管家婆必出一中一特图片,居家节能行为设计图解-动点

　　法治在线丨App成“隐私刺客”过度收集信息 应该怎么防？

　　在当今移动互联网时代，App和小程序已经深入我们日常生活的方方面面，无论是扫码点餐、便捷支付、酒店预订还是在线医疗服务等等，它们无处不在。然而，在享受这些便利的同时，您是否注意到，每当启动一款新的App或小程序时，它们常常请求访问您的相机、通讯录、身份信息乃至位置信息？这些权限请求真的都是必要的吗？

　　近日，北京市互联网信息办公室会同有关部门组织开展了民生消费领域数据安全和个人信息保护专项整治，覆盖全市5万多家经营主体的App和小程序，在随机抽查的197款应用程序中竟然发现了多达388项问题。

　　这些问题应用程序都有哪些？

　　是否正在被我们使用？

　　我们的个人信息是否正被非法收集？

　　一旦被收集，这些信息又将流向何方？

　　面对潜在风险，如何识别并防范？

　　权限泛滥 权限与功能脱节

　　记者在北京街头随机采访时发现，许多人对于应用程序收集使用个人信息都存在着不少疑问和担心。

　　为了更好地保护广大群众的个人信息安全，今年2月以来，北京市互联网信息办公室会同有关部门组织开展了民生消费领域数据安全和个人信息保护专项整治，在随机抽取的197款应用程序中，发现了多达388项与个人信息安全相关的问题。

　　北京市互联网信息办公室网络安全协调处处长 杨虎：聚焦在线教育、扫码停车、点餐、理发、洗衣，包括电影预约、网上加油等11个领域，发现了诸如未告知用户收集使用个人信息的范围，以及超范围收集使用个人信息，传输的通道未授权认证等等这样一些问题，各类问题大概388个。

　　未进行任何授权 读取手机存储文件

　　这些应用程序存在的问题对我们的个人信息究竟有哪些威胁？北京市网信办的工作人员对其中的几款典型问题应用程序进行了展示。

　　应用程序典型问题一：未征得用户同意收集个人信息或打开可收集个人信息的权限。

　　北京市互联网信息办公室网络安全协调处工作人员 孟翔：通过检测平台模拟用户登录这款应用程序的过程，我们在点击进去还没有进行任何授权的前提下，应用程序已经在后台默认收集了用户的个人信息，比如安卓ID、应用包信息、应用列表、读取外部存储文件等，这属于典型的违规行为。

　　后台界面上显示，登录这款App后，系统并没有弹出获取权限的请求，就在后台收集了用户的个人信息。

　　应用程序典型问题二：未经用户同意，将个人信息同步给第三方。

　　孟翔：这个案例是一款酒店住宿类的小程序，点开小程序，目前他给咱们定的位置是北京市东城区新城东街19号院。我们看下详情，这一行是用户此时位置的经纬度信息，它通过调用小程序的位置信息拿到，然后把这个信息给到了地图工具，然后地图工具给它一个回复，把相应的经纬度信息转化成了具体的地理位置。我们在不知情的情况下，他就把位置信息给送出去了。在个人信息保护法里边也有明确要求，个人信息处理者，也就是小程序的运营者，向其他的个人信息处理者，也就是地图的工具这一方去提供个人信息的时候，要告知个人，也就是用户，并且取得个人的单独同意。

　　个人信息被违规收集 推销广告骚扰不断

　　目前，北京市网信办已经督促相关运营主体完成整改，违规行为也得到纠正。

　　在记者的采访中，对于应用程序违规收集个人信息的问题，不少用户都在担心，自己的隐私信息可能因为这些App的违规行为而被泄露、滥用。

　　接到推销电话，是否和个人信息被违规收集相关？

　　在法学专家看来，接到推销电话很有可能因为个人信息的泄露。而个人信息一旦泄露，更严重的后果还可能会有身份被盗用、遭遇精准诈骗等等。

　　北京理工大学法学院教授 洪延青：个人信息其实主要都是靠电子来传播的，所以一旦泄露，传播起来一下子能遍布网络。不法分子违规收集的个人信息，经常会流入所谓的黑灰产。我们可以看到很多老人听信电信诈骗的一些情况，这些电信诈骗分子为什么可信？因为他掌握了老人生活习惯、购物习惯，所以他们编造出来的故事就特别令人信服。

　　法学专家提到，依据《中华人民共和国个人信息保护法》的相关规定，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

　　构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

　　小程序漏洞致13万份体检报告存泄露风险

　　法律明确规定了应用程序不能过度、违规收集用户的个人信息，那么，是否合理收集的应用程序就不会存在泄露个人信息的风险？

　　北京市网信办在对市场上的应用程序进行抽查时发现，某些存储了大量个人信息的应用程序，由于保存不当，竟然可以轻易被一些技术手段攻破窃取。在某家医院体检预约的小程序中，由于小程序本身存在漏洞，13万份患者的检查报告和两癌筛查报告竟然都可以被用技术手段获取。

　　应用程序典型问题三：存在技术漏洞，有泄露个人信息风险。

　　孟翔：某医院体检预约的小程序，它同时也提供了两癌报告筛查、在线报告查询的功能，我们在检测过程中发现这款小程序存在未授权访问的漏洞，也就是说它的身份验证的机制不完善。利用这个漏洞可以看到这个功能模块下所有的检测报告，一共有5218份，两癌报告查询里边会更多，总数是13万。我们常规的一份检查报告里边会包括姓名、年龄，包括疾病的信息，这种信息不管是从法律层面上来讲，还是从个人的隐私保护性上来讲，都是非常敏感的。

