Quantcast

大数据下真实的中国:10亿人没坐过飞机,5亿人用不起马桶

中国最错误最害人的翻译:正义会迟到,但绝不会缺席

【技术分享】第16期:手机取证之“MFSocket推送失败”解决方案

母子乱伦,隐秘而伟大?

高干们的退休生活

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

手机里有航旅纵横的快检查,你的飞行信息可能被旁边乘客看光了

冯群星 隐私护卫队

选座

社交

用手机 APP值机选座,昵称、照片、职业和行程轨迹却全部暴露在陌生人面前,作为一名乘客,你愿意吗?近日,有网友发现航旅纵横手机APP 悄然上线了“选座社交”功能——在 APP 内选座时,点击座位图标即可查看该座乘客的个人信息,还可以跟对方私信聊天。有专家指出,该功能涉嫌未经授权泄露用户信息。

通过客舱图可查看同航班乘客行踪等个人信息

航旅纵横由中国民航信息网络股份有限公司开发,具有航班动态查询、值机选座、天气预报、行程管理等功能,是旅行工具类 APP 中的人气产品。然而,微信公号“航空物语”近日发布文章称,在航旅纵横内发现了一个“让人不安”的功能。

该文作者“小雨”表示,6月10日,自己乘飞机从北京到深圳,查看航班动态时发现,点击进入航班动态下的座位信息按钮,能看到全机乘客的座位信息。点击某一座位的图标,便会显示该乘客的个人主页,昵称、星座、选座偏好和常去地点赫然可见。

“小雨”的航旅纵横界面。图自“航空物语”。

“小雨”发现,点击乘客所在座位的图标,进入其个人页面,能看到昵称、职业、飞行偏好标签、飞行热力图等信息。图自“航空物语”。


随后,“小雨”尝试点击了多个座位图标,均能查看相应的乘客。“下飞机的时候,我看着周围的乘客,知道这人喜欢这南航,那人喜欢坐深航,那边那个经常去上海,还有前两排那个是双鱼座的女生,还有的我知道了她的名字了,感觉他们都透明了一样。”“小雨”写道。

APP 内不仅能查看周边乘客信息还可私聊

纵观支付宝、滴滴出行等以往的案例可以发现,工具类产品试水社交功能,很容易引发争议。航旅纵横 APP 内真的可以查看同航班乘客的个人信息吗?11日中午,隐私护卫队选择了一趟北京至广州的航班,进入航旅纵横 APP 查看座位情况。

确实如“小雨”所说,整个航班的座位信息完全展现出来。由于隐私护卫队是首次使用该功能,左上角还出现了客服“小横”的提示:“在客舱图中可以查看同航班的小伙伴并和 Ta 们聊天啦~快跟大家打个招呼吧,请文明发言哟~”该提醒下方是一个铅笔形图标和“也说两句”按钮,点击按钮即可发言。

客舱图左上角可以看到新功能提醒。


随后,页面左上角持续弹出新的选座信息提醒,每当有一名乘客选定了座位,左上角便会出现“XX(乘客昵称) 我刚刚办理了值机选座 XYZ(座位号)”的浮窗。隐私护卫队点击了几个座位图标,便看到了这些乘客的更多信息,包括头像和飞行热力图。一些乘客的昵称下方还有身份信息,比如学生、医生、企业高管等。“小雨”所说的星座、旅行达人、飞行偏好等标签,隐私护卫队没有看到。

客舱图左上角会持续弹出选座信息提醒。

隐私护卫队看到,一位女性乘客似乎使用了自己的真实照片作为头像。

有乘客的个人信息页面显示其为“企业高管”。


在客舱图中,有些乘客直接显示了昵称,有些乘客则显示为“游客”。通过座位进入乘客的个人主页后,页面最下方有一个“私信”按钮,可借此与该乘客直接聊天。无论是昵称的乘客和显示为“游客”的乘客均可以使用该功能。

从客舱图信息来看,该航班约有50位乘客已经选座,其中大概三分之二为“游客”。但点击“游客”们的个人主页,依然能看到头像和身份信息。

截至11日测试结束,隐私护卫队选择的航班中,仅有一位用户开启了隐私设置。

APP 内“允许他人查看我的个人主页”为默认开启状态

根据国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》,姓名、行踪轨迹、通信通讯联系方式都属于个人信息。其中,行踪轨迹更是属于“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇”的个人敏感信息。

姓名、昵称、照片、职业身份,甚至是常去哪里、常坐哪个公司的航班……为什么航旅纵横内能显示这些个人信息呢?隐私护卫队使用的是 iOS 版的航旅纵横,查看账号后发现,APP的“个人中心-查看或编辑个人资料”处能看到自己的个人主页,客舱图内展示的个人主页由此而来。

在个人主页点击右上角编辑图标,可以修改昵称、头像、标签和职业。值得注意的是,在编辑页面最下方,“隐私设置”一栏,“允许他人查看我的个人主页”和“允许他人与我进行私聊”的两个功能按钮为默认开启状态。

隐私护卫队查阅航旅纵横的隐私政策,发现有如下表述:“您的特殊个人信息,例如您的个人电话号码、身份证、护照、军官证、港澳通行证、大陆居民往来台湾地区通行证、行程轨迹、位置信息,被认为是个人敏感信息。在收集此类个人敏感信息前,您需要谨慎考虑,同时‘航旅纵横’将征得您的同意,并对您的个人敏感信息严格保护,您同意这些个人敏感信息将按照本声明所阐明的目的和方式来进行处理。

“选座社交”不属于核心功能,默认开启涉嫌违反用户同意

据了解,航旅纵横的“选座社交”功能,上线不足一个月,仅在部分航线测试。然而,一方面承认行程轨迹、位置信息是个人敏感信息,承诺将予以严格保护,除非征得用户同意不将这些信息用于新的目的,一方面却在新功能中公开展示用户的个人敏感信息,是否妥当?

对此,航旅纵横官方客服回应称,用户展示的不是个人的真实身份信息,均为头像、昵称、标签等可编辑的信息,用户可以自行编辑掌握;用户可根据自己的意愿自行选择开启或者关闭,点击头像右上角即可进行设置。

按照网络安全法第四十一条,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。有专家指出,航旅纵横上线了涉及用户信息使用的新功能,理应与用户达成新的约定。

浙江垦丁律师事务所联合创始人麻策认为,作为一款旅行工具类 APP,航旅纵横的核心功能是航班查询、值机选座等。查看、联系同航班乘客更偏向于社交,与航旅纵横的核心功能无关。既然是非核心功能,APP收集和使用个人信息时就应该取得用户的明确授权,而不是设置为默认同意的状态。“热力图可视为行踪轨迹信息,属于个人敏感信息,获取用户同意时采用弹窗等方式更为妥当。航旅纵横目前这种默认同意的做法是错误的。”麻策说。

“企业提供了一个展示用户个人信息的页面且默认向其他人公开,用户本人却不一定知道该页面的存在。这对用户来说显然是不利的。”中国信息安全研究院副院长左晓栋认为,按照网络安全法和个人信息安全规范的规定,企业应建立个人信息保护的体系。航旅纵横的新功能涉嫌未经授权泄露用户个人信息。


报料请点击E隐私投诉小程序 

推荐阅读:

中国网安产业联盟聚焦个人信息保护 专家称社会组织力量尚待开发

搬运短视频成灰产:有人靠搬视频月入万元,花2.8元就能去水印

全国“扫黄打非”办核查拼多多平台涉嫌违法违规问题!线索已移交

    文章有问题?点此查看未经处理的缓存