文|胡小鳳 林澤玲

編輯|顧彥

從某個時候開始,人們發現,手機里的App們變得比自己還懂自己。

比如剛跟閨蜜聊完某個牌子的護膚品,轉頭就在多個購物App上發現相關的產品推薦;跟久不見面的朋友提了一嘴結婚的事,隔天各類社交平臺就閃現著婚禮廣告……

這樣的情景,相信很多人并不陌生。大數據時代,用戶個人信息被各類平臺非法獲取、不合規使用的情況普遍存在。

過去幾年,無論是個人層面還是國家層面,對個人信息保護越來越重視。自2019年以來,工信部連續開展針對App侵害用戶權益的專項整治工作,重點整治App存在的“違規收集個人信息、過度索權、頻繁騷擾、侵害用戶權益”等問題。

不過,App違規事件依然時有發生。

近日,微信、QQ、淘寶、美團等頭部App接連被曝出存在“后臺讀取相冊”、“24小時連續獲取定位”等涉嫌竊取用戶隱私信息的情況,引發輿論聲討,也再次挑動了人們關于個人隱私保護的神經。

iOS15引發的風波

10月8日,微博用戶@Hackl0us爆料指出, 微信、QQ、淘寶等多款App存在“后臺反復讀取用戶相冊”的情況。

根據該條微博內容,有用戶在使用了iOS15帶有的“記錄App活動”功能后發現,微信在用戶未主動激活應用的情況下,在后臺數次讀取相冊,每次讀取時間長達40秒至1分鐘不等。后續多位網友反映,QQ、淘寶、微博等多款App均有后臺頻繁讀取用戶相冊的行為。

圖源:微博用戶@Hackl0us

微信針對該事件回應稱,iOS系統為App開發者提供相冊更新通知標準能力,相冊發生內容更新時會通知到App,提醒App可以提前做準備,App的該準備行為會被記錄成讀取系統相冊。而微信使用該系統能力,是為了讓用戶獲得更為快速流暢的發送圖片體驗。

同時微信也表示,上述行為均僅在手機本地完成,最新版本中將取消對該系統能力的使用,優化快速發圖功能。

但此次爆料的微博用戶@Hackl0us在10月9日公開的材料中提到,要實現“快捷發圖”這一功能完全可以用簡單的方法,而不需要像微信這樣“為了快捷選圖,就在后臺一直預處理”。

微信的回應沒能打消用戶們的疑慮。大家對該事件的疑問主要集中在兩個方面,其一是,“實現快捷發圖”是否必然得通過后臺預處理的方式才能實現?其二是,為什么用戶在沒有啟用App的情況下微信也在后臺“讀取相冊”?

微信“后臺讀取相冊”風波尚未平息,美團也被曝出不合理讀取用戶數據的情況。

10月10日上午,微博用戶@軒寧軒Sir發文稱“美團App連續24小時定位我,每5分鐘一次”。從該用戶提供的錄屏視頻可以看到,后臺記錄顯示,美團App以5分鐘為間隔,從凌晨到深夜持續索取定位信息。

之后,也有多位網友在評論區反映,微信、QQ、知乎、淘寶、拼多多等App都出現在后臺進行反復獲取定位的情況。

圖源:微博號@軒寧軒Sir

無論是美團App的“24小時連續定位”,還是微信在后臺“反復讀取相冊”,該類現象的發現都是基于蘋果iOS15系統新增的“記錄App活動”功能。蘋果手機用戶開啟“記錄App活動”之后,再下載一款名為“隱私洞見”的App,借助該App將隱私報告可視化,即能看到類似上文所展示的監控信息。

10月11日,一位美團工程師進行了公開回應,稱上述情況的出現是因為這類軟件在單方面讀取系統操作日志后,進行了選擇性展示。該工程師還表示,經測試,在相關權限開啟且App后臺仍處于活躍狀態時,大部分主流App均會被該軟件檢測出頻繁讀取用戶信息,且監測結果高度相似。

上述工程師還提示,該款讀取iOS15系統日志的軟件系境外人員研發,其安全性和保密性還有待專業機構檢測,建議大家謹慎下載。但億歐EqualOcean查詢發現,這款名為“隱私洞見”的App,開發者為?Inkwire Tech(Hangzhou)Co．,Ltd．。天眼查信息顯示,該公司關聯企業為映快科技(杭州)有限公司。

圖源:App商城

“隱私洞見”版本介紹頁面顯示,“隱私洞見不是Apple產品,亦與Apple,Inc．無關聯”,其中提到該軟件作者為“Shibo Lyu”。“Shibo Lyu”的GitHub個人網站介紹顯示,其姓名為呂世博,2019年在杭電助手的業務需要下聯合創辦映快科技,呂世博持有映快科技(杭州)有限公司20%的股份。

