App们惦记你的个人隐私?下个月《个人信息保护法》就来了
编辑导语:在大数据时代,用户信息被“窃取”的现象已经普遍存在,近来发生的一系列事件,更是让个人和国家都对信息安全问题更加看重,个人信息保护加强亦将成为趋势之一。本篇文章里,作者就个人信息保护问题进行了探讨,一起来看一下。
从某个时候开始,人们发现,手机里的App们变得比自己还懂自己。
比如刚跟闺蜜聊完某个牌子的护肤品,转头就在多个购物App上发现相关的产品推荐;跟久不见面的朋友提了一嘴结婚的事,隔天各类社交平台就闪现着婚礼广告……
这样的情景,相信很多人并不陌生。大数据时代,用户个人信息被各类平台非法获取、不合规使用的情况普遍存在。
过去几年,无论是个人层面还是国家层面,对个人信息保护越来越重视。自2019年以来,工信部连续开展针对App侵害用户权益的专项整治工作,重点整治App存在的“违规收集个人信息、过度索权、频繁骚扰、侵害用户权益”等问题。
不过,App违规事件依然时有发生。
近日,微信、QQ、淘宝、美团等头部App接连被曝出存在“后台读取相册”、“24小时连续获取定位”等涉嫌窃取用户隐私信息的情况,引发舆论声讨,也再次挑动了人们关于个人隐私保护的神经。
一、iOS15引发的风波
10月8日,微博用户@Hackl0us爆料指出,微信、QQ、淘宝等多款App存在“后台反复读取用户相册”的情况。
根据该条微博内容,有用户在使用了iOS15带有的“记录App活动”功能后发现,微信在用户未主动激活应用的情况下,在后台数次读取相册,每次读取时间长达40秒至1分钟不等。后续多位网友反映,QQ、淘宝、微博等多款App均有后台频繁读取用户相册的行为。
图源:微博用户@Hackl0us
微信针对该事件回应称,iOS系统为App开发者提供相册更新通知标准能力,相册发生内容更新时会通知到App,提醒App可以提前做准备,App的该准备行为会被记录成读取系统相册。而微信使用该系统能力,是为了让用户获得更为快速流畅的发送图片体验。
同时微信也表示,上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
但此次爆料的微博用户@Hackl0us在10月9日公开的材料中提到,要实现“快捷发图”这一功能完全可以用简单的方法,而不需要像微信这样“为了快捷选图,就在后台一直预处理”。
微信的回应没能打消用户们的疑虑。大家对该事件的疑问主要集中在两个方面, 其一是,“实现快捷发图”是否必然得通过后台预处理的方式才能实现?其二是,为什么用户在没有启用App的情况下微信也在后台“读取相册”?
微信“后台读取相册”风波尚未平息,美团也被曝出不合理读取用户数据的情况。
10月10日上午,微博用户@轩宁轩Sir发文称“美团App连续24小时定位我,每5分钟一次”。从该用户提供的录屏视频可以看到,后台记录显示,美团App以5分钟为间隔,从凌晨到深夜持续索取定位信息。
之后,也有多位网友在评论区反映,微信、QQ、知乎、淘宝、拼多多等App都出现在后台进行反复获取定位的情况。
图源:微博号@轩宁轩Sir
无论是美团App的“24小时连续定位”,还是微信在后台“反复读取相册”,该类现象的发现都是基于苹果iOS15系统新增的“记录App活动”功能。 苹果手机用户开启“记录App活动”之后,再下载一款名为“隐私洞见”的App,借助该App将隐私报告可视化,即能看到类似上文所展示的监控信息。
10月11日,一位美团工程师进行了公开回应,称上述情况的出现是因为这类软件在单方面读取系统操作日志后,进行了选择性展示。该工程师还表示,经测试,在相关权限开启且App后台仍处于活跃状态时,大部分主流App均会被该软件检测出频繁读取用户信息,且监测结果高度相似。
上述工程师还提示,该款读取iOS15系统日志的软件系境外人员研发,其安全性和保密性还有待专业机构检测,建议大家谨慎下载。但亿欧EqualOcean查询发现,这款名为“隐私洞见”的App,开发者为Inkwire Tech(Hangzhou)Co.,Ltd.。天眼查信息显示,该公司关联企业为映快科技(杭州)有限公司。
