隱私難設防:APP爬取個人信息手段多樣
截至去年12月,我國網民規(guī)模為8.29億,全年新增網民5653萬,互聯(lián)網普及率達59.6%。智能化、大數(shù)據(jù)在方便人們生活的同時,個人隱私保護問題也日益凸顯。
去年,獵豹瀏覽器默認開通監(jiān)聽用戶外撥電話;華住旗下5億條酒店用戶個人信息疑似泄露……今年,“抖音”因涉嫌私自調取用戶隱私數(shù)據(jù),被其他互聯(lián)網平臺取消第三方登錄授權;央視“315”曝光“社保掌上通”App通過獲取用戶授權,肆意收集用戶隱私信息……
互聯(lián)網時代,我們的隱私到底還剩多少?
獲取用戶隱私手法隱蔽
根據(jù)用戶反饋的情況,第三方研究機構IDF實驗室檢測發(fā)現(xiàn),與“抖音”同屬北京字節(jié)跳動科技有限公司(以下簡稱“字節(jié)跳動”)的資訊類APP“今日頭條”,在技術上采取了至少兩個“非正常”操作,使其獲取了微信用戶的好友信息。
近日,一篇名為《法學博士生維權:我為什么起訴抖音、多閃侵犯我的隱私權?》的文章出現(xiàn)在微博、知乎等社交平臺,引發(fā)廣泛關注。
該博主經過比對發(fā)現(xiàn),在通訊錄未包含任何信息,他個人也沒有明確同意它們收集使用通訊錄的情況下,“字節(jié)跳動”旗下產品“抖音”和“多閃”兩款APP仍然向他推薦很多微信好友。而且,在未經明確同意下,“抖音”就向“多閃”提供了博主在抖音上的個人信息。
博主凌先生在文章中寫到,抖音用戶規(guī)模多達上億,收集和使用的用戶信息量巨大,為牟取自身產品利益,擅自泄露和使用用戶的個人信息,讓人不寒而栗。
對此,“字節(jié)跳動”回應稱,“抖音”“多閃”產品在運營過程中,合規(guī)合法,一直在法律允許范圍內收集、使用、共享個人信息。
“字節(jié)跳動”還表示,“推薦好友”功能是“抖音”的基本功能之一,“抖音”相關頁面上出現(xiàn)的被推薦人,是基于用戶明確授權上傳的通訊錄信息、粉絲、關注、共同好友等信息,向用戶推薦的好友或可能認識的人,與微信好友毫無關系。
然而,記者采訪了多位“抖音”用戶,他們均表示遇到過凌先生所反映的情況。北京市民劉先生告訴記者,當用戶使用微信號授權登錄“抖音”后,其微信好友會陸續(xù)出現(xiàn)在“抖音”推薦的“可能認識的人”里,隨后用戶手機通訊錄中的好友也陸續(xù)出現(xiàn)在“抖音”的產品推薦中。“抖音”甚至會將用戶微信的“二度好友”,即好友的好友,也推薦給用戶。
今年1月,白帽黑客專家、IDF實驗室聯(lián)合創(chuàng)始人萬濤指出,通過模擬用戶分享環(huán)境運用抓包工具監(jiān)測發(fā)現(xiàn),如果用戶甲在微信朋友圈分享了一條來自“今日頭條”的新聞,當甲的微信好友乙和丙都打開看過這條新聞后,“今日頭條”就悄悄記錄下乙和丙都是甲的好友,進而將這組社交關系分享給本公司的“抖音”等APP平臺,使乙和丙出現(xiàn)在“抖音”推薦的“可能認識的人”里。
“其違規(guī)原理在于,正常的軟件在設置cookie(網站為辨別用戶身份進行數(shù)據(jù)追蹤的數(shù)值設定)參數(shù)時一般僅為5至7天,而‘今日頭條’將這一數(shù)值設定為10年,這一隱蔽的設定使其可以長期更新關注用戶的好友關系變動情況。”萬濤說。
與此類似,此前兩款社交軟件“陌陌”“脈脈”也曾因侵犯用戶隱私數(shù)據(jù)而被告上法庭,盡管法院最終判決兩家企業(yè)侵權。然而,技術與監(jiān)管漏洞并沒有因此得到“根治”。
權責不明維權舉報難
去年8月,中國消費者協(xié)會發(fā)布的《APP個人信息泄露情況調查報告》顯示,超八成受訪者曾遭遇個人信息泄露問題,其中常見情形為推銷電話、短信騷擾、詐騙電話、垃圾郵件。而根據(jù)全國消協(xié)組織受理消費者投訴情況統(tǒng)計,去年上半年,電商、社交軟件等平臺非法收集消費者個人信息的現(xiàn)象已成投訴新熱點。
