用手機(jī) APP值機(jī)選座�,昵稱�、照片、職業(yè)和行程軌跡卻全部暴露在陌生人面前�,作為一名乘客,你愿意嗎�����?近日�,有網(wǎng)友發(fā)現(xiàn)航旅縱橫手機(jī)APP 悄然上線了“選座社交”功能——在 APP 內(nèi)選座時(shí)��,點(diǎn)擊座位圖標(biāo)即可查看該座乘客的個(gè)人信息���,還可以跟對(duì)方私信聊天�����。有專家指出�,該功能涉嫌未經(jīng)授權(quán)泄露用戶信息。
通過客艙圖可查看同航班乘客行蹤等個(gè)人信息
航旅縱橫由中國(guó)民航信息網(wǎng)絡(luò)股份有限公司開發(fā)�����,具有航班動(dòng)態(tài)查詢��、值機(jī)選座����、天氣預(yù)報(bào)、行程管理等功能����,是旅行工具類 APP 中的人氣產(chǎn)品。然而���,微信公號(hào)“航空物語(yǔ)”近日發(fā)布文章稱�����,在航旅縱橫內(nèi)發(fā)現(xiàn)了一個(gè)“讓人不安”的功能���。
該文作者“小雨”表示����,6月10日���,自己乘飛機(jī)從北京到深圳��,查看航班動(dòng)態(tài)時(shí)發(fā)現(xiàn)�,點(diǎn)擊進(jìn)入航班動(dòng)態(tài)下的座位信息按鈕���,能看到全機(jī)乘客的座位信息���。點(diǎn)擊某一座位的圖標(biāo),便會(huì)顯示該乘客的個(gè)人主頁(yè)���,昵稱����、星座�����、選座偏好和常去地點(diǎn)赫然可見����。
“小雨”的航旅縱橫界面。圖自“航空物語(yǔ)”��。
“小雨”發(fā)現(xiàn)����,點(diǎn)擊乘客所在座位的圖標(biāo),進(jìn)入其個(gè)人頁(yè)面�,能看到昵稱、職業(yè)�、飛行偏好標(biāo)簽、飛行熱力圖等信息�����。圖自“航空物語(yǔ)”�����。
隨后�����,“小雨”嘗試點(diǎn)擊了多個(gè)座位圖標(biāo),均能查看相應(yīng)的乘客����。“下飛機(jī)的時(shí)候�����,我看著周圍的乘客��,知道這人喜歡這南航��,那人喜歡坐深航����,那邊那個(gè)經(jīng)常去上海,還有前兩排那個(gè)是雙魚座的女生��,還有的我知道了她的名字了��,感覺他們都透明了一樣����?��!薄靶∮辍睂懙馈?/p>
APP 內(nèi)不僅能查看周邊乘客信息還可私聊
縱觀支付寶����、滴滴出行等以往的案例可以發(fā)現(xiàn)�����,工具類產(chǎn)品試水社交功能��,很容易引發(fā)爭(zhēng)議���。航旅縱橫 APP 內(nèi)真的可以查看同航班乘客的個(gè)人信息嗎����?11日中午��,隱私護(hù)衛(wèi)隊(duì)選擇了一趟北京至廣州的航班��,進(jìn)入航旅縱橫 APP 查看座位情況���。
確實(shí)如“小雨”所說�,整個(gè)航班的座位信息完全展現(xiàn)出來。由于隱私護(hù)衛(wèi)隊(duì)是首次使用該功能��,左上角還出現(xiàn)了客服“小橫”的提示:“在客艙圖中可以查看同航班的小伙伴并和 Ta 們聊天啦~快跟大家打個(gè)招呼吧�����,請(qǐng)文明發(fā)言喲~”該提醒下方是一個(gè)鉛筆形圖標(biāo)和“也說兩句”按鈕���,點(diǎn)擊按鈕即可發(fā)言���。
客艙圖左上角可以看到新功能提醒。
隨后�,頁(yè)面左上角持續(xù)彈出新的選座信息提醒,每當(dāng)有一名乘客選定了座位�����,左上角便會(huì)出現(xiàn)“XX(乘客昵稱) 我剛剛辦理了值機(jī)選座 XYZ(座位號(hào))”的浮窗����。隱私護(hù)衛(wèi)隊(duì)點(diǎn)擊了幾個(gè)座位圖標(biāo),便看到了這些乘客的更多信息��,包括頭像和飛行熱力圖。一些乘客的昵稱下方還有身份信息���,比如學(xué)生�、醫(yī)生��、企業(yè)高管等��?�!靶∮辍彼f的星座�����、旅行達(dá)人����、飛行偏好等標(biāo)簽����,隱私護(hù)衛(wèi)隊(duì)沒有看到。
客艙圖左上角會(huì)持續(xù)彈出選座信息提醒��。
隱私護(hù)衛(wèi)隊(duì)看到�,一位女性乘客似乎使用了自己的真實(shí)照片作為頭像。
有乘客的個(gè)人信息頁(yè)面顯示其為“企業(yè)高管”��。
在客艙圖中,有些乘客直接顯示了昵稱��,有些乘客則顯示為“游客”����。通過座位進(jìn)入乘客的個(gè)人主頁(yè)后,頁(yè)面最下方有一個(gè)“私信”按鈕�����,可借此與該乘客直接聊天�����。無論是昵稱的乘客和顯示為“游客”的乘客均可以使用該功能��。
從客艙圖信息來看����,該航班約有50位乘客已經(jīng)選座,其中大概三分之二為“游客”����。但點(diǎn)擊“游客”們的個(gè)人主頁(yè),依然能看到頭像和身份信息。
截至11日測(cè)試結(jié)束�,隱私護(hù)衛(wèi)隊(duì)選擇的航班中,僅有一位用戶開啟了隱私設(shè)置��。
