文|胡小鳳 林澤玲

編輯|顧彥

從某個時候開始,人們發(fā)現(xiàn),手機(jī)里的App們變得比自己還懂自己。

比如剛跟閨蜜聊完某個牌子的護(hù)膚品,轉(zhuǎn)頭就在多個購物App上發(fā)現(xiàn)相關(guān)的產(chǎn)品推薦;跟久不見面的朋友提了一嘴結(jié)婚的事,隔天各類社交平臺就閃現(xiàn)著婚禮廣告……

這樣的情景,相信很多人并不陌生。大數(shù)據(jù)時代,用戶個人信息被各類平臺非法獲取、不合規(guī)使用的情況普遍存在。

過去幾年,無論是個人層面還是國家層面,對個人信息保護(hù)越來越重視。自2019年以來,工信部連續(xù)開展針對App侵害用戶權(quán)益的專項整治工作,重點(diǎn)整治App存在的“違規(guī)收集個人信息、過度索權(quán)、頻繁騷擾、侵害用戶權(quán)益”等問題。

不過,App違規(guī)事件依然時有發(fā)生。

近日,微信、QQ、淘寶、美團(tuán)等頭部App接連被曝出存在“后臺讀取相冊”、“24小時連續(xù)獲取定位”等涉嫌竊取用戶隱私信息的情況,引發(fā)輿論聲討,也再次挑動了人們關(guān)于個人隱私保護(hù)的神經(jīng)。

iOS15引發(fā)的風(fēng)波

10月8日,微博用戶@Hackl0us爆料指出, 微信、QQ、淘寶等多款A(yù)pp存在“后臺反復(fù)讀取用戶相冊”的情況。

根據(jù)該條微博內(nèi)容,有用戶在使用了iOS15帶有的“記錄App活動”功能后發(fā)現(xiàn),微信在用戶未主動激活應(yīng)用的情況下,在后臺數(shù)次讀取相冊,每次讀取時間長達(dá)40秒至1分鐘不等。后續(xù)多位網(wǎng)友反映,QQ、淘寶、微博等多款A(yù)pp均有后臺頻繁讀取用戶相冊的行為。

圖源:微博用戶@Hackl0us

微信針對該事件回應(yīng)稱,iOS系統(tǒng)為App開發(fā)者提供相冊更新通知標(biāo)準(zhǔn)能力,相冊發(fā)生內(nèi)容更新時會通知到App,提醒App可以提前做準(zhǔn)備,App的該準(zhǔn)備行為會被記錄成讀取系統(tǒng)相冊。而微信使用該系統(tǒng)能力,是為了讓用戶獲得更為快速流暢的發(fā)送圖片體驗。

同時微信也表示,上述行為均僅在手機(jī)本地完成,最新版本中將取消對該系統(tǒng)能力的使用,優(yōu)化快速發(fā)圖功能。

但此次爆料的微博用戶@Hackl0us在10月9日公開的材料中提到,要實現(xiàn)“快捷發(fā)圖”這一功能完全可以用簡單的方法,而不需要像微信這樣“為了快捷選圖,就在后臺一直預(yù)處理”。

微信的回應(yīng)沒能打消用戶們的疑慮。大家對該事件的疑問主要集中在兩個方面,其一是,“實現(xiàn)快捷發(fā)圖”是否必然得通過后臺預(yù)處理的方式才能實現(xiàn)?其二是,為什么用戶在沒有啟用App的情況下微信也在后臺“讀取相冊”?