不僅是“抖音”“陌陌”等APP有涉嫌爬取用戶隱私的行為。近日,多家媒體報道,一種以WiFi探針為主要技術手段的廣告營銷設備“悄然興起”。不少手機用戶喜歡使用各種免費WiFi,常常開著WiFi搜索附近可用的網絡,而此類設備會搜尋附近設備的Mac地址盜竊用戶信息,并通過大數(shù)據(jù)生成用戶圖像,為隨后的電話推廣、騷擾做鋪墊。有些設備甚至可以強制用戶手機彈窗,并冒充已連接WiFi在微信置頂界面投放無法消除的“狗皮膏藥式”廣告。
記者調查發(fā)現(xiàn),當前,不明確的邊界、日益隱蔽的技術和低威懾力的罰單,正成為互聯(lián)網用戶隱私“攻防戰(zhàn)”的三大新型難題。
隱私保護的權利與義務權責不明,管理的主體責任不清。“數(shù)據(jù)是互聯(lián)網公司的重要資產,平臺有責任維護自己的數(shù)據(jù)安全,也有權利保障用戶的個人隱私不受侵犯。”中國社會科學院信息化研究中心秘書長姜奇平指出,保護的權利和責任非常明確,而相應的法理邊界又十分模糊,這在一定程度上會成為侵權者模糊事實的“保護傘”。
今年1月25日,中央網信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)聲,要求APP運營者收集使用個人信息,應遵循合法、正當、必要的原則,不收集與所提供服務無關的個人信息,對于違法違規(guī)情節(jié)嚴重的,需依法暫停相關業(yè)務、停業(yè)整頓等。
在重拳整治的同時,部分業(yè)內人士仍對侵權技術手段日趨隱蔽的問題表示擔憂。萬濤認為,雖然大多數(shù)資深代碼工程師都可以通過抓包軟件發(fā)現(xiàn)上述違規(guī)侵權的參數(shù),然而類似的修改可能藏在數(shù)以萬計的程序代碼中,正常的監(jiān)測流程根本無法發(fā)現(xiàn)。而這一類明顯違規(guī)的竊取行為,即使發(fā)現(xiàn)也難以直接定性為“違法違規(guī)”,僅僅能被認為“非常規(guī)”,因為大多數(shù)違法行為實際運用邏輯和判定參數(shù)都只存在于侵權方的內部系統(tǒng)中,外部工程師無法全部獲取相關侵權證據(jù)的線索,因此維權和舉報都十分困難。
高投入維護與低成本侵權矛盾日趨激化。業(yè)內人士表示,一方面是用戶隱私保護需要耗費大量的人力及物力,同時,相關技術需要不斷對抗升級,法律風險日趨擴大。而另一方面,侵權方在快速獲取數(shù)據(jù)后可以產生無法計算的經濟和社會效益,同等條件下的違法成本又微乎其微。
界定模糊 制度建設需加速
根據(jù)我國刑法以及最高院在2011年頒布的《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》,非法獲取計算機信息系統(tǒng)數(shù)據(jù),情節(jié)嚴重的,甚至構成刑事犯罪。對于非法獲取數(shù)據(jù)涉及公民個人信息的,涉嫌構成侵犯公民個人信息罪。
在媒體曝光“社保掌上通”和WiFi探針等產業(yè)鏈后,3月16日,工信部刊文表示,已第一時間責令基礎電信企業(yè)即刻關停報道中企業(yè)撥打騷擾電話的語音專線,停止違規(guī)號碼透傳,加強通信資源規(guī)范管理。
工業(yè)和信息化部還表示,為防范各類通信資源被用于電話擾民,將會同相關部門組織開展全面排查清理,嚴格規(guī)范語音專線管理,嚴查利用透傳技術虛擬主叫號碼的違規(guī)行為,對未通過鑒權的呼叫一律攔截。
