昨天注销了某电动车的 app 账号,注销后收到了已删除的邮件。
邮件里特别写到:已成功处理您的申请,您的账户已删除。与您的账户关联的所有个人数据也已永久删除。
然而打开 app 后,发现名字变成了 unknown ,邮箱和电话全变成了(账号 uid )@deleted.account.品牌.com 。其他的功能全和以前一样,包括客服记录,维修服务记录,购车协议。其中里面包含的很多个人信息依然存在。而且远程控制电动车功能也能用,可以查看定位、电量。
尝试用替代的邮箱登陆,发现密码被改了,找回密码成功发送邮件,但是邮箱已经被改了,没办法收到邮件。
这种欺骗用户的行为卑劣至极,明显是为了合规才做的删除用户功能。能向应用商店举报下架这个 app 吗?
1
SenLief 64 天前 5
你问问论坛的程序员,他们自己做的删除功能有没有删除?
|
3
cherbium 64 天前
咳咳咳,那啥,都是这样的,假删除
|
4
Rrrrrr 64 天前
你认为他们为了你改需求?
|
5
BearD01001 64 天前 via iPhone 4
互联网合规要求数据必须保留一定时间,一般企业实施下来至少保存半年。
|
6
chesha1 64 天前
看看这个公司的业务有没有做到欧洲去,有的话从 GDPR 这边看看能不能反馈或者举报一下?
|
8
Bingchunmoli 64 天前 via Android
@ShikiSuen 法律要求可以追责不然就算主体责任
|
9
olaloong 64 天前 via Android 1
“注销”了居然没把用户踢下线?这是 bug 啊
|
10
devinww 64 天前
咋说呢,那啥,基本都逻辑删除,不过删除还能让你发现,感觉是 BUG
|
11
jim9606 64 天前 14
没把你的 app 踢下线属于 bug ,不过你说的“没有真正删除”是普遍做法,硬删除费力不讨好。而且可能是合规的,因为所有用户都无法检索到原本严格属于你的数据了。你不会觉得定这个规章的人是真的是担心拖库泄漏风险才这么定的吧?
因为删除账号的实质上是把你的数据标记为无主且不公开,你甚至还丧失了主张这些数据所有权的途径,所以我一直对删除账号这事不感冒,我宁愿做数据投毒。 |
12
lxh1983 64 天前 via iPhone 17
连名字都不敢说,就是因为你这样的怂货太多了,他们才有恃无恐
|
13
jiuhuicinv 64 天前
中国就没得真正删除的程序
|
14
WhateverYouLike 64 天前 via iPhone
是九号不
|
15
hefish 64 天前
凡是遇到不要慌,先拍照发个朋友圈。。。
|
17
huyi23 64 天前
另外,国内的要求一直是可以允许用户注销账号,而不是删除账号,你要明白注销和删除的区别
|
18
huyi23 64 天前 7
@ShikiSuen 给你普法一下,根据 GB/T 35273 《个人信息安全规范》,“删除”是指在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态(即逻辑删除),而不是说要求信息控制者必须彻底的、永久的删除用户信息及其备份(即物理删除)。
知道了吗,法律就这样规定的。 |
19
allpass2023 64 天前
“账户关联的所有个人数据“,
是不是可以这样理解 :可以说帐号的数据已经和你个人没关系了,因为对方只知道这个帐号做了什么,但“不知道”帐号是你的了。 |
20
coolair 64 天前
可以去报一个漏洞,然后给你发一个证。
|
24
Admstor 64 天前
小牛吧
九号我自己更换过帐号,注销后是不可能用的 |
25
cybort 64 天前 via Android
不存在删除账号这种说法,99%的系统把账户干掉都会出 bug 。
|
27
chesha1 64 天前
@YsHaNg #26 The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her **without undue delay** and the controller shall have the obligation to erase personal data **without undue delay** where one of the following grounds applies
|
28
mikewang 64 天前
我在想,怎么样才能确定彻底删除个人数据:应用层面删除了,数据库里可能还有;数据库执行 delete 了,binlog 里可能还有; binlog 也清除了,磁盘没有 TRIM 或者覆盖可能还有...