微信“后臺讀取相冊”風(fēng)波尚未平息,美團(tuán)也被曝出不合理讀取用戶數(shù)據(jù)的情況。

10月10日上午,微博用戶@軒寧軒Sir發(fā)文稱“美團(tuán)App連續(xù)24小時定位我,每5分鐘一次”。從該用戶提供的錄屏視頻可以看到,后臺記錄顯示,美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息。

之后,也有多位網(wǎng)友在評論區(qū)反映,微信、QQ、知乎、淘寶、拼多多等App都出現(xiàn)在后臺進(jìn)行反復(fù)獲取定位的情況。

圖源:微博號@軒寧軒Sir

無論是美團(tuán)App的“24小時連續(xù)定位”,還是微信在后臺“反復(fù)讀取相冊”,該類現(xiàn)象的發(fā)現(xiàn)都是基于蘋果iOS15系統(tǒng)新增的“記錄App活動”功能。蘋果手機(jī)用戶開啟“記錄App活動”之后,再下載一款名為“隱私洞見”的App,借助該App將隱私報告可視化,即能看到類似上文所展示的監(jiān)控信息。

10月11日,一位美團(tuán)工程師進(jìn)行了公開回應(yīng),稱上述情況的出現(xiàn)是因為這類軟件在單方面讀取系統(tǒng)操作日志后,進(jìn)行了選擇性展示。該工程師還表示,經(jīng)測試,在相關(guān)權(quán)限開啟且App后臺仍處于活躍狀態(tài)時,大部分主流App均會被該軟件檢測出頻繁讀取用戶信息,且監(jiān)測結(jié)果高度相似。

上述工程師還提示,該款讀取iOS15系統(tǒng)日志的軟件系境外人員研發(fā),其安全性和保密性還有待專業(yè)機(jī)構(gòu)檢測,建議大家謹(jǐn)慎下載。但億歐EqualOcean查詢發(fā)現(xiàn),這款名為“隱私洞見”的App,開發(fā)者為?Inkwire Tech(Hangzhou)Co．,Ltd．。天眼查信息顯示,該公司關(guān)聯(lián)企業(yè)為映快科技(杭州)有限公司。

圖源:App商城

“隱私洞見”版本介紹頁面顯示,“隱私洞見不是Apple產(chǎn)品,亦與Apple,Inc．無關(guān)聯(lián)”,其中提到該軟件作者為“Shibo Lyu”。“Shibo Lyu”的GitHub個人網(wǎng)站介紹顯示,其姓名為呂世博,2019年在杭電助手的業(yè)務(wù)需要下聯(lián)合創(chuàng)辦映快科技,呂世博持有映快科技(杭州)有限公司20%的股份。

圖源:“隱私洞見”App

目前涉事的企業(yè)中,僅有微信和美團(tuán)給出回應(yīng),兩者堅稱并不存在侵犯用戶隱私行為。由于事件涉及的iOS15系統(tǒng)“記錄App活動”功能的準(zhǔn)確性尚不能確定,各方爭議還沒有最后的定論。

但微信、美團(tuán)等眾多App出現(xiàn)此類后臺操作現(xiàn)象,無疑讓用戶再次提高了App隱私保護(hù)問題的警惕。

“形同虛設(shè)”的條款

App泄露用戶個人信息、竊取用戶隱私數(shù)據(jù)并非新鮮事,但此次借由蘋果系統(tǒng)這個新功能,App們在后臺的一舉一動展露無疑,也著實讓不少用戶大吃一驚。

其實在我國,針對手機(jī)App過度搜集個人信息現(xiàn)象,已相繼出臺了《信息安全技術(shù)個人信息安全規(guī)范》和《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》等,對App超范圍收集、強(qiáng)制授權(quán)、過度索權(quán)等個人信息安全問題作了明確規(guī)定。

不過,眾多App輕視法規(guī)、打擦邊球等情況仍廣泛存在。

無論是條款內(nèi)容冗長甚至難以理解的《用戶協(xié)議》和《隱私政策》,還是使用過程中不斷出現(xiàn)的權(quán)限索取,App們各類看似尊重用戶的規(guī)定,其實留給用戶的選擇空間并不多。

