小程序比APP更不安全？( 二 ) 中国消费者报报道(记者武晓莉

明文传输个人信息带来数据非法获取的风险。约有25%的样本小程序明文传输了个人信息。如共享单车、快递外卖类小程序会明文传输用户的精准地理位置信息;医疗健康类小程序会明文传输用户的健康档案信息，其中不乏用户的姓名、出生年月日以及药物过敏等相应的个人敏感信息。
未告知用户关闭权限的路径，带来权限持续开放的风险。目前各大小程序平台均为用户提供了关闭权限的功能，但94%的样本未向用户告知上述功能开放的途径，这可能会导致用户在使用完小程序后，仍将一部分权限持续开放给小程序使用。
默认共享用户个人信息，带来数据脱离控制风险。在未向用户申请权限的情况下，某些小程序默认获取并使用了其关联小程序的用户信息，而用户无法关闭个人信息的授权功能。
监管待加强
“政府高度重视APP数据安全和个人信息安全，但目前的监督管理鲜少涉及小程序。 ”张媛媛说。
据了解，随着小程序的业务形态和用户数量的迅速发展，个人信息收集使用愈加频繁，对小程序开展安全管理的必要性急剧上升。不少平台运营者出于管理的需求，参考APP个人信息保护相关工作，对平台内小程序进行安全管理。
有关专家认为，与运营者相比，用户在使用小程序时处于弱势地位。若运营者存在不单纯的收集目的，超范围收集非必要用户个人信息，用户就会面临放弃使用或被动提供信息的两难选择。一旦相关个人信息被不法分子获取滥用，极易造成用户权益受损。
随着业务形态和用户数量的迅速发展，小程序正在成为发展态势和使用场景比肩 APP的应用。《白皮书》建议将小程序这一新兴业态纳入个人信息保护管理范畴，参照 APP安全治理模式，针对小程序特点，研究制定个人信息安全保护规范，明确小程序与小程序平台之间的主体责任划分等，鼓励小程序运营者和平台运营者强化用户个人信息安全保护。
在企业层面，切实落实个人信息保护主体责任。在用户层面，提升小程序使用者的个人信息保护意识和能力。
张媛媛指出，使用小程序的大部分用户对自身个人信息保护意识和能力仍然不足，为使用相关服务而被动提供个人敏感信息的情况屡见不鲜。因此，亟待通过科普讲座、社区宣传等形式，对用户进行解读和宣导，使其明确个体作为其个人信息控制者的权利，提升保护个人信息的意识和能力。在保护用户个人信息免受侵害的同时，鼓励用户积极举报违规行为，发动社会力量，推动小程序规范健康发展。
链接：
小程序和APP有何不同
“与 APP相比，小程序相关能力较为简单。 ”中国信息通信研究院安全研究所信息安全研究部副主任张媛媛说，小程序在接口调用、权限获取和管理、消息推送等方面都受限于小程序平台。
小程序有权调用的API(应用程序编程接口)少于 APP 。小程序无法绕过小程序平台直接调用手机系统API并和系统互动;APP则可调用所有手机系统 API ，直接与系统对话，实现修改手机系统音量、网络连接等功能。
小程序可获取的权限少于APP 。小程序只能获取小程序平台已经从手机系统获取的权限，通常仅限于用户信息、地理位置、后台定位、相册、通讯地址、发票、录音、摄像头、运动步数;而APP能够获取的手机系统权限多达100余项，其中包括日历、通讯录、麦克风、短信等敏感权限。
小程序的权限管理方式与APP不同。小程序的权限管理通常是从小程序平台“设置”中选择“允许”或“拒绝”某项权限，且一次只能进行一款小程序的权限设置;APP的权限管理则可在手机系统设置中完成，且可实现集中管理，即可一次性针对多款APP的权限情况进行修改。
小程序推送消息的渠道少于APP 。小程序只能发送模板消息，或在被用户主动订阅后进行推送， APP则可以随时随地为用户推送消息。《2019年小程序互联网发展白皮书》显示，小程序可从小程序平台获取用户信息、设备信息和统计信息。小程序在获得用户授权后，可获取用户的平台昵称、头像、性别、所在地区、语言、手机号、身份证号等个人信息，人脸、指纹等个人生物信息，以及通过权限申请获取的地理位置、通讯地址等信息。除此之外，小程序还可从具备资金管理能力和实人认证能力的平台获取财产信息相关认证结果。
小程序可获取的设备信息有网络状态、WiFi、加速度传感器、罗盘、剪贴板、系统信息、屏幕等，其中系统相关信息包括操作系统版本、操作系统类型、手机品牌、手机型号、平台版本号、平台名称、屏幕宽度、屏幕高度、设备像素比等，屏幕相关的设备信息包括屏幕是否常亮、用户是否截屏等，有些平台还支持小程序添加手机通讯录联系人、获取设备电量、添加和删除日历活动等功能。