核心观点 - 上海WYSH翡悦里商业园区强制消费者注册会员并提交个人信息以使用一楼厕所 此举引发了消费者投诉和媒体调查 揭示了商业场所以管理为名过度收集用户数据的问题 并可能违反相关法律法规 [2][17][29] 事件经过与现状 - 记者实地探访证实 消费者在翡悦里园区一楼使用厕所必须通过微信或支付宝扫码 并完成注册会员等4个步骤才能开门 过程复杂耗时 [3][19] - 记者尝试不注册会员 仅通过手机验证码登录时 页面反复显示“验证码发送失败” 导致在厕所门口折腾了5分钟仍无法进入 [6][22] - 为使用厕所 记者被迫注册会员 过程中需同意长达数千字的《用户协议》和《会员功能服务协议》 协议要求提供详尽个人资料并授权记录手机客户端数据 [7][23] - 注册流程中出现的《会员功能服务协议》落款方为“财付通支付科技有限公司” 使消费者权利关系变得复杂 [7][23] - 记者在厕所内停留10多分钟期间 遇到另外两名消费者 她们同样仅为如厕而注册了会员 [9][25] - 园区内大部分商户对厕所扫码规定表示不清楚 但有商户提示二楼厕所无需扫码 记者在二楼发现厕所门上挂有门禁卡 可刷卡直接进入 [9][25] - 记者后续再次探访 确认一楼厕所规定未变 但遇到保安可帮忙刷卡开门 指示牌上的应急电话仅处理被困等紧急情况 不提供临时开门协助 [11][27] - 园区物业“嘉英物业”解释 一楼厕所要求刷码是为了“统计人数” 二楼因“展演活动较多 刷码不方便”而未设置同样要求 [12][28] 行业规范与法律问题 - 2023年 中国消费者协会已明确表示 经营者将使用手机APP、小程序等作为享受服务的前提 并获取无关个人信息的行为 违反了《消费者权益保护法》和《个人信息保护法》 侵害了消费者的自主选择权和公平交易权 [13][29] - 2024年4月 国家网信办网络法治局负责人强调 经营者不得过度收集个人信息 不得采用概括授权、默认授权等方式强制或变相强制消费者同意收集与经营活动无直接关系的个人信息 [13][29] - 业内人士指出 为统计人数或管理完全可采用更人性化方式 例如像二楼一样提供门禁卡 刷卡即可完成后台计数 [13][29] - 若为减少“蹭厕所”现象 可通过商户提供一次性纸质门禁码、临时实体卡 或在厕所门口设置可生成5分钟内有效的一次性开门码的紧急使用设备 而无需索取消费者信息 [14][30] - 优化现场管理被建议为更佳方案 例如在高峰时段安排保洁或保安值守 既能协助开门 也能劝导不文明行为 实现“人技结合”的有温度管理 [15][31]

