與用戶權(quán)限息息相關(guān)的大數(shù)據(jù)�����,同樣和互聯(lián)網(wǎng)企業(yè)的商業(yè)化密不可分����,甚至可以說,大數(shù)據(jù)這個(gè)新物種就等同于金錢��。不過為了積累大數(shù)據(jù)��,部分App長(zhǎng)時(shí)間濫用用戶權(quán)限�,成為新陷阱。
根據(jù)浙江此前一起侵犯公民信息案���,該案涉及公民個(gè)人信息2億余條��,非法獲利金額累計(jì)達(dá)2000余萬元。北京商報(bào)記者發(fā)現(xiàn)��,被中消協(xié)在《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》(以下簡(jiǎn)稱“中消協(xié)《100款A(yù)pp測(cè)評(píng)報(bào)告》”)中點(diǎn)名的17款A(yù)pp中,安卓版咪咕視頻的收集范圍最廣��,共收集25項(xiàng)用戶權(quán)限���。App都收集哪些個(gè)人信息���?誰在過度收集?如何監(jiān)管企業(yè)行為�?這已經(jīng)變成全民話題。在整治App過度采集用戶權(quán)限和隱私信息的監(jiān)管高壓下��,仍有企業(yè)鋌而走險(xiǎn)���。
法律界人士指出��,目前國(guó)家已有多部法律和規(guī)定對(duì)App設(shè)置了收集用戶信息的范圍���,但是由于App功能繁多,建立具化的統(tǒng)一的限定標(biāo)準(zhǔn)較難�����。短期內(nèi)依靠企業(yè)自律�����、加大處罰力度是為數(shù)不多的解決方法。
大數(shù)據(jù)喜歡什么信息
“隨著手機(jī)系統(tǒng)的更新和App本身功能的升級(jí)����,用戶個(gè)人信息權(quán)限不斷細(xì)化,種類也不斷增多����。”DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心高級(jí)分析師胡修昊,以騰訊社會(huì)研究中心和DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心2019年1月發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》(以下簡(jiǎn)稱“騰訊DCCI《2018年網(wǎng)絡(luò)隱私報(bào)告》”)舉例�����,“以往調(diào)研選取14個(gè)隱私權(quán)限��,這次又增添了11個(gè)新的隱私權(quán)限”��。
新增的隱私權(quán)限分別是:讀寫存儲(chǔ)設(shè)備����、獲取應(yīng)用列表、呼叫轉(zhuǎn)移����、獲取瀏覽器上網(wǎng)記錄����、新建/修改/刪除日歷��、寫/刪聯(lián)系人�、讀取運(yùn)動(dòng)數(shù)據(jù)�����、寫/刪短信/彩信�、寫/刪通話記錄、使用身體傳感器���、ROOT�����。
此前的14個(gè)隱私權(quán)限包括5項(xiàng)核心隱私權(quán)限����、5項(xiàng)重要隱私權(quán)限���、4項(xiàng)普通隱私權(quán)限��。越來越細(xì)化的用戶權(quán)限將使大數(shù)據(jù)更豐富�,更多緯度的大數(shù)據(jù)讓互聯(lián)網(wǎng)更容易做商業(yè)判斷,同時(shí)也令越來越多的用戶跌入陷阱�����。
通過騰訊DCCI《2018年網(wǎng)絡(luò)隱私報(bào)告》可以窺見整個(gè)行業(yè)的現(xiàn)狀�,當(dāng)前所有的Android端App都會(huì)不同程度地獲取手機(jī)隱私權(quán)限。Android端手機(jī)App最常獲取的三大核心隱私權(quán)限分別是獲取位置信息�����、讀取聯(lián)系人和讀取短/彩信,分別有 81.9%����、51.9%和 42.8%的App獲取了以上三大核心隱私權(quán)限。
