明明拒绝了小程序获取位置信息,后台还是能精准定位,这是怎么回事?
几年前就有人提出了这个问题。最近,隐私护卫队通过自主的定位小程序,成功复现了这一情况——即便用户拒绝授权,小程序依然能获取并存储用户的经纬度信息。
有专家指出,在用户明确拒绝或未授权的情况下,小程序能获取精确位置,这属于技术“漏洞”。如果平台明知漏洞存在却不采取措施,难逃纵容小程序获取用户位置信息的嫌疑。
拒绝授权定位,小程序却能获取坐标
很多人为了方便标记位置或发送定位,会开启平台的定位功能,这相当于授权平台获取精准位置。但如果小程序想获取位置信息,理论上需要先弹窗申请,用户点击“同意”后才能获取。
然而,隐私护卫队实测发现,在某些平台上,只要开启平台定位,即便用户拒绝小程序获取位置信息,小程序依然能获取坐标。关闭平台定位后,小程序无法定位;但一旦开启,无论用户是否授权,某些小程序就能直接精准定位。
比如某运动地图类小程序,关闭平台定位时,它显示定位在非洲;开启平台定位后,即便用户拒绝授权,它也能立即准确定位到用户所在位置。
隐私护卫队通过简易小程序证实,未经用户授权,小程序能获取当前位置的坐标,并将坐标值导入后台。实测发现,这一情况并非孤例,一旦位置信息与账关联,用户的个人信息就完全暴露,小程序有违规获取个人信息的嫌疑。
这一“漏洞”曾被多次提出,至今未修复
隐私护卫队注意到,过去几年,至少有两位者反馈过这一漏洞,他们的质疑都指向同一套地图定位功能组件。
2025年,一位者在网上发帖称,自己通过“真机实测”发现,无论iOS还是安卓系统,即使小程序定位授权被拒绝,依然能定位用户位置,并详细列出了方法。
对此,相关技术专员回应称“这种情况比较特殊”,并承诺会修复授权逻辑。后来另一名技术专员回应类似问题时表示,尽管小程序能显示用户位置,但不能获取坐标值,因此不需要授权。
但隐私护卫队实测证实,只要结合某核心地图组件和专门获取定位信息的接口,就能在未获授权的情况下获取用户的坐标信息。
一位者表示,小程序可以在后台将坐标信息与账信息关联起来,相当于未经授权获取了用户的行踪轨迹,这属于个人敏感信息。他还提到,某小程序的功能是根据用户位置推荐附近贷款,即便拒绝授权,地图上仍能显示附近贷款。
专家:小程序和平台或需共同担责
隐私护卫队查阅相关平台的小程序文档发现,地图定位功能组件并未列入“需要用户授权才能使用的功能”中。这意味着,小程序调用该组件获取位置信息时,可能无需经过用户授权。
《网络安全法》规定,网络运营者收集、使用个人信息时,应经被收集者同意。国家标准《信息安全技术 个人信息安全规范》也要求,收集、分享精准定位等个人敏感信息前,应征得个人信息主体的明示同意。
由于小程序依托于平台,获取用户信息时受平台限制和管控。如果因平台存在“漏洞”,导致小程序在未获授权的情况下获取用户位置信息,小程序和平台是否涉嫌违规?
华东政法大学数据法律研究中心主任高富平认为,这种行为属于不法获取用户信息,难以认定侵犯用户隐私;但如果造成用户位置信息泄露,平台和小程序均需承担相应责任。他还表示,如果平台明知漏洞却不采取措施,就有帮助小程序获取用户位置信息的嫌疑。
南京信息工程大学法政学院教授蒋洁表示,用户的地理位置属于个人信息,小程序未经同意收集个人信息,显然侵害了用户隐私。如果平台存在漏洞,小程序和平台需共同担责。若平台能自证没有过错,仅需承担及时修补和合理范围内的补偿责任。
小程序获取用户位置信息的合规做法
有律师建议,小程序首先应弹窗向用户申请授权;只有在确认用户同意的情况下,平台才能允许小程序相关功能获取用户位置信息。这种做法不仅符合法律规定,也能有效保护用户隐私。