监管行动概述 - 工业和信息化部于12月9日宣布，依据相关法律法规对APP及SDK违法违规收集使用个人信息等问题开展治理 [1][3] - 近期通过组织第三方检测机构抽查，共发现24款APP及SDK存在侵害用户权益行为 [1][3] - 相关APP及SDK需按规定整改，整改落实不到位的，工信部将依法依规组织开展处置工作 [1][4] 涉事应用与问题类型 - **违规收集个人信息**：涉及“会计云课堂”、“麦田认字”、“养森”、“家庭端”、“麦号熊”、“小小学英语”、“广小易”、“失眠管家”、“白云视频播放”、“拉点货司机”、“安装学院”、“焊工考试宝”、“优优广告SDK”、“OneAdSDK”、“鲤跃SDK”等至少15款应用/SDK [1][2][4][5][6] - **未明示收集个人信息清单**：涉及“会计云课堂”、“音柚漂流瓶”、“秘恋”、“麦号熊”、“广小易”、“失眠管家”、“焊工考试宝”、“高考志愿决策”、“同城探遇”等至少9款应用 [1][2][4][5][6] - **APP强制、频繁、过度索取权限**：涉及“麦田认字”、“麦号熊”、“小小学英语”、“智汇社工”、“安装学院”、“观星模玩”、“仙王请留步”、“鲤跃SDK”等至少8款应用/SDK [1][2][5][6] - **超范围收集个人信息**：涉及“拉点货司机”、“高考志愿决策”、“优优广告SDK”、“知鸟广告SDK”、“OneAdSDK”、“大咖玩”等至少6款应用/SDK [2][5][6] - **SDK信息公示不到位**：涉及“知鸟广告SDK”、“大咖玩”、“鲤跃SDK”等至少3款SDK [2][6] - **违规使用个人信息**：涉及“小小学英语”、“仙王请留步”等至少2款应用 [1][6] - **欺骗误导用户提供个人信息**：涉及“秘恋”应用 [1][5] - **信息窗口点击乱跳转**：涉及“白云视频播放”、“优优广告SDK”等至少2款应用/SDK [2][5] - **强制用户使用定向推送功能**：涉及“鲤跃SDK” [6] 涉事应用开发者与分发平台 - **涉事开发者**：名单涵盖教育、健康、社交、工具、游戏、广告技术等多个领域的企业，例如天津东奥时代培训学校、上海麦田映像信息技术、贵州养森大健康产业、北京十六进制科技、深圳市鹏城映像科技、广州塔牛网络科技、玩出未来(北京)科技、北京凡提科技、随身云(南京)信息技术等超过20家公司 [1][2][4][5][6] - **应用来源/分发平台**：问题应用涉及多个主流安卓应用商店，包括荣耀应用市场、百度手机助手、三星应用商店、应用宝、OPPO应用商店、vivo应用商店、豌豆荚、快手以及部分应用的官方网站 [1][2][4][5][6]

监管行动 - 工业和信息化部近期对APP及SDK违法违规收集使用个人信息等问题开展治理 [1] - 经第三方检测机构抽查，共发现24款APP及SDK存在侵害用户权益行为 [1] 整改要求 - 上述被发现的24款APP及SDK需按有关规定进行整改 [1] - 整改落实不到位的，工业和信息化部将依法依规组织开展相关处置工作 [1]

监管行动概览 - 四部门联合开展2025年个人信息保护系列专项行动，依据多项法律法规对APP、SDK违法违规收集使用个人信息等问题开展治理 [1] - 工业和信息化部近期组织第三方检测机构抽查，发现**24款**APP及SDK存在侵害用户权益行为，并予以通报 [1] - 被通报的APP及SDK需按规定整改，整改不到位将面临依法依规处置 [1] 涉事应用与问题类型 - 被通报的**24款**产品中，包括多款面向教育、健康、社交、工具、游戏等领域的应用及广告SDK [3][4][5] - 主要违规问题集中在：**违规收集个人信息**（如会计云课堂、麦田认字、养森等）、**未明示收集个人信息清单**（如音柚漂流瓶、麦号熊、广小易等）、**APP/SDK强制、频繁、过度索取权限**（如麦田认字、小小学英语、仙王请留步等）[3][4][5] - 其他问题包括：**超范围收集个人信息**（如拉点货司机、高考志愿决策、优优广告SDK等）、**欺骗误导用户提供个人信息**（秘恋）、**违规使用个人信息**（小小学英语、仙王请留步）、**信息窗口点击乱跳转**（白云视频播放、优优广告SDK）以及**SDK信息公示不到位**（如知鸟广告SDK、大咖玩、鲤跃SDK）[3][4][5] 应用分发渠道 - 涉事应用来源于多个主流安卓应用商店，包括**应用宝**、**OPPO应用商店**、**vivo应用商店**、**荣耀应用市场**、**百度手机助手**、**三星应用商店**、**豌豆荚**、**快手**以及部分应用的**官网**[3][4][5] - 这表明监管抽查覆盖了广泛的应用分发渠道，监管范围全面 [3][4][5] 涉事企业 - 本次通报涉及多家科技、教育、网络及文化传播公司，例如天津东奥时代培训学校有限公司（会计云课堂）、上海麦田映像信息技术有限公司（麦田认字）、北京十六进制科技有限公司（家庭端）、深圳市鹏城映像科技有限公司（秘恋）等 [3][4] - 被点名的SDK开发商包括深圳市素人网络科技有限公司（优优广告SDK）、玩出未来(北京)科技有限公司（知鸟广告SDK）、北京凡提科技有限公司（OneAdSDK）等 [5]