|
31
imnpc 64 天前
不管是国内还是欧盟 用户申请删除以后起码要保留最低半年数据
一般是选择保留至少 1 年 APP 的错误是没有立即 将用户踢下线 不用猜了 就是九号 国内知名+在国外销售+APP 管理的就他一家 |
32
xabcstack 64 天前
想起一句电影台词: ”你第一天当记者啊, 这还需要问?”
|
33
yulgang 63 天前
互联网服务没有真正删除的
|
34
hd2ex 63 天前
如果某个用户刚把自己删掉又重新注册怎么办?
|
36
luojianxhlxt 63 天前
携程也这样啊,我注销了账户,重新注册的时候就会提示我“账户已注销"
|
37
dwu8555 63 天前
都是 soft delete
|
38
win7pro 63 天前
会不会是本地缓存
|
39
yxzblue 63 天前
你的项目 删除账号之后,会真实删除数据吗?
|
41
ltux 63 天前
为什么要打哑谜
|
42
helone 63 天前
删了才是不合规,如果都彻底删除,那真是太好了,国内聊天软件随便诈骗一下,等骗完了光速注销账号,最后司法取证也找不到人?
|
44
davin 63 天前
is_delete = 1 ,千辛万苦让你看过了广告,给了一堆权限,怎么可能就物理删除呢 🐶
|
45
pennz 63 天前
合规要求,一般要保留半年。但是你执行删除后,没被踢下线,这是 bug
|
46
zhongjun96 63 天前
@jiuhuicinv #12 全世界都没有真正删除的
|
47
layxy 63 天前
都是逻辑删除,哪有真正的物理删除,你注销的所有平台几乎都是逻辑删除的,只是你删不到了而已
|
48
nullyouraise 63 天前
app 开发方只要修复注销后帐号没踢下线的 bug 就可以了,在这之后你也没有办法去验证是否删除了数据
|
49
Lin0936 63 天前
如果注销就删除数据的话,美团这种分分钟就被薅倒闭了
|
50
huyi23 63 天前
@hd2ex 你不是程序员吗。。。。。如果是关联的手机号登陆,你原来的手机号变成了 deleted_1xxxx,然后,你重新注册新账号 1xxxx ,当然可以登录啊,是新账号而已
|
51
dampler 63 天前
应该没有公司会真的删除用户的数据吧。如果是自己来做,也是软删除啊
|
52
irisdev 63 天前 2
哈哈哈支付宝把账号删除了花呗是不是就不用还了
|
53
1KTN90lKW9gVJ9vX 63 天前 via Android
你在想什么呢?你以为是小论坛啊啊真删除也没影响,互联网各种平台假删除,你告到朝廷都没用。
|
54
aaronzhang404 63 天前 1
大部分公司:账号状态标记为删除,踢用户下线
良心公司:账号状态标记为删除,并且在其他信息中脱敏 Bug 公司:账号状态标记为删除,但是忘记踢用户下线 |
55
ppxiale 63 天前
国内目前大部分用户对删除账号的功能没有什么太多的要求,除了小部分以外,大部分可能都是为了删除之后重新注册薅羊毛
|
56
ShikiSuen OP |
57
cominghome 63 天前 1
我查到的合规要求如下:
按照新版 35273 第 8.5.f)规定,个人信息主体注销账户后,企业应及时删除其个人信息或匿名化处理;因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。这里的要求是企业必须真正做到“前端与后台统一”,前端显示已注销的、后台需要也已进行了相应操作。 个人认为,企业是把“注销”及背后的一系列操作简单展示为“删除”让你产生了歧义。事实上绝大多数企业执行的都是逻辑删除,即从正常的入口无法访问相关数据。从你展示的内容来看我觉得是符合上述要求的。 但问题在于他的系统出现了 bug ,居然没把你踢下线且让你看到了逻辑删除后的部分数据,令人费解... |
58
gcl123 63 天前
这东西你举报到工信部都没用
|
60
zpxshl 63 天前 via Android
王者荣耀,注销了几年的数据也还在
|
61
so898 63 天前 via iPhone 3
@ShikiSuen 虽然隐约猜到了,但不得不说 op 你是懂 V 站的,你要是一开始就把品牌说了,这帖子估计早就进水深火热了,上热帖根本不可能
|
62
EndlessMemory 63 天前
逻辑删除很正常吧
|
63
zzzlight 63 天前
我觉得最大的问题在于他们没做把你踢下线操作,这是软件 bug 。标记删除这种其实是基本操作,而且楼上也有人说了要保存半年。
|
65
635925926 63 天前
论 jwt 的缺点
|
66
collinmehle 63 天前
@ShikiSuen 不用等半年,肯定不会删。
证明违规了你又能怎样呢? 举报会有用? 还不是给你踢下线让你看不到就好了 |
67
datafeng 63 天前
99%都是这样用标记删除的,只是他这个应该是用 JWT 管理 token 的,所以 APP 处理注销的时候有 bug 。
|
68
whathappen 63 天前
未用过 TSL ,TSL 如果不注册帐号可以正常用车吗?