图源:App商城
“隐私洞见”版本介绍页面显示,“隐私洞见不是Apple产品,亦与Apple,Inc.无关联”,其中提到该软件作者为“Shibo Lyu”。“Shibo Lyu”的GitHub个人网站介绍显示,其姓名为吕世博,2019年在杭电助手的业务需要下联合创办映快科技,吕世博持有映快科技(杭州)有限公司20%的股份。
图源:“隐私洞见”App
目前涉事的企业中,仅有微信和美团给出回应,两者坚称并不存在侵犯用户隐私行为。 由于事件涉及的iOS15系统“记录App活动”功能的准确性尚不能确定,各方争议还没有最后的定论。
但微信、美团等众多App出现此类后台操作现象,无疑让用户再次提高了App隐私保护问题的警惕。
二、“形同虚设”的条款
App泄露用户个人信息、窃取用户隐私数据并非新鲜事,但此次借由苹果系统这个新功能,App们在后台的一举一动展露无疑,也着实让不少用户大吃一惊。
其实在我国,针对手机App过度搜集个人信息现象,已相继出台了《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等,对App超范围收集、强制授权、过度索权等个人信息安全问题作了明确规定。
不过, 众多App轻视法规、打擦边球等情况仍广泛存在。
无论是条款内容冗长甚至难以理解的《用户协议》和《隐私政策》,还是使用过程中不断出现的权限索取,App们各类看似尊重用户的规定,其实留给用户的选择空间并不多。
通常情况下,用户下载安装完一款软件后,在使用前需要阅读并同意《用户协议》和《隐私政策》。然而,各类App相关的条款内容往往长达十数页甚至数十页,即使标清了其中重点,用户也往往会经不住标红突出的同意按钮“诱惑”而直接选择同意,很少有人会点进去详细阅读各项条款。
正如网络上一个流传的段子: 我已阅读并同意用户使用协议——是21世纪最大的谎言。 此环节的“形同虚设”,也给了很多App可乘之机。
很多App安装之后会默认开启一些权限,相关说明虽然会呈现在《用户协议》和《隐私政策》中,但正如前文所言,大部分用户可能根本没有意识到有相关规定存在。
比如国内某头部内容分发App上,在使用前的提示中有这样一条描述,“你可随时在‘设置-隐私’中关闭个性化推荐权限,仅使用App的基本功能”。也就是说, 个性化推荐功能,一开始是默认开启的,而该功能需要调取的用户信息可能包括网络设备硬件地址、日志信息、位置权限等。
再比如此次引发舆论声讨的微信反复读取相册的情况中,微信会提醒设置了“只能访问相册部分照片”的用户,“建议允许访问所有照片”,但是在隐私协议中并未明确告知,用户的整个相册都会被频繁读取。
App过度索权则是另一个主要顽疾。
按照相关规定,App收集用户信息应该遵循“收所必需、用所必需”的基本准则,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在合理的时间段、规定的业务范围内被正当使用。
国家互联网应急中心曾发布的《2019年上半年我国互联网网络安全态势》报告指出,通过对下载量较大的千余款移动App的监测分析发现, 每款应用平均申请25项权限,其中申请与业务无关的拨打电话权限的App数量占比超过30%。
比如美团App以5分钟为间隔,从凌晨到深夜持续索取定位信息,从时间上来看,这个时间段中用户显然不可能一直在开启美团使用。若是App在后台偷偷运行,就属于违规索权、过度索权的一种。
再比如微信在用户未主动激活应用的情况下,在后台数次读取相册,也存在过度索权。Hackl0us提到,用户授权所有图片给任何一款App的初衷,无非是更新头像、发送几张图片,非常简单,但微信对隐私的使用方式明显大于或违背用户授权相册的初衷。
隐私是底线问题,涉及隐私的事情无小事。正如Hackl0us指出:“很多人会在相册存放身份证、银行卡、个人证件照等重要信息,不管微信的理由是什么,为了方便用户发图还是使用便捷,主动权应该交给用户选择。”
三、隐私窃取为何屡禁不止?