监管行动概述 - 江苏省通信管理局于12月8日通报了2025年第9批侵害用户权益的APP和小程序 要求相关单位在12月23日前完成整改[1] - 此次检查针对省内旅游服务 交通出行等类型的APP和小程序 依据《个人信息保护法》《网络安全法》等法律法规进行[1] - 截至通报日 尚有15款APP和小程序未完成整改 被公开点名[1] 被通报应用列表及问题 - 被通报的15款应用包括 全澄通 旅行足迹 GPS仪表盘 嘟嘟找船 龙易行 畅行南京 玩画 扬州掌上公交 海安公交 GPS万能工具 叫了个车老年版 刘邦故里文化景区 尚湖旅游 华昌龙谷主题乐园 万景甄选[1] - 主要涉及问题包括 违规收集个人信息 超范围收集个人信息 违规使用个人信息 APP强制 频繁 过度索取权限 账号注销难以及APP频繁自启动和关联启动[2][3][4][5][6] - 多家公司旗下有多款应用被通报 例如南京熙帅科技有限公司旗下的“旅行足迹”和“玩画”均存在违规收集和使用个人信息等问题[2][4] 涉事公司主体 - 涉事应用的主办方涵盖网络科技公司 公共交通运营公司以及旅游开发公司等多种类型的企业[2][3][4][5][6] - 例如 “畅行南京”的主办方为南京公共自行车有限公司 “扬州掌上公交”的主办方为扬州市公共交通集团有限责任公司[3][4] - 部分被通报应用来自地方性旅游景点 如“刘邦故里文化景区”的主办方为刘寨旅游开发有限公司 “尚湖旅游”的主办方为常熟市尚湖旅游服务有限公司[5][6]

公共Wi-Fi安全风险 - 随意连接公共Wi-Fi可能导致设备被境外间谍情报机关监控，造成敏感信息与国家秘密泄露[1] - 不安全的公共Wi-Fi是黑客攻击的重要渠道，可能被植入恶意程序并远程操控用户设备，威胁个人财产与社会公共安全[2] - 连接不安全公共Wi-Fi产生的个人数据易被非法收集分析，用于构建用户画像、精准投放虚假信息，长期可能侵蚀社会共识与威胁社会稳定[3] 防范手机入侵核心原则 - 应关闭设备“自动连接Wi-Fi”功能，并在连接前向场所工作人员核实网络真实性[4][5] - 在公共Wi-Fi环境下，应避免登录隐私敏感账号、进行网上转账或输入银行卡密码等高风险操作[6] - 安装并及时更新防护软件，并使用虚拟私人网络等加密手段保护数据传输安全[7] 社交媒体信息泄露风险 - 在社交媒体分享日常时，未打码的车票截图可能暴露个人身份与行程轨迹，定位动态结合拍摄角度可能锁定具体住址[7] - 不应在社交媒体上晒出车票、机票、钥匙、车牌、身份证、护照、结婚证、银行卡号及密码、位置信息、开箱视频、老人孩子照片姓名、他人隐私及未经证实的信息[8][9][10][11][12][13][14][15] 恶意软件与诈骗风险 - “扫码领红包”、“点击链接送水杯”、“免费领话费”等“免费福利”背后可能藏有陷阱，恶意App可能窃取通讯录、身份信息、银行账户等隐私数据用于精准诈骗[17] - 应对“免费送”、“扫码即得”等宣传提高警惕，拒绝点击或扫描来路不明的链接和二维码[18] App权限与隐私收集风险 - 部分App可能获取手机麦克风权限，在后台收录谈话内容与环境音以分析用户兴趣偏好，实现广告精准推送[19] - 应在手机设置中关闭电商、工具类等App的非必要权限如麦克风、通讯录，并定期检查与卸载长期闲置却占用较多权限的App[20][21] 个人信息泄露应对措施 - 发现信息泄露风险应立即切断风险源，如退出异常登录设备并冻结涉事账户，同时修改所有关联账户的密码[22] - 应保存信息泄露的相关截图、短信、邮件等证据，记录泄露时间与途径[23] - 可向涉事平台投诉，或拨打12321、12377进行举报，若造成财产损失应保留证据报警并可能提起民事诉讼[23]