通常情況下,用戶下載安裝完一款軟件后,在使用前需要閱讀并同意《用戶協(xié)議》和《隱私政策》。然而,各類App相關(guān)的條款內(nèi)容往往長達(dá)十?dāng)?shù)頁甚至數(shù)十頁,即使標(biāo)清了其中重點(diǎn),用戶也往往會經(jīng)不住標(biāo)紅突出的同意按鈕“誘惑”而直接選擇同意,很少有人會點(diǎn)進(jìn)去詳細(xì)閱讀各項條款。

正如網(wǎng)絡(luò)上一個流傳的段子:我已閱讀并同意用戶使用協(xié)議——是21世紀(jì)最大的謊言。此環(huán)節(jié)的“形同虛設(shè)”,也給了很多App可乘之機(jī)。

很多App安裝之后會默認(rèn)開啟一些權(quán)限,相關(guān)說明雖然會呈現(xiàn)在《用戶協(xié)議》和《隱私政策》中,但正如前文所言,大部分用戶可能根本沒有意識到有相關(guān)規(guī)定存在。

比如國內(nèi)某頭部內(nèi)容分發(fā)App上,在使用前的提示中有這樣一條描述,“你可隨時在‘設(shè)置-隱私’中關(guān)閉個性化推薦權(quán)限,僅使用App的基本功能”。也就是說,個性化推薦功能,一開始是默認(rèn)開啟的,而該功能需要調(diào)取的用戶信息可能包括網(wǎng)絡(luò)設(shè)備硬件地址、日志信息、位置權(quán)限等。

再比如此次引發(fā)輿論聲討的微信反復(fù)讀取相冊的情況中,微信會提醒設(shè)置了“只能訪問相冊部分照片”的用戶,“建議允許訪問所有照片”,但是在隱私協(xié)議中并未明確告知,用戶的整個相冊都會被頻繁讀取。

App過度索權(quán)則是另一個主要頑疾。

按照相關(guān)規(guī)定,App收集用戶信息應(yīng)該遵循“收所必需、用所必需”的基本準(zhǔn)則,所收集的信息應(yīng)該是完成用戶某項業(yè)務(wù)所必需的信息,而且這些信息應(yīng)該在合理的時間段、規(guī)定的業(yè)務(wù)范圍內(nèi)被正當(dāng)使用。

國家互聯(lián)網(wǎng)應(yīng)急中心曾發(fā)布的《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》報告指出,通過對下載量較大的千余款移動App的監(jiān)測分析發(fā)現(xiàn),每款應(yīng)用平均申請25項權(quán)限,其中申請與業(yè)務(wù)無關(guān)的撥打電話權(quán)限的App數(shù)量占比超過30%。

比如美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息,從時間上來看,這個時間段中用戶顯然不可能一直在開啟美團(tuán)使用。若是App在后臺偷偷運(yùn)行,就屬于違規(guī)索權(quán)、過度索權(quán)的一種。

再比如微信在用戶未主動激活應(yīng)用的情況下,在后臺數(shù)次讀取相冊,也存在過度索權(quán)。Hackl0us提到,用戶授權(quán)所有圖片給任何一款A(yù)pp的初衷,無非是更新頭像、發(fā)送幾張圖片,非常簡單,但微信對隱私的使用方式明顯大于或違背用戶授權(quán)相冊的初衷。

隱私是底線問題,涉及隱私的事情無小事。正如Hackl0us指出:“很多人會在相冊存放身份證、銀行卡、個人證件照等重要信息,不管微信的理由是什么,為了方便用戶發(fā)圖還是使用便捷,主動權(quán)應(yīng)該交給用戶選擇。”

隱私竊取為何屢禁不止?

