近日,微信、QQ、淘宝、美团等头部 App 接连被曝出存在 " 后台读取相册 "、"24 小时连续获取定位 " 等涉嫌窃取用户隐私信息的情况,引发舆论声讨,也再次挑动了人们关于个人隐私保护的神经。
iOS15 引发的风波
10 月 8 日,微博用户 @Hackl0us 爆料指出, 微信、QQ、淘宝等多款 App 存在 " 后台反复读取用户相册 " 的情况。
根据该条微博内容,有用户在使用了 iOS15 带有的 " 记录 App 活动 " 功能后发现,微信在用户未主动激活应用的情况下,在后台数次读取相册,每次读取时间长达 40 秒至 1 分钟不等。后续多位网友反映,QQ、淘宝、微博等多款 App 均有后台频繁读取用户相册的行为。
图源:微博用户 @Hackl0us
微信针对该事件回应称,iOS 系统为 App 开发者提供相册更新通知标准能力,相册发生内容更新时会通知到 App,提醒 App 可以提前做准备,App 的该准备行为会被记录成读取系统相册。而微信使用该系统能力,是为了让用户获得更为快速流畅的发送图片体验。
同时微信也表示,上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
但此次爆料的微博用户 @Hackl0us 在 10 月 9 日公开的材料中提到,要实现 " 快捷发图 " 这一功能完全可以用简单的方法,而不需要像微信这样 " 为了快捷选图,就在后台一直预处理 "。
微信的回应没能打消用户们的疑虑。大家对该事件的疑问主要集中在两个方面,其一是," 实现快捷发图 " 是否必然得通过后台预处理的方式才能实现?其二是,为什么用户在没有启用 App 的情况下微信也在后台 " 读取相册 "?
微信 " 后台读取相册 " 风波尚未平息,美团也被曝出不合理读取用户数据的情况。
10 月 10 日上午,微博用户 @轩宁轩 Sir 发文称 " 美团 App 连续 24 小时定位我,每 5 分钟一次 "。从该用户提供的录屏视频可以看到,后台记录显示,美团 App 以 5 分钟为间隔,从凌晨到深夜持续索取定位信息。
之后,也有多位网友在评论区反映,微信、QQ、知乎、淘宝、拼多多等 App 都出现在后台进行反复获取定位的情况。
图源:微博号 @轩宁轩 Sir
无论是美团 App 的 "24 小时连续定位 ",还是微信在后台 " 反复读取相册 ",该类现象的发现都是基于苹果 iOS15 系统新增的 " 记录 App 活动 " 功能。苹果手机用户开启 " 记录 App 活动 " 之后,再下载一款名为 " 隐私洞见 " 的 App,借助该 App 将隐私报告可视化,即能看到类似上文所展示的监控信息。
10 月 11 日,一位美团工程师进行了公开回应,称上述情况的出现是因为这类软件在单方面读取系统操作日志后,进行了选择性展示。该工程师还表示,经测试,在相关权限开启且 App 后台仍处于活跃状态时,大部分主流 App 均会被该软件检测出频繁读取用户信息,且监测结果高度相似。
上述工程师还提示,该款读取 iOS15 系统日志的软件系境外人员研发,其安全性和保密性还有待专业机构检测,建议大家谨慎下载。但亿欧 EqualOcean 查询发现,这款名为 " 隐私洞见 " 的 App,开发者为 Inkwire Tech ( Hangzhou ) Co.,Ltd.。天眼查信息显示,该公司关联企业为映快科技(杭州)有限公司。
图源:App 商城
" 隐私洞见 " 版本介绍页面显示," 隐私洞见不是 Apple 产品,亦与 Apple,Inc. 无关联 ",其中提到该软件作者为 "Shibo Lyu"。"Shibo Lyu" 的 GitHub 个人网站介绍显示,其姓名为吕世博,2019 年在杭电助手的业务需要下联合创办映快科技,吕世博持有映快科技(杭州)有限公司 20% 的股份。
