“我们点击进入这个医院的应用程序，在没有任何授权的情况下，后台已经收集了用户的个人信息，比如安卓ID、应用列表、外部存储文件等，这属于典型的违规行为。”日前，北京市互联网信息办公室网络安全协调处孟翔边演示边向记者介绍。

未经用户同意收集个人信息，是北京市互联网信息办公室在近期数据安全和个人信息保护专项整治中，检测发现的较为突出的问题。　　

成效

发现并督导整改问题388个

随着移动互联网的普及，各类App、小程序已经广泛应用于我们日常生活。遵循“最小必要原则”，这些应用程序应当在实现特定目的所需的最小范围内收集、使用和存储个人信息。

“之前国家网信办等部门发布过相关规定，明确了哪一类的应用程序可以收集哪些信息。比如快递、外卖的，可以收集地址、电话等；如果只是到店点餐，就不能收集这一类信息。”北京市互联网信息办公室网络安全协调处处长杨虎解释，在此之外，应用程序的开发者或运营者有广告营销、算法推荐等需求，还要收集其他信息的，也应在隐私协议中明确提出并征得用户同意，且不能因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能。

杨虎表示，收集用户个人信息，一定要告诉用户收集了哪些、怎么用，并为用户提供有效的更正、删除个人信息及注销用户账号功能，这是规范的应用程序应该做到的。然而在应用程序使用过程中，用户个人信息被过度强制收集、存储管理不当、违规使用加工、传输防护不足等情况愈发突出，埋下安全隐患，侵害用户个人信息权益。

针对移动互联网应用程序在使用过程中侵害用户个人信息权益等问题，近期，北京市互联网信息办公室联合市场监管、公安、政数、通管，以及教育、住建、交通、商务、文旅、卫健、体育等行业主管部门，聚焦11个民生消费领域应用程序，开展数据安全和个人信息保护专项整治，包含智慧停车、线上点餐、运动健身、酒店住宿、线上诊疗、少儿培训、房产中介、租借充电宝、生活服务（洗衣、理发）、电影购票、网上加油等，覆盖北京市各类经营主体（服务商）5万余家。

检测人员随机抽取了197款应用程序进行远程技术检测，发现并督导整改问题388个。其中，未公开收集使用规则、未征得用户同意收集个人信息、传输通道认证授权机制不完善、未提供账号注销功能等问题较为集中。

演示

通过小程序获取个人信息

孟翔介绍，App收集的个人信息一旦泄露，可能会被用于商业推广，甚至是诈骗等违法犯罪。

此外，传输通道认证授权机制不完善是此次专项整治发现的另一大突出问题。通过技术软件，孟翔向记者演示了他们发现的安全隐患——通过点餐小程序获取个人信息。

在某知名茶饮品牌的点餐小程序上，页面显示的门店原本只提供门店电话、客服电话以及地址，但因为它的传输通道认证授权机制不完善，孟翔模拟黑客攻击，可轻松获取全国超过1800家门店店长的手机号、姓名、邮箱等个人信息。这些信息一旦被泄露或者贩卖出去，不法分子可以精准画像，从而实施诈骗。比如，以该茶饮品牌总部培训的名义设置诈骗圈套，诈骗成功的几率就会增加。

杨虎介绍，目前专项整治发现的问题均已通过各自行业主管部门督促开展整改。下一步，北京市互联网信息办公室将开展常态化治理，定期对民生消费领域各类应用程序开展远程抽查检测，对于存在严重问题或拒不整改的，将依法依规处置。

“各经营主体（服务商）可与行业协会或主管部门取得联系，对照本行业领域数据安全和个人信息保护自查清单，主动开展自查自纠。同时也欢迎广大用户通过12345市民服务热线反馈相关线索，我们会按照相关规定及时处理。”杨虎提示。

新京报记者 行海洋

编辑 张牵 校对 吴兴发