手机点餐、洗衣店洗衣、运动健身、预订酒店……如今消费者都用手机来操作。据央视《财经调查》报道,专家仅仅使用最基础的解码程序,就从小程序数据接口返回的数据包中,获取了测试者下单消费的后台数据,就连三甲医院的验血结果,也能被别有用心之人轻而易举地拿到。
最新数据显示,我国网民将近11亿人,几乎所有网民都有在网上注册或消费行为,这意味着消费者个人相关信息如身份信息、轨迹信息等,会被各种网络平台收集、储存。收集方是否尽到了保护个人信息的责任?从专家测试和媒体报道的情况看,消费端个人信息保护现状不容乐观。
比如在智慧停车领域,驾驶员将车驶入停车场,远在几公里外的专业技术人员,输入车辆车牌号后,无需身份验证,轻而易举就获得车辆所在停车场、车辆入场时间等敏感信息。敏感信息一旦流入不法分子手里,将给人身安全带来不小的威胁。可见,这种智慧停车系统对个人信息保护并不“智慧”。
再比如,针对咖啡茶饮店手机点餐小程序测试显示,其数据接口授权不严密,导致任意人员能轻易获取该企业数据库中用户的个人信息如手机号。按说,查询患者化验报告有管理员权限才能访问,但通过接口用普通账号也能查询,医院的小程序在权限等级识别上根本就没有设置任何障碍。
这说明,相关小程序虽然既方便了商家、医院,也便利了消费者、患者,但在个人信息保护方面存在不小的安全隐患。即便某些商家小程序接口做了一定加密措施,但由于生成的订单号非常有规律,专业人员可根据规律构造查询指令,很轻易地查看到个人相关信息。这些环节存在的漏洞,令人细思极恐。
网上还出现许多号称“婚恋报告”“个人大数据报告”的个人信息查询产品。媒体调查发现,只需要提交任意一个人的真实姓名与身份证号码,并支付几十块的费用,可查询对方很多个人信息,且无须被查主体同意。消费端个人信息保护系统如此“不堪一测”,简直形同虚设。
无论很多人经常接到骚扰电话、垃圾短信,还是遭遇电信网络诈骗等侵权行为,基本都是因为个人信息被泄露,“元凶”之一就是系统漏洞。如安徽砀山网警破获一起非法获取计算机信息系统数据侵犯公民个人信息案,犯罪分子的突破口,就是全国数千个智慧停车服务系统中的数据接口漏洞。
从多个小程序“不堪一测”,到警方破案发现数据接口漏洞,均指向消费端在个人信息保护方面很脆弱,很容易被不法分子入侵。被盗取的公民个人信息,轻则用于商业推广,重则用于违法犯罪。为防止公民因个人信息泄露被骚扰、被诈骗,必须及时堵上消费端的数据接口漏洞。
这既需要强化酒店、餐饮店等小程序使用者的个人信息保护责任,也要加强各种小程序提供方的安全保障责任。对此,必须要督促有关主体落实《消费者权益保障法》《个人信息保护法》等法律法规,对于未能严格落实法定责任导致消费者个人信息泄露的市场主体,应当依法严肃追责。
各种网站、APP、小程序在个人信息保护方面是否尽责,主管部门要进一步加强抽查,扩大抽查面,提高抽查频率。对数据接口存在漏洞的各类平台,要公开通报批评,也要挂牌督办。此前工信部门抽查通报过不少违规收集信息的APP名单,今后还应抽查通报个人信息保护有漏洞的平台名单。
(原题为《小程序个人信息保护岂能不堪一测》 来源 北京青年报)
统筹:陈若松
编辑:任思凝