近日,微信、QQ、淘寶、美團等頭部 App 接連被曝出存在 " 后臺讀取相冊 "、"24 小時連續獲取定位 " 等涉嫌竊取用戶隱私信息的情況,引發輿論聲討,也再次挑動了人們關于個人隱私保護的神經。
iOS15 引發的風波
10 月 8 日,微博用戶 @Hackl0us 爆料指出, 微信、QQ、淘寶等多款 App 存在 " 后臺反復讀取用戶相冊 " 的情況。
根據該條微博內容,有用戶在使用了 iOS15 帶有的 " 記錄 App 活動 " 功能后發現,微信在用戶未主動激活應用的情況下,在后臺數次讀取相冊,每次讀取時間長達 40 秒至 1 分鐘不等。后續多位網友反映,QQ、淘寶、微博等多款 App 均有后臺頻繁讀取用戶相冊的行為。
圖源:微博用戶 @Hackl0us
微信針對該事件回應稱,iOS 系統為 App 開發者提供相冊更新通知標準能力,相冊發生內容更新時會通知到 App,提醒 App 可以提前做準備,App 的該準備行為會被記錄成讀取系統相冊。而微信使用該系統能力,是為了讓用戶獲得更為快速流暢的發送圖片體驗。
同時微信也表示,上述行為均僅在手機本地完成,最新版本中將取消對該系統能力的使用,優化快速發圖功能。
但此次爆料的微博用戶 @Hackl0us 在 10 月 9 日公開的材料中提到,要實現 " 快捷發圖 " 這一功能完全可以用簡單的方法,而不需要像微信這樣 " 為了快捷選圖,就在后臺一直預處理 "。
微信的回應沒能打消用戶們的疑慮。大家對該事件的疑問主要集中在兩個方面,其一是," 實現快捷發圖 " 是否必然得通過后臺預處理的方式才能實現?其二是,為什么用戶在沒有啟用 App 的情況下微信也在后臺 " 讀取相冊 "?
微信 " 后臺讀取相冊 " 風波尚未平息,美團也被曝出不合理讀取用戶數據的情況。
10 月 10 日上午,微博用戶 @軒寧軒 Sir 發文稱 " 美團 App 連續 24 小時定位我,每 5 分鐘一次 "。從該用戶提供的錄屏視頻可以看到,后臺記錄顯示,美團 App 以 5 分鐘為間隔,從凌晨到深夜持續索取定位信息。
之后,也有多位網友在評論區反映,微信、QQ、知乎、淘寶、拼多多等 App 都出現在后臺進行反復獲取定位的情況。
圖源:微博號 @軒寧軒 Sir
無論是美團 App 的 "24 小時連續定位 ",還是微信在后臺 " 反復讀取相冊 ",該類現象的發現都是基于蘋果 iOS15 系統新增的 " 記錄 App 活動 " 功能。蘋果手機用戶開啟 " 記錄 App 活動 " 之后,再下載一款名為 " 隱私洞見 " 的 App,借助該 App 將隱私報告可視化,即能看到類似上文所展示的監控信息。
10 月 11 日,一位美團工程師進行了公開回應,稱上述情況的出現是因為這類軟件在單方面讀取系統操作日志后,進行了選擇性展示。該工程師還表示,經測試,在相關權限開啟且 App 后臺仍處于活躍狀態時,大部分主流 App 均會被該軟件檢測出頻繁讀取用戶信息,且監測結果高度相似。
上述工程師還提示,該款讀取 iOS15 系統日志的軟件系境外人員研發,其安全性和保密性還有待專業機構檢測,建議大家謹慎下載。但億歐 EqualOcean 查詢發現,這款名為 " 隱私洞見 " 的 App,開發者為 Inkwire Tech ( Hangzhou ) Co.,Ltd.。天眼查信息顯示,該公司關聯企業為映快科技(杭州)有限公司。
圖源:App 商城
" 隱私洞見 " 版本介紹頁面顯示," 隱私洞見不是 Apple 產品,亦與 Apple,Inc. 無關聯 ",其中提到該軟件作者為 "Shibo Lyu"。"Shibo Lyu" 的 GitHub 個人網站介紹顯示,其姓名為呂世博,2019 年在杭電助手的業務需要下聯合創辦映快科技,呂世博持有映快科技(杭州)有限公司 20% 的股份。