Android端手機(jī)App最常獲取的三大重要隱私權(quán)限分別是使用話筒錄音����、打開攝像頭和發(fā)送短信權(quán)限,分別有 86.9%、81.6% 和 53.6%的 App獲取了以上三大重要隱私權(quán)限���。
騰訊DCCI《2018年網(wǎng)絡(luò)隱私報(bào)告》對(duì)iOS端的隱私權(quán)限調(diào)查顯示��,iOS端通訊社區(qū)類App 獲取的隱私權(quán)限最多��,此類App是獲取手機(jī)隱私權(quán)限最多的App��。照片�����、定位和相機(jī)是iOS端App最常獲取的三大隱私權(quán)限��。
誰在頂風(fēng)作案
有哪些App正疑似制造新陷阱���?對(duì)照中消協(xié)《100款A(yù)pp測(cè)評(píng)報(bào)告》,北京商報(bào)記者調(diào)查發(fā)現(xiàn)�,因涉嫌過度收集信息被點(diǎn)名的17款A(yù)pp,安卓版咪咕視頻的收集范圍最大,共獲取25項(xiàng)用戶信息權(quán)限��,兩度被點(diǎn)名的美圖秀秀��、ofo小黃車和愛搶購(gòu)分別收集10項(xiàng)�、11項(xiàng)和10項(xiàng)用戶信息權(quán)限。
根據(jù)艾媒咨詢?cè)?019年2月13日的統(tǒng)計(jì)��,安卓版本的QQ�����、微博、工銀融e聯(lián)���、新浪新聞�、咪咕閱讀��、芒果TV�、樂視視頻等App存在越界收集問題。其中樂視視頻在5項(xiàng)信息收集上疑似跨界��,QQ和咪咕閱讀疑似跨界收集的用戶信息各有4項(xiàng)�����,微博���、工銀融e聯(lián)各有3項(xiàng)�����,新浪新聞?dòng)?項(xiàng)��,芒果TV有1項(xiàng)����。這些App在艾媒咨詢2018年4月發(fā)布的《2018中國(guó)手機(jī)App隱私權(quán)限測(cè)評(píng)報(bào)告》(以下簡(jiǎn)稱“艾媒咨詢《2018年測(cè)評(píng)報(bào)告》”)中,就存在疑似跨界的情況����。
艾媒咨詢《2018年測(cè)評(píng)報(bào)告》顯示,包括QQ��、微博���、工銀融e聯(lián)、新浪新聞�����、咪咕閱讀���、芒果TV和樂視視頻等App疑似跨界收集用戶信息���。在艾媒咨詢看來,對(duì)于社交類���、理財(cái)類手機(jī)App���,讀取通話記錄���、聯(lián)系人、短信���、彩信等行為對(duì)于這些App正常運(yùn)作所起作用有限���,App對(duì)該部分信息的讀取涉及疑似越界行為。
在艾媒咨詢2019年2月13日的統(tǒng)計(jì)中�����,上述App仍有不同程度的疑似跨界����。樂視視頻依然是疑似跨界收集用戶權(quán)限最多的App,分別為撥打電話�、讀取短信/彩信、讀取聯(lián)系人和定位��。
QQ共收集12項(xiàng)用戶信息����,艾媒咨詢認(rèn)為其中4項(xiàng)疑似跨界收集����,包括讀取用戶通話記錄���、讀取短信�����、讀取彩信和讀取聯(lián)系人����;咪咕閱讀共收集8項(xiàng)用戶信息�,艾媒咨詢認(rèn)為其中4項(xiàng)疑似跨界收集,分別為讀取用戶短信�、讀取彩信��、讀取聯(lián)系人和定位��;微博共收集10項(xiàng)用戶信息�����,艾媒咨詢認(rèn)為其中3項(xiàng)疑似跨界收集���,分別是讀取短信���、讀取彩信和讀取聯(lián)系人��;工銀融e聯(lián)共收集11項(xiàng)用戶數(shù)據(jù)����,其中讀取短信����、讀取彩信和讀取聯(lián)系人也被認(rèn)為疑似跨界。
