北京專項整治應用程序違規收集個人信息

“我們點擊進入這個醫院的應用程序，在沒有任何授權的情況下，後臺已經收集了用戶的個人信息，比如安卓ID、應用列表、外部存儲文件等，這屬於典型的違規行爲。”日前，北京市互聯網信息辦公室網絡安全協調處孟翔邊演示邊向記者介紹。

未經用戶同意收集個人信息，是北京市互聯網信息辦公室在近期數據安全和個人信息保護專項整治中，檢測發現的較爲突出的問題。

成效

發現並督導整改問題388個

隨着移動互聯網的普及，各類App、小程序已經廣泛應用於我們日常生活。遵循“最小必要原則”，這些應用程序應當在實現特定目的所需的最小範圍內收集、使用和存儲個人信息。

“之前國家網信辦等部門發佈過相關規定，明確了哪一類的應用程序可以收集哪些信息。比如快遞、外賣的，可以收集地址、電話等；如果只是到店點餐，就不能收集這一類信息。”北京市互聯網信息辦公室網絡安全協調處處長楊虎解釋，在此之外，應用程序的開發者或運營者有廣告營銷、算法推薦等需求，還要收集其他信息的，也應在隱私協議中明確提出並徵得用戶同意，且不能因用戶不同意收集非必要個人信息或打開非必要權限，拒絕提供業務功能。

楊虎表示，收集用戶個人信息，一定要告訴用戶收集了哪些、怎麼用，併爲用戶提供有效的更正、刪除個人信息及註銷用戶賬號功能，這是規範的應用程序應該做到的。然而在應用程序使用過程中，用戶個人信息被過度強制收集、存儲管理不當、違規使用加工、傳輸防護不足等情況愈發突出，埋下安全隱患，侵害用戶個人信息權益。

針對移動互聯網應用程序在使用過程中侵害用戶個人信息權益等問題，近期，北京市互聯網信息辦公室聯合市場監管、公安、政數、通管，以及教育、住建、交通、商務、文旅、衛健、體育等行業主管部門，聚焦11個民生消費領域應用程序，開展數據安全和個人信息保護專項整治，包含智慧停車、線上點餐、運動健身、酒店住宿、線上診療、少兒培訓、房產中介、租借充電寶、生活服務（洗衣、理髮）、電影購票、網上加油等，覆蓋北京市各類經營主體（服務商）5萬餘家。

檢測人員隨機抽取了197款應用程序進行遠程技術檢測，發現並督導整改問題388個。其中，未公開收集使用規則、未徵得用戶同意收集個人信息、傳輸通道認證授權機制不完善、未提供賬號註銷功能等問題較爲集中。

演示

通過小程序獲取個人信息

孟翔介紹，App收集的個人信息一旦泄露，可能會被用於商業推廣，甚至是詐騙等違法犯罪。

此外，傳輸通道認證授權機制不完善是此次專項整治發現的另一大突出問題。通過技術軟件，孟翔向記者演示了他們發現的安全隱患——通過點餐小程序獲取個人信息。

在某知名茶飲品牌的點餐小程序上，頁面顯示的門店原本只提供門店電話、客服電話以及地址，但因爲它的傳輸通道認證授權機制不完善，孟翔模擬黑客攻擊，可輕鬆獲取全國超過1800家門店店長的手機號、姓名、郵箱等個人信息。這些信息一旦被泄露或者販賣出去，不法分子可以精準畫像，從而實施詐騙。比如，以該茶飲品牌總部培訓的名義設置詐騙圈套，詐騙成功的機率就會增加。

楊虎介紹，目前專項整治發現的問題均已通過各自行業主管部門督促開展整改。下一步，北京市互聯網信息辦公室將開展常態化治理，定期對民生消費領域各類應用程序開展遠程抽查檢測，對於存在嚴重問題或拒不整改的，將依法依規處置。

“各經營主體（服務商）可與行業協會或主管部門取得聯繫，對照本行業領域數據安全和個人信息保護自查清單，主動開展自查自糾。同時也歡迎廣大用戶通過12345市民服務熱線反饋相關線索，我們會按照相關規定及時處理。”楊虎提示。

新京報記者 行海洋

編輯 張牽 校對 吳興發