文|胡小鳳 林澤玲

編輯|顧彥

從某個(gè)時(shí)候開(kāi)始,人們發(fā)現(xiàn),手機(jī)里的App們變得比自己還懂自己。

比如剛跟閨蜜聊完某個(gè)牌子的護(hù)膚品,轉(zhuǎn)頭就在多個(gè)購(gòu)物App上發(fā)現(xiàn)相關(guān)的產(chǎn)品推薦;跟久不見(jiàn)面的朋友提了一嘴結(jié)婚的事,隔天各類(lèi)社交平臺(tái)就閃現(xiàn)著婚禮廣告……

這樣的情景,相信很多人并不陌生。大數(shù)據(jù)時(shí)代,用戶個(gè)人信息被各類(lèi)平臺(tái)非法獲取、不合規(guī)使用的情況普遍存在。

過(guò)去幾年,無(wú)論是個(gè)人層面還是國(guó)家層面,對(duì)個(gè)人信息保護(hù)越來(lái)越重視。自2019年以來(lái),工信部連續(xù)開(kāi)展針對(duì)App侵害用戶權(quán)益的專(zhuān)項(xiàng)整治工作,重點(diǎn)整治App存在的“違規(guī)收集個(gè)人信息、過(guò)度索權(quán)、頻繁騷擾、侵害用戶權(quán)益”等問(wèn)題。

不過(guò),App違規(guī)事件依然時(shí)有發(fā)生。

近日,微信、QQ、淘寶、美團(tuán)等頭部App接連被曝出存在“后臺(tái)讀取相冊(cè)”、“24小時(shí)連續(xù)獲取定位”等涉嫌竊取用戶隱私信息的情況,引發(fā)輿論聲討,也再次挑動(dòng)了人們關(guān)于個(gè)人隱私保護(hù)的神經(jīng)。

iOS15引發(fā)的風(fēng)波

10月8日,微博用戶@Hackl0us爆料指出, 微信、QQ、淘寶等多款A(yù)pp存在“后臺(tái)反復(fù)讀取用戶相冊(cè)”的情況。

根據(jù)該條微博內(nèi)容,有用戶在使用了iOS15帶有的“記錄App活動(dòng)”功能后發(fā)現(xiàn),微信在用戶未主動(dòng)激活應(yīng)用的情況下,在后臺(tái)數(shù)次讀取相冊(cè),每次讀取時(shí)間長(zhǎng)達(dá)40秒至1分鐘不等。后續(xù)多位網(wǎng)友反映,QQ、淘寶、微博等多款A(yù)pp均有后臺(tái)頻繁讀取用戶相冊(cè)的行為。

圖源:微博用戶@Hackl0us

微信針對(duì)該事件回應(yīng)稱(chēng),iOS系統(tǒng)為App開(kāi)發(fā)者提供相冊(cè)更新通知標(biāo)準(zhǔn)能力,相冊(cè)發(fā)生內(nèi)容更新時(shí)會(huì)通知到App,提醒App可以提前做準(zhǔn)備,App的該準(zhǔn)備行為會(huì)被記錄成讀取系統(tǒng)相冊(cè)。而微信使用該系統(tǒng)能力,是為了讓用戶獲得更為快速流暢的發(fā)送圖片體驗(yàn)。

同時(shí)微信也表示,上述行為均僅在手機(jī)本地完成,最新版本中將取消對(duì)該系統(tǒng)能力的使用,優(yōu)化快速發(fā)圖功能。

但此次爆料的微博用戶@Hackl0us在10月9日公開(kāi)的材料中提到,要實(shí)現(xiàn)“快捷發(fā)圖”這一功能完全可以用簡(jiǎn)單的方法,而不需要像微信這樣“為了快捷選圖,就在后臺(tái)一直預(yù)處理”。

微信的回應(yīng)沒(méi)能打消用戶們的疑慮。大家對(duì)該事件的疑問(wèn)主要集中在兩個(gè)方面,其一是,“實(shí)現(xiàn)快捷發(fā)圖”是否必然得通過(guò)后臺(tái)預(yù)處理的方式才能實(shí)現(xiàn)?其二是,為什么用戶在沒(méi)有啟用App的情況下微信也在后臺(tái)“讀取相冊(cè)”?

