“3秒生成行程卡纪念版”疯传 是否会泄露用户个人信息

“三年，再见了。”2022年12月13日0时，陪伴了我们1034天的“通信行程卡”，正式下线。不少朋友赶在零点前截了个图，留作纪念。与此同时，一项名为“行程卡纪念版”的新型服务也随之在朋友圈流行，其依托微信小程序和微信公众号供用户使用，此事甚至一度冲上微博热搜。12月15日，天目新闻记者发现，不少微信公众号陆续发文开通该项服务，号称“火爆全网”“3秒免费生成”“用一张图片记录过去三年去过的地方”等等。

对此，天目新闻记者也做了尝试，但发现很多相关小程序已被暂停服务，随后记者关注了多个微信公众号，在后台回复“行程卡”，随即就收到一条链接。值得注意的是，目前，该链接不是通过注册手机直接生成图片，而是需要手动自行添加近三年内到达或旅经的地方。记者选取近三年内到达过的城市，点击“下一步”，即生成了自己的行程卡纪念版。

(资料图)

那么，“行程卡纪念版”是否合规？生成逻辑是什么？是否存在安全隐患？对此，天目新闻记者专访了浙江警察学院计算机与安全系主任周国民。

各大微信公众号陆续开通“行程卡纪念版”服务

“行程卡纪念版”是非官方产品

天目新闻：“行程卡纪念版”主要用了什么技术？生成逻辑是什么？

周国民：疫情三年，党和国家与人民一起为抗击疫情付出了无数努力，通信行程卡是最初用于支持疫情防控的技术手段之一。各大公众号利用行程卡下线之际吸引流量是不合适的，还可能会引发大家不必要的误导，比如误认为这个“行程卡纪念版”是官方的，会被收集用户行程轨迹等个人隐私信息。

我昨天第一次打开相关小程序是没有问题的，可以正常生成，结果后面几次直接打不开，原因是打开的用户太多导致拥塞，说明尽管这个是非官方做的一个小程序，但依旧吸引了大量的用户流量。

“行程卡纪念版”依托在目前国内流行的社交通信APP微信中使用，用户无需下载和安装APP，只需通过微信扫一扫、搜索或分享的链接等即可打开应用，用完退出，无需卸载，节省用户移动终端存储空间，比较受欢迎，因为它可以便捷获取和传播。

进入相关小程序或者点击链接，大家发现它其实是通过用户自行添加城市名称。在显示2020至2022年三年间到达或旅经的城市后，并未要求用户填写手机号或验证码，所以并不是攻破官方通信行程卡后台，主要是生成行程卡的界面UI和官方的比较相像，可能会混淆视听。

天目新闻：用户使用时，信息可能会以怎样的方式泄露？是否存在信息泄露之外的隐患？

周国民：该小程序并未要求用户填写手机号或验证码，显示所到达的城市均为用户自行填写，并没有查询官方的途经数据库或实时动态感知。不过，从用户无意中配合填写的城市信息，后台可能会从社会工程学角度，收集一些对其有用的信息。当然，若这些小程序或APP运行的背后，万一有恶意、非法、秘密收集手机中的敏感信息的话，就比较危险了。

不过目前，要向手机获取相关权限的话，需要用户确认，故用户在授权时需要判断该应用是否需要这项权限再确定是否开放。从实际情况看，有些应用比较“霸道”，会强制开通权限，但凡有不授权选项，就闪退或无法使用，这些应用就需要加强监管。

谈到存在的安全隐患，从用户自行填写到达的城市角度来看，如用户确实想把真实到过的城市生成纪念版图片，就会把疫情三年去过的城市全都认真填写，甚至按抵达或途经的时间顺序写，后台可利用这些信息进一步分析该用户情况，比如可能从事的职业、其访问城市的分布，根据社交帐号、登陆IP、性别、平台类型、设备、网络类型等属性多维度分析，进行数据画像。

即使有人不会全填，较多可能填自己所在城市、家乡，或是想去而没去的地方，后台同时结合其它数据，就可能会获取更多的用户信息。很多表单统计、投票、签到、多人协作在线文档之类的免费小程序，给用户提供便利的同时，也便于后台收割数据。这些个人隐私信息的泄露，轻则可能会带来精准广告的推送，或为厂家改进、研发产品提供样本；重则更容易被“人肉搜索”，甚至演化从虚拟的网络世界的电诈，到现实中的跟踪、敲诈、绑架等。

行程卡纪念版

微信需进一步加强审查

天目新闻：这样的小程序是否合规？如若不合规，是否有方式来预防此类状况的出现？

周国民：目前，相关小程序已经涉嫌混淆官方服务功能违规，被暂停服务。对应其规则，应该是违反了《微信小程序平台运营规范》5.14混淆行为中的5.14.2恶意混淆其为相关政府机构、事业单位、社会团体等组织机构开发、运营的（无论该组织是否真实存在）规定。处理规则是，一经发现将根据违规程度对该小程序采取限制功能直至封号处理。

但相关小程序并未按照违反隐私保护规范进行处理，说明其应该没有采用未经用户同意进行的数据采集、没有过度要求授权或强迫用户授权等违规收集用户隐私的行为，只是城市信息是用户自愿配合填写的。

若预防此类现象，需要多方面配合，一是政府相关部门的监管和相关的规范制度约束，做好顶层设计；二是微信公众平台运营中心需要进一步对小程序加强审查；三是通过用户方面的举报投诉进行反馈等。

天目新闻：微信小程序是个人可以开发的吗？对于安全漏洞，微信是否有责任监管？目前，它是如何监管的，监管做的怎么样？

周国民：个人是可以开发微信小程序的，在微信平台注册、验证手机号、填写姓名、身份证号，拟开发的小程序名称和介绍，注册完成后下载开发者工具，利用开发者工具开发完成小程序后，在微信平台上传小程序，等待微信审核，符合规范则发布小程序，即可通过二维码、链接等形式分享给用户点击使用，或用户可搜索到该小程序。

对于用户隐私和数据安全，微信是有责任监管的，微信要求开发者采用实名制，便于追溯监管，相应制定了《微信小程序平台运营规范》、《微信小程序平台服务条款》等规则，其中有“用户隐私和数据规范”“用户个人信息保护”条款等。在《微信小程序平台拒绝常见的情形》中，其中有关于用户隐私和数据安全的相关规定。

从微信监管的手段看，由于微信小程序数量巨大，完全靠人工监管不现实，后台可能主要是通过机器自动识别关键词、图像对比等自动化手段按照规则规范进行筛查，再人工复核等。从监管效果看，大多常用的小程序明显违规的相对较少，像这种打擦边球的小程序估计是机器并未筛查出来的，可能是被用户举报而被关停。

关键词： 新闻记者 个人信息 安全隐患