3•15回顾 | 你的个人信息是怎么被窃取的？

所谓的SDK，是指在手机软件中提供某些额外服务的插件功能，会在用户不知情的情况下，窃取用户的隐私。具体来看，该插件会读取设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。

而APP里的SDK读取用户的隐私信息只是第一步，还会“悄悄地”将数据传送到指定的服务器存储起来，而一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。

另外，就SDK插件窃取用户信息的问题，这一年315晚会曝光了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司。其中，前者在事后声明中提到，对使用SDK技术引发用户隐私安全问题展开自查。后者于2020年8月因通过登记的住所或者经营场所无法联系的，被北京市海淀区市场监督管理局列入经营异常名单。

网络黑市上，仅需花费7元，他人就能买到一份求职者的简历，包括求职者的姓名、性别、年龄、照片、联系方式、工作经历、教育经历等个人信息。这些个人简历，大多来自各大招聘网站。

招聘企业通过注册成为企业账号，在招聘网站上发布职位、查看求职者简历，通过付费查看和下载简历，如果办理平台会员，还可以不受数量限制地进行下载。不过，警方调查发现，犯罪分子一方面通过企业账户获取简历；另一方面通过QQ群，批量购买简历，大量的个人简历信息，源源不断地流入了不法分子的黑手。

针对求职者信息泄露情况，被点名的智联招聘、猎聘、前程无忧三家平台分别回应称，已成立专项团队对相关内容进行调查处理，并表示与业内达成共识联合抵制一切侵犯求职者权益的不法行为。

人脸识别摄像头搜集海量人脸信息

线下门店里看似普通的摄像头却暗藏玄机，在顾客不知情的情况下，将他们的人脸照片、消费习惯等信息记录得一清二楚。一些商家利用人脸识别设备，违规收集信息用于自身经营。

据调查，具有人脸识别功能的摄像头，可以捕捉、记录人脸信息，之后顾客再去哪家店、去了几次，商家都会知道，如何去接待、报价，就有心理准备。除此之外，还能对同行或者是职业打假人、记者等特殊人群打上标签，一旦遇上，就可以很精准的识别出来。

这一年，科勒卫浴、宝马4S店、万店掌、悠络客、雅量科技等因违规抓取人脸信息被曝光，事后其纷纷发出情况说明，向公众致歉并展开情况自查。其中，问题暴露得最为严重的科勒卫浴通过官方微博回应称，已安排相关门店连夜拆除设备，个别无法拆除的则做了断电下线处理，同时督促供应商积极配合监管部门妥善处理。

“免费WIFI”APP，名义上是免费，实则是陷阱，通过在应用界面上设有“打开”“确认”等字样，诱导用户进行点击。一旦用户上套，没有任何提示，广告链接中的应用程序就会自动安装到手机里。

且这类免费WiFi应用程序还在后台大量收集用户信息。其中，一款叫“雷达WiFi”的应用程序，一天之内收集测试手机的位置信息，竟然达到惊人的67899次。这意味着，用户从早到晚、包括睡觉，这些应用程序都在不断定位，用户的生活轨迹、行踪，甚至是职业、喜好都会被曝光。

对此，浙江省通信管理局第一时间对涉事企业立案调查，下架“雷达WiFi”应用程序，停止互联网接入服务，约谈法定代表人，责令该公司自查整改，并给予其行政处罚。

低配儿童智能手表成行走的偷窥器

低配版的儿童智能手表，无需用户授权的情况下就可以监控到孩子的定位、通讯录、麦克风、摄像头等多种敏感信息，成为行走的“偷窥器”。

儿童智能手表之所以会成为一双时刻偷窥的眼睛，根本原因就在于它的操作系统过于老旧。厂家出于压低成本的考虑，在操作系统上使用的是没有任何权限管理要求的安卓4.4操作系统。这意味着，各种App安装后，无需用户授权就可以开启多种敏感权限，轻易获得孩子的隐私信息。

