2025年4月22日，公安部網安局發布的一則通報引發行業震動。在最新公布的67款違法違規收集使用個人信息移動應用清單中，攜程金融因"系統性數據合規漏洞"赫然在列。這是該平臺繼2023年上海網信辦約談后的第二次重大違規。

根據國家計算機病毒應急處理中心的檢測報告，攜程金融的違規行為呈現明顯的"技術+規則"雙重規避特征。

根據通報，攜程金融在未告知用戶的情況下，通過嵌入第三方代碼（如信貸評估SDK）將用戶設備信息、通訊錄等敏感數據傳輸給合作方，且未進行匿名化處。尤其是在收集用戶隱私、身份證號等敏感信息時，未單獨取得用戶授權，也未告知處理敏感信息的必要性及對個人權益的影響。

針對金融賬戶、信用信息等敏感數據，《個人信息保護法》第29條要求采取"強化告知+單獨同意+影響評估"三重保障。檢測顯示攜程金融在采集用戶收入證明、銀行流水等敏感信息時，采用"打包授權"方式將基礎信息與敏感信息合并獲取授權，且未在隱私政策中專項說明處理必要性，存在"目的限制原則"的適用錯誤。

并且，攜程金融客戶端界面設計同樣暗藏玄機：采用"暗黑模式"設計隱私界面，沒有設置任何拒絕收集信息的按鈕。這種行為實質上將個人信息處理變為"入場門票"，剝奪用戶實質選擇權，違反《個人信息保護法》第16條關于拒絕權保障的規定。

攜程金融依托母公司的旅行場景構建"消費-信貸-支付"閉環生態，在與酒店、航空等第三方合作中，數據共享成為業務協同的技術前提。但這種"數據管道化"運營模式，導致用戶信息在生態內多節點流轉時，出現授權邊界模糊、匿名化失效等問題。

而攜程金融SDK熱更新技術動態調整數據采集范圍，利用《網絡安全審查辦法》中"數據處理者"認定標準的滯后性，將部分高風險數據處理行為轉移至關聯科技公司。檢測發現"攜程金融SDK 3.5.8"存在動態加載境外服務器配置文件的特征，涉嫌規避數據出境安全評估要求。

此次通報猶如一記警鐘，在數字經濟縱深發展的今天，如何在數據流動與隱私保護間建立平衡機制，仍需政府、企業、用戶三方共治。隨著5月1日《個人信息保護合規審計辦法》的正式實施，這場關乎每個人數字權益的保衛戰，正進入深水攻堅的新階段。