圖源:“隱私洞見”App

目前涉事的企業中,僅有微信和美團給出回應,兩者堅稱并不存在侵犯用戶隱私行為。由于事件涉及的iOS15系統“記錄App活動”功能的準確性尚不能確定,各方爭議還沒有最后的定論。

但微信、美團等眾多App出現此類后臺操作現象,無疑讓用戶再次提高了App隱私保護問題的警惕。

“形同虛設”的條款

App泄露用戶個人信息、竊取用戶隱私數據并非新鮮事,但此次借由蘋果系統這個新功能,App們在后臺的一舉一動展露無疑,也著實讓不少用戶大吃一驚。

其實在我國,針對手機App過度搜集個人信息現象,已相繼出臺了《信息安全技術個人信息安全規范》和《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》等,對App超范圍收集、強制授權、過度索權等個人信息安全問題作了明確規定。

不過,眾多App輕視法規、打擦邊球等情況仍廣泛存在。

無論是條款內容冗長甚至難以理解的《用戶協議》和《隱私政策》,還是使用過程中不斷出現的權限索取,App們各類看似尊重用戶的規定,其實留給用戶的選擇空間并不多。

通常情況下,用戶下載安裝完一款軟件后,在使用前需要閱讀并同意《用戶協議》和《隱私政策》。然而,各類App相關的條款內容往往長達十數頁甚至數十頁,即使標清了其中重點,用戶也往往會經不住標紅突出的同意按鈕“誘惑”而直接選擇同意,很少有人會點進去詳細閱讀各項條款。

正如網絡上一個流傳的段子:我已閱讀并同意用戶使用協議——是21世紀最大的謊言。此環節的“形同虛設”,也給了很多App可乘之機。

很多App安裝之后會默認開啟一些權限,相關說明雖然會呈現在《用戶協議》和《隱私政策》中,但正如前文所言,大部分用戶可能根本沒有意識到有相關規定存在。

比如國內某頭部內容分發App上,在使用前的提示中有這樣一條描述,“你可隨時在‘設置-隱私’中關閉個性化推薦權限,僅使用App的基本功能”。也就是說,個性化推薦功能,一開始是默認開啟的,而該功能需要調取的用戶信息可能包括網絡設備硬件地址、日志信息、位置權限等。

再比如此次引發輿論聲討的微信反復讀取相冊的情況中,微信會提醒設置了“只能訪問相冊部分照片”的用戶,“建議允許訪問所有照片”,但是在隱私協議中并未明確告知,用戶的整個相冊都會被頻繁讀取。

App過度索權則是另一個主要頑疾。

按照相關規定,App收集用戶信息應該遵循“收所必需、用所必需”的基本準則,所收集的信息應該是完成用戶某項業務所必需的信息,而且這些信息應該在合理的時間段、規定的業務范圍內被正當使用。

國家互聯網應急中心曾發布的《2019年上半年我國互聯網網絡安全態勢》報告指出,通過對下載量較大的千余款移動App的監測分析發現,每款應用平均申請25項權限,其中申請與業務無關的撥打電話權限的App數量占比超過30%。

比如美團App以5分鐘為間隔,從凌晨到深夜持續索取定位信息,從時間上來看,這個時間段中用戶顯然不可能一直在開啟美團使用。若是App在后臺偷偷運行,就屬于違規索權、過度索權的一種。

再比如微信在用戶未主動激活應用的情況下,在后臺數次讀取相冊,也存在過度索權。Hackl0us提到,用戶授權所有圖片給任何一款App的初衷,無非是更新頭像、發送幾張圖片,非常簡單,但微信對隱私的使用方式明顯大于或違背用戶授權相冊的初衷。

隱私是底線問題,涉及隱私的事情無小事。正如Hackl0us指出:“很多人會在相冊存放身份證、銀行卡、個人證件照等重要信息,不管微信的理由是什么,為了方便用戶發圖還是使用便捷,主動權應該交給用戶選擇。”

隱私竊取為何屢禁不止?

大數據時代,個人隱私被不少數據科學家視為一件“在算法上不成立”的事情。

在互聯網上,總有人比你更了解自己。人們面對手機的時候總是異常誠實,看到喜歡的網頁、圖片、視頻等,總是會不由自主點進去,相應的App就擁有了最真實的用戶群體畫像。

2019年以來,國家相關部門加強了對App的監管整治力度。其中,工信部自2019年11月至今,已連續兩年開展了針對App侵害用戶權益的專項整治工作,重點整治App違規收集和使用個人信息、過度索權、頻繁騷擾、侵害用戶權益等突出問題。

截至2021年10月15日,工信部已先后通報共19批侵害用戶權益行為的App名單,目前相關的整治行動仍在持續推進中。

然而,用戶個人信息作為互聯網企業賴以生存的基石,其帶來的商業收益讓企業們欲罷不能,App們的利益與用戶個人信息保護之間的拉鋸戰從未停止。在工信部推進的App整治行動過程中,反復出現App不配合整改,或是整改后又出現違規問題的情況。