大數(shù)據(jù)時代,個人隱私被不少數(shù)據(jù)科學(xué)家視為一件“在算法上不成立”的事情。

在互聯(lián)網(wǎng)上,總有人比你更了解自己。人們面對手機(jī)的時候總是異常誠實,看到喜歡的網(wǎng)頁、圖片、視頻等,總是會不由自主點(diǎn)進(jìn)去,相應(yīng)的App就擁有了最真實的用戶群體畫像。

2019年以來,國家相關(guān)部門加強(qiáng)了對App的監(jiān)管整治力度。其中,工信部自2019年11月至今,已連續(xù)兩年開展了針對App侵害用戶權(quán)益的專項整治工作,重點(diǎn)整治App違規(guī)收集和使用個人信息、過度索權(quán)、頻繁騷擾、侵害用戶權(quán)益等突出問題。

截至2021年10月15日,工信部已先后通報共19批侵害用戶權(quán)益行為的App名單,目前相關(guān)的整治行動仍在持續(xù)推進(jìn)中。

然而,用戶個人信息作為互聯(lián)網(wǎng)企業(yè)賴以生存的基石,其帶來的商業(yè)收益讓企業(yè)們欲罷不能,App們的利益與用戶個人信息保護(hù)之間的拉鋸戰(zhàn)從未停止。在工信部推進(jìn)的App整治行動過程中,反復(fù)出現(xiàn)App不配合整改,或是整改后又出現(xiàn)違規(guī)問題的情況。

2021年7月8日,工信部發(fā)文指出,已針對近期用戶反映強(qiáng)烈投訴較多的App存在“彈窗信息標(biāo)識近于無形、關(guān)閉按鈕小如螻蟻、頁面?zhèn)窝b瞞天過海、誘導(dǎo)點(diǎn)擊暗度陳倉”等問題進(jìn)行集中整治,百度、阿里、騰訊、字節(jié)跳動、新浪微博、愛奇藝等68家頭部互聯(lián)網(wǎng)企業(yè)已按要求完成整改。

但之后不久,在工信部部長信箱里,又出現(xiàn)了大量關(guān)于彈窗廣告死灰復(fù)燃的投訴信息。

圖源:工信部“部長信箱”留言信息(部分)

8月18日,工信部信息通信管理局發(fā)布《關(guān)于App違規(guī)調(diào)用通信錄、位置信息以及開屏彈窗騷擾用戶等問題“回頭看”的通報(2021年第8批,總第17批)》指出:共發(fā)現(xiàn)43款A(yù)pp仍存在問題整改不徹底、技術(shù)手段對抗、同一問題在不同地域整改不一致的情況。

10月15日,工信部再公布了96款未按時限要求完成整改的App,包括喜茶GO、驢媽媽旅游、圖吧導(dǎo)航等。

App們屢屢“頂風(fēng)作案”背后是著巨大的利益誘惑,收集到的用戶個人信息可以用于實現(xiàn)廣告精準(zhǔn)投放。

10月15日工信部消息稱,檢測中發(fā)現(xiàn)字節(jié)跳動“穿山甲”SDK、騰訊“優(yōu)量匯”SDK、快手廣告SDK問題較多。其中穿山甲是字節(jié)跳動的多平臺廣告投放系統(tǒng),而優(yōu)量匯則屬于騰訊的廣告投放系統(tǒng),本質(zhì)上扮演的是廣告中介的角色,即由商家向系統(tǒng)提出廣告需求,系統(tǒng)為商家匹配合適的廣告平臺,幫商家獲客、引流。

公開數(shù)據(jù)顯示,截至2021年5月,穿山甲已擁有55%的廣告中介市場份額,全球日活用戶超8億,合作垂直應(yīng)用10萬余款,每日廣告請求630億次;騰訊旗下優(yōu)量匯至今服務(wù)的App數(shù)量已超過10萬。

海量的個人隱私數(shù)據(jù)信息背后,已經(jīng)形成了完整的產(chǎn)業(yè)鏈條。

在今年4月,蘋果公司發(fā)布了一份旨在幫助用戶了解各款A(yù)pp如何處理用戶數(shù)據(jù)的文檔《個人數(shù)據(jù)的一天》。其中提到,過去十年來,由各類網(wǎng)站、App、社交媒體平臺、數(shù)據(jù)代理商和廣告技術(shù)公司等組成的復(fù)雜生態(tài)系統(tǒng),通過線上線下的方式跟蹤收集用戶信息并加以拼湊、分享、匯總后用于廣告實時競拍等業(yè)務(wù),已經(jīng)形成一個年產(chǎn)值高達(dá)2270億美元的產(chǎn)業(yè)。