微信“后臺(tái)讀取相冊(cè)”風(fēng)波尚未平息,美團(tuán)也被曝出不合理讀取用戶數(shù)據(jù)的情況。

10月10日上午,微博用戶@軒寧軒Sir發(fā)文稱(chēng)“美團(tuán)App連續(xù)24小時(shí)定位我,每5分鐘一次”。從該用戶提供的錄屏視頻可以看到,后臺(tái)記錄顯示,美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息。

之后,也有多位網(wǎng)友在評(píng)論區(qū)反映,微信、QQ、知乎、淘寶、拼多多等App都出現(xiàn)在后臺(tái)進(jìn)行反復(fù)獲取定位的情況。

圖源:微博號(hào)@軒寧軒Sir

無(wú)論是美團(tuán)App的“24小時(shí)連續(xù)定位”,還是微信在后臺(tái)“反復(fù)讀取相冊(cè)”,該類(lèi)現(xiàn)象的發(fā)現(xiàn)都是基于蘋(píng)果iOS15系統(tǒng)新增的“記錄App活動(dòng)”功能。蘋(píng)果手機(jī)用戶開(kāi)啟“記錄App活動(dòng)”之后,再下載一款名為“隱私洞見(jiàn)”的App,借助該App將隱私報(bào)告可視化,即能看到類(lèi)似上文所展示的監(jiān)控信息。

10月11日,一位美團(tuán)工程師進(jìn)行了公開(kāi)回應(yīng),稱(chēng)上述情況的出現(xiàn)是因?yàn)檫@類(lèi)軟件在單方面讀取系統(tǒng)操作日志后,進(jìn)行了選擇性展示。該工程師還表示,經(jīng)測(cè)試,在相關(guān)權(quán)限開(kāi)啟且App后臺(tái)仍處于活躍狀態(tài)時(shí),大部分主流App均會(huì)被該軟件檢測(cè)出頻繁讀取用戶信息,且監(jiān)測(cè)結(jié)果高度相似。

上述工程師還提示,該款讀取iOS15系統(tǒng)日志的軟件系境外人員研發(fā),其安全性和保密性還有待專(zhuān)業(yè)機(jī)構(gòu)檢測(cè),建議大家謹(jǐn)慎下載。但億歐EqualOcean查詢發(fā)現(xiàn),這款名為“隱私洞見(jiàn)”的App,開(kāi)發(fā)者為?Inkwire Tech(Hangzhou)Co．,Ltd．。天眼查信息顯示,該公司關(guān)聯(lián)企業(yè)為映快科技(杭州)有限公司。

圖源:App商城

“隱私洞見(jiàn)”版本介紹頁(yè)面顯示,“隱私洞見(jiàn)不是Apple產(chǎn)品,亦與Apple,Inc．無(wú)關(guān)聯(lián)”,其中提到該軟件作者為“Shibo Lyu”。“Shibo Lyu”的GitHub個(gè)人網(wǎng)站介紹顯示,其姓名為呂世博,2019年在杭電助手的業(yè)務(wù)需要下聯(lián)合創(chuàng)辦映快科技,呂世博持有映快科技(杭州)有限公司20%的股份。

圖源:“隱私洞見(jiàn)”App

目前涉事的企業(yè)中,僅有微信和美團(tuán)給出回應(yīng),兩者堅(jiān)稱(chēng)并不存在侵犯用戶隱私行為。由于事件涉及的iOS15系統(tǒng)“記錄App活動(dòng)”功能的準(zhǔn)確性尚不能確定,各方爭(zhēng)議還沒(méi)有最后的定論。

