小程序：功能延伸背后， 你所不知道的信息安全问题

近年来，接入微信、淘宝等大型互联网平台的各类小程序因无需下载安装、操作便捷、占用内存小等优势，迅速融入生产生活、公共服务、政府管理的各个领域，成为人们的常用工具。但在享受便利的同时，我们必须认识到，小程序这种互联网服务新模式也暗藏着许多信息安全隐患，涉及信息收集处理、网络安全防护、知识产权保护等多方面问题，相关数据“跑风漏气”将招致严重后果。

功能集成“快乐”并“痛”着

社交媒体平台为了丰富场景、抢占市场，通过嵌入各类第三方插件实现产品功能的多样化，小程序因此应运而生。自2017年1月正式上线以来，小程序发展迅猛，其应用数量、用户活跃度已经逐步超越App，成为移动互联网应用程序的重要组成部分。但作为一种轻量产品，小程序开发简便、成本低，进入行业的门槛也低，很多运营者并不具备足够的安全防护意识和能力。

2021年7月，国家计算机网络应急技术处理协调中心对国内50家银行发布的小程序进行安全性检测，发现平均1个小程序存在8项信息安全风险。其中，程序源代码暴露关键信息和输入敏感信息时未采取防护措施的小程序数量占比超过90%，未提供个人信息收集协议的超过80%，个人信息在本地存储和网络传输过程中未进行加密处理的超过60%，少数小程序存在较严重的越权风险。此外，有的小程序不告知用户关闭使用权限的途径，带来用户权限持续开放风险，还有的小程序默认共享用户个人信息，用户数据失控的情况时有发生。

更令人担忧的是，部分运营者为了获取用户信息资源，甚至主动沦为“隐形扒手”，利用大家对社交媒体平台本身的信任和依赖，在用户不充分知情的情况下收集、使用数据。

比如，在2020年发生的、国内首例利用微信“清粉”软件非法获取计算机信息系统数据案中，犯罪嫌疑人就是通过应用集群控制软件的方式控制用户微信账号，从而非法获取了2000多万个用户微信群聊二维码信息，并将之倒卖给下游的诈骗、赌博团伙。有的案件中，小程序运营者非法收集的数据还被传至外国服务器，造成的信息安全问题更为严重。

另外，社交媒体小程序的安全漏洞也容易成为网络攻击的工具和渠道。据研究，黑客可利用社交媒体平台与第三方小程序授权协议漏洞劫持用户账号。第三方小程序还可通过伪造等方式诱导用户授予恶意应用高级权限，利用用户账号传播钓鱼网站，通过对小程序自动化攻击开展刷量刷单、非法引流等违法违规活动。

“双主体”的监管之殓

近年来，我国高度重视信息安全工作，网络安全法、数据安全法、个人信息保护法等法律法规通过“网络运营者”“数据处理者”等涵盖范围很广的概念，对所有网络所有者、服务者、运营者进行规制。但就小程序方面的工作来说，规制对象主要还是社交媒体平台，小程序运营者受到的约束管理较弱。

比如，2019年网信办、工信部、公安部、市场监管总局联合印发的《App违法违规收集使用个人信息行为认定方法》，明确App“未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围”可被认定为“未明示收集使用个人信息的目的、方式和范围”，“App接入第三方应用，未经用户同意，向第三方应用提供个人信息”可被认定为“未经同意向他人提供个人信息”，就是在规范App自身收集个人信息的管理，要求其对非法与第三方共享或提供用户个人信息的行为进行约束。2019年网信办公开的《数据管理办法（征求意见稿）》规定网络运营者应对接入其平台的第三方应用明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理，规定第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。这明显也是把监管重心放到了网络平台。

但实际上，小程序不同于依赖电商平台渠道进行售卖的商家，而是和接入的社交媒体平台一样都是“网络运营者”，必须承担相应的信息安全责任。遗憾的是，在目前没有相关规定的情况下，小程序与社交媒体平台的责任划分主要在司法阶段完成，由法院视具体案情进行裁决。

比如，未经社交媒体平台授权的小程序的侵权行为，如平台已尽到审査义务则不承担责任；小程序为实现必要服务而直接从用户处收集信息且社交媒体平台不掌握相关信息的，安全保障责任应由小程序运营者独立承担……这种复杂的法律关系和责任关系，无疑成为有关部门有效监管小程序的主要障碍之一。

鉴于此，企业、行业组织、用户应主动参与相关治理，形成维护小程序信息安全的多方协同机制。社交媒体平台要加强对搭载小程序的审核和约束，小程序运营者要主动开展数据安全和个人信息保护自评估，各相关行业组织和利益相关方也要积极签订自律公约，通过认证等方式推广宣传小程序信息保护典型。就用户来说，应积极提高数字素养，增强识别违规行为、安全使用小程序的能力，对涉嫌违法违规收集使用用户数据信息的小程序进行举报。

                                      （文章转自《保密工作》，作者魏书音）