明明拒绝了小程序获取自己的位置信息，后台还是能精准定位。这究竟是怎么做到的？

　　早在几年前，就有人提出了这个问题。近日，隐私护卫队自主开发的一款定位小程序成功复现了上述情况，绕过用户授权，获取并存储了用户所在地点的经纬度信息。有专家表示，在明确拒绝或未授权的情况下，小程序能获取用户的精确位置属于技术“漏洞”。如果平台明知“漏洞”的存在，却不采取相应措施，则难逃纵容小程序获取用户位置信息的嫌疑。

　　实百思特网测发现部分小程序

　　可绕过用户授权获取位置信息

　　为了使用标记所在位置，或者向朋友发送定位等功能，很多人往往会开启App或平台的定位功能——这代表你授权这些App获取精准位置。不过，假如是依附于这些平台的小程序想获取位置信息，则需先弹窗申请：理论上只有用户点击“同意”，它们才有权获取位置信息。然而，根据隐私护卫队实测，在部分平台上，只要开启平台定位，即使用户拒绝小程序获取位置信息，小程序依然可以获取坐标信息。

　　隐私护卫队实测发现，如果关闭平台定位，小程序也无法定位；但一旦开启平台定位，无论用户是否授权，有些小程序就能够直接精准定位。

　　以某运动地图类小程序为例，关闭平台定位时，它显示定位在非洲；开启平台定位后，即使用户拒绝授权小程序定位，它也能立即准确定位到隐私护卫队所在位置。

　　为此，隐私护卫队开发了一个简易小程序，证实了在未经用户授权的情况下，该小程序能够获取当前位置中心点的坐标，并成功将坐标值导到小程序后台。

　　隐私护卫队实测了多个平台发现，上述情况并非孤例。一旦将位置信息与账号相关联，用户的个人信息就完全暴露，小程序则有违规获取个人信息的嫌疑。

　　不过，隐私护卫队梳百思特网理发现，这一“漏洞”是完全可以避免的。目前市场上就有平百思特网台从技术层面杜绝了小程序绕过用户授权获取位置信息的可能性。

　　“漏洞”曾被数名开发者提出

　　至今仍未修复

　　隐私护卫队注意到，过去几年，有至少两名开发者曾反馈过这个“漏洞”，他们的质疑都指向同一套地图定位功能组件。

　　2017年，开发者刘伟（化名）在网上发帖称，自己做了“真机实测”，无论在iOS还是安卓系统上，即使小程序的定位授权被拒绝，仍然可以定位用户位置，并列出了详细 *** 。对此，相关技术专员回应称“这种情况比较特殊”，并承诺会对该授权逻辑进行修复。之后另一名技术专员回应类似问题时说，尽管小程序可以显示用户位置，但不能获取坐标值，所以不需要授权。

　　但隐私护卫队实测证实，只要结合某核心地图组件和专门获取定位信息的接口，就能在未获授权的情形下获取用户的坐标信息。

　　“你做登录了，那用户授权你就能有登录信息，你上传位置坐标的时候就可以带上用户信息。”刘伟告诉隐私护卫队，小程序可以在后台把坐标信息和账号信息关联起来。这就等于未经授权获取了用户的行踪轨迹，属于个人敏感信息。

　　据了解，刘伟开发的小程序的功能是根据用户位置信息，推荐附近的贷款公司。“貌似这个bug还没有修复。”他解释说，现在体验当初开发的小程序，在拒绝授权位置信息的情况下，地图上还是能显示附近贷款公司。

　　有技术专家表示，在用户明确拒绝或未授权的情况下，小程序能展示用户的位置信息并将经纬度值导入到后台，这属于平台的“漏洞”。

　　若造成用户位置信息泄露

　　小程序和平台或需共同担责

　　隐私护卫队查阅相关平台的小程序开发文档发现，地图定位功能组件不在其列举的“需要用户授权才能使用的功能”之中。这意味着，小程序调用该地图定位功能组件获取位置信息时，很有可能无需经过用户授权。

　　《 *** 安全法》规定， *** 运营者收集、使用个人信息时，应经被收集者同意。国家标准《信息安全技术 个人信息安全规范》也要求，个人信息控制者收集、分享精准定位等个人敏感信息前，应征得个人信息主体的明示同意。

　　由于依托于平台，小程序获取用户信息时，受到平台的限制和管控。如果因平台存在“漏洞”，导致小程序可在未获授权的情况下，获取用户位置信息，小程序和平台是否涉嫌违规？

　　华东政法大学数据法律研究中心主任高富平认为，这种行为属于不法获得用户信息，难以认定侵犯用户隐私；但如果造成用户位置信息泄露的话，平台和小程序均需承担相应责任。他还表示，如果平台知道这样的“漏洞”，却不采取相应措施，就有帮助小程序获取用户位置信息的嫌疑。

　　南京信息工程大学法政学院教授蒋洁表示，用户的地理位置属于个人信息，小程序未经同意收集个人信息，显然侵害了用户隐私，如果平台存在漏洞，小程序和平台需共同担责。若平台能够自证没有过错，仅需承担及时修补和合理范围内的补偿责任。

　　对于小程序获取用户位置信息的合规做法，有律师建议说，小程序首先应弹窗向用户申请授权；只有在确认用户同意的情况下，平台才能允许小程序调用相关功能，获取用户位置信息。

　　◎纵深

　　提供独立隐私政策的小程序不足四成

　　近日，南都个人信息保护研究中心联合中国信息通信研究院安全研究所发布《小程序个人信息保护研究报告》(下称“报告”)，对微信、支付宝、百度、今日头条四大主流小程序平台的52款常用小程序进行测评。结果显示，只有38.5%被测小程序提供了独立的隐私政策。

　　近些年，“超级App+小程序”成为移动互联网时代开发者探索的新模式。2019上半年，小程序平台从2018年的2家扩充至8家，腾讯、阿里、百度、字节跳动等多家头部互联网企业均开始进行小程序布局。

　　据了解，目前，小程序涉及个人信息收集使用的情况愈加频繁，对其开展安全管理的必要性急剧上升。但目前的监督管理基本集中于App，鲜少涉及小程序。报告建议，小程序可参照App进行数据安全及个人信息安全管理。