但微信、美團(tuán)等眾多App出現(xiàn)此類(lèi)后臺(tái)操作現(xiàn)象,無(wú)疑讓用戶再次提高了App隱私保護(hù)問(wèn)題的警惕。

“形同虛設(shè)”的條款

App泄露用戶個(gè)人信息、竊取用戶隱私數(shù)據(jù)并非新鮮事,但此次借由蘋(píng)果系統(tǒng)這個(gè)新功能,App們?cè)诤笈_(tái)的一舉一動(dòng)展露無(wú)疑,也著實(shí)讓不少用戶大吃一驚。

其實(shí)在我國(guó),針對(duì)手機(jī)App過(guò)度搜集個(gè)人信息現(xiàn)象,已相繼出臺(tái)了《信息安全技術(shù)個(gè)人信息安全規(guī)范》和《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》等,對(duì)App超范圍收集、強(qiáng)制授權(quán)、過(guò)度索權(quán)等個(gè)人信息安全問(wèn)題作了明確規(guī)定。

不過(guò),眾多App輕視法規(guī)、打擦邊球等情況仍廣泛存在。

無(wú)論是條款內(nèi)容冗長(zhǎng)甚至難以理解的《用戶協(xié)議》和《隱私政策》,還是使用過(guò)程中不斷出現(xiàn)的權(quán)限索取,App們各類(lèi)看似尊重用戶的規(guī)定,其實(shí)留給用戶的選擇空間并不多。

通常情況下,用戶下載安裝完一款軟件后,在使用前需要閱讀并同意《用戶協(xié)議》和《隱私政策》。然而,各類(lèi)App相關(guān)的條款內(nèi)容往往長(zhǎng)達(dá)十?dāng)?shù)頁(yè)甚至數(shù)十頁(yè),即使標(biāo)清了其中重點(diǎn),用戶也往往會(huì)經(jīng)不住標(biāo)紅突出的同意按鈕“誘惑”而直接選擇同意,很少有人會(huì)點(diǎn)進(jìn)去詳細(xì)閱讀各項(xiàng)條款。

正如網(wǎng)絡(luò)上一個(gè)流傳的段子:我已閱讀并同意用戶使用協(xié)議——是21世紀(jì)最大的謊言。此環(huán)節(jié)的“形同虛設(shè)”,也給了很多App可乘之機(jī)。

很多App安裝之后會(huì)默認(rèn)開(kāi)啟一些權(quán)限,相關(guān)說(shuō)明雖然會(huì)呈現(xiàn)在《用戶協(xié)議》和《隱私政策》中,但正如前文所言,大部分用戶可能根本沒(méi)有意識(shí)到有相關(guān)規(guī)定存在。

比如國(guó)內(nèi)某頭部?jī)?nèi)容分發(fā)App上,在使用前的提示中有這樣一條描述,“你可隨時(shí)在‘設(shè)置-隱私’中關(guān)閉個(gè)性化推薦權(quán)限,僅使用App的基本功能”。也就是說(shuō),個(gè)性化推薦功能,一開(kāi)始是默認(rèn)開(kāi)啟的,而該功能需要調(diào)取的用戶信息可能包括網(wǎng)絡(luò)設(shè)備硬件地址、日志信息、位置權(quán)限等。

再比如此次引發(fā)輿論聲討的微信反復(fù)讀取相冊(cè)的情況中,微信會(huì)提醒設(shè)置了“只能訪問(wèn)相冊(cè)部分照片”的用戶,“建議允許訪問(wèn)所有照片”,但是在隱私協(xié)議中并未明確告知,用戶的整個(gè)相冊(cè)都會(huì)被頻繁讀取。