此外,為加強手機APP個人信息保護,工業(yè)和信息化部將配合中央網信辦、公安部、市場監(jiān)督管理總局等部門做好APP違法違規(guī)收集使用個人信息專項治理行動。采取日常技術檢測和專項檢查等多種方式加強監(jiān)管,加大對各類違規(guī)行為的處置和曝光力度,積極推進個人信息保護立法工作,切實規(guī)范用戶個人信息的收集、使用行為。
盡管如此,仍有專家認為,在實際操作過程中,一些涉及專業(yè)技術的問題在法律法規(guī)中尚存在界定不清晰的情況,導致相關法律法規(guī)在執(zhí)行層面面臨不少困難。
以此次微信與“抖音”和“今日頭條”的事件為例,微信公眾號“新聞實驗室”創(chuàng)始人方可成認為,“抖音”和微信關于好友關系獲取的爭議核心在于cookie這個記錄了用戶數(shù)據(jù)的技術元素。“今日頭條”將微信瀏覽器的cookie值設置為10年,這是一個非正常的時間范圍,不僅如此,今日頭條還通過將用戶cookie值及分享者的信息回傳到自己的服務器,從而留存用戶信息。
“事實上,開放接口不應允許回傳cookie。在我所參與的技術開發(fā)工作中,從來沒有這樣的操作。”譯言網創(chuàng)始人、曾任美國甲骨文公司工程師趙嘉敏說。
“主管部門應進一步健全相關公開透明的隱私提醒制度,例如要求企業(yè)公布上述提示信息,以保證用戶信息安全的知情權,同時加快法律法規(guī)的更新頻率和加強依法監(jiān)管,確保維權申訴渠道暢通無阻。”方可成說。
長平經濟研究所執(zhí)行所長王長勇建議,“支付寶”“微信”“微博”等作為互聯(lián)網的數(shù)據(jù)平臺企業(yè),應對下游企業(yè)“設置準入管制”或者“設置準入權”,從而使平臺成為一個“自律監(jiān)管者”,進而強化數(shù)據(jù)安全的可靠性地位。
截至去年12月,我國網民規(guī)模為8.29億,全年新增網民5653萬,互聯(lián)網普及率達59.6%。智能化、大數(shù)據(jù)在方便人們生活的同時,個人隱私保護問題也日益凸顯。
去年,獵豹瀏覽器默認開通監(jiān)聽用戶外撥電話;華住旗下5億條酒店用戶個人信息疑似泄露……今年,“抖音”因涉嫌私自調取用戶隱私數(shù)據(jù),被其他互聯(lián)網平臺取消第三方登錄授權;央視“315”曝光“社保掌上通”App通過獲取用戶授權,肆意收集用戶隱私信息……
互聯(lián)網時代,我們的隱私到底還剩多少?
獲取用戶隱私手法隱蔽
根據(jù)用戶反饋的情況,第三方研究機構IDF實驗室檢測發(fā)現(xiàn),與“抖音”同屬北京字節(jié)跳動科技有限公司(以下簡稱“字節(jié)跳動”)的資訊類APP“今日頭條”,在技術上采取了至少兩個“非正常”操作,使其獲取了微信用戶的好友信息。
近日,一篇名為《法學博士生維權:我為什么起訴抖音、多閃侵犯我的隱私權?》的文章出現(xiàn)在微博、知乎等社交平臺,引發(fā)廣泛關注。
該博主經過比對發(fā)現(xiàn),在通訊錄未包含任何信息,他個人也沒有明確同意它們收集使用通訊錄的情況下,“字節(jié)跳動”旗下產品“抖音”和“多閃”兩款APP仍然向他推薦很多微信好友。而且,在未經明確同意下,“抖音”就向“多閃”提供了博主在抖音上的個人信息。
博主凌先生在文章中寫到,抖音用戶規(guī)模多達上億,收集和使用的用戶信息量巨大,為牟取自身產品利益,擅自泄露和使用用戶的個人信息,讓人不寒而栗。
對此,“字節(jié)跳動”回應稱,“抖音”“多閃”產品在運營過程中,合規(guī)合法,一直在法律允許范圍內收集、使用、共享個人信息。
“字節(jié)跳動”還表示,“推薦好友”功能是“抖音”的基本功能之一,“抖音”相關頁面上出現(xiàn)的被推薦人,是基于用戶明確授權上傳的通訊錄信息、粉絲、關注、共同好友等信息,向用戶推薦的好友或可能認識的人,與微信好友毫無關系。