圖源:" 隱私洞見 "App
目前涉事的企業中,僅有微信和美團給出回應,兩者堅稱并不存在侵犯用戶隱私行為。由于事件涉及的 iOS15 系統 " 記錄 App 活動 " 功能的準確性尚不能確定,各方爭議還沒有最后的定論。
但微信、美團等眾多 App 出現此類后臺操作現象,無疑讓用戶再次提高了 App 隱私保護問題的警惕。
" 形同虛設 " 的條款
App 泄露用戶個人信息、竊取用戶隱私數據并非新鮮事,但此次借由蘋果系統這個新功能,App 們在后臺的一舉一動展露無疑,也著實讓不少用戶大吃一驚。
其實在我國,針對手機 App 過度搜集個人信息現象,已相繼出臺了《信息安全技術個人信息安全規范》和《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》等,對 App 超范圍收集、強制授權、過度索權等個人信息安全問題作了明確規定。
不過,眾多 App 輕視法規、打擦邊球等情況仍廣泛存在。
無論是條款內容冗長甚至難以理解的《用戶協議》和《隱私政策》,還是使用過程中不斷出現的權限索取,App 們各類看似尊重用戶的規定,其實留給用戶的選擇空間并不多。
通常情況下,用戶下載安裝完一款軟件后,在使用前需要閱讀并同意《用戶協議》和《隱私政策》。然而,各類 App 相關的條款內容往往長達十數頁甚至數十頁,即使標清了其中重點,用戶也往往會經不住標紅突出的同意按鈕 " 誘惑 " 而直接選擇同意,很少有人會點進去詳細閱讀各項條款。
正如網絡上一個流傳的段子:我已閱讀并同意用戶使用協議——是 21 世紀最大的謊言。此環節的 " 形同虛設 ",也給了很多 App 可乘之機。
很多 App 安裝之后會默認開啟一些權限,相關說明雖然會呈現在《用戶協議》和《隱私政策》中,但正如前文所言,大部分用戶可能根本沒有意識到有相關規定存在。
比如國內某頭部內容分發 App 上,在使用前的提示中有這樣一條描述," 你可隨時在‘設置 - 隱私’中關閉個性化推薦權限,僅使用 App 的基本功能 "。也就是說,個性化推薦功能,一開始是默認開啟的,而該功能需要調取的用戶信息可能包括網絡設備硬件地址、日志信息、位置權限等。
再比如此次引發輿論聲討的微信反復讀取相冊的情況中,微信會提醒設置了 " 只能訪問相冊部分照片 " 的用戶," 建議允許訪問所有照片 ",但是在隱私協議中并未明確告知,用戶的整個相冊都會被頻繁讀取。
App 過度索權則是另一個主要頑疾。
按照相關規定,App 收集用戶信息應該遵循 " 收所必需、用所必需 " 的基本準則,所收集的信息應該是完成用戶某項業務所必需的信息,而且這些信息應該在合理的時間段、規定的業務范圍內被正當使用。
國家互聯網應急中心曾發布的《2019 年上半年我國互聯網網絡安全態勢》報告指出,通過對下載量較大的千余款移動 App 的監測分析發現,每款應用平均申請 25 項權限,其中申請與業務無關的撥打電話權限的 App 數量占比超過 30%。
比如美團 App 以 5 分鐘為間隔,從凌晨到深夜持續索取定位信息,從時間上來看,這個時間段中用戶顯然不可能一直在開啟美團使用。若是 App 在后臺偷偷運行,就屬于違規索權、過度索權的一種。
再比如微信在用戶未主動激活應用的情況下,在后臺數次讀取相冊,也存在過度索權。Hackl0us 提到,用戶授權所有圖片給任何一款 App 的初衷,無非是更新頭像、發送幾張圖片,非常簡單,但微信對隱私的使用方式明顯大于或違背用戶授權相冊的初衷。
隱私是底線問題,涉及隱私的事情無小事。正如 Hackl0us 指出:" 很多人會在相冊存放身份證、銀行卡、個人證件照等重要信息,不管微信的理由是什么,為了方便用戶發圖還是使用便捷,主動權應該交給用戶選擇。"
隱私竊取為何屢禁不止?