北京商報(bào)記者于2月13日對(duì)比發(fā)現(xiàn)�����,上述疑似跨界收集涉及的用戶信息與艾媒咨詢《2018年測(cè)評(píng)報(bào)告》中所列一致��。
對(duì)于收集這些用戶信息的目的���,截至北京商報(bào)記者發(fā)稿����,新浪新聞���、芒果TV��、QQ和咪咕閱讀方面未予回應(yīng)����。樂視視頻相關(guān)技術(shù)負(fù)責(zé)人回應(yīng),這是安卓6.0以上版本系統(tǒng)對(duì)所有App的要求�����,App方無法修改����,所以引起了用戶誤解,之后會(huì)在流程上盡量?jī)?yōu)化��。
工行業(yè)務(wù)專家表示�����,工銀融e聯(lián)對(duì)客戶信息進(jìn)行訪問或采集前�����,結(jié)合用戶使用的具體功能需要請(qǐng)求授權(quán)�,在用戶允許的情況下才會(huì)獲取相應(yīng)的手機(jī)權(quán)限。例如針對(duì)安卓手機(jī)�,在校驗(yàn)短信驗(yàn)證碼時(shí),為提升用戶體驗(yàn)���,會(huì)向用戶請(qǐng)求讀取短信/彩信權(quán)限��,用于自動(dòng)回填驗(yàn)證碼��;在用戶需要添加手機(jī)聯(lián)系人為好友時(shí)����,會(huì)向用戶請(qǐng)求讀取聯(lián)系人權(quán)限��,用戶快速添加好友��。用戶均可自由選擇同意或拒絕�。
芒果TV和新浪新聞是少有的取消多項(xiàng)信息收集的App,根據(jù)艾媒咨詢2019年2月統(tǒng)計(jì)��,芒果TV共收集4項(xiàng)用戶信息���,這遠(yuǎn)少于此前報(bào)告中顯示的9項(xiàng)�,不過獲取用戶定位的做法仍然疑似跨界收集。新浪新聞共收集4項(xiàng)用戶信息�����,較此前少了3項(xiàng)�,但艾媒咨詢認(rèn)為獲取用戶定位和撥打電話依然疑似跨界收集。
為何屢教不改
為了阻止用戶掉入大數(shù)據(jù)的新陷阱��,中消協(xié)也通過點(diǎn)名的方式警示���。
根據(jù)中消協(xié)《100款A(yù)pp測(cè)評(píng)報(bào)告》���,在10類100款A(yù)pp中,多達(dá)91款A(yù)pp列出的權(quán)限存在涉嫌“越界”��,即存在過度收集用戶個(gè)人信息的問題:59款A(yù)pp涉嫌過度收集“位置信息”�,28款A(yù)pp涉嫌過度收集“通訊錄信息”,23款A(yù)pp涉嫌過度收集“身份信息”����,22款A(yù)pp涉嫌過度收集“手機(jī)號(hào)碼”等。
多家企業(yè)被作為典型案例點(diǎn)名����,包括:聚看點(diǎn)、網(wǎng)易彩票�����、天天P圖���、咪咕視頻���、139郵箱、捷信快貸��、美圖秀秀���、中國(guó)工商銀行���、ofo小黃車、愛搶購(gòu)�����、新浪新聞���、e代駕����、悟空理財(cái)、去哪兒����、拼多多。其中兩次被點(diǎn)名的有:美圖秀秀�、ofo小黃車、愛搶購(gòu)等�。
北京商報(bào)記者調(diào)查發(fā)現(xiàn),上述App中��,咪咕視頻獲取用戶信息權(quán)限最多���,共有25項(xiàng)�,分別為發(fā)送短信、接收短信、接收彩信�����、讀取短信/彩信、接收WAP信息���、修改系統(tǒng)設(shè)置����、讀取存儲(chǔ)卡中的內(nèi)容、修改或刪除存儲(chǔ)卡中的內(nèi)容����、錄制音頻�、拍攝照片和錄制視頻、查找設(shè)備上的賬號(hào)�����、獲取設(shè)備識(shí)別碼和狀態(tài)����、訪問確切位置信息、訪問大致位置信息����、訪問身體傳感器、讀取日歷�、新建/修改/刪除日歷、撥打電話����、重新設(shè)置外撥電話的路徑��、撥打/接聽SIP電話����、讀取通話記錄�����、新建/修改/刪除通話記錄�����、讀取聯(lián)系人�����、新建/修改/刪除聯(lián)系人��、顯示在其他應(yīng)用上面����。
