TMT观察网_独特视角观察TMT行业

2025年4月22日，公安部網(wǎng)安局發(fā)布的一則通報(bào)引發(fā)行業(yè)震動(dòng)。在最新公布的67款違法違規(guī)收集使用個(gè)人信息移動(dòng)應(yīng)用清單中，攜程金融因"系統(tǒng)性數(shù)據(jù)合規(guī)漏洞"赫然在列。這是該平臺(tái)繼2023年上海網(wǎng)信辦約談后的第二次重大違規(guī)。

根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的檢測(cè)報(bào)告，攜程金融的違規(guī)行為呈現(xiàn)明顯的"技術(shù)+規(guī)則"雙重規(guī)避特征。

根據(jù)通報(bào)，攜程金融在未告知用戶的情況下，通過(guò)嵌入第三方代碼（如信貸評(píng)估SDK）將用戶設(shè)備信息、通訊錄等敏感數(shù)據(jù)傳輸給合作方，且未進(jìn)行匿名化處。尤其是在收集用戶隱私、身份證號(hào)等敏感信息時(shí)，未單獨(dú)取得用戶授權(quán)，也未告知處理敏感信息的必要性及對(duì)個(gè)人權(quán)益的影響。

針對(duì)金融賬戶、信用信息等敏感數(shù)據(jù)，《個(gè)人信息保護(hù)法》第29條要求采取"強(qiáng)化告知+單獨(dú)同意+影響評(píng)估"三重保障。檢測(cè)顯示攜程金融在采集用戶收入證明、銀行流水等敏感信息時(shí)，采用"打包授權(quán)"方式將基礎(chǔ)信息與敏感信息合并獲取授權(quán)，且未在隱私政策中專項(xiàng)說(shuō)明處理必要性，存在"目的限制原則"的適用錯(cuò)誤。

并且，攜程金融客戶端界面設(shè)計(jì)同樣暗藏玄機(jī)：采用"暗黑模式"設(shè)計(jì)隱私界面，沒(méi)有設(shè)置任何拒絕收集信息的按鈕。這種行為實(shí)質(zhì)上將個(gè)人信息處理變?yōu)?quot;入場(chǎng)門票"，剝奪用戶實(shí)質(zhì)選擇權(quán)，違反《個(gè)人信息保護(hù)法》第16條關(guān)于拒絕權(quán)保障的規(guī)定。

攜程金融依托母公司的旅行場(chǎng)景構(gòu)建"消費(fèi)-信貸-支付"閉環(huán)生態(tài)，在與酒店、航空等第三方合作中，數(shù)據(jù)共享成為業(yè)務(wù)協(xié)同的技術(shù)前提。但這種"數(shù)據(jù)管道化"運(yùn)營(yíng)模式，導(dǎo)致用戶信息在生態(tài)內(nèi)多節(jié)點(diǎn)流轉(zhuǎn)時(shí)，出現(xiàn)授權(quán)邊界模糊、匿名化失效等問(wèn)題。

而攜程金融SDK熱更新技術(shù)動(dòng)態(tài)調(diào)整數(shù)據(jù)采集范圍，利用《網(wǎng)絡(luò)安全審查辦法》中"數(shù)據(jù)處理者"認(rèn)定標(biāo)準(zhǔn)的滯后性，將部分高風(fēng)險(xiǎn)數(shù)據(jù)處理行為轉(zhuǎn)移至關(guān)聯(lián)科技公司。檢測(cè)發(fā)現(xiàn)"攜程金融SDK 3.5.8"存在動(dòng)態(tài)加載境外服務(wù)器配置文件的特征，涉嫌規(guī)避數(shù)據(jù)出境安全評(píng)估要求。

此次通報(bào)猶如一記警鐘，在數(shù)字經(jīng)濟(jì)縱深發(fā)展的今天，如何在數(shù)據(jù)流動(dòng)與隱私保護(hù)間建立平衡機(jī)制，仍需政府、企業(yè)、用戶三方共治。隨著5月1日《個(gè)人信息保護(hù)合規(guī)審計(jì)辦法》的正式實(shí)施，這場(chǎng)關(guān)乎每個(gè)人數(shù)字權(quán)益的保衛(wèi)戰(zhàn)，正進(jìn)入深水攻堅(jiān)的新階段。