网络购物等10类典型的业务中，选取了知名度高、影响范围广、涉及较多个人信息的52款小程序进行了个人信息保护安全评测。从测试的内容看，小程序涉及的个人信息安全风险问题较为普遍，其中教育文化、旅游交通、新闻资讯类小程序的问题最为突出，主要集中在数据收集、传输以及删除等环节。

　　未提供有效的隐私政策，侵害了用户的知情权。23%到76%的平台提供了隐私政策，其中只有不到四成的小程序提供了独立的隐私政策。例如某共享单车小程序在首次打开时，会申请获取个人的姓名、手机号、身份证号等个人信息，但小程序运营者本身并未提供任何隐私政策，或对收集上述信息的场景、用途及目的进行说明。

　　未采取主动选择同意，侵害了用户的选择权。95%的样本小程序向用户模糊政策隐私，很容易导致用户忽略隐私政策，无法准确了解与个人主体权益相关的重要信息。

　　超范围收集个人信息，带来数据违规收集风险。健身类、购物类、防疫类小程序存在收集与当时场景无关的个人信息的行为。

　　明文传输个人信息带来数据非法获取的风险。约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息，其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。

　　未告知用户关闭权限的路径，带来权限持续开放的风险。目前各大小程序平台均为用户提供了关闭权限的功能，但94%的样本未向用户告知上述功能开放的途径，这可能会导致用户在使用完小程序后，仍将一部分权限持续开放给小程序使用。

　　默认共享用户个人信息，带来数据脱离控制风险。在未向用户申请权限的情况下，某些小程序默认获取并使用了其关联小程序的用户信息，而用户无法关闭个人信息的授权功能。

　　监管待加强

　　“政府高度重视APP数据安全和个人信息安全，但目前的监督管理鲜少涉及小程序。”张媛媛说。

　　据了解，随着小程序的业务形态和用户数量的迅速发展，个人信息收集使用愈加频繁，对小程序开展安全管理的必要性急剧上升。不少平台运营者出于管理的需求，参考APP个人信息保护相关工作，对平台内小程序进行安全管理。

　　有关专家认为，与运营者相比，用户在使用小程序时处于弱势地位。若运营者存在不单纯的收集目的，超范围收集非必要用户个人信息，用户就会面临放弃使用或被动提供信息的两难选择。一旦相关个人信息被不法分子获取滥用，极易造成用户权益受损。

　　随着业务形态和用户数量的迅速发展，小程序正在成为发展态势和使用场景比肩 APP的应用。《白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴，参照 APP安全治理模式，针对小程序特点，研究制定个人信息安全保护规范，明确小程序与小程序平台之间的主体责任划分等，鼓励小程序运营者和平台运营者强化用户个人信息安全保护。

　　在企业层面，切实落实个人信息保护主体责任。在用户层面，提升小程序使用者的个人信息保护意识和能力。

　　张媛媛指出，使用小程序的大部分用户对自身个人信息保护意识和能力仍然不足，为使用相关服务而被动提供个人敏感信息的情况屡见不鲜。因此，亟待通过科普讲座、社区宣传等形式，对用户进行解读和宣导，使其明确个体作为其个人信息控制者的权利，提升保护个人信息的意识和能力。在保护用户个人信息免受侵害的同时，鼓励用户积极举报违规行为，发动社会力量，推动小程序规范健康发展。