公司动态 - 携程集团于2025年12月4日在上海召开了第五届个人信息保护外部监督专家团座谈会 [1][5] - 座谈会共有十位外部监督专家参与，听取了公司2025年度在个人信息保护方面的进展与挑战，并进行了专业指导和讨论 [3][7] - 会议达成了多项具有建设性和前瞻性的共识，为携程接下来的个人信息保护工作指明了方向 [3][7] 会议议题 - 会议议题包括对《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》等新法新规的适用解读 [3][7] - 会议议题包括典型案件分享、携程集团个人信息保护管理机制的落地执行，以及个人信息处理工作的进一步优化 [3][7] 监督机制 - 携程个人信息保护外部监督专家团是公司设立的个人信息保护监督机构，依据法律法规及章程履行监督职责 [5][9] - 该机制是携程提升个人信息保护工作水平和透明度的重要举措 [5][9] - 专家团成立于2021年，成员通过社会公开招募或定向邀请产生，主要包括法学专家、律师、行业专家、媒体代表及用户代表 [5][9] - 最新当选并履行监督职责的是第五届专家团 [5][9]

监管行动概览 - 国家网络与信息安全信息通报中心依据《网络安全法》《个人信息保护法》等法律法规，通报了69款移动应用存在违法违规收集使用个人信息的情况 [1] - 此次行动是依据中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告要求进行的 [1] - 检测工作由国家计算机病毒应急处理中心执行，检测时间为2025年9月29日至2025年11月20日 [8] - 上期通报的70款应用中，经复测仍有26款存在问题，相关应用分发平台已予以下架 [8] 违规行为类型与涉事应用 - **首次运行时隐私政策提示违规**：涉及15款应用，问题包括未通过弹窗提示用户阅读隐私政策、隐私政策难以访问、未清晰告知个人信息处理者信息等 [1] - **隐私政策内容不完整**：涉及39款应用，问题在于隐私政策未逐一列出App（包括委托或嵌入的第三方）收集使用个人信息的目的、方式、范围 [2] - **向第三方提供信息未获单独同意**：涉及15款应用，问题在于向其他个人信息处理者提供个人信息时，未告知接收方详情并取得个人单独同意 [3] - **未经同意收集信息或开启权限**：涉及3款应用，包括《国投瑞银》、《闪光兼职》、《天天兼职-青团优聘》 [3][4] - **用户权利保障缺失**：涉及8款应用，问题包括未提供有效的更正、删除及注销功能，或为此设置不合理条件，或未及时响应用户操作 [4] - **投诉举报处理机制不健全**：涉及3款应用，包括《PigeonSwitch》、《宁波太平洋大酒店》、《特步跑步》，存在未在承诺时限内受理处理投诉或未建立便捷受理机制的问题 [4] - **未提供撤回同意的便捷方式**：涉及35款应用，问题在于未向用户提供撤回同意收集个人信息的途径和方式 [5] - **自动化决策选项缺失**：涉及5款应用，通过自动化决策进行信息推送或商业营销时，未提供不针对个人特征的选项或便捷的拒绝方式 [6] - **处理敏感信息未充分告知**：涉及1款应用《宁波太平洋大酒店》，处理敏感个人信息时未告知必要性及对个人权益的影响 [6] - **安全技术措施不足**：涉及21款应用，未采取相应的加密、去标识化等安全技术措施 [7][8] - **无隐私政策**：涉及2款应用，包括《机友会》和《张家港房产网》 [8] 涉事应用与分发平台 - 违规应用覆盖多种类型，包括工具、出行、金融、新闻、酒店、餐饮、娱乐、教育、游戏等 [1][2][3][4][5][6][7][8] - 涉事应用的分发渠道广泛，包括华为、小米、vivo、应用宝等主流应用商店，以及微信、支付宝、抖音、今日头条、百度等平台的小程序 [1][2][3][4][5][6][7][8] - 部分应用在多个违规类别中重复出现，表明其合规问题较为综合，例如《PigeonSwitch》、《顶端新闻》、《宁波太平洋大酒店》、《小年糕》等应用涉及多项违规 [1][2][4][5][6]