寫在最后

李彥宏曾說:“我想中國人更加開放,對隱私問題沒有那么敏感,很多情況下他們愿意用隱私交換便利性,那我們就可以用數(shù)據(jù)做一些事情。”

對于互聯(lián)網(wǎng)企業(yè)來說,為了正常經(jīng)營,合理合規(guī)地收集用戶部分信息,有一定必要性;對于主要依靠廣告帶來收入的企業(yè),更多維、更大量的數(shù)據(jù),往往意味著更真實的用戶畫像、更精準(zhǔn)的營銷。

然而,情況已經(jīng)發(fā)生改變。將于11月1日正式施行的《個人信息保護(hù)法》,對個人信息處理原則做了詳細(xì)規(guī)定,包括法律基礎(chǔ)、個人信息處理原則、個人信息存儲期限、以及對敏感個人信息范圍、敏感個人信息處理要求等。

比如其中提到,處理個人信息的同意,應(yīng)當(dāng)由個人在充分知情的前提下,自愿、明確作出意思表示;個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個人同意。

那么,個人信息保護(hù)的加強(qiáng),對企業(yè)來說會是致命的打擊嗎?

在億歐EqualOcean聯(lián)合北拓資本發(fā)起的“MarTech月高能分享”系列活動上,美數(shù)科技CEO范昂表示,以前精準(zhǔn)營銷在灰色地帶下,能夠完全定位到個人,在隱私保護(hù)上有很大問題。但實際上的精準(zhǔn)營銷和數(shù)據(jù)應(yīng)用,并不依賴這樣的技術(shù)。所以數(shù)據(jù)安全法對于精準(zhǔn)營銷的技術(shù)沒有太大影響,但如果法條規(guī)定推薦、搜索特征不能再用,會影響到數(shù)據(jù)的使用效率。

在全新的市場和監(jiān)管環(huán)境之下,只有真正做到尊重用戶的平臺才能贏得商業(yè)競爭。App平臺們要切實按照相關(guān)規(guī)定收集和使用用戶信息,確保每次都經(jīng)過用戶的確切同意,并且要明確告訴用戶,將會怎樣使用他們的數(shù)據(jù)。

針對上述未按時限要求完成整改的App,工信部表示,依據(jù)《網(wǎng)絡(luò)安全法》等法律,將組織對96款A(yù)pp進(jìn)行下架;相關(guān)應(yīng)用商店應(yīng)在通報發(fā)布后,立即組織對名單中應(yīng)用軟件進(jìn)行下架處理。

在日常使用App時,用戶也應(yīng)樹立保護(hù)個人信息的意識,對個人隱私保護(hù)時刻提高警惕。

比如拒絕下載來歷不明的軟件,要在官方手機(jī)應(yīng)用市場下載;在App下載之后的安裝環(huán)節(jié),要注意看相關(guān)的用戶協(xié)議和隱私條款,謹(jǐn)慎授予讀取信息、查看通訊錄、讀取相機(jī)圖片、讀取定位信息等權(quán)限;在網(wǎng)絡(luò)購物時要謹(jǐn)慎填寫個人信息,尤其是涉及個人身份、工作、地址等地敏感信息;退出手機(jī)應(yīng)用程序時,一定要確保徹底退出,以防軟件在后臺偷偷運(yùn)行;不要把各類App設(shè)置為“自動登錄”,并且要定期更換密碼……

本文來源于億歐,原創(chuàng)文章,作者:林澤玲。轉(zhuǎn)載或合作請點(diǎn)擊轉(zhuǎn)載說明,違規(guī)轉(zhuǎn)載法律必究。