App過(guò)度索權(quán)則是另一個(gè)主要頑疾。

按照相關(guān)規(guī)定,App收集用戶信息應(yīng)該遵循“收所必需、用所必需”的基本準(zhǔn)則,所收集的信息應(yīng)該是完成用戶某項(xiàng)業(yè)務(wù)所必需的信息,而且這些信息應(yīng)該在合理的時(shí)間段、規(guī)定的業(yè)務(wù)范圍內(nèi)被正當(dāng)使用。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心曾發(fā)布的《2019年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》報(bào)告指出,通過(guò)對(duì)下載量較大的千余款移動(dòng)App的監(jiān)測(cè)分析發(fā)現(xiàn),每款應(yīng)用平均申請(qǐng)25項(xiàng)權(quán)限,其中申請(qǐng)與業(yè)務(wù)無(wú)關(guān)的撥打電話權(quán)限的App數(shù)量占比超過(guò)30%。

比如美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息,從時(shí)間上來(lái)看,這個(gè)時(shí)間段中用戶顯然不可能一直在開(kāi)啟美團(tuán)使用。若是App在后臺(tái)偷偷運(yùn)行,就屬于違規(guī)索權(quán)、過(guò)度索權(quán)的一種。

再比如微信在用戶未主動(dòng)激活應(yīng)用的情況下,在后臺(tái)數(shù)次讀取相冊(cè),也存在過(guò)度索權(quán)。Hackl0us提到,用戶授權(quán)所有圖片給任何一款A(yù)pp的初衷,無(wú)非是更新頭像、發(fā)送幾張圖片,非常簡(jiǎn)單,但微信對(duì)隱私的使用方式明顯大于或違背用戶授權(quán)相冊(cè)的初衷。

隱私是底線問(wèn)題,涉及隱私的事情無(wú)小事。正如Hackl0us指出:“很多人會(huì)在相冊(cè)存放身份證、銀行卡、個(gè)人證件照等重要信息,不管微信的理由是什么,為了方便用戶發(fā)圖還是使用便捷,主動(dòng)權(quán)應(yīng)該交給用戶選擇�！�

隱私竊取為何屢禁不止?

大數(shù)據(jù)時(shí)代,個(gè)人隱私被不少數(shù)據(jù)科學(xué)家視為一件“在算法上不成立”的事情。

在互聯(lián)網(wǎng)上,總有人比你更了解自己。人們面對(duì)手機(jī)的時(shí)候總是異常誠(chéng)實(shí),看到喜歡的網(wǎng)頁(yè)、圖片、視頻等,總是會(huì)不由自主點(diǎn)進(jìn)去,相應(yīng)的App就擁有了最真實(shí)的用戶群體畫(huà)像。

2019年以來(lái),國(guó)家相關(guān)部門(mén)加強(qiáng)了對(duì)App的監(jiān)管整治力度。其中,工信部自2019年11月至今,已連續(xù)兩年開(kāi)展了針對(duì)App侵害用戶權(quán)益的專(zhuān)項(xiàng)整治工作,重點(diǎn)整治App違規(guī)收集和使用個(gè)人信息、過(guò)度索權(quán)、頻繁騷擾、侵害用戶權(quán)益等突出問(wèn)題。

截至2021年10月15日,工信部已先后通報(bào)共19批侵害用戶權(quán)益行為的App名單,目前相關(guān)的整治行動(dòng)仍在持續(xù)推進(jìn)中。

然而,用戶個(gè)人信息作為互聯(lián)網(wǎng)企業(yè)賴以生存的基石,其帶來(lái)的商業(yè)收益讓企業(yè)們欲罷不能,App們的利益與用戶個(gè)人信息保護(hù)之間的拉鋸戰(zhàn)從未停止。在工信部推進(jìn)的App整治行動(dòng)過(guò)程中,反復(fù)出現(xiàn)App不配合整改,或是整改后又出現(xiàn)違規(guī)問(wèn)題的情況。

