“三年，再見了。”2022年12月13日0時，陪伴了我們1034天的“通信行程卡”，正式下線。不少朋友趕在零點前截了個圖，留作紀念。與此同時，一項名為“行程卡紀念版”的新型服務也隨之在朋友圈流行，其依托微信小程序和微信公眾號供用戶使用，此事甚至一度沖上微博熱搜。12月15日，天目新聞記者發現，不少微信公眾號陸續發文開通該項服務，號稱“火爆全網”“3秒免費生成”“用一張圖片記錄過去三年去過的地方”等等。

(相關資料圖)

對此，天目新聞記者也做了嘗試，但發現很多相關小程序已被暫停服務，隨后記者關注了多個微信公眾號，在后臺回復“行程卡”，隨即就收到一條鏈接。值得注意的是，目前，該鏈接不是通過注冊手機直接生成圖片，而是需要手動自行添加近三年內到達或旅經的地方。記者選取近三年內到達過的城市，點擊“下一步”，即生成了自己的行程卡紀念版。

那么，“行程卡紀念版”是否合規？生成邏輯是什么？是否存在安全隱患？對此，天目新聞記者專訪了浙江警察學院計算機與安全系主任周國民。

各大微信公眾號陸續開通“行程卡紀念版”服務

“行程卡紀念版”是非官方產品

天目新聞：“行程卡紀念版”主要用了什么技術？生成邏輯是什么？

周國民：疫情三年，黨和國家與人民一起為抗擊疫情付出了無數努力，通信行程卡是最初用于支持疫情防控的技術手段之一。各大公眾號利用行程卡下線之際吸引流量是不合適的，還可能會引發大家不必要的誤導，比如誤認為這個“行程卡紀念版”是官方的，會被收集用戶行程軌跡等個人隱私信息。

我昨天第一次打開相關小程序是沒有問題的，可以正常生成，結果后面幾次直接打不開，原因是打開的用戶太多導致擁塞，說明盡管這個是非官方做的一個小程序，但依舊吸引了大量的用戶流量。

“行程卡紀念版”依托在目前國內流行的社交通信APP微信中使用，用戶無需下載和安裝APP，只需通過微信掃一掃、搜索或分享的鏈接等即可打開應用，用完退出，無需卸載，節省用戶移動終端存儲空間，比較受歡迎，因為它可以便捷獲取和傳播。

進入相關小程序或者點擊鏈接，大家發現它其實是通過用戶自行添加城市名稱。在顯示2020至2022年三年間到達或旅經的城市后，并未要求用戶填寫手機號或驗證碼，所以并不是攻破官方通信行程卡后臺，主要是生成行程卡的界面UI和官方的比較相像，可能會混淆視聽。

天目新聞：用戶使用時，信息可能會以怎樣的方式泄露？是否存在信息泄露之外的隱患？

周國民：該小程序并未要求用戶填寫手機號或驗證碼，顯示所到達的城市均為用戶自行填寫，并沒有查詢官方的途經數據庫或實時動態感知。不過，從用戶無意中配合填寫的城市信息，后臺可能會從社會工程學角度，收集一些對其有用的信息。當然，若這些小程序或APP運行的背后，萬一有惡意、非法、秘密收集手機中的敏感信息的話，就比較危險了。

不過目前，要向手機獲取相關權限的話，需要用戶確認，故用戶在授權時需要判斷該應用是否需要這項權限再確定是否開放。從實際情況看，有些應用比較“霸道”，會強制開通權限，但凡有不授權選項，就閃退或無法使用，這些應用就需要加強監管。

談到存在的安全隱患，從用戶自行填寫到達的城市角度來看，如用戶確實想把真實到過的城市生成紀念版圖片，就會把疫情三年去過的城市全都認真填寫，甚至按抵達或途經的時間順序寫，后臺可利用這些信息進一步分析該用戶情況，比如可能從事的職業、其訪問城市的分布，根據社交帳號、登陸IP、性別、平臺類型、設備、網絡類型等屬性多維度分析，進行數據畫像。

即使有人不會全填，較多可能填自己所在城市、家鄉，或是想去而沒去的地方，后臺同時結合其它數據，就可能會獲取更多的用戶信息。很多表單統計、投票、簽到、多人協作在線文檔之類的免費小程序，給用戶提供便利的同時，也便于后臺收割數據。這些個人隱私信息的泄露，輕則可能會帶來精準廣告的推送，或為廠家改進、研發產品提供樣本；重則更容易被“人肉搜索”，甚至演化從虛擬的網絡世界的電詐，到現實中的跟蹤、敲詐、綁架等。

行程卡紀念版

微信需進一步加強審查

天目新聞：這樣的小程序是否合規？如若不合規，是否有方式來預防此類狀況的出現？

周國民：目前，相關小程序已經涉嫌混淆官方服務功能違規，被暫停服務。對應其規則，應該是違反了《微信小程序平臺運營規范》5.14混淆行為中的5.14.2惡意混淆其為相關政府機構、事業單位、社會團體等組織機構開發、運營的（無論該組織是否真實存在）規定。處理規則是，一經發現將根據違規程度對該小程序采取限制功能直至封號處理。

但相關小程序并未按照違反隱私保護規范進行處理，說明其應該沒有采用未經用戶同意進行的數據采集、沒有過度要求授權或強迫用戶授權等違規收集用戶隱私的行為，只是城市信息是用戶自愿配合填寫的。

若預防此類現象，需要多方面配合，一是政府相關部門的監管和相關的規范制度約束，做好頂層設計；二是微信公眾平臺運營中心需要進一步對小程序加強審查；三是通過用戶方面的舉報投訴進行反饋等。

天目新聞：微信小程序是個人可以開發的嗎？對于安全漏洞，微信是否有責任監管？目前，它是如何監管的，監管做的怎么樣？

周國民：個人是可以開發微信小程序的，在微信平臺注冊、驗證手機號、填寫姓名、身份證號，擬開發的小程序名稱和介紹，注冊完成后下載開發者工具，利用開發者工具開發完成小程序后，在微信平臺上傳小程序，等待微信審核，符合規范則發布小程序，即可通過二維碼、鏈接等形式分享給用戶點擊使用，或用戶可搜索到該小程序。

對于用戶隱私和數據安全，微信是有責任監管的，微信要求開發者采用實名制，便于追溯監管，相應制定了《微信小程序平臺運營規范》、《微信小程序平臺服務條款》等規則，其中有“用戶隱私和數據規范”“用戶個人信息保護”條款等。在《微信小程序平臺拒絕常見的情形》中，其中有關于用戶隱私和數據安全的相關規定。

從微信監管的手段看，由于微信小程序數量巨大，完全靠人工監管不現實，后臺可能主要是通過機器自動識別關鍵詞、圖像對比等自動化手段按照規則規范進行篩查，再人工復核等。從監管效果看，大多常用的小程序明顯違規的相對較少，像這種打擦邊球的小程序估計是機器并未篩查出來的，可能是被用戶舉報而被關停。