手機里有航旅縱橫的快檢查,你的飛行信息可能被旁邊乘客看光了
用手機 APP值機選座,昵稱、照片、職業和行程軌跡卻全部暴露在陌生人面前,作為一名乘客,你願意嗎?近日,有網友發現航旅縱橫手機APP 悄然上線了「選座社交」功能——在 APP 內選座時,點擊座點陣圖標即可查看該座乘客的個人信息,還可以跟對方私信聊天。有專家指出,該功能涉嫌未經授權泄露用戶信息。
通過客艙圖可查看同航班乘客行蹤等個人信息
航旅縱橫由中國民航信息網路股份有限公司開發,具有航班動態查詢、值機選座、天氣預報、行程管理等功能,是旅行工具類 APP 中的人氣產品。然而,微信公號「航空物語」近日發布文章稱,在航旅縱橫內發現了一個「讓人不安」的功能。
該文作者「小雨」表示,6月10日,自己乘飛機從北京到深圳,查看航班動態時發現,點擊進入航班動態下的座位信息按鈕,能看到全機乘客的座位信息。點擊某一座位的圖標,便會顯示該乘客的個人主頁,昵稱、星座、選座偏好和常去地點赫然可見。
「小雨」的航旅縱橫界面。圖自「航空物語」。
「小雨」發現,點擊乘客所在座位的圖標,進入其個人頁面,能看到昵稱、職業、飛行偏好標籤、飛行熱力圖等信息。圖自「航空物語」。
隨後,「小雨」嘗試點擊了多個座點陣圖標,均能查看相應的乘客。「下飛機的時候,我看著周圍的乘客,知道這人喜歡這南航,那人喜歡坐深航,那邊那個經常去上海,還有前兩排那個是雙魚座的女生,還有的我知道了她的名字了,感覺他們都透明了一樣。」「小雨」寫道。
APP 內不僅能查看周邊乘客信息還可私聊
縱觀支付寶、滴滴出行等以往的案例可以發現,工具類產品試水社交功能,很容易引發爭議。航旅縱橫 APP 內真的可以查看同航班乘客的個人信息嗎?11日中午,隱私護衛隊選擇了一趟北京至廣州的航班,進入航旅縱橫 APP 查看座位情況。
確實如「小雨」所說,整個航班的座位信息完全展現出來。由於隱私護衛隊是首次使用該功能,左上角還出現了客服「小橫」的提示:「在客艙圖中可以查看同航班的小夥伴並和 Ta 們聊天啦~快跟大家打個招呼吧,請文明發言喲~」該提醒下方是一個鉛筆形圖標和「也說兩句」按鈕,點擊按鈕即可發言。
客艙圖左上角可以看到新功能提醒。
隨後,頁面左上角持續彈出新的選座信息提醒,每當有一名乘客選定了座位,左上角便會出現「XX(乘客昵稱) 我剛剛辦理了值機選座 XYZ(座位號)」的浮窗。隱私護衛隊點擊了幾個座點陣圖標,便看到了這些乘客的更多信息,包括頭像和飛行熱力圖。一些乘客的昵稱下方還有身份信息,比如學生、醫生、企業高管等。「小雨」所說的星座、旅行達人、飛行偏好等標籤,隱私護衛隊沒有看到。
客艙圖左上角會持續彈出選座信息提醒。
隱私護衛隊看到,一位女性乘客似乎使用了自己的真實照片作為頭像。
有乘客的個人信息頁面顯示其為「企業高管」。
在客艙圖中,有些乘客直接顯示了昵稱,有些乘客則顯示為「遊客」。通過座位進入乘客的個人主頁後,頁面最下方有一個「私信」按鈕,可藉此與該乘客直接聊天。無論是昵稱的乘客和顯示為「遊客」的乘客均可以使用該功能。
從客艙圖信息來看,該航班約有50位乘客已經選座,其中大概三分之二為「遊客」。但點擊「遊客」們的個人主頁,依然能看到頭像和身份信息。
截至11日測試結束,隱私護衛隊選擇的航班中,僅有一位用戶開啟了隱私設置。
APP 內「允許他人查看我的個人主頁」為默認開啟狀態
根據國家標準GB/T 35273-2017 《信息安全技術 個人信息安全規範》,姓名、行蹤軌跡、通信通訊聯繫方式都屬於個人信息。其中,行蹤軌跡更是屬於「一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇」的個人敏感信息。
姓名、昵稱、照片、職業身份,甚至是常去哪裡、常坐哪個公司的航班……為什麼航旅縱橫內能顯示這些個人信息呢?隱私護衛隊使用的是 iOS 版的航旅縱橫,查看賬號後發現,APP的「個人中心-查看或編輯個人資料」處能看到自己的個人主頁,客艙圖內展示的個人主頁由此而來。
在個人主頁點擊右上角編輯圖標,可以修改昵稱、頭像、標籤和職業。值得注意的是,在編輯頁面最下方,「隱私設置」一欄,「允許他人查看我的個人主頁」和「允許他人與我進行私聊」的兩個功能按鈕為默認開啟狀態。
隱私護衛隊查閱航旅縱橫的隱私政策,發現有如下表述:「您的特殊個人信息,例如您的個人電話號碼、身份證、護照、軍官證、港澳通行證、大陸居民往來台灣地區通行證、行程軌跡、位置信息,被認為是個人敏感信息。在收集此類個人敏感信息前,您需要謹慎考慮,同時『航旅縱橫』將徵得您的同意,並對您的個人敏感信息嚴格保護,您同意這些個人敏感信息將按照本聲明所闡明的目的和方式來進行處理。」
「選座社交」不屬於核心功能,默認開啟涉嫌違反用戶同意
據了解,航旅縱橫的「選座社交」功能,上線不足一個月,僅在部分航線測試。然而,一方面承認行程軌跡、位置信息是個人敏感信息,承諾將予以嚴格保護,除非徵得用戶同意不將這些信息用於新的目的,一方面卻在新功能中公開展示用戶的個人敏感信息,是否妥當?
對此,航旅縱橫官方客服回應稱,用戶展示的不是個人的真實身份信息,均為頭像、昵稱、標籤等可編輯的信息,用戶可以自行編輯掌握;用戶可根據自己的意願自行選擇開啟或者關閉,點擊頭像右上角即可進行設置。
按照網路安全法第四十一條,網路運營者收集、使用個人信息,應當明示收集、使用信息的目的、方式和範圍,並經被收集者同意。網路運營者不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息。有專家指出,航旅縱橫上線了涉及用戶信息使用的新功能,理應與用戶達成新的約定。
浙江墾丁律師事務所聯合創始人麻策認為,作為一款旅行工具類 APP,航旅縱橫的核心功能是航班查詢、值機選座等。查看、聯繫同航班乘客更偏向於社交,與航旅縱橫的核心功能無關。既然是非核心功能,APP收集和使用個人信息時就應該取得用戶的明確授權,而不是設置為默認同意的狀態。「熱力圖可視為行蹤軌跡信息,屬於個人敏感信息,獲取用戶同意時採用彈窗等方式更為妥當。航旅縱橫目前這種默認同意的做法是錯誤的。」麻策說。
「企業提供了一個展示用戶個人信息的頁面且默認向其他人公開,用戶本人卻不一定知道該頁面的存在。這對用戶來說顯然是不利的。」中國信息安全研究院副院長左曉棟認為,按照網路安全法和個人信息安全規範的規定,企業應建立個人信息保護的體系。航旅縱橫的新功能涉嫌未經授權泄露用戶個人信息。
轉載自:隱私護衛隊
