小程序用戶個人信息安全研究

摘" 要：小程序作為一種簡單便捷的移動應用形態，應用數量和用戶量快速增長。與此同時，小程序存在的一些用戶個人信息安全風險也逐漸凸顯，如：非法獲取、超范圍收集、過度索取個人信息等，直接威脅移動終端用戶權益，逐漸成為業界關注的焦點。文章從架構、代碼和數據三個層面分析小程序用戶個人信息安全風險，對問題存在的原因進行了剖析，并提出針對性的意見和建議，以期提升移動應用行業整體個人信息保護水平。

關鍵詞：小程序；運行框架；數據處理流程；個人信息保護

中圖分類號：TP309.2" " " 文獻標識碼：A" 文章編號：2096-4706（2024）21-0073-05

Research on Users Personal Information Security of Mini Program

SONG Kai1，2， LIU Tao1，2， YANG Mengke1，2， JIA Baoguo1，2

（1.Key Laboratory of Mobile Application Innovation and Governance Technology， Ministry of Industry and Information" Technology， Beijing" 100191， China; 2.CTTL Terminal Labs， China Academy of Information and Communications Technology， Beijing" 100191， China）

Abstract： As a simple and convenient form of mobile application， mini programs have a rapid increase in the number of applications and users. At the same time， some personal information security risks of users in mini programs are gradually becoming prominent， such as illegal acquisition， excessive collection， and excessive solicitation of personal information， which directly threaten the rights and interests of mobile terminal users and gradually become the focus of industry attention. This paper analyzes the personal information security risks of mini program users from three aspects of architecture， code， and data， analyzes the reasons why the problems exist， and proposes targeted opinions and suggestions to improve the overall level of personal information protection in the mobile application industry.

Keywords： mini program; operational framework; data processing process; personal information protection

0" 引" 言

隨著移動互聯網應用技術的快速發展，小程序憑借“無須下載、即搜即用，用完即走”的便捷特性，應用場景已涵蓋民眾日常生活的方方面面。在小程序迅猛發展給用戶帶來便利的同時，其存在的一些潛在安全風險也逐漸凸顯。目前小程序開發者技術水平和用戶個人信息保護意識參差不齊、部分小程序服務提供者并未依法落實個人信息保護義務，導致侵害用戶個人信息權益的行為時有發生，因此亟須對小程序用戶個人信息安全進行研究。本文主要通過對小程序基礎架構和運行機制進行了解析，進一步分析了小程序用戶個人信息收集、傳輸、處理的流程，并從架構、代碼和數據三個層面對小程序用戶個人信息安全風險及問題的根源進行分析，最后針對提升小程序用戶個人信息保護能力提出措施建議。

1" 小程序基礎架構和運行機制

為了方便開發者快速開發和發布小程序，并且保障小程序的安全和穩定運行，小程序提供了靈活的基礎架構和運行機制。

1.1" 小程序基礎架構

小程序基本遵循C/S架構，主要分為客戶端和服務端兩部分。客戶端是指用戶在手機端下載的小程序，運行在移動終端，主要由視圖層（Web View）和邏輯層（Service）兩部分組成[1]。服務端主要通過框架型應用提供的API接口與框架型應用服務器交互，實現小程序的登錄、授權、數據傳輸和數據存儲等功能。

在小程序中，視圖層通常與邏輯層分離，如圖1所示，主要通過小程序框架應用提供的API接口來實現數據的綁定和事件的處理[2]。視圖層負責渲染小程序頁面，包括Web組件和原生組件的展示，采用WXML、WXSS和JavaScript等技術實現混合渲染。例如，某些Web組件可能不被WebView支持或存在性能限制，因此小程序也需要依賴原生組件，例如地圖、視頻等組件。邏輯層是小程序的控制層，主要負責小程序中的邏輯處理、數據處理等工作，采用JavaScript Workers實現，可以調用框架型應用提供的API，與視圖層實現交互。Worker負責小程序的事件處理、API調用和生命周期管理[3-4]。

