行程卡下線，曾稱不收集行程信息，運營商刪除的數(shù)據(jù)從哪來？   

今日零點，由中國信息通信研究院開發(fā)、運營近三年的“通信行程卡”（下稱“行程卡”）正式下線，包括短信、網(wǎng)頁、微信小程序、支付寶小程序、App等。12月12日晚，中國電信、中國聯(lián)通、中國移動三大運營商先后表示，行程卡服務(wù)下線后，將同步刪除用戶行程相關(guān)數(shù)據(jù)，依法保障個人信息安全。

行程卡的“前世今生”

南都記者查閱行程卡App的隱私政策發(fā)現(xiàn)，其中僅提及會收集手機號，還承諾不會收集行程信息。那么，三大運營商將刪除的“用戶行程相關(guān)數(shù)據(jù)”又是如何獲得的？手機號信息又將被如何處理？

1

行程卡App承諾不收集行程信息

據(jù)介紹，行程卡是一種公益性的行程查詢服務(wù)，可以免費為用戶提供本人過往14天（后調(diào)整為7天）內(nèi)到訪過的國家（地區(qū)）和停留滿4小時的國內(nèi)城市證明，用于對來自疫情嚴重的國家和地區(qū)的人群進行篩查，及時發(fā)現(xiàn)瞞報、漏報、不實申報行程信息等問題，誕生后迅速成為各地防疫的重要工具。根據(jù)工信部今年5月公布的數(shù)據(jù)，行程卡用戶查詢次數(shù)累計已達到556億次以上。

根據(jù)“通信行程卡”官方公眾號公布的技術(shù)原理，行程卡分析的是手機信令和話單數(shù)據(jù)，由運營商通過用戶所用手機號所處的基站位置獲取，“位置信息來源于基站，不會收集定位信息”。

南都記者梳理發(fā)現(xiàn)，在行程卡上線不久后的2020年3月，時任工業(yè)和信息化部信息通信管理局局長的韓夏就曾在國務(wù)院聯(lián)防聯(lián)控新聞發(fā)布會上解釋過行程卡的個人信息安全問題。她表示，行程卡的一大優(yōu)點是安全可靠，其不收集用戶身份證號碼、家庭住址等信息，而且詳細的查詢結(jié)果只顯示在用戶本人手機上。

為進一步了解行程卡收集了哪些個人信息，南都記者查閱了中國信通院開發(fā)的“通信行程卡”App中的隱私政策。其中明確提到——行程卡軟件或服務(wù)將收集手機號，用于發(fā)送密接情況的短信通知和提供行程查詢服務(wù)。

此外，還會收集隨機生成的加密ID以及藍牙接觸信息（包括接觸時間和信號強度），并承諾“我們不會收集您的身份證件、行程信息、設(shè)備信息及其它任何信息。”

在信息保存方面，隱私政策聲稱，將在系統(tǒng)中保存用戶手機號碼便于查詢本人的行程信息。另外，除非用戶被診斷為確診/疑似患者，否則藍牙接觸信息（包括接觸時間及信號強度）將加密保存在用戶手機終端，且會被定期清除。

2

行程信息不是收集來的，而是算出來的

個人信息保護法規(guī)定，存在處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要，以及個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿等情形之一的，個人信息處理者應(yīng)當主動刪除個人信息。

按照“通信行程卡”App隱私政策，App收集了用戶手機號。當收集不再必要，這些個人信息應(yīng)該被刪除。不過截止發(fā)稿，中國信通院暫未做出回應(yīng)。

另一方面，既然“通信行程卡”App隱私政策以及官方公眾號發(fā)文都承諾不收集行程信息，那么運營商要刪除的“行程相關(guān)數(shù)據(jù)”又是從何而來？

北京漢華飛天信安科技有限公司總經(jīng)理彭根解釋，行程卡中的“行程相關(guān)數(shù)據(jù)”并非通過向用戶收集得來，而是基于運營商自有信息“算”出來的。“比如我提供一個手機號給移動，（移動）就可以通過我手機周圍的三個基站大概計算出我所在的范圍，可能精確到三五百米到一公里以內(nèi)。”

他表示，這些數(shù)據(jù)本就存在于運營商的數(shù)據(jù)庫內(nèi)，是為了提供行程卡服務(wù)，才把這部分數(shù)據(jù)整理出來，從而生成為滿足疫情防控所需的行程數(shù)據(jù)。也就是說，運營商扮演的角色更類似于數(shù)據(jù)提供方。

根據(jù)個人信息保護法，個人的行蹤軌跡屬于敏感個人信息。

中國政法大學傳播法研究中心副主任朱巍指出，敏感個人信息的處理，除了需要獲得個人同意之外，還需要具備特定目的和充分必要性。“我國防疫政策已經(jīng)發(fā)生重大調(diào)整，再采集處理敏感信息已缺乏必要性基礎(chǔ)，必須及時下線并做好信息脫敏和刪除措施。”