大数据时代,个人隐私被不少数据科学家视为一件 “在算法上不成立” 的事情。
在互联网上,总有人比你更了解自己。人们面对手机的时候总是异常诚实,看到喜欢的网页、图片、视频等,总是会不由自主点进去,相应的App就拥有了最真实的用户群体画像。
2019年以来,国家相关部门加强了对App的监管整治力度。其中,工信部自2019年11月至今,已连续两年开展了针对App侵害用户权益的专项整治工作,重点整治App违规收集和使用个人信息、过度索权、频繁骚扰、侵害用户权益等突出问题。
截至2021年10月15日,工信部已先后通报共19批侵害用户权益行为的App名单,目前相关的整治行动仍在持续推进中。
然而,用户个人信息作为互联网企业赖以生存的基石,其带来的商业收益让企业们欲罢不能,App们的利益与用户个人信息保护之间的拉锯战从未停止。 在工信部推进的App整治行动过程中,反复出现App不配合整改,或是整改后又出现违规问题的情况。
2021年7月8日,工信部发文指出,已针对近期用户反映强烈投诉较多的App存在“弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓”等问题进行集中整治,百度、阿里、腾讯、字节跳动、新浪微博、爱奇艺等68家头部互联网企业已按要求完成整改。
但之后不久,在工信部部长信箱里,又出现了大量关于弹窗广告死灰复燃的投诉信息。
图源:工信部“部长信箱”留言信息(部分)
8月18日,工信部信息通信管理局发布《关于App违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报(2021年第8批,总第17批)》指出:共发现43款App仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。
10月15日,工信部再公布了96款未按时限要求完成整改的App,包括喜茶GO、驴妈妈旅游、图吧导航等。
App们屡屡“顶风作案”背后是着巨大的利益诱惑,收集到的用户个人信息可以用于实现广告精准投放。
10月15日工信部消息称,检测中发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多。其中穿山甲是字节跳动的多平台广告投放系统,而优量汇则属于腾讯的广告投放系统,本质上扮演的是广告中介的角色,即由商家向系统提出广告需求,系统为商家匹配合适的广告平台,帮商家获客、引流。
公开数据显示,截至2021年5月,穿山甲已拥有55%的广告中介市场份额,全球日活用户超8亿,合作垂直应用10万余款,每日广告请求630亿次;腾讯旗下优量汇至今服务的App数量已超过10万。
海量的个人隐私数据信息背后,已经形成了完整的产业链条。
在今年4月,苹果公司发布了一份旨在帮助用户了解各款App如何处理用户数据的文档《个人数据的一天》。其中提到,过去十年来,由各类网站、App、社交媒体平台、数据代理商和广告技术公司等组成的复杂生态系统,通过线上线下的方式跟踪收集用户信息并加以拼凑、分享、汇总后用于广告实时竞拍等业务,已经形成一个年产值高达2270亿美元的产业。
四、写在最后
李彦宏曾说:“我想中国人更加开放,对隐私问题没有那么敏感,很多情况下他们愿意用隐私交换便利性,那我们就可以用数据做一些事情。”
对于互联网企业来说,为了正常经营,合理合规地收集用户部分信息,有一定必要性;对于主要依靠广告带来收入的企业,更多维、更大量的数据,往往意味着更真实的用户画像、更精准的营销。
然而,情况已经发生改变。将于11月1日正式施行的《个人信息保护法》,对个人信息处理原则做了详细规定,包括法律基础、个人信息处理原则、个人信息存储期限、以及对敏感个人信息范围、敏感个人信息处理要求等。
比如其中提到,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示;个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
那么, 个人信息保护的加强,对企业来说会是致命的打击吗?
在亿欧EqualOcean联合北拓资本发起的“MarTech月高能分享”系列活动上,美数科技CEO范昂表示,以前精准营销在灰色地带下,能够完全定位到个人,在隐私保护上有很大问题。但 实际上的精准营销和数据应用,并不依赖这样的技术。 所以数据安全法对于精准营销的技术没有太大影响,但如果法条规定推荐、搜索特征不能再用,会影响到数据的使用效率。
在全新的市场和监管环境之下,只有真正做到尊重用户的平台才能赢得商业竞争。App平台们要切实按照相关规定收集和使用用户信息,确保每次都经过用户的确切同意,并且要明确告诉用户,将会怎样使用他们的数据。
针对上述未按时限要求完成整改的App,工信部表示,依据《网络安全法》等法律,将组织对96款App进行下架;相关应用商店应在通报发布后,立即组织对名单中应用软件进行下架处理。
在日常使用App时,用户也应树立保护个人信息的意识,对个人隐私保护时刻提高警惕。
比如拒绝下载来历不明的软件,要在官方手机应用市场下载;在App下载之后的安装环节,要注意看相关的用户协议和隐私条款,谨慎授予读取信息、查看通讯录、读取相机图片、读取定位信息等权限;在网络购物时要谨慎填写个人信息,尤其是涉及个人身份、工作、地址等地敏感信息;退出手机应用程序时,一定要确保彻底退出,以防软件在后台偷偷运行;不要把各类App设置为“自动登录”,并且要定期更换密码……
作者:胡小凤,林泽玲;编辑:顾彦;公众号:亿欧网(ID:i-yiou)
本文由 @亿欧网 原创发布于人人都是产品经理,未经许可,禁止转载。
题图来自Pexels,基于 CC0 协议