2021年7月8日,工信部發(fā)文指出,已針對(duì)近期用戶反映強(qiáng)烈投訴較多的App存在“彈窗信息標(biāo)識(shí)近于無(wú)形、關(guān)閉按鈕小如螻蟻、頁(yè)面?zhèn)窝b瞞天過(guò)海、誘導(dǎo)點(diǎn)擊暗度陳倉(cāng)”等問(wèn)題進(jìn)行集中整治,百度、阿里、騰訊、字節(jié)跳動(dòng)、新浪微博、愛(ài)奇藝等68家頭部互聯(lián)網(wǎng)企業(yè)已按要求完成整改。

但之后不久,在工信部部長(zhǎng)信箱里,又出現(xiàn)了大量關(guān)于彈窗廣告死灰復(fù)燃的投訴信息。

圖源:工信部“部長(zhǎng)信箱”留言信息(部分)

8月18日,工信部信息通信管理局發(fā)布《關(guān)于App違規(guī)調(diào)用通信錄、位置信息以及開(kāi)屏彈窗騷擾用戶等問(wèn)題“回頭看”的通報(bào)(2021年第8批,總第17批)》指出:共發(fā)現(xiàn)43款A(yù)pp仍存在問(wèn)題整改不徹底、技術(shù)手段對(duì)抗、同一問(wèn)題在不同地域整改不一致的情況。

10月15日,工信部再公布了96款未按時(shí)限要求完成整改的App,包括喜茶GO、驢媽媽旅游、圖吧導(dǎo)航等。

App們屢屢“頂風(fēng)作案”背后是著巨大的利益誘惑,收集到的用戶個(gè)人信息可以用于實(shí)現(xiàn)廣告精準(zhǔn)投放。

10月15日工信部消息稱(chēng),檢測(cè)中發(fā)現(xiàn)字節(jié)跳動(dòng)“穿山甲”SDK、騰訊“優(yōu)量匯”SDK、快手廣告SDK問(wèn)題較多。其中穿山甲是字節(jié)跳動(dòng)的多平臺(tái)廣告投放系統(tǒng),而優(yōu)量匯則屬于騰訊的廣告投放系統(tǒng),本質(zhì)上扮演的是廣告中介的角色,即由商家向系統(tǒng)提出廣告需求,系統(tǒng)為商家匹配合適的廣告平臺(tái),幫商家獲客、引流。

公開(kāi)數(shù)據(jù)顯示,截至2021年5月,穿山甲已擁有55%的廣告中介市場(chǎng)份額,全球日活用戶超8億,合作垂直應(yīng)用10萬(wàn)余款,每日廣告請(qǐng)求630億次;騰訊旗下優(yōu)量匯至今服務(wù)的App數(shù)量已超過(guò)10萬(wàn)。

海量的個(gè)人隱私數(shù)據(jù)信息背后,已經(jīng)形成了完整的產(chǎn)業(yè)鏈條。

在今年4月,蘋(píng)果公司發(fā)布了一份旨在幫助用戶了解各款A(yù)pp如何處理用戶數(shù)據(jù)的文檔《個(gè)人數(shù)據(jù)的一天》。其中提到,過(guò)去十年來(lái),由各類(lèi)網(wǎng)站、App、社交媒體平臺(tái)、數(shù)據(jù)代理商和廣告技術(shù)公司等組成的復(fù)雜生態(tài)系統(tǒng),通過(guò)線上線下的方式跟蹤收集用戶信息并加以拼湊、分享、匯總后用于廣告實(shí)時(shí)競(jìng)拍等業(yè)務(wù),已經(jīng)形成一個(gè)年產(chǎn)值高達(dá)2270億美元的產(chǎn)業(yè)。

寫(xiě)在最后

李彥宏曾說(shuō):“我想中國(guó)人更加開(kāi)放,對(duì)隱私問(wèn)題沒(méi)有那么敏感,很多情況下他們?cè)敢庥秒[私交換便利性,那我們就可以用數(shù)據(jù)做一些事情�！�

