App成“隐私刺客”过度收集信息 应该怎么防?
2025-07-16 14:12 央视新闻
孟翔:某医院体检预约的小程序,它同时也提供了两癌报告筛查、在线报告查询的功能,我们在检测过程中发现这款小程序存在未授权访问的漏洞,也就是说它的身份验证的机制不完善。利用这个漏洞可以看到这个功能模块下所有的检测报告,一共有5218份,两癌报告查询里边会更多,总数是13万。我们常规的一份检查报告里边会包括姓名、年龄,包括疾病的信息,这种信息不管是从法律层面上来讲,还是从个人的隐私保护性上来讲,都是非常敏感的。
患者隐私信息被收集存储但保护技术不足
在这份检查报告中,患者的姓名、年龄、联系方式以及疾病等隐私信息一览无余。一旦这些敏感信息落入不法分子手中,后果将不堪设想。孟翔介绍,作为一家医疗机构,收集和存储患者的个人信息是开展医疗服务所必要的,问题的关键在于对这些个人信息的保护技术上存在不足。
孟翔:这是它的一个安全漏洞、技术上的漏洞,其实个人信息保护法对于这块内容有明确规定,个人信息处理者应该对其处理个人信息的行为负责,并且采取必要的保护措施来保障他处理的个人信息的安全。所以小程序的运营者这块做得不到位。
应用程序典型问题四:第三方平台存在技术漏洞。