图源:" 隐私洞见 "App
目前涉事的企业中,仅有微信和美团给出回应,两者坚称并不存在侵犯用户隐私行为。由于事件涉及的 iOS15 系统 " 记录 App 活动 " 功能的准确性尚不能确定,各方争议还没有最后的定论。
但微信、美团等众多 App 出现此类后台操作现象,无疑让用户再次提高了 App 隐私保护问题的警惕。
" 形同虚设 " 的条款
App 泄露用户个人信息、窃取用户隐私数据并非新鲜事,但此次借由苹果系统这个新功能,App 们在后台的一举一动展露无疑,也着实让不少用户大吃一惊。
其实在我国,针对手机 App 过度搜集个人信息现象,已相继出台了《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等,对 App 超范围收集、强制授权、过度索权等个人信息安全问题作了明确规定。
不过,众多 App 轻视法规、打擦边球等情况仍广泛存在。
无论是条款内容冗长甚至难以理解的《用户协议》和《隐私政策》,还是使用过程中不断出现的权限索取,App 们各类看似尊重用户的规定,其实留给用户的选择空间并不多。
通常情况下,用户下载安装完一款软件后,在使用前需要阅读并同意《用户协议》和《隐私政策》。然而,各类 App 相关的条款内容往往长达十数页甚至数十页,即使标清了其中重点,用户也往往会经不住标红突出的同意按钮 " 诱惑 " 而直接选择同意,很少有人会点进去详细阅读各项条款。
正如网络上一个流传的段子:我已阅读并同意用户使用协议——是 21 世纪最大的谎言。此环节的 " 形同虚设 ",也给了很多 App 可乘之机。
很多 App 安装之后会默认开启一些权限,相关说明虽然会呈现在《用户协议》和《隐私政策》中,但正如前文所言,大部分用户可能根本没有意识到有相关规定存在。
比如国内某头部内容分发 App 上,在使用前的提示中有这样一条描述," 你可随时在‘设置 - 隐私’中关闭个性化推荐权限,仅使用 App 的基本功能 "。也就是说,个性化推荐功能,一开始是默认开启的,而该功能需要调取的用户信息可能包括网络设备硬件地址、日志信息、位置权限等。
再比如此次引发舆论声讨的微信反复读取相册的情况中,微信会提醒设置了 " 只能访问相册部分照片 " 的用户," 建议允许访问所有照片 ",但是在隐私协议中并未明确告知,用户的整个相册都会被频繁读取。
App 过度索权则是另一个主要顽疾。
按照相关规定,App 收集用户信息应该遵循 " 收所必需、用所必需 " 的基本准则,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在合理的时间段、规定的业务范围内被正当使用。
国家互联网应急中心曾发布的《2019 年上半年我国互联网网络安全态势》报告指出,通过对下载量较大的千余款移动 App 的监测分析发现,每款应用平均申请 25 项权限,其中申请与业务无关的拨打电话权限的 App 数量占比超过 30%。
比如美团 App 以 5 分钟为间隔,从凌晨到深夜持续索取定位信息,从时间上来看,这个时间段中用户显然不可能一直在开启美团使用。若是 App 在后台偷偷运行,就属于违规索权、过度索权的一种。
再比如微信在用户未主动激活应用的情况下,在后台数次读取相册,也存在过度索权。Hackl0us 提到,用户授权所有图片给任何一款 App 的初衷,无非是更新头像、发送几张图片,非常简单,但微信对隐私的使用方式明显大于或违背用户授权相册的初衷。
隐私是底线问题,涉及隐私的事情无小事。正如 Hackl0us 指出:" 很多人会在相册存放身份证、银行卡、个人证件照等重要信息,不管微信的理由是什么,为了方便用户发图还是使用便捷,主动权应该交给用户选择。"
隐私窃取为何屡禁不止?
