北京冬奥App遭批安全不足、检肃内容，奥委会驳斥

德国之声（DW）引述公民实验室（Citizen's Lab ）针对北京冬奥的My2022 App研究报告，指出这款App 资料传输安全性和个资使用用途说明信息不足，还有关键字词审查清单。

对于加拿大研究显示的北京东奥app安全问题被驳斥

2022年冬奥即将在2月4 日到20日于北京举行，但一项加拿大研究显示北京冬奥专用App有多项安全隐私问题，还内建言论审查技术。不过国际奥委会驳斥这项研究发现。

公民实验室（Citizen's Lab）研究人员发现北京冬奥App「 My2022」提供了举报他人的政治敏感言论的功能，其中Android版包含一个「illegalwords.txt 」档，内有2400多个审查关键字词，大部份是简体中文，少部份为繁体中文、藏文及维吾尔语。但研究人员表示这些关键词并未用于实际的言论过滤。

北京东奥app被质疑安全性、关键词审查问题

多伦多大学公共事务学院下的公民实验室（Citizen's Lab）针对北京冬奥开发的My2022 App 的资料安全及隐私进行研究，并由德国之声（DW）首先引述报导。研究人员指称这款App资料传输安全性不足，搜集许多资料却也分享给许多单位，还有一个关键字词审查清单。

My2022由中国国营北京金融控股集团所有，具多项功能，首先是COVID-19相关的健康监控。今年冬奥期间时值全球 COVID-19风暴再起，北京当局为疫情管控，要求所有国内外选手及与会者在抵达北京前14天以前需下载My2022 App ，每日以App回报健康状况，也搜集疫苗接种纪录、以及COVID-19病毒检测结果等。此外这个 App还提供观光导览、GPS导航，以及各项设施服务的使用把关等。

根据My2022公开信息，除了健康状态，它会搜集大量个人资料。针对外国使用者，这款App 搜集用户人口学属性（性别、年龄等）、护照信息（发照日及到期日等）。此外它还会搜集装置识别码、电信服务商并分享给该装置业者，如华为、Oppo、Vivo，并且额外搜集装置上 App信息分享给腾讯、微博、地图业者高德（AutoNavi）、语音辨识业者科大讯飞（iFlytek ），理由是协助用户使用它们提供的服务。

但研究人员发现My2022并未说明会将用户健康纪录分享给谁。另一方面，它又说明会在（且不仅只于）涉及国家安全、公卫事件及犯罪调查等情况下，不经用户同意揭露个人信息。

My2022可能存在一些加密方面的安全问题

除了信息隐私之外，加拿大研究人员另外也发现My2022的安全问题。例如北京冬奥服务器，如tmail.beijing2022.cn 部分内容传输连线未以SSL加密。另一些服务器，如health.customsapp.com、 my2022.beijing2022.cn等虽然采取SSL传输，但并未验证SSL 凭证，这可能让攻击者发动中间人攻击，冒充合法网站以拦截用户输入的信息，或是从恶意主机传送假造内容到App。研究人员也发现数个和北京冬奥的服务器SSL 连线可能曝险。

另一方面，My2022还可能扮演言论审查者的角色。研究人员发现My2022 提供了举报他人的政治敏感言论的功能。此外，Android版My2022包含一个「 illegalwords.txt」档，内有2400多个审查关键字词，大部份是简体中文，少部份为繁体中文、藏文及维吾尔语。字词类别涵括骂人三字经、色情、非法物质（如制作爆裂物的成份），以及大量政治敏感用语，法轮功、天安门（如「捌玖陆肆纪念」）、习近平等。但研究人员表示这些关键词并未用于实际的言论过滤。

研究人员相信，搜集敏感信息却防护不足的My2022，已违反了Google Play 及苹果App Store审查规范，研究人员于去年年底完成调查后，于12月 3日将报告发现分享给了北京冬奥及帕奥主办单位。截至45日后的1 月18日未获得回应，于是向媒体公布研究发现。

国际奥委会明确反驳指控，并且该app已通过应用市场的审查

国际奥委昨日对媒体反驳这项指控，表示My2022是防范COVID-19的重要工具，其功能首要任务是支持健康监控。在对 ZDNet的声明中，IOC也强调，为了防疫，My2022 App 必须采取特别措施以确保冬奥及帕奥与会者、以及中国民众的安全。IOC并指这款App都已经通过 Google Play Store及苹果App Store的审查。