小程序提供了豐富的API接口，如圖2所示，覆蓋了多種開發場景，包括界面路由、媒體獲取、文件讀寫、數據緩存、網絡請求、位置獲取、設備信息獲取、開放接口、小程序云開發和小程序插件等。其中，界面API包括了頁面路由、交互反饋、導航欄控制、下拉刷新等；媒體API包括了獲取、錄制和播放圖片、音頻和視頻等；文件API包括了讀寫、下載和上傳文件等；數據緩存API包括了數據緩存和清除緩存等；網絡API包括了發起HTTP請求和WebSocket等；位置API包括了獲取當前位置、查看位置和選擇位置等；設備API包括了獲取系統信息、網絡狀態、電量、震動和剪貼板等；開放接口包括了登錄、獲取用戶信息、支付、卡券和分享等；小程序云開發API包括了數據庫、云函數和存儲等；小程序插件API包括了調用和管理小程序插件等。開發者可以根據需要選擇使用API接口。

類似于Android APK，小程序binary也打包在wxapkg格式的壓縮文件中[5]。如圖3所示，wxapgk通常包含：

1）一個名為app.json的配置JSON文件，該文件描述了小程序的一般功能（例如小程序運行所需的權限等）。

2）一個或多個包含資源文件（例如圖像和音頻）的文件夾。

3）一個或多個文件夾包含描述小程序UI或者業內稱為Page的文件。特別地，頁面Page由四個文件組成，包括：WXML文件，該文件由標記語言編寫WXML，用于UI設計，如按鈕或輸入框；JavaScript文件，指定當用戶與UI交互時需要執行的邏輯流程；級聯使用WXSS格式編碼樣式表文件，指定如何顯示UI元素；以及最后樣式配置文件，指定UI的窗口行為（例如UI方向）。

1.2" 小程序運行機制

小程序的運行機制分為首次啟動機制和熱更新機制，如圖4所示。以微信小程序為例，當用戶第一次打開一個小程序時，小程序客戶端會向小程序平臺冷加載請求小程序的代碼包、資源文件和配置信息，并將其緩存到本地。然后，客戶端會使用本地緩存的代碼包和資源文件渲染小程序的首頁，展示給用戶。此后，每次打開小程序時，客戶端會檢查本地緩存的代碼包和資源文件是否過期，如果過期則會向平臺請求最新的代碼包和資源文件，否則直接使用本地緩存的文件渲染小程序[6]。

如果開發者在小程序平臺上更新了小程序的代碼包或資源文件，客戶端會在后臺下載最新的代碼包和資源文件，并將其緩存到本地。當用戶下次打開小程序時，客戶端會使用最新的代碼包和資源文件渲染小程序。如果更新過程中出現問題，客戶端仍將使用之前緩存的版本。此外，小程序還支持熱加載小程序頁面、組件和插件等，從而實現更加靈活的熱更新機制。

小程序從啟動到最終被銷毀，會經歷很多不同的狀態，小程序在不同狀態下會有不同的表現。大致運行機制如圖5所示，分為啟動、掛起、銷毀三個階段[2]。

1.2.1" 小程序啟動

通常來說，小程序啟動可以分為兩種情況，一種是冷啟動，一種是熱啟動。如果用戶首次打開，或者小程序銷毀后被用戶再次打開，此時小程序需要重新加載啟動，就是冷啟動。如果用戶已經打開過某小程序，然后在一定時間內再次打開該小程序，加載速度比前者快不少，說明此時小程序并未被銷毀，小程序還可以短暫運行一小段時間，但部分API的使用會受到限制，只是從后臺狀態進入前臺狀態，這個過程就是熱啟動。從小程序生命周期的角度看，一般講的啟動專指冷啟動，熱啟動一般指后臺切前臺。