值得一提的是，2022年4月15日，国家市场监督管理总局(国家标准化管理委员会)发布了GB/T 41411—2022《儿童手表》，对儿童智能手表的静态定位、通话、电磁辐射、信息安全等提出了全面细致的要求，让儿童智能手表的质量和使用安全有据可依，已于2022年11月1日实施。

事实上，针对泛滥的个人信息泄露问题，国家从多个方面不断加强部署，强化互联网个人信息保护。其中，随着《个人信息保护法》《数据安全法》等相继出台，法律法规的施行力度也在不断提高。

根据《个人信息保护法》相关规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。另按照《数据安全法》规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

且对于屡禁不止的互联网APP强制、频繁、过度索取权限、违规收集个人信息的现象，工业和信息化部多次开展专项治理行动，加强技术检测和检查监督，加大处置和曝光力度，协同有关部门严厉打击互联网个人信息泄露等违法违规行为，营造更安全、更健康的信息通信消费环境。

2023最新发布

近期，上海市消保委对29家知名度较高的奶茶店和快餐店进行了暗访，发现其中有CoCo、沈大成、茶百道、7分甜、蜜雪冰城、望湘园、吉祥馄饨和书亦烧仙草等8个品牌的小程序会索要消费者的手机号。其中，CoCo和沈大成问题最为突出，如果消费者拒绝提供手机号，则无法进行点餐。其余6家在消费者拒绝后仍可继续点餐。

在CoCo门店扫码后，下单时需要提供手机号，否则消费者无法完成下单。

大多数扫码点餐小程序会向消费者索取位置信息，用于快速关联最近的门店。对此，上海市消保委认为如果消费者拒绝提供位置信息，商家也应该向消费者提供手动选择门店的途径。

在本次暗访中，上海市消保委发现一点点的问题最为突出，消费者使用“一点点”扫码点餐小程序必须要提供位置信息才能点餐，这种做法实在太霸道。

此外，暗访还发现沈大成的扫码点餐小程序虽然堂食不需要提供位置信息，但如果消费者选择到店自提，仍然要提供位置信息。

汉堡王的扫码点餐小程序在用户拒绝提供位置信息后，虽然仍可点餐，但会频繁弹窗提示，对消费者正常使用造成干扰。

上海市消保委对消费者调查发现，有65%的消费者不愿意在扫码点餐时向商家提供手机号码。有56%的消费者对扫码点餐强制获取位置信息表示担忧。

上海市消保委认为，商家提供扫码点餐服务，一方面是方便消费者，另一方面也降低了人工成本（比如很多门店虽然有人工点餐服务，但不设置专职点餐员）。按照《个人信息保护法》的规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。《消费者权益保护法》也规定，经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则。消费者在扫码点餐中，商家应按照最小和必要原则获取消费者个人信息。

在2023年“3·15”前，上海市消保委会同市网信办和市市场监管局对相关企业进行了约谈，根据各自职责指导企业进行问题整改，并开展相关普法教育。

近年来，相关部门积极履职，严格执法，整治各类侵害消费者个人信息权益的违法行为，打击围绕消费者个人信息形成的黑色产业链。

上海市网信办依据《个人信息保护法》《APP违法违规收集使用个人信息行为认定方法》等法律法规，每年开展APP个人信息安全治理专项工作，2022年要求本地应用商店下架违法违规处理个人信息的“私人加密锁”“世界街景高清地图”“图文放大神器”等55款APP，主要问题集中在强制索要用户非必要权限、未经用户单独同意向第三方共享精确位置信息等。

上海市场监管部门高度重视伴随大数据发展而来的消费者个人信息保护问题，持续开展的民生领域“铁拳”专项行动，针对房地产、电商、汽车销售等重点领域，加强消费者个人信息保护的监管执法，查办了一批典型案例。并大力开展宣传，发挥案例的警示作用。

上海市消保委建议消费者重视保护个人信息，如果遇到个人信息被过度收集或不当使用，可以拨打12345向网信、市场监管等部门举报，亦可向上海市消保委投诉或反映。