在中消協(xié)《100款A(yù)pp測(cè)評(píng)報(bào)告》中兩次被點(diǎn)名的有:美圖秀秀、ofo小黃車�、愛搶購(gòu)。
北京商報(bào)記者發(fā)現(xiàn)��,其中美圖秀秀共獲取了10項(xiàng)用戶信息權(quán)限,分別是:修改系統(tǒng)設(shè)置��、讀取存儲(chǔ)卡中的內(nèi)容�����、修改或刪除存儲(chǔ)卡中的內(nèi)容�����、錄制音頻�、拍攝照片和錄制視頻���、獲取設(shè)備識(shí)別碼和狀態(tài)、訪問大致位置和確切位置信息����、訪問身體傳感器、顯示在其他應(yīng)用上面�。
此外��,ofo小黃車獲取11項(xiàng)用戶信息權(quán)限���、愛搶購(gòu)10項(xiàng)、聚看點(diǎn)10項(xiàng)�����、天天P圖8項(xiàng)��、139郵箱18項(xiàng)、中國(guó)工商銀行15項(xiàng)��、新浪新聞12項(xiàng)��、e代駕15項(xiàng)、悟空理財(cái)18項(xiàng)�����、去哪兒13項(xiàng)���、拼多多9項(xiàng)���。
有沒有越界標(biāo)準(zhǔn)
為什么多個(gè)報(bào)告質(zhì)疑App的收集行為���?國(guó)家如何從法律層面約束企業(yè)的行為?中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心特約研究員趙占領(lǐng)告訴北京商報(bào)記者���,“《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《電子商務(wù)法》��、《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》和《電信與互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等都規(guī)定了企業(yè)收集、使用個(gè)人信息的原則”�。
其中�,2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)個(gè)人網(wǎng)絡(luò)信息安全的要求最全面��。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第四章專門針對(duì)網(wǎng)絡(luò)信息安全,第四十一條為“網(wǎng)絡(luò)運(yùn)營(yíng)者收集�、使用個(gè)人信息�����,應(yīng)當(dāng)遵循合法���、正當(dāng)、必要的原則�����,公開收集�、使用規(guī)則�����,明示收集、使用信息的目的���、方式和范圍�,并經(jīng)被收集者同意����。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息����,不得違反法律���、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息”�����。
不過趙占領(lǐng)與國(guó)標(biāo)律師事務(wù)所主任姚克楓均表示����,目前沒有針對(duì)各個(gè)垂直領(lǐng)域細(xì)化的法律法規(guī)。“在收集個(gè)人信息方面��,現(xiàn)在大多數(shù)知名軟件都通過用戶協(xié)議或個(gè)人信息保護(hù)政策等方式告知用戶并經(jīng)用戶同意�����,至于收集哪些信息��,各個(gè)軟件做法不一。