1.2.2" 小程序掛起

小程序進入后臺狀態一段時間后，框架應用會停止小程序JS線程的執行，小程序進入掛起狀態。此時小程序的內存狀態會被保留，但開發者代碼執行會停止，事件和接口回調會在小程序再次進入前臺時觸發。如果開發者使用了后臺音樂播放、后臺地理位置等能力時，小程序仍可以在后臺持續運行，不會進入掛起狀態。

1.2.3" 小程序銷毀

如果用戶很久沒有使用小程序，或者系統資源緊張，小程序會被銷毀，即完全終止運行。具體而言包括以下幾種情形：一是，當小程序進入后臺并被掛起后，如果很長時間（目前是30分鐘）都未再次進入前臺，小程序就會被銷毀。二是，當小程序占用系統資源過高，可能會被系統銷毀或被客戶端主動回收。比如在iOS上，當微信客戶端在一定時間間隔內連續收到系統內存告警時，會根據一定的策略，主動銷毀小程序，并提示用戶“運行內存不足，請重新打開該小程序”。

2" 用戶個人信息收集傳輸處理流程

小程序開發者在收集和處理用戶個人信息時，需要遵守相關的法律法規和規范對用戶的個人信息進行保護。一般而言，小程序用戶個人信息的收集和處理流程如下。

如圖6所示，在小程序中，開發者需要通過調用小程序客戶端開放接口，向用戶發起授權請求，獲取用戶信息。小程序首先會使用getStorageSync（）函數判斷本地緩存是否有當前用戶信息，如果有相關信息，就會直接將緩存數據賦值給userInfo變量，如果沒有相關信息，會調用wx.getUserProfile（）函數來提示用戶授權登錄，授權成功后，會把獲取到的用戶頭像地址和昵稱數據保存到緩存區里，并且調用wx.login（）函數獲取登錄憑證code，否則會調用wx.showToast（）函數向用戶提示未授權[7-8]。

在獲取到用戶信息后，小程序客戶端會將數據從客戶端上傳至服務端。以微信小程序為例，如圖7所示，微信小程序在傳統的C/S網絡架構的基礎上利用動態語言和算法，突破客戶端必須安裝客戶端服務軟件的限制，完成客戶端和服務端直接相連。這種點對點的連接方式最為突出的特點就是為小程序與服務器之間的數據交互提供了速度和安全的保障。

3" 用戶個人信息收集使用面臨的安全問題

小程序的迅猛發展，給用戶帶來便利的同時，也存在一些潛在的安全問題。目前，部分小程序服務提供者并未依法落實個人信息保護義務，侵害用戶個人信息權益的行為時有發生，因此，通過以上對小程序基礎框架和運行機制的分析，將主要從架構、代碼和數據三個層面對小程序用戶個人信息收集使用面臨的主要問題進行總結。

3.1" 過度收集使用個人信息

由于小程序運營主體多為希望借助小程序生態實現業務經營線上化的各類實體企業、組織或個人，有些主體并不具備小程序的開發能力，因而存在采取外包公司開發的形式。部分主體甚至直接采用租用科技公司已開發小程序，僅通過變更賬號主體名稱的形式就上線了小程序，實際的管理、運營特別是數據處理和存儲由外包公司控制。小程序運營者整體的用戶個人信息保護意識顯著弱于傳統APP運營者，過度收集使用用戶個人信息的情況較為突出。由于小程序開發者技術水平和用戶個人信息保護意識參差不齊、部分小程序服務提供者并未依法落實個人信息保護義務，侵害用戶個人信息權益的行為時有發生，主要表現行為包括以下幾個方面：

1）未履行充分必要告知義務，部分小程序未制定隱私政策，也未通過其他顯著方式向用戶告知處理個人信息目的等信息。

2）小程序在獲得系統授權后，超出向用戶告知的目的，超范圍收集語音、圖片、通訊錄信息，超頻次收集設備識別碼、應用軟件列表信息、位置信息，或違規進行非授權操作，進行讀寫刪等。

3）過度收集個人信息，部分小程序存在要求用戶授權訪問相機、麥克風、位置、通訊錄等非必要且無合理運用場景的個人信息；強制收集用戶個人信息，用戶不授權登錄或不提供個人信息，部分小程序拒絕提供服務。