　　患者隐私信息被收集存储但保护技术不足

　　在这份检查报告中，患者的姓名、年龄、联系方式以及疾病等隐私信息一览无余。一旦这些敏感信息落入不法分子手中，后果将不堪设想。孟翔介绍，作为一家医疗机构，收集和存储患者的个人信息是开展医疗服务所必要的，问题的关键在于对这些个人信息的保护技术上存在不足。

　　孟翔：这是它的一个安全漏洞、技术上的漏洞，其实个人信息保护法对于这块内容有明确规定，个人信息处理者应该对其处理个人信息的行为负责，并且采取必要的保护措施来保障他处理的个人信息的安全。所以小程序的运营者这块做得不到位。

　　应用程序典型问题四：第三方平台存在技术漏洞。

　　孟翔：我们对某中学的智慧食堂小程序检测发现，它实际是依托于某第三方企业的智慧订餐的系统平台来开展的服务。它这个平台服务的范围还比较广，全国1369所学校，将近200万名学生的个人信息，利用该平台存在的技术漏洞，可以看到个人信息的案例，包括师生的姓名、照片、身份证号。

　　平台一旦存技术漏洞 或将泄露个人信息

　　孟翔介绍，一些提供技术支持的第三方平台如果本身存在技术漏洞，就可能牵连它所服务的所有子系统，导致海量的个人信息面临泄露的风险。

　　孟翔：这个问题就是平台自身存在问题，导致下游所有它所提供服务的子系统都存在问题。通过它就可以拿到所有的个人信息，这类问题往往隐患更大。对于运营主体或者是第三方服务商来讲，肯定要加强自己的保护措施，这也是法律法规对它的要求。

　　针对技术缺陷 责令及时修

　　在这次专项整治行动中，北京市网信办针对存在技术缺陷的应用程序立即督促整改，及时修复了技术漏洞，避免了个人信息的泄露的发生。

　　明确问题责任和整改时限

　　北京市网信办的工作人员介绍，对于发现问题的应用程序，他们一对一通知对应经营主体，明确问题责任和整改时限(原则上不超过15个工作日)，并持续跟进直至整改合规。对于拒不配合或多次整改不力的，网信办与行业主管部门会同公安、市场监管局等部门进行约谈提醒，情形严重的依法依规进行执法处罚。涉嫌违法犯罪的，移交线索至公安部门立案查处。

　　记者了解到，截至目前，在这次抽查中发现的应用程序存在的388个问题，都已经积极配合整改完成。

　　作为普通用户

　　该如何识别和防范有问题的应用程序？

　　平时使用应用程序的习惯健康吗？

　　是否忽略了什么重要步骤？

　　对于不再使用的应用程序，您会注销吗？

　　卸载应用程序 注销步骤莫忽略

　　在记者的采访中，不少人卸载应用程序时，都会忽略注销这个步骤。对此，北京市网信办工作人员表示，这种习惯存在个人信息泄露的风险。

　　防范隐私刺客方法一：不再使用的应用程序，应及时注销账户并删除个人资料。

　　孟翔：我们在生活中使用一些小程序或者App的时候是暂时使用，可能这段时间使用完以后，后面就不再使用了，从安全的角度，应该删除里边存储的个人信息。具有个人信息收集这种功能的小程序，都应该提供账户的注销，或者说个人信息删除、更改这种功能，如果没有提供的话，理论上应该就属于违规行为。

　　依据《网络数据安全管理条例》第二十四条规定，个人注销账号的，网络数据处理者应当删除个人信息或者进行匿名化处理。删除、匿名化处理个人信息从技术上难以实现的，网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。

　　防范隐私刺客方法二：定期检查App权限设置，及时关闭非必要授权。

　　北京理工大学法学院教授 洪延青：我们现在的很多的手机操作系统提供了这样的一个机制，比如说你在打开某些地图软件的时候，或者说打开某些点餐软件的时候，它会提示你的麦克风的权限被打开了，也许你这个场景没有使用的麦克风，你可以到后台去查看你是否过多了授予他的权限，你完全可以去自主地去防范它。

　　防范隐私刺客方法三：对频繁索权、诱导授权的应用，坚决拒绝安装。

　　孟翔：比如说这个软件没有必要收集我们的位置信息，它的基础的业务功能不需要位置信息，但是它一次两次三次反复向我们弹窗索要位置信息的权限，我们拒绝，但是他还仍然反复提醒，这种也属于违规行为。

　　防范隐私刺客方法四：关注违规App名单，防患于未然。

　　洪延青：其实全国各地都在开展自己辖区内的专项整治的活动，我们可以关注这些执法部门定期发布的公告。他们认为已经违法违规收集处理个人信息的App，如果看到这样的公告，用户就可以少下载或者不下载这个App。

　　防范隐私刺客方法五：发现违规收集个人信息行为，积极举报。

　　杨虎：在此也提醒广大用户，可以通过12345市民服务热线进行投诉举报，我们也将依法依规地予以处置。下一步我们也将按照中央网信办、公安部、工信部、市场监管总局关于2025年个人信息保护的专项行动的安排，会同有关的部门深入地开展民生消费领域违法违规收集个人信息问题的专项治理，维护广大消费者的用户权益。

　　当一款天气App要求读取您的短信时，这不是技术需求，而是掠夺，被掠夺的正是我们的个人信息。App或小程序厂商不能以功能服务为名，强制索取通讯录、定位等非必要权限，利用晦涩协议和捆绑策略，将用户数据转化为自己谋利的商业资产。收集个人信息必须遵循合法、正当、必要的原则。规范应用程序，网信办及时出手，查堵漏洞，好比一场及时雨，这样的抽查整治，也会持续进行。而当我们遭遇这些违规App时的每一次点击"拒绝"，都将是数据权利回归的惊蛰之鸣。

　　(总台央视记者 张李彬 王思思 邹其元)