2021年7月8日,工信部發文指出,已針對近期用戶反映強烈投訴較多的App存在“彈窗信息標識近于無形、關閉按鈕小如螻蟻、頁面偽裝瞞天過海、誘導點擊暗度陳倉”等問題進行集中整治,百度、阿里、騰訊、字節跳動、新浪微博、愛奇藝等68家頭部互聯網企業已按要求完成整改。

但之后不久,在工信部部長信箱里,又出現了大量關于彈窗廣告死灰復燃的投訴信息。

圖源:工信部“部長信箱”留言信息(部分)

8月18日,工信部信息通信管理局發布《關于App違規調用通信錄、位置信息以及開屏彈窗騷擾用戶等問題“回頭看”的通報(2021年第8批,總第17批)》指出:共發現43款App仍存在問題整改不徹底、技術手段對抗、同一問題在不同地域整改不一致的情況。

10月15日,工信部再公布了96款未按時限要求完成整改的App,包括喜茶GO、驢媽媽旅游、圖吧導航等。

App們屢屢“頂風作案”背后是著巨大的利益誘惑,收集到的用戶個人信息可以用于實現廣告精準投放。

10月15日工信部消息稱,檢測中發現字節跳動“穿山甲”SDK、騰訊“優量匯”SDK、快手廣告SDK問題較多。其中穿山甲是字節跳動的多平臺廣告投放系統,而優量匯則屬于騰訊的廣告投放系統,本質上扮演的是廣告中介的角色,即由商家向系統提出廣告需求,系統為商家匹配合適的廣告平臺,幫商家獲客、引流。

公開數據顯示,截至2021年5月,穿山甲已擁有55%的廣告中介市場份額,全球日活用戶超8億,合作垂直應用10萬余款,每日廣告請求630億次;騰訊旗下優量匯至今服務的App數量已超過10萬。

海量的個人隱私數據信息背后,已經形成了完整的產業鏈條。

在今年4月,蘋果公司發布了一份旨在幫助用戶了解各款App如何處理用戶數據的文檔《個人數據的一天》。其中提到,過去十年來,由各類網站、App、社交媒體平臺、數據代理商和廣告技術公司等組成的復雜生態系統,通過線上線下的方式跟蹤收集用戶信息并加以拼湊、分享、匯總后用于廣告實時競拍等業務,已經形成一個年產值高達2270億美元的產業。

寫在最后

李彥宏曾說:“我想中國人更加開放,對隱私問題沒有那么敏感,很多情況下他們愿意用隱私交換便利性,那我們就可以用數據做一些事情。”

對于互聯網企業來說,為了正常經營,合理合規地收集用戶部分信息,有一定必要性;對于主要依靠廣告帶來收入的企業,更多維、更大量的數據,往往意味著更真實的用戶畫像、更精準的營銷。

然而,情況已經發生改變。將于11月1日正式施行的《個人信息保護法》,對個人信息處理原則做了詳細規定,包括法律基礎、個人信息處理原則、個人信息存儲期限、以及對敏感個人信息范圍、敏感個人信息處理要求等。

比如其中提到,處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示;個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。

那么,個人信息保護的加強,對企業來說會是致命的打擊嗎?

在億歐EqualOcean聯合北拓資本發起的“MarTech月高能分享”系列活動上,美數科技CEO范昂表示,以前精準營銷在灰色地帶下,能夠完全定位到個人,在隱私保護上有很大問題。但實際上的精準營銷和數據應用,并不依賴這樣的技術。所以數據安全法對于精準營銷的技術沒有太大影響,但如果法條規定推薦、搜索特征不能再用,會影響到數據的使用效率。

在全新的市場和監管環境之下,只有真正做到尊重用戶的平臺才能贏得商業競爭。App平臺們要切實按照相關規定收集和使用用戶信息,確保每次都經過用戶的確切同意,并且要明確告訴用戶,將會怎樣使用他們的數據。

針對上述未按時限要求完成整改的App,工信部表示,依據《網絡安全法》等法律,將組織對96款App進行下架;相關應用商店應在通報發布后,立即組織對名單中應用軟件進行下架處理。

在日常使用App時,用戶也應樹立保護個人信息的意識,對個人隱私保護時刻提高警惕。

比如拒絕下載來歷不明的軟件,要在官方手機應用市場下載;在App下載之后的安裝環節,要注意看相關的用戶協議和隱私條款,謹慎授予讀取信息、查看通訊錄、讀取相機圖片、讀取定位信息等權限;在網絡購物時要謹慎填寫個人信息,尤其是涉及個人身份、工作、地址等地敏感信息;退出手機應用程序時,一定要確保徹底退出,以防軟件在后臺偷偷運行;不要把各類App設置為“自動登錄”,并且要定期更換密碼……

本文來源于億歐,原創文章,作者:林澤玲。轉載或合作請點擊轉載說明,違規轉載法律必究。