APP 內(nèi)“允許他人查看我的個(gè)人主頁(yè)”為默認(rèn)開啟狀態(tài)
根據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 35273-2017 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》���,姓名��、行蹤軌跡����、通信通訊聯(lián)系方式都屬于個(gè)人信息�����。其中����,行蹤軌跡更是屬于“一旦泄露����、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)�����、身心健康受到損害或歧視性待遇”的個(gè)人敏感信息。
姓名���、昵稱���、照片、職業(yè)身份����,甚至是常去哪里、常坐哪個(gè)公司的航班……為什么航旅縱橫內(nèi)能顯示這些個(gè)人信息呢���?隱私護(hù)衛(wèi)隊(duì)使用的是 iOS 版的航旅縱橫����,查看賬號(hào)后發(fā)現(xiàn)����,APP的“個(gè)人中心-查看或編輯個(gè)人資料”處能看到自己的個(gè)人主頁(yè),客艙圖內(nèi)展示的個(gè)人主頁(yè)由此而來�����。
在個(gè)人主頁(yè)點(diǎn)擊右上角編輯圖標(biāo),可以修改昵稱����、頭像、標(biāo)簽和職業(yè)�����。值得注意的是��,在編輯頁(yè)面最下方����,“隱私設(shè)置”一欄,“允許他人查看我的個(gè)人主頁(yè)”和“允許他人與我進(jìn)行私聊”的兩個(gè)功能按鈕為默認(rèn)開啟狀態(tài)�。
隱私護(hù)衛(wèi)隊(duì)查閱航旅縱橫的隱私政策,發(fā)現(xiàn)有如下表述:“您的特殊個(gè)人信息����,例如您的個(gè)人電話號(hào)碼���、身份證��、護(hù)照��、軍官證���、港澳通行證����、大陸居民往來臺(tái)灣地區(qū)通行證�、行程軌跡、位置信息��,被認(rèn)為是個(gè)人敏感信息���。在收集此類個(gè)人敏感信息前����,您需要謹(jǐn)慎考慮����,同時(shí)‘航旅縱橫’將征得您的同意,并對(duì)您的個(gè)人敏感信息嚴(yán)格保護(hù)��,您同意這些個(gè)人敏感信息將按照本聲明所闡明的目的和方式來進(jìn)行處理����?�!?/p>
“選座社交”不屬于核心功能��,默認(rèn)開啟涉嫌違反用戶同意
據(jù)了解���,航旅縱橫的“選座社交”功能,上線不足一個(gè)月�,僅在部分航線測(cè)試。然而��,一方面承認(rèn)行程軌跡�、位置信息是個(gè)人敏感信息,承諾將予以嚴(yán)格保護(hù)���,除非征得用戶同意不將這些信息用于新的目的���,一方面卻在新功能中公開展示用戶的個(gè)人敏感信息,是否妥當(dāng)�����?
對(duì)此���,航旅縱橫官方客服回應(yīng)稱�,用戶展示的不是個(gè)人的真實(shí)身份信息��,均為頭像����、昵稱、標(biāo)簽等可編輯的信息���,用戶可以自行編輯掌握�;用戶可根據(jù)自己的意愿自行選擇開啟或者關(guān)閉���,點(diǎn)擊頭像右上角即可進(jìn)行設(shè)置��。
按照網(wǎng)絡(luò)安全法第四十一條��,網(wǎng)絡(luò)運(yùn)營(yíng)者收集�、使用個(gè)人信息�,應(yīng)當(dāng)明示收集、使用信息的目的����、方式和范圍,并經(jīng)被收集者同意��。網(wǎng)絡(luò)運(yùn)營(yíng)者不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集�、使用個(gè)人信息。有專家指出�����,航旅縱橫上線了涉及用戶信息使用的新功能�,理應(yīng)與用戶達(dá)成新的約定。
浙江墾丁律師事務(wù)所聯(lián)合創(chuàng)始人麻策認(rèn)為����,作為一款旅行工具類 APP,航旅縱橫的核心功能是航班查詢����、值機(jī)選座等。查看����、聯(lián)系同航班乘客更偏向于社交,與航旅縱橫的核心功能無關(guān)�。既然是非核心功能,APP收集和使用個(gè)人信息時(shí)就應(yīng)該取得用戶的明確授權(quán)����,而不是設(shè)置為默認(rèn)同意的狀態(tài)����?���!盁崃D可視為行蹤軌跡信息���,屬于個(gè)人敏感信息��,獲取用戶同意時(shí)采用彈窗等方式更為妥當(dāng)���。航旅縱橫目前這種默認(rèn)同意的做法是錯(cuò)誤的?�!甭椴哒f����。
“企業(yè)提供了一個(gè)展示用戶個(gè)人信息的頁(yè)面且默認(rèn)向其他人公開,用戶本人卻不一定知道該頁(yè)面的存在����。這對(duì)用戶來說顯然是不利的。”中國(guó)信息安全研究院副院長(zhǎng)左曉棟認(rèn)為�,按照網(wǎng)絡(luò)安全法和個(gè)人信息安全規(guī)范的規(guī)定,企業(yè)應(yīng)建立個(gè)人信息保護(hù)的體系���。航旅縱橫的新功能涉嫌未經(jīng)授權(quán)泄露用戶個(gè)人信息�。