大数据时代,个人隐私被不少数据科学家视为一件" 在算法上不成立 "的事情。
在互联网上,总有人比你更了解自己。人们面对手机的时候总是异常诚实,看到喜欢的网页、图片、视频等,总是会不由自主点进去,相应的 App 就拥有了最真实的用户群体画像。
2019 年以来,国家相关部门加强了对 App 的监管整治力度。其中,工信部自 2019 年 11 月至今,已连续两年开展了针对 App 侵害用户权益的专项整治工作,重点整治 App 违规收集和使用个人信息、过度索权、频繁骚扰、侵害用户权益等突出问题。
截至 2021 年 10 月 15 日,工信部已先后通报共 19 批侵害用户权益行为的 App 名单,目前相关的整治行动仍在持续推进中。
然而,用户个人信息作为互联网企业赖以生存的基石,其带来的商业收益让企业们欲罢不能,App 们的利益与用户个人信息保护之间的拉锯战从未停止。在工信部推进的 App 整治行动过程中,反复出现 App 不配合整改,或是整改后又出现违规问题的情况。
2021 年 7 月 8 日,工信部发文指出,已针对近期用户反映强烈投诉较多的 App 存在 " 弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓 " 等问题进行集中整治,百度、阿里、腾讯、字节跳动、新浪微博、爱奇艺等 68 家头部互联网企业已按要求完成整改。
但之后不久,在工信部部长信箱里,又出现了大量关于弹窗广告死灰复燃的投诉信息。
图源:工信部 " 部长信箱 " 留言信息(部分)
8 月 18 日,工信部信息通信管理局发布《关于 App 违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题 " 回头看 " 的通报(2021 年第 8 批,总第 17 批)》指出:共发现 43 款 App 仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。
10 月 15 日,工信部再公布了 96 款未按时限要求完成整改的 App,包括喜茶 GO、驴妈妈旅游、图吧导航等。
App 们屡屡 " 顶风作案 " 背后是着巨大的利益诱惑,收集到的用户个人信息可以用于实现广告精准投放。
10 月 15 日工信部消息称,检测中发现字节跳动 " 穿山甲 "SDK、腾讯 " 优量汇 "SDK、快手广告 SDK 问题较多。其中穿山甲是字节跳动的多平台广告投放系统,而优量汇则属于腾讯的广告投放系统,本质上扮演的是广告中介的角色,即由商家向系统提出广告需求,系统为商家匹配合适的广告平台,帮商家获客、引流。
公开数据显示,截至 2021 年 5 月,穿山甲已拥有 55% 的广告中介市场份额,全球日活用户超 8 亿,合作垂直应用 10 万余款,每日广告请求 630 亿次;腾讯旗下优量汇至今服务的 App 数量已超过 10 万。
海量的个人隐私数据信息背后,已经形成了完整的产业链条。
在今年 4 月,苹果公司发布了一份旨在帮助用户了解各款 App 如何处理用户数据的文档《个人数据的一天》。其中提到,过去十年来,由各类网站、App、社交媒体平台、数据代理商和广告技术公司等组成的复杂生态系统,通过线上线下的方式跟踪收集用户信息并加以拼凑、分享、汇总后用于广告实时竞拍等业务,已经形成一个年产值高达 2270亿美元的产业。
写在最后
李彦宏曾说:" 我想中国人更加开放,对隐私问题没有那么敏感,很多情况下他们愿意用隐私交换便利性,那我们就可以用数据做一些事情。"
对于互联网企业来说,为了正常经营,合理合规地收集用户部分信息,有一定必要性;对于主要依靠广告带来收入的企业,更多维、更大量的数据,往往意味着更真实的用户画像、更精准的营销。
然而,情况已经发生改变。将于 11 月 1 日正式施行的《个人信息保护法》,对个人信息处理原则做了详细规定,包括法律基础、个人信息处理原则、个人信息存储期限、以及对敏感个人信息范围、敏感个人信息处理要求等。
比如其中提到,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示;个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
那么,个人信息保护的加强,对企业来说会是致命的打击吗?
在亿欧 EqualOcean 联合北拓资本发起的 "MarTech 月高能分享 " 系列活动上,美数科技 CEO 范昂表示,以前精准营销在灰色地带下,能够完全定位到个人,在隐私保护上有很大问题。但实际上的精准营销和数据应用,并不依赖这样的技术。所以数据安全法对于精准营销的技术没有太大影响,但如果法条规定推荐、搜索特征不能再用,会影响到数据的使用效率。
在全新的市场和监管环境之下,只有真正做到尊重用户的平台才能赢得商业竞争。App 平台们要切实按照相关规定收集和使用用户信息,确保每次都经过用户的确切同意,并且要明确告诉用户,将会怎样使用他们的数据。
针对上述未按时限要求完成整改的 App,工信部表示,依据《网络安全法》等法律,将组织对 96 款 App 进行下架;相关应用商店应在通报发布后,立即组织对名单中应用软件进行下架处理。
在日常使用 App 时,用户也应树立保护个人信息的意识,对个人隐私保护时刻提高警惕。
比如拒绝下载来历不明的软件,要在官方手机应用市场下载;在 App 下载之后的安装环节,要注意看相关的用户协议和隐私条款,谨慎授予读取信息、查看通讯录、读取相机图片、读取定位信息等权限;在网络购物时要谨慎填写个人信息,尤其是涉及个人身份、工作、地址等地敏感信息;退出手机应用程序时,一定要确保彻底退出,以防软件在后台偷偷运行;不要把各类 App 设置为 " 自动登录 ",并且要定期更换密码……