對(duì)于互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),為了正常經(jīng)營(yíng),合理合規(guī)地收集用戶部分信息,有一定必要性;對(duì)于主要依靠廣告帶來(lái)收入的企業(yè),更多維、更大量的數(shù)據(jù),往往意味著更真實(shí)的用戶畫(huà)像、更精準(zhǔn)的營(yíng)銷(xiāo)。

然而,情況已經(jīng)發(fā)生改變。將于11月1日正式施行的《個(gè)人信息保護(hù)法》,對(duì)個(gè)人信息處理原則做了詳細(xì)規(guī)定,包括法律基礎(chǔ)、個(gè)人信息處理原則、個(gè)人信息存儲(chǔ)期限、以及對(duì)敏感個(gè)人信息范圍、敏感個(gè)人信息處理要求等。

比如其中提到,處理個(gè)人信息的同意,應(yīng)當(dāng)由個(gè)人在充分知情的前提下,自愿、明確作出意思表示;個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意。

那么,個(gè)人信息保護(hù)的加強(qiáng),對(duì)企業(yè)來(lái)說(shuō)會(huì)是致命的打擊嗎?

在億歐EqualOcean聯(lián)合北拓資本發(fā)起的“MarTech月高能分享”系列活動(dòng)上,美數(shù)科技CEO范昂表示,以前精準(zhǔn)營(yíng)銷(xiāo)在灰色地帶下,能夠完全定位到個(gè)人,在隱私保護(hù)上有很大問(wèn)題。但實(shí)際上的精準(zhǔn)營(yíng)銷(xiāo)和數(shù)據(jù)應(yīng)用,并不依賴這樣的技術(shù)。所以數(shù)據(jù)安全法對(duì)于精準(zhǔn)營(yíng)銷(xiāo)的技術(shù)沒(méi)有太大影響,但如果法條規(guī)定推薦、搜索特征不能再用,會(huì)影響到數(shù)據(jù)的使用效率。

在全新的市場(chǎng)和監(jiān)管環(huán)境之下,只有真正做到尊重用戶的平臺(tái)才能贏得商業(yè)競(jìng)爭(zhēng)。App平臺(tái)們要切實(shí)按照相關(guān)規(guī)定收集和使用用戶信息,確保每次都經(jīng)過(guò)用戶的確切同意,并且要明確告訴用戶,將會(huì)怎樣使用他們的數(shù)據(jù)。

針對(duì)上述未按時(shí)限要求完成整改的App,工信部表示,依據(jù)《網(wǎng)絡(luò)安全法》等法律,將組織對(duì)96款A(yù)pp進(jìn)行下架;相關(guān)應(yīng)用商店應(yīng)在通報(bào)發(fā)布后,立即組織對(duì)名單中應(yīng)用軟件進(jìn)行下架處理。

在日常使用App時(shí),用戶也應(yīng)樹(shù)立保護(hù)個(gè)人信息的意識(shí),對(duì)個(gè)人隱私保護(hù)時(shí)刻提高警惕。

比如拒絕下載來(lái)歷不明的軟件,要在官方手機(jī)應(yīng)用市場(chǎng)下載;在App下載之后的安裝環(huán)節(jié),要注意看相關(guān)的用戶協(xié)議和隱私條款,謹(jǐn)慎授予讀取信息、查看通訊錄、讀取相機(jī)圖片、讀取定位信息等權(quán)限;在網(wǎng)絡(luò)購(gòu)物時(shí)要謹(jǐn)慎填寫(xiě)個(gè)人信息,尤其是涉及個(gè)人身份、工作、地址等地敏感信息;退出手機(jī)應(yīng)用程序時(shí),一定要確保徹底退出,以防軟件在后臺(tái)偷偷運(yùn)行;不要把各類(lèi)App設(shè)置為“自動(dòng)登錄”,并且要定期更換密碼……

本文來(lái)源于億歐,原創(chuàng)文章,作者:林澤玲。轉(zhuǎn)載或合作請(qǐng)點(diǎn)擊轉(zhuǎn)載說(shuō)明,違規(guī)轉(zhuǎn)載法律必究。