4）違規使用用戶個人信息，小程序通常是“一次授權，長期有效”，小程序對個人信息收集后的再利用很難被查知。這些操作嚴重違背了個人信息收集使用的合法、正當、必要原則。

3.2" 承諾與實際行為不一致

一般情況下，小程序需在隱私政策中承諾保護用戶隱私和個人信息，但實際上小程序可能未采取有效措施保護用戶隱私，或未按照承諾的方式使用用戶個人信息。例如，小程序在未經用戶授權的情況下收集用戶個人信息，或將用戶個人信息用于非法用途等。例如，Zhang等人設計了一個名為SPOChecker的框架對5 521個熱門微信小程序的分析，發現半數以上的小程序沒有給出隱私政策，其余的相當部分也存在過度收集的問題[9]。而Wang等人通過基于數據實體依賴圖的污點分析，對小程序數據實踐和政策描述進行合規性檢測，在10萬量級的小程序上開展實驗，檢出了高達89.4%的不一致比例。

這些工作充分說明，小程序作為一種新興的應用形式，由于在代碼結構、運行機制、個人信息獲取方式等方面與APP具有明顯差異，傳統用于移動APP的個人信息保護檢測方法無法直接應用，風險發現不及時、不全面、不準確等問題也一定程度上阻礙了小程序個人信息保護能力的提升。

3.3" 行為難追蹤難確定

由于部分小程序賬號與運營主體實質分離、數據收集處理行為難追蹤等問題，客觀上放大了數據泄露或濫用風險。小程序開發、賬號運營、數據管理主體的不一致情況較為普遍，開發主體可能不負責小程序的運營和管理，而運營主體則可能不了解小程序的技術細節和數據管理情況，造成現實中既難以追蹤客戶個人隱私數據的實際存儲方、處理方，更難以在數據泄露后界定相關主體的法律責任。由于不同小程序平臺對小程序的底層架構、實現原理、通信機制等各個方面存在差異，難以對其進行統一的測試[10]。若小程序出現數據安全等問題，數據是否妥善儲存、是否存在不當處理、是否被不當使用，是否泄漏給無關第三方，均難以確定或追蹤，也難以追蹤責任。

4" 意見和建議

隨著國家對于個人信息保護重視程度的不斷加強，相關法律體系逐步完善，《數據安全法》《個人信息保護法》和《消費者權益保護法》等相關法律法規均對個人信息保護進行了明確了規定，根據以上對小程序用戶個人信息收集使用面臨安全問題的分析，提出以下三點建議。

4.1" 建立并完善行業標準體系

現有國內外個人信息保護標準的規范對象主要是APP，而小程序作為一種新型應用形態，并沒有專門針對小程序的個人信息保護標準。因此要堅持標準先行原則，進一步加強制定小程序系列標準。重點聚焦用戶反映強烈的問題，如違規收集個人信息（賬號、手機號、位置、圖片等信息）、違規使用共享個人信息（與第三方APP、第三方小程序共享）、欺騙誤導強迫用戶下載、安裝、使用其他小程序等，提出針對小程序的檢測評估標準規范，建立相應的標準體系，以填補小程序標準方面的空白。

4.2" 突破并實現技術創新

目前國內外主要針對APP開展個人信息保護檢測，因此已形成較成熟的APP檢測技術和方法。但是由于APP和小程序的技術原理存在本質的不同，所以APP的隱私檢測技術并不適用于基于小程序宿主平臺開發、運行的小程序，針對小程序的隱私安全檢測技術研究幾乎空白。因此，亟須針對小程序本身的特性和生態環境，對小程序開展靜態解析與代碼分析方法研究、運行時敏感行為監測方法研究，構建小程序自動化檢測模型，通過產品研發和系統建設，形成對小程序隱私安全進行一致性檢測技術的能力，進而彌補現有檢測技術的不足。