現(xiàn)有法律法規(guī)沒有針對(duì)各個(gè)細(xì)分領(lǐng)域單獨(dú)進(jìn)行規(guī)定����,比如視頻App只能收集哪些信息���、電商App只能收集哪些信息,主要原因在于行業(yè)和軟件類型眾多�,很難逐一規(guī)定收集個(gè)人信息的范圍����,只能通過必要性原則來判斷。”趙占領(lǐng)向北京商報(bào)記者直言����,“但是收集哪些信息有必要性���,在很多情況下都容易產(chǎn)生爭(zhēng)議����。比如新聞App能否收集用戶的地理位置信息����,是否具有必要性��,經(jīng)營(yíng)者可能會(huì)解釋新聞App通過收集用戶地理位置信息可以更好地判斷用戶在不同場(chǎng)景下的閱讀習(xí)慣���,以便為用戶提供更精準(zhǔn)的內(nèi)容。當(dāng)然�,從用戶角度來講���,可能會(huì)認(rèn)為新聞App提供的是新聞服務(wù),收集用戶地理位置信息并非提供基本服務(wù)所必需的��。”
姚克楓更是直言,“因?yàn)槿狈?xì)化的法律和規(guī)定�����,各種App在打擦邊球��。”艾媒咨詢高級(jí)分析師劉杰豪對(duì)此表示贊同,他說�����,“目前設(shè)立標(biāo)準(zhǔn)界定有難度�。拿短信讀取這一功能來說����,它在便利性協(xié)助以及風(fēng)險(xiǎn)上都是客觀存在的���,如果App僅通過權(quán)限調(diào)用實(shí)現(xiàn)功能上的協(xié)助,在敏感信息讀取上能夠嚴(yán)守行業(yè)準(zhǔn)則�����,那對(duì)用戶不會(huì)構(gòu)成危害���。但是App在實(shí)質(zhì)運(yùn)行上有沒有越界行為����,這部分是存在灰色空間的��,還需要行業(yè)以及用戶的共同監(jiān)督��。”
也正因?yàn)榇?�,第三方?bào)告在質(zhì)疑某類或某個(gè)App收集用戶個(gè)人信息時(shí)��,大多用“疑似跨界”����、“涉嫌過度收集”來描述。法律和輿論也沒有一刀切�,法律界和第三方分析師普遍認(rèn)為,App到底有沒有過度收集需要根據(jù)具體案例分析���。
針對(duì)艾媒咨詢提出的QQ、微博等隱私跨界收集�����,劉杰豪以微博和咪咕閱讀為例解釋�,“微博在讀取短信、彩信和聯(lián)系人時(shí)存在疑似跨界的情況�����,主要在于權(quán)限調(diào)用對(duì)用戶信息安全的風(fēng)險(xiǎn)����。對(duì)于所有App來說��,在讀取短信��、彩信和聯(lián)系人后���,包括用戶的日常聯(lián)系號(hào)碼��、短信等都有違規(guī)上傳泄露的風(fēng)險(xiǎn)���。而對(duì)于大部分用戶來說�,短信信息可能包括日常工資收入����、轉(zhuǎn)賬流水情況����、App使用情況等�,一旦泄露可能會(huì)造成嚴(yán)重后果�����。用戶需要在這些權(quán)限開放上進(jìn)行有效規(guī)避”��。
微博方面認(rèn)為,微博是社交媒體平臺(tái)�,基于社交關(guān)系和興趣推薦內(nèi)容���。通過通訊錄好友可以向用戶推薦更精準(zhǔn)的好友和信息����,但是否授權(quán)微博讀取通訊錄���,主動(dòng)權(quán)在用戶�,可以自主選擇��。
具體到咪咕閱讀,劉杰豪說����,“作為一個(gè)閱讀類App����,咪咕閱讀的主要功能是滿足用戶的閱讀偏好���,方便讀者搜索符合自身興趣的文章進(jìn)行閱讀。相比于用戶在App內(nèi)的瀏覽記錄進(jìn)行個(gè)性化服務(wù)提升�,讀取短信、彩信�����、聯(lián)系人以及定位在其功能上優(yōu)化上提供的效果不多���,所以我們分析認(rèn)為在該幾項(xiàng)權(quán)限獲取上是疑似越界的”��。
陷阱背后的秘密
既然某些用戶權(quán)限并不用于支持App的主要功能��,那企業(yè)為何還要獲取這些大數(shù)據(jù)���?
