航旅纵横APP被指泄露个人隐私

2018-06-13 09:07来源:南方都市报编辑:梁翠蓉
在APP内选座时,点击座位图标即可查看该座乘客的个人信息,还可以跟对方私信聊天。有专家指出,该功能涉嫌未经授权泄露用户信息。

   航旅纵横12日进行功能更新后,“允许他人查看我的个人主页”按钮变为默认关闭状态。个人主页也出现“已隐藏,他人无法查看”的提示。网络截图

   南都讯 用手机APP值机选座,姓名、照片、职业和行程轨迹却全部暴露在陌生人面前,作为一名乘客,你愿意吗?近日,有网友发现航旅纵横手机APP悄然上线了“选座社交”功能———在APP内选座时,点击座位图标即可查看该座乘客的个人信息,还可以跟对方私信聊天。有专家指出,该功能涉嫌未经授权泄露用户信息。

   通过客舱图可查看同航班乘客个人信息

   航旅纵横由中国民航信息网络股份有限公司开发,具有航班动态查询、值机选座、天气预报、行程管理等功能,是旅行工具类A PP中的人气产品。然而,微信公号“航空物语”近日发布文章称,在航旅纵横内发现了一个“让人不安”的功能。

   该文作者“小雨”表示,6月10日,自己乘飞机从北京到深圳,查看航班动态时发现,点击进入航班动态下的座位信息按钮,能看到全机乘客的座位信息。点击某一座位的图标,便会显示该乘客的个人主页,姓名、星座、选座偏好和常去地点赫然可见。

   随后,“小雨”尝试点击了多个座位图标,均能查看相应的乘客。“下飞机的时候,我看着周围的乘客,知道这人喜欢这南航,那人喜欢坐深航,那边那个经常去上海,还有前两排那个是双鱼座的女生,还有我知道了她的名字了,感觉他们都透明了一样。”“小雨”写道。

   文章一经发布,便引来大量网友热议。“不看不知道,一看吓一跳”“吓得我赶紧去关了”“不考虑信息安全是有可能碰撞法律红线的”网友纷纷在留言区内评论道。更有微博大V表示:“我既不想查看同舱的都有谁,也不想被同舱的小伙伴查看,谢谢。大家意外地萍水相逢,就安静地各奔陌路不好吗?”

   APP内不仅能查看周边乘客信息还可私聊

   航旅纵横APP内真的可以查看同航班乘客的个人信息吗?11日中午,南都记者选择了一趟北京至广州的航班,使用iOS版航旅纵横A PP尝试查看座位情况。

   确实如“小雨”所说,整个航班的座位信息完全展现出来。由于南都记者是首次使用该功能,左上角还出现了客服“小横”的提示:“在客舱图中可以查看同航班的小伙伴并和Ta们聊天啦~快跟大家打个招呼吧,请文明发言哟~”该提醒下方是一个铅笔形图标和“也说两句”按钮,点击按钮即可发言。

   随后,页面左上角持续弹出新的选座信息提醒,每当有一名乘客选定了座位,左上角便会出现“X X我刚刚办理了值机选座XYZ(座位号)”的浮窗。南都记者点击了几个座位图标,便看到了这些乘客的更多信息,包括头像和飞行热力图。

   一些乘客的昵称下方还有身份信息,比如学生、医生、企业高管等。“小雨”所说的星座、旅行达人、飞行偏好等标签,南都记者没有看到。

   客舱图显示,这趟航班约有50位乘客已经选座,有些乘客显示了昵称,有些则显示为“游客”,其中大概三分之二为“游客”。但点击“游客”们的个人主页,依然能看到头像和身份信息。个人主页最下方有一个“私信”按钮,可直接打开聊天窗口,对有昵称的乘客和“游客”均可以使用该功能。只有一位乘客显示为“该用户已开启隐私设置”,只能看到昵称,无法看到更多信息。

   APP内“允许他人查看我的个人主页”为默认开启状态

   根据国家标准GB/T35273-2017《信息安全技术 个人信息安全规范》,姓名、行踪轨迹、通信通讯联系方式都属于个人信息。其中,行踪轨迹更是属于“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇”的个人敏感信息。

   姓名、昵称、照片、职业身份,甚至是常去哪里、常坐哪个公司的航班……为什么航旅纵横内能显示这些个人信息呢?11日晚,航旅纵横官方微信回应称,新功能名为“虚拟客舱”,目的是为了帮助乘客“开启有温度的飞行”。