然而,記者采訪了多位“抖音”用戶,他們均表示遇到過凌先生所反映的情況。北京市民劉先生告訴記者,當用戶使用微信號授權登錄“抖音”后,其微信好友會陸續(xù)出現(xiàn)在“抖音”推薦的“可能認識的人”里,隨后用戶手機通訊錄中的好友也陸續(xù)出現(xiàn)在“抖音”的產品推薦中。“抖音”甚至會將用戶微信的“二度好友”,即好友的好友,也推薦給用戶。
今年1月,白帽黑客專家、IDF實驗室聯(lián)合創(chuàng)始人萬濤指出,通過模擬用戶分享環(huán)境運用抓包工具監(jiān)測發(fā)現(xiàn),如果用戶甲在微信朋友圈分享了一條來自“今日頭條”的新聞,當甲的微信好友乙和丙都打開看過這條新聞后,“今日頭條”就悄悄記錄下乙和丙都是甲的好友,進而將這組社交關系分享給本公司的“抖音”等APP平臺,使乙和丙出現(xiàn)在“抖音”推薦的“可能認識的人”里。
“其違規(guī)原理在于,正常的軟件在設置cookie(網站為辨別用戶身份進行數(shù)據(jù)追蹤的數(shù)值設定)參數(shù)時一般僅為5至7天,而‘今日頭條’將這一數(shù)值設定為10年,這一隱蔽的設定使其可以長期更新關注用戶的好友關系變動情況。”萬濤說。
與此類似,此前兩款社交軟件“陌陌”“脈脈”也曾因侵犯用戶隱私數(shù)據(jù)而被告上法庭,盡管法院最終判決兩家企業(yè)侵權。然而,技術與監(jiān)管漏洞并沒有因此得到“根治”。
權責不明維權舉報難
去年8月,中國消費者協(xié)會發(fā)布的《APP個人信息泄露情況調查報告》顯示,超八成受訪者曾遭遇個人信息泄露問題,其中常見情形為推銷電話、短信騷擾、詐騙電話、垃圾郵件。而根據(jù)全國消協(xié)組織受理消費者投訴情況統(tǒng)計,去年上半年,電商、社交軟件等平臺非法收集消費者個人信息的現(xiàn)象已成投訴新熱點。
不僅是“抖音”“陌陌”等APP有涉嫌爬取用戶隱私的行為。近日,多家媒體報道,一種以WiFi探針為主要技術手段的廣告營銷設備“悄然興起”。不少手機用戶喜歡使用各種免費WiFi,常常開著WiFi搜索附近可用的網絡,而此類設備會搜尋附近設備的Mac地址盜竊用戶信息,并通過大數(shù)據(jù)生成用戶圖像,為隨后的電話推廣、騷擾做鋪墊。有些設備甚至可以強制用戶手機彈窗,并冒充已連接WiFi在微信置頂界面投放無法消除的“狗皮膏藥式”廣告。
記者調查發(fā)現(xiàn),當前,不明確的邊界、日益隱蔽的技術和低威懾力的罰單,正成為互聯(lián)網用戶隱私“攻防戰(zhàn)”的三大新型難題。
隱私保護的權利與義務權責不明,管理的主體責任不清。“數(shù)據(jù)是互聯(lián)網公司的重要資產,平臺有責任維護自己的數(shù)據(jù)安全,也有權利保障用戶的個人隱私不受侵犯。”中國社會科學院信息化研究中心秘書長姜奇平指出,保護的權利和責任非常明確,而相應的法理邊界又十分模糊,這在一定程度上會成為侵權者模糊事實的“保護傘”。
今年1月25日,中央網信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)聲,要求APP運營者收集使用個人信息,應遵循合法、正當、必要的原則,不收集與所提供服務無關的個人信息,對于違法違規(guī)情節(jié)嚴重的,需依法暫停相關業(yè)務、停業(yè)整頓等。
在重拳整治的同時,部分業(yè)內人士仍對侵權技術手段日趨隱蔽的問題表示擔憂。萬濤認為,雖然大多數(shù)資深代碼工程師都可以通過抓包軟件發(fā)現(xiàn)上述違規(guī)侵權的參數(shù),然而類似的修改可能藏在數(shù)以萬計的程序代碼中,正常的監(jiān)測流程根本無法發(fā)現(xiàn)。而這一類明顯違規(guī)的竊取行為,即使發(fā)現(xiàn)也難以直接定性為“違法違規(guī)”,僅僅能被認為“非常規(guī)”,因為大多數(shù)違法行為實際運用邏輯和判定參數(shù)都只存在于侵權方的內部系統(tǒng)中,外部工程師無法全部獲取相關侵權證據(jù)的線索,因此維權和舉報都十分困難。
