数据合规风暴再起，携程金融APP违规收集个人信息

2025年4月22日，公安部网安局发布的一则通报引发行业震动。在最新公布的67款违法违规收集使用个人信息移动应用清单中，携程金融因"系统性数据合规漏洞"赫然在列。这是该平台继2023年上海网信办约谈后的第二次重大违规。

根据国家计算机病毒应急处理中心的检测报告，携程金融的违规行为呈现明显的"技术+规则"双重规避特征。

根据通报，携程金融在未告知用户的情况下，通过嵌入第三方代码（如信贷评估SDK）将用户设备信息、通讯录等敏感数据传输给合作方，且未进行匿名化处。尤其是在收集用户隐私、身份证号等敏感信息时，未单独取得用户授权，也未告知处理敏感信息的必要性及对个人权益的影响。

针对金融账户、信用信息等敏感数据，《个人信息保护法》第29条要求采取"强化告知+单独同意+影响评估"三重保障。检测显示携程金融在采集用户收入证明、银行流水等敏感信息时，采用"打包授权"方式将基础信息与敏感信息合并获取授权，且未在隐私政策中专项说明处理必要性，存在"目的限制原则"的适用错误。

并且，携程金融客户端界面设计同样暗藏玄机：采用"暗黑模式"设计隐私界面，没有设置任何拒绝收集信息的按钮。这种行为实质上将个人信息处理变为"入场门票"，剥夺用户实质选择权，违反《个人信息保护法》第16条关于拒绝权保障的规定。

携程金融依托母公司的旅行场景构建"消费-信贷-支付"闭环生态，在与酒店、航空等第三方合作中，数据共享成为业务协同的技术前提。但这种"数据管道化"运营模式，导致用户信息在生态内多节点流转时，出现授权边界模糊、匿名化失效等问题。

而携程金融SDK热更新技术动态调整数据采集范围，利用《网络安全审查办法》中"数据处理者"认定标准的滞后性，将部分高风险数据处理行为转移至关联科技公司。检测发现"携程金融SDK 3.5.8"存在动态加载境外服务器配置文件的特征，涉嫌规避数据出境安全评估要求。

此次通报犹如一记警钟，在数字经济纵深发展的今天，如何在数据流动与隐私保护间建立平衡机制，仍需政府、企业、用户三方共治。随着5月1日《个人信息保护合规审计办法》的正式实施，这场关乎每个人数字权益的保卫战，正进入深水攻坚的新阶段。