   南都记者查看自己的账号后发现,APP的“个人中心-查看或编辑个人资料”处能看到个人主页。在个人主页点击右上角编辑图标,可以修改昵称、头像、标签和职业。值得注意的是,在编辑页面最下方,“隐私设置”一栏,“允许他人查看我的个人主页”和“允许他人与我进行私聊”的两个功能按钮为默认开启状态。截至11日傍晚,南都记者与同事多次测试,这两个按钮均为默认开启状态。

   事实上,航旅纵横曾在隐私政策中承诺,将对用户的个人敏感信息进行严格保护。其隐私政策中有如下表述:“您的特殊个人信息,例如您的个人电话号码、身份证、护照、军官证、港澳通行证、大陆居民往来台湾地区通行证、行程轨迹、位置信息,被认为是个人敏感信息。在收集此类个人敏感信息前,您需要谨慎考虑,同时‘航旅纵横’将征得您的同意,并对您的个人敏感信息严格保护,您同意这些个人敏感信息将按照本声明所阐明的目的和方式来进行处理。”

   专家说法

   “选座社交”不属于核心功能 默认开启涉嫌违反用户同意

   据了解,航旅纵横的“虚拟客舱”功能,上线不足一个月,仅在部分航线测试。然而,一方面承认行程轨迹、位置信息是个人敏感信息,承诺将予以严格保护,除非征得用户同意不将这些信息用于新的目的,一方面却在新功能中公开展示用户的个人敏感信息,是否妥当?

   对此,航旅纵横官方回应称,用户展示的不是个人的真实身份信息,均为头像、昵称、标签等可编辑的信息,用户可以自行编辑掌握;用户可根据自己的意愿自行选择开启或者关闭,点击头像右上角即可进行设置。

   按照网络安全法第四十一条,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。有专家指出,航旅纵横上线了涉及用户信息的新功能,理应按照其隐私政策所承诺的,与用户达成新的约定。

   浙江垦丁律师事务所联合创始人麻策认为,作为一款旅行工具类A PP,航旅纵横的核心功能是航班查询、值机选座等。查看、联系同航班乘客更偏向于社交,与航旅纵横的核心功能无关。既然是非核心功能,APP收集和使用个人信息时就应该取得用户的明确授权,而不是设置为默认同意的状态。“热力图可视为行踪轨迹信息,属于个人敏感信息,获取用户同意时采用弹窗等方式更为妥当。航旅纵横目前这种默认同意的做法是错误的。”麻策说。

   “企业提供了一个展示用户个人信息的页面且默认向其他人公开,用户本人却不一定知道该页面的存在。这对用户来说显然是不利的。”中国信息安全研究院副院长左晓栋认为,按照网络安全法和个人信息安全规范的规定,企业应建立个人信息保护的体系。航旅纵横的新功能涉嫌未经授权泄露用户个人信息。

  官方回应

   称个人主页信息可编辑 该页不再默认公开

   针对新功能涉嫌泄露乘客隐私一事,航旅纵横于昨日在微博发布《关于“虚拟客舱功能”的回复》一文,表示“非常抱歉”,并称已将引起争议的“虚拟个人主页”设置为默认关闭状态。

   此前,南都记者留意到航旅纵横上线新功能“虚拟客舱”,借助这一新功能,乘客可通过客舱座位图查看相应乘客的个人主页,还可以由个人主页进入私聊窗口。

   11日晚间,航旅纵横官方微信号发布声明,称用户个人主页所展示的均为头像、昵称、标签等可编辑的信息,用户可以自行编辑掌握,同时用户可根据自己的意愿自行选择开启或者关闭,点击头像右上角即可进行设置。针对媒体提出的隐私设置默认开启问题,以及个人主页中的飞行热力图属于个人敏感信息的问题,该声明未作出解释。

   昨日,航旅纵横做出实质性的功能更改。在昨日下午发布的微博中,航旅纵横表示,已经将虚拟个人主页设为默认关闭状态,产品后续会进一步改进。该微博还进一步解释说,虚拟客舱的核心思路是想探索出行服务能够有哪些创新。南都隐私护卫队亲测发现,航旅纵横APP中的“允许他人查看我的个人主页”按钮确实显示为关闭状态,相应地,个人主页也出现“已隐藏,他人无法查看”的提示。

   采写:南都记者 冯群星


南都头条 Headline
排行 Top