“從行業(yè)上來說�,新用戶的增長(zhǎng)越來越困難�����。對(duì)各廠商而言,基于存量用戶的運(yùn)營(yíng)效率優(yōu)化是他們的核心競(jìng)爭(zhēng)力��。收集更多用戶數(shù)據(jù),以更深入地了解和挖掘用戶需求����,提供更加精準(zhǔn)的服務(wù)�,能夠幫助廠商節(jié)約大量運(yùn)營(yíng)成本。”易觀研究中心分析師何文倩表示�����。
她以電商為例解釋�����,“電商過去通過短信進(jìn)行促銷是無差別的,廠商的營(yíng)銷成本都極高�,相對(duì)應(yīng)的是用戶的煩不勝煩和與成本不相稱的收入����。獲得對(duì)用戶的多維度了解后��,就能夠有效減少對(duì)用戶的無效干擾��,同時(shí)降低廠商的運(yùn)營(yíng)成本��,提高運(yùn)營(yíng)效率”�。
在胡修昊看來���,手機(jī)App隱私權(quán)限濫用還是用戶隱私泄露的渠道之一���。“通過手機(jī)App或其他的網(wǎng)絡(luò)服務(wù)�,我們個(gè)人在互聯(lián)網(wǎng)時(shí)代都是被數(shù)據(jù)化的����,也就是說通過數(shù)據(jù)可以展現(xiàn)你的一個(gè)立體畫像�、模型�����。”胡修昊認(rèn)為,“如果這個(gè)權(quán)限被他人掌握��,而且惡意利用的話�,結(jié)果就會(huì)非?�?植?��。”
實(shí)際上�,個(gè)人信息買賣目前已形成一條規(guī)模大�、鏈條長(zhǎng)�����、利益大的黑色產(chǎn)業(yè)鏈�����。“這條產(chǎn)業(yè)鏈結(jié)構(gòu)完整��、分工細(xì)化����,個(gè)人信息被明碼標(biāo)價(jià)�,流通變現(xiàn)環(huán)節(jié)主要包含三個(gè)方面���。”據(jù)中國(guó)人民大學(xué)法學(xué)院博士后劉笑岑介紹����,上游環(huán)節(jié)負(fù)責(zé)“源頭供貨”���,非法獲取或向他人提供個(gè)人信息,主要來自于黑客攻擊和“內(nèi)鬼”外泄�����;中游環(huán)節(jié)負(fù)責(zé)對(duì)從上游處獲取的個(gè)人信息進(jìn)行處理與再加工���,通過買賣���、交換等形式形成規(guī)模化市場(chǎng)�;下游環(huán)節(jié)負(fù)責(zé)“應(yīng)用變現(xiàn)”����,將所獲個(gè)人信息應(yīng)用于電信詐騙�����、惡意營(yíng)銷等不法渠道以牟取高額利潤(rùn)��。
僅騰訊DCCI《2018年網(wǎng)絡(luò)隱私報(bào)告》就能掀開網(wǎng)絡(luò)隱私危害的一角,2018年全年���,騰訊安全實(shí)驗(yàn)室為用戶攔截惡意網(wǎng)址超5550億次,其中信息詐騙網(wǎng)址攔截次數(shù)超387億次���,詐騙電話和詐騙短信依然猖獗�。2018年全年,騰訊手機(jī)管家用戶標(biāo)記詐騙電話超6100萬個(gè)����,舉報(bào)詐騙短信超5100萬條���。
為此,中央網(wǎng)信辦��、工信部�����、公安部�����、市場(chǎng)監(jiān)管總局決定自2019年1-12月,在全國(guó)范圍組織開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理��。要求App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí)�����,不得收集與所提供服務(wù)無關(guān)的個(gè)人信息;收集個(gè)人信息時(shí)要以通俗易懂��、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規(guī)則,并經(jīng)個(gè)人信息主體自主選擇同意;不以默認(rèn)�����、捆綁�、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán)��,不得違反法律法規(guī)和與用戶的約定收集使用個(gè)人信息。
在姚克楓看來����,“要治理App違法違規(guī)收集��,最主要的就是國(guó)家監(jiān)管,比如說加大處罰力度����,甚至降低刑事案件的立案標(biāo)準(zhǔn)���,現(xiàn)在刑事案件的立案標(biāo)準(zhǔn)較高����,降低有利于保護(hù)個(gè)人信息安全”�����。北京商報(bào)記者 魏蔚
