“三年,再见了。”2022年12月13日0时,陪伴了我们1034天的“通信行程卡”,正式下线。不少朋友赶在零点前截了个图,留作纪念。与此同时,一项名为“行程卡纪念版”的新型服务也随之在朋友圈流行,其依托微信小程序和微信公众号供用户使用,此事甚至一度冲上微博热搜。12月15日,天目新闻记者发现,不少微信公众号陆续发文开通该项服务,号称“火爆全网”“3秒免费生成”“用一张图片记录过去三年去过的地方”等等。
对此,天目新闻记者也做了尝试,但发现很多相关小程序已被暂停服务,随后记者关注了多个微信公众号,在后台回复“行程卡”,随即就收到一条链接。值得注意的是,目前,该链接不是通过注册手机直接生成图片,而是需要手动自行添加近三年内到达或旅经的地方。记者选取近三年内到达过的城市,点击“下一步”,即生成了自己的行程卡纪念版。
那么,“行程卡纪念版”是否合规?生成逻辑是什么?是否存在安全隐患?对此,天目新闻记者专访了浙江警察学院计算机与安全系主任周国民。
(资料图片仅供参考)
各大微信公众号陆续开通“行程卡纪念版”服务
“行程卡纪念版”是非官方产品
天目新闻:“行程卡纪念版”主要用了什么技术?生成逻辑是什么?
周国民:疫情三年,党和国家与人民一起为抗击疫情付出了无数努力,通信行程卡是最初用于支持疫情防控的技术手段之一。各大公众号利用行程卡下线之际吸引流量是不合适的,还可能会引发大家不必要的误导,比如误认为这个“行程卡纪念版”是官方的,会被收集用户行程轨迹等个人隐私信息。
我昨天第一次打开相关小程序是没有问题的,可以正常生成,结果后面几次直接打不开,原因是打开的用户太多导致拥塞,说明尽管这个是非官方做的一个小程序,但依旧吸引了大量的用户流量。
“行程卡纪念版”依托在目前国内流行的社交通信APP微信中使用,用户无需下载和安装APP,只需通过微信扫一扫、搜索或分享的链接等即可打开应用,用完退出,无需卸载,节省用户移动终端存储空间,比较受欢迎,因为它可以便捷获取和传播。
进入相关小程序或者点击链接,大家发现它其实是通过用户自行添加城市名称。在显示2020至2022年三年间到达或旅经的城市后,并未要求用户填写手机号或验证码,所以并不是攻破官方通信行程卡后台,主要是生成行程卡的界面UI和官方的比较相像,可能会混淆视听。
天目新闻:用户使用时,信息可能会以怎样的方式泄露?是否存在信息泄露之外的隐患?
周国民:该小程序并未要求用户填写手机号或验证码,显示所到达的城市均为用户自行填写,并没有查询官方的途经数据库或实时动态感知。不过,从用户无意中配合填写的城市信息,后台可能会从社会工程学角度,收集一些对其有用的信息。当然,若这些小程序或APP运行的背后,万一有恶意、非法、秘密收集手机中的敏感信息的话,就比较危险了。
不过目前,要向手机获取相关权限的话,需要用户确认,故用户在授权时需要判断该应用是否需要这项权限再确定是否开放。从实际情况看,有些应用比较“霸道”,会强制开通权限,但凡有不授权选项,就闪退或无法使用,这些应用就需要加强监管。
谈到存在的安全隐患,从用户自行填写到达的城市角度来看,如用户确实想把真实到过的城市生成纪念版图片,就会把疫情三年去过的城市全都认真填写,甚至按抵达或途经的时间顺序写,后台可利用这些信息进一步分析该用户情况,比如可能从事的职业、其访问城市的分布,根据社交帐号、登陆IP、性别、平台类型、设备、网络类型等属性多维度分析,进行数据画像。
即使有人不会全填,较多可能填自己所在城市、家乡,或是想去而没去的地方,后台同时结合其它数据,就可能会获取更多的用户信息。很多表单统计、投票、签到、多人协作在线文档之类的免费小程序,给用户提供便利的同时,也便于后台收割数据。这些个人隐私信息的泄露,轻则可能会带来精准广告的推送,或为厂家改进、研发产品提供样本;重则更容易被“人肉搜索”,甚至演化从虚拟的网络世界的电诈,到现实中的跟踪、敲诈、绑架等。
行程卡纪念版
微信需进一步加强审查
天目新闻:这样的小程序是否合规?如若不合规,是否有方式来预防此类状况的出现?
周国民:目前,相关小程序已经涉嫌混淆官方服务功能违规,被暂停服务。对应其规则,应该是违反了《微信小程序平台运营规范》5.14混淆行为中的5.14.2恶意混淆其为相关政府机构、事业单位、社会团体等组织机构开发、运营的(无论该组织是否真实存在)规定。处理规则是,一经发现将根据违规程度对该小程序采取限制功能直至封号处理。
但相关小程序并未按照违反隐私保护规范进行处理,说明其应该没有采用未经用户同意进行的数据采集、没有过度要求授权或强迫用户授权等违规收集用户隐私的行为,只是城市信息是用户自愿配合填写的。
若预防此类现象,需要多方面配合,一是政府相关部门的监管和相关的规范制度约束,做好顶层设计;二是微信公众平台运营中心需要进一步对小程序加强审查;三是通过用户方面的举报投诉进行反馈等。
天目新闻:微信小程序是个人可以开发的吗?对于安全漏洞,微信是否有责任监管?目前,它是如何监管的,监管做的怎么样?
周国民:个人是可以开发微信小程序的,在微信平台注册、验证手机号、填写姓名、身份证号,拟开发的小程序名称和介绍,注册完成后下载开发者工具,利用开发者工具开发完成小程序后,在微信平台上传小程序,等待微信审核,符合规范则发布小程序,即可通过二维码、链接等形式分享给用户点击使用,或用户可搜索到该小程序。
对于用户隐私和数据安全,微信是有责任监管的,微信要求开发者采用实名制,便于追溯监管,相应制定了《微信小程序平台运营规范》、《微信小程序平台服务条款》等规则,其中有“用户隐私和数据规范”“用户个人信息保护”条款等。在《微信小程序平台拒绝常见的情形》中,其中有关于用户隐私和数据安全的相关规定。
从微信监管的手段看,由于微信小程序数量巨大,完全靠人工监管不现实,后台可能主要是通过机器自动识别关键词、图像对比等自动化手段按照规则规范进行筛查,再人工复核等。从监管效果看,大多常用的小程序明显违规的相对较少,像这种打擦边球的小程序估计是机器并未筛查出来的,可能是被用户举报而被关停。