核心观点 - 针对多个主流本地生活及社交平台的实测显示，平台在收集用户手机号时普遍存在违规行为，包括强制收集和默认勾选同意，导致用户“隐形同意”并面临个人信息泄露及后续骚扰风险 [1] 平台违规收集手机号的具体方式 - **强制填写，无选择权**：部分平台将手机号设为下单“硬门槛”，不提供授权选择入口，例如美团下单口腔套餐时，手机号为系统强制获取项，页面无授权勾选框 [2] - **默认勾选，提示不显著**：部分平台虽设授权勾选框，但默认勾选“同意”且未显著提醒，例如抖音下单儿童摄影套餐时默认勾选“同意商家通过手机号联系”，用户易忽略 [3] - **自动填充，无法修改**：平台在下单页面自动填充用户注册手机号且无法修改或删除，例如高德地图领取免费检查套餐后，预约信息栏手机号自动填充且无法修改 [3] - **条款捆绑，授权范围模糊**：支付即视为同意服务条款，而条款载明平台可能依据手机号发送商业推广信息，例如高德地图订单提示“点击支付即视为同意服务条款” [3] 信息收集后的使用与泄露风险 - **商家频繁致电**：实测中多个商家通过平台收集的联系方式致电用户，即使用户表示会主动到店核销，部分商家仍频频来电 [6] - **疑似信息转卖与骚扰电话**：通过百度咨询植发公司后第三天，接到被33人标记为“骚扰电话”的座机来电，暗示信息可能被泄露或用于其他营销 [6] - **客服回应矛盾**：当追问系统是否收集手机号时，百度客服先称“已在系统里”，后改口“我能看到，百度看不到”，显示信息流转不透明 [5] 个人信息收集的产业链与渠道 - **医疗领域成重灾区**：医疗领域尤其是口腔医院的电话骚扰更为频繁，其背后有明确的消费者信息收集与使用产业链 [7] - **多渠道收集信息**：以某口腔医院为例，通过团购平台、信息流广告、第三方代运营及线下四大类渠道收集潜在客户手机号等信息 [7] - **平台与营销公司利益绑定**：第三方营销公司按消费者在医院消费额比例分成，与医院业绩绑定， incentivizes 通过平台“强制填写”、“默认勾选”等方式收集信息 [7] - **核心收集平台**：高德地图、百度地图、阿里健康、淘宝、抖音、美团等团购平台，以及百度、今日头条、微信朋友圈、微博等信息流平台是核心信息收集渠道 [7]

行业监管与法律框架 - 人脸信息被法律界定为敏感个人信息 其泄露或非法使用易导致人格尊严受侵害或人身财产安全受危害[1][2] - 个人信息处理者处理敏感信息需满足特定目的和充分必要性 采取严格保护措施 且必须是对个人权益影响最小的方式[2] - 人脸识别技术应用需以保护个人信息权益为核心 遵循合法、正当、必要和诚信的基本原则[2] - 国家网信办和公安部对《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见 重申严格保护敏感个人信息并明确大型网络平台主体责任[2] - 自2025年6月1日起施行的《人脸识别技术应用安全管理办法》明确禁止以办理业务等为由误导、欺诈、胁迫个人接受人脸识别验证[3] 技术应用现状与风险 - 人脸识别技术覆盖场景日益增多 如刷脸支付、住宿、进小区等 在提升效率与便利的同时带来安全风险[1] - 2023年以来多地通报违法违规收集人脸信息案 不法分子利用AI换脸等软件盗刷受害人支付账户 导致“刷脸”变“刷钱”[1] - 因人脸信息泄露导致的“被贷款”、“被诈骗”等乱象时有发生 个人信息保护形势日益严峻[1] 合规运营与治理要求 - 任何组织和个人不得强制要求刷脸 公共场所安装人脸识别设备应当为维护公共安全所必需 并设置显著提示标识[3] - 运营方或个人需建立覆盖信息采集、数据存储、合规使用和风险处置的全链条闭环治理机制 保护用户选择权与知情权[3] - 相关部门应畅通举报渠道 加大对“AI换脸”诈骗及商家利用“人脸”捆绑消费等乱象的打击力度 形成有效震慑[3] 用户权益与应对 - 用户应增强防范意识 遵循“非必要不提供”原则 在“刷脸”前需明确信息收集目的、存储方式及潜在风险[4] - 若合法权益受侵害 用户应保留协议、截图等证据 要求相关企业或机构停止侵权并承担责任 或向网信、公安等部门举报[4]