|
69
ShikiSuen OP @whathappen 不能,买车的时候会自动注册一个账号,提车也要在 app 上确认。
|
70
cnhongwei 63 天前
物理删除是不可能删的,删除了财务数据怎么对,各处关联数据怎么办。只能是逻辑删除,再踢你下线。有个兄弟说到 jwt ,我也用 jwt ,为了解决这个问题,没有办法,做了一个 jwt 黑名单。删除用户是,把 jwt 放到 redis 的黑名单中,过期时间为 jwt 的过期时间。
|
71
securityCoding 63 天前
只有老欧洲才能治
|
73
wudi77 63 天前
肯定是逻辑删除嘛。。
|
74
flyqie 63 天前
逻辑删除是最保险的。
你是研发你也这么干,硬删除能不做就不做。 欧盟怎么样那是欧盟的事情。。很多业务在欧盟那边都有一定程度的阉割,为了合规,对用户有利有弊吧。 |
75
JustBecause 63 天前
都是逻辑删除,我们做的产品删除功能,也是给手机号加一位数字,保证用户登录不上就行了
至于被你看到,那百分百是 bug ,没有 T 下线 |
76
seer330 63 天前
国内都这样的,不用想
|
77
littlecap 63 天前
这不会基操吗?
|
78
wu67 63 天前
所以注销账号之前, 把能改的内容全部改掉, 然后再注销...
这是我一个 N 年前的账号信息的教训, 准备注销的手机号, 发现某快递聚合应用上面有记录着我大学时的地址信息, 还是明文, 验证码登录完全不需要校验其他任何辅助信息就能登上去看到, 可想而知下个号主能看到的各互联网信息有多少... |
79
cleardevstudio 63 天前
我不了解后端开发,如果让我实现逻辑,我会:账号注销 status="true"
|
80
jackOff 63 天前
我做过的服务器从来不删数据的,因为客户的数据有二次利用价值,要么给公司其他产品引流(学网易的),要么就是直接定期回 call 劝回流
|
81
kneo 63 天前 via Android
这是人家业务数据,你说删就删?你有这权利?
|
83
Emiya1208 63 天前
你注销一下支付宝试试,我在疫情前注销了支付宝,然后疫情的时候被迫重新注册支付宝(没错我当时在第一个健康码实施的城市,杭州),然后发现,哈?数据原封不动动的存在,要知道那可是过了法律要求的 183 天呢。就算是金融 5 年也够了。
|
84
dasbn 63 天前
这里不是欧盟,只有 GDPR 明确要求,不然其他地方都是这样的
|
86
liuxyon 63 天前
就号?
|
87
heike8 63 天前
那你要好好阅读用户协议和隐私授权 也许账号并不属于你
|
88
collery 63 天前
从来没看过有物理删除的系统
|
89
kneo 62 天前 via Android
@dasbn GDPR 也不可能把订单记录删了。最多最多删掉订单中和你个人身份相关的东西。其实就是把账号匿名化。业务数据是不可能删除的。这是企业的数据,删了账都对不上。
|
90
chatWell1 62 天前
工信部举报,有专门举报侵害用户隐私的
|
96
VYSE 60 天前 via Android
@huyi23 “参考国家标准 GB/T 35273-2020 《信息安全技术个人信息安全规范》 3.10 中“删除”的定义:“在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。”,即删除需要满足达到毁损不可用的状态。所以,对电子化的个人信息进行删除,无需追求重复覆盖的极端删除,但也不能采用仍然可识别和使用的逻辑删除,而应当采用物理删除的方式。”
少来玷污国标 |
97
RYS 56 天前
不会是九号吧
|