4.3" 規范并促進行業自律

目前國內外還未針對小程序開展行業自律規范，因此可以通過行業協會制定自律規范，鼓勵小程序持續增開展技術創新，開發更加安全、便捷的個人信息處理技術，加強對用戶個人信息的保護。同時要不斷加強人才培養，提高對個人信息保護的意識和能力，引導行業健康發展，推動產業技術創新，促進行業自律和誠信經營，提高行業整體水平。

5" 結" 論

小程序作為一種新生事物，由于具有“部署靈活、運行輕量、研發簡單”的特點，一經誕生就顯露出強大的生命力，對移動應用的細分領域形成了較好的補充，作為移動互聯網領域技術創新的新陣地，在未來勢必獲得更大的發展和應用。同時，移動應用小程序的個人信息保護測評和監管已經成為業內研究的熱點，勢必成為一個長期的課題，需要從技術創新、標準體系、監管規范多方面發力，企業、開發者、監管機構多方協作，切實提高小程序的個人信息保護水平，更好地規范整個行業的自律行為，從而促進整個行業持續、快速、健康地發展。

參考文獻：

[1] 馬濤.安卓平臺的小程序安全性研究與實現 [D].北京：北京郵電大學，2021.

[2] 黃鑠，林鍇，戚耀中，等.微信小程序安全問題淺析 [J].數字通信世界，2023（5）：81-83.

[3] 微信官方文檔.小程序指南 [EB/OL].[2023-12-25].https：//developers.weixin.qq.com/miniprogram/dev/framework/quickstart/.

[4] 支付寶文檔中心.小程序開發框架概述 [EB/OL].[2023-12-26].https：//opendocs.alipay.com/mini/framework/overview/.

[5] ZHANG Y，TURKISTANI B，YANG A Y Q，et al. A Measurement Study of Wechat Mini-Apps [C]//Proceedings of the ACM on Measurement and Analysis of Computing Systems.New York：ACM，2021，5（2）：1-25.

[6] YANG Y Q，ZHANG Y，LIN Z Q. Cross Miniapp Request Forgery： Root Causes， Attacks， and Vulnerability Detection [C]//Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security （CCS'22）.Los Angeles：ACM，2022：3079-3092.

[7] LU H R，XING L Y，XIAO Y，et al. Demystifying Resource Management Risks in Emerging Mobile App-in-App Ecosystems [C]//Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security （CCS'20）.New York：ACM，2020：569-585.

[8] LEHR J-P，BISCHOF C，DEWALD F，et al. Tool-Supported Mini-App Extraction to Facilitate Program Analysis and Parallelization [C]//Proceedings of the 50th International Conference on Parallel Processing （ICPP'21）.New York：ACM，2021：1-10.

[9] ZHANG X H，WANG Y，ZHANG X，et al. Understanding Privacy Over-collection in WeChat Sub-app Ecosystem [J/OL].arXiv：2306.08391 [cs.CR].（2023-06-14）.https：//arxiv.org/abs/2306.08391.

[10] 黃子奇，顧語涵，張曉寒.MiniBot：輕量級小程序動態測試輸入生成框架 [J/OL].小型微型計算機系統，2024：1-7（2024-04-18）.http：//kns.cnki.net/kcms/detail/21.1106.tp.20240416.1203.002.html.

作者簡介：宋愷（1983—），男，漢族，北京人，中國信息通信研究院泰爾終端實驗室信息安全部主任，碩士，研究方向：電信和互聯網領域的監管與安全政策等；通信作者：劉陶（1984—），女，漢族，湖北荊門人，中國信息通信研究院泰爾終端實驗室信息安全部副主任，高級工程師，博士，研究方向：移動應用安全、隱私保護、智能終端安全等；楊萌科（1997—），女，漢族，河南汝州人，工程師，碩士，研究方向：移動智能終端和應用安全等；賈寶國（1989—），男，漢族，山西陽泉人，工程師，碩士，研究方向：電信和互聯網領域的監管與政策等。