大數據時代,個人隱私被不少數據科學家視為一件" 在算法上不成立 "的事情。
在互聯網上,總有人比你更了解自己。人們面對手機的時候總是異常誠實,看到喜歡的網頁、圖片、視頻等,總是會不由自主點進去,相應的 App 就擁有了最真實的用戶群體畫像。
2019 年以來,國家相關部門加強了對 App 的監管整治力度。其中,工信部自 2019 年 11 月至今,已連續兩年開展了針對 App 侵害用戶權益的專項整治工作,重點整治 App 違規收集和使用個人信息、過度索權、頻繁騷擾、侵害用戶權益等突出問題。
截至 2021 年 10 月 15 日,工信部已先后通報共 19 批侵害用戶權益行為的 App 名單,目前相關的整治行動仍在持續推進中。
然而,用戶個人信息作為互聯網企業賴以生存的基石,其帶來的商業收益讓企業們欲罷不能,App 們的利益與用戶個人信息保護之間的拉鋸戰從未停止。在工信部推進的 App 整治行動過程中,反復出現 App 不配合整改,或是整改后又出現違規問題的情況。
2021 年 7 月 8 日,工信部發文指出,已針對近期用戶反映強烈投訴較多的 App 存在 " 彈窗信息標識近于無形、關閉按鈕小如螻蟻、頁面偽裝瞞天過海、誘導點擊暗度陳倉 " 等問題進行集中整治,百度、阿里、騰訊、字節跳動、新浪微博、愛奇藝等 68 家頭部互聯網企業已按要求完成整改。
但之后不久,在工信部部長信箱里,又出現了大量關于彈窗廣告死灰復燃的投訴信息。
圖源:工信部 " 部長信箱 " 留言信息(部分)
8 月 18 日,工信部信息通信管理局發布《關于 App 違規調用通信錄、位置信息以及開屏彈窗騷擾用戶等問題 " 回頭看 " 的通報(2021 年第 8 批,總第 17 批)》指出:共發現 43 款 App 仍存在問題整改不徹底、技術手段對抗、同一問題在不同地域整改不一致的情況。
10 月 15 日,工信部再公布了 96 款未按時限要求完成整改的 App,包括喜茶 GO、驢媽媽旅游、圖吧導航等。
App 們屢屢 " 頂風作案 " 背后是著巨大的利益誘惑,收集到的用戶個人信息可以用于實現廣告精準投放。
10 月 15 日工信部消息稱,檢測中發現字節跳動 " 穿山甲 "SDK、騰訊 " 優量匯 "SDK、快手廣告 SDK 問題較多。其中穿山甲是字節跳動的多平臺廣告投放系統,而優量匯則屬于騰訊的廣告投放系統,本質上扮演的是廣告中介的角色,即由商家向系統提出廣告需求,系統為商家匹配合適的廣告平臺,幫商家獲客、引流。
公開數據顯示,截至 2021 年 5 月,穿山甲已擁有 55% 的廣告中介市場份額,全球日活用戶超 8 億,合作垂直應用 10 萬余款,每日廣告請求 630 億次;騰訊旗下優量匯至今服務的 App 數量已超過 10 萬。
海量的個人隱私數據信息背后,已經形成了完整的產業鏈條。
在今年 4 月,蘋果公司發布了一份旨在幫助用戶了解各款 App 如何處理用戶數據的文檔《個人數據的一天》。其中提到,過去十年來,由各類網站、App、社交媒體平臺、數據代理商和廣告技術公司等組成的復雜生態系統,通過線上線下的方式跟蹤收集用戶信息并加以拼湊、分享、匯總后用于廣告實時競拍等業務,已經形成一個年產值高達 2270億美元的產業。
寫在最后
李彥宏曾說:" 我想中國人更加開放,對隱私問題沒有那么敏感,很多情況下他們愿意用隱私交換便利性,那我們就可以用數據做一些事情。"
對于互聯網企業來說,為了正常經營,合理合規地收集用戶部分信息,有一定必要性;對于主要依靠廣告帶來收入的企業,更多維、更大量的數據,往往意味著更真實的用戶畫像、更精準的營銷。
然而,情況已經發生改變。將于 11 月 1 日正式施行的《個人信息保護法》,對個人信息處理原則做了詳細規定,包括法律基礎、個人信息處理原則、個人信息存儲期限、以及對敏感個人信息范圍、敏感個人信息處理要求等。
比如其中提到,處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示;個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
那么,個人信息保護的加強,對企業來說會是致命的打擊嗎?
在億歐 EqualOcean 聯合北拓資本發起的 "MarTech 月高能分享 " 系列活動上,美數科技 CEO 范昂表示,以前精準營銷在灰色地帶下,能夠完全定位到個人,在隱私保護上有很大問題。但實際上的精準營銷和數據應用,并不依賴這樣的技術。所以數據安全法對于精準營銷的技術沒有太大影響,但如果法條規定推薦、搜索特征不能再用,會影響到數據的使用效率。
在全新的市場和監管環境之下,只有真正做到尊重用戶的平臺才能贏得商業競爭。App 平臺們要切實按照相關規定收集和使用用戶信息,確保每次都經過用戶的確切同意,并且要明確告訴用戶,將會怎樣使用他們的數據。
針對上述未按時限要求完成整改的 App,工信部表示,依據《網絡安全法》等法律,將組織對 96 款 App 進行下架;相關應用商店應在通報發布后,立即組織對名單中應用軟件進行下架處理。
在日常使用 App 時,用戶也應樹立保護個人信息的意識,對個人隱私保護時刻提高警惕。
比如拒絕下載來歷不明的軟件,要在官方手機應用市場下載;在 App 下載之后的安裝環節,要注意看相關的用戶協議和隱私條款,謹慎授予讀取信息、查看通訊錄、讀取相機圖片、讀取定位信息等權限;在網絡購物時要謹慎填寫個人信息,尤其是涉及個人身份、工作、地址等地敏感信息;退出手機應用程序時,一定要確保徹底退出,以防軟件在后臺偷偷運行;不要把各類 App 設置為 " 自動登錄 ",并且要定期更換密碼……