高投入維護與低成本侵權矛盾日趨激化。業(yè)內人士表示,一方面是用戶隱私保護需要耗費大量的人力及物力,同時,相關技術需要不斷對抗升級,法律風險日趨擴大。而另一方面,侵權方在快速獲取數(shù)據(jù)后可以產生無法計算的經濟和社會效益,同等條件下的違法成本又微乎其微。
界定模糊 制度建設需加速
根據(jù)我國刑法以及最高院在2011年頒布的《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》,非法獲取計算機信息系統(tǒng)數(shù)據(jù),情節(jié)嚴重的,甚至構成刑事犯罪。對于非法獲取數(shù)據(jù)涉及公民個人信息的,涉嫌構成侵犯公民個人信息罪。
在媒體曝光“社保掌上通”和WiFi探針等產業(yè)鏈后,3月16日,工信部刊文表示,已第一時間責令基礎電信企業(yè)即刻關停報道中企業(yè)撥打騷擾電話的語音專線,停止違規(guī)號碼透傳,加強通信資源規(guī)范管理。
工業(yè)和信息化部還表示,為防范各類通信資源被用于電話擾民,將會同相關部門組織開展全面排查清理,嚴格規(guī)范語音專線管理,嚴查利用透傳技術虛擬主叫號碼的違規(guī)行為,對未通過鑒權的呼叫一律攔截。
此外,為加強手機APP個人信息保護,工業(yè)和信息化部將配合中央網信辦、公安部、市場監(jiān)督管理總局等部門做好APP違法違規(guī)收集使用個人信息專項治理行動。采取日常技術檢測和專項檢查等多種方式加強監(jiān)管,加大對各類違規(guī)行為的處置和曝光力度,積極推進個人信息保護立法工作,切實規(guī)范用戶個人信息的收集、使用行為。
盡管如此,仍有專家認為,在實際操作過程中,一些涉及專業(yè)技術的問題在法律法規(guī)中尚存在界定不清晰的情況,導致相關法律法規(guī)在執(zhí)行層面面臨不少困難。
以此次微信與“抖音”和“今日頭條”的事件為例,微信公眾號“新聞實驗室”創(chuàng)始人方可成認為,“抖音”和微信關于好友關系獲取的爭議核心在于cookie這個記錄了用戶數(shù)據(jù)的技術元素。“今日頭條”將微信瀏覽器的cookie值設置為10年,這是一個非正常的時間范圍,不僅如此,今日頭條還通過將用戶cookie值及分享者的信息回傳到自己的服務器,從而留存用戶信息。
“事實上,開放接口不應允許回傳cookie。在我所參與的技術開發(fā)工作中,從來沒有這樣的操作。”譯言網創(chuàng)始人、曾任美國甲骨文公司工程師趙嘉敏說。
“主管部門應進一步健全相關公開透明的隱私提醒制度,例如要求企業(yè)公布上述提示信息,以保證用戶信息安全的知情權,同時加快法律法規(guī)的更新頻率和加強依法監(jiān)管,確保維權申訴渠道暢通無阻。”方可成說。
長平經濟研究所執(zhí)行所長王長勇建議,“支付寶”“微信”“微博”等作為互聯(lián)網的數(shù)據(jù)平臺企業(yè),應對下游企業(yè)“設置準入管制”或者“設置準入權”,從而使平臺成為一個“自律監(jiān)管者”,進而強化數(shù)據(jù)安全的可靠性地位。
- APP自動續(xù)費陷阱多 消費者警惕繳納“記憶稅”(2024-11-12)
- 中國消費者協(xié)會發(fā)布消費提示:當心國產水果披上“洋外衣”(2024-10-23)
- “華佗回春寶典”傍名醫(yī)宣傳功效(2024-09-04)
- 山東21批次食品不合格 涉及酒鬼花生、蜜三刀等(2024-08-23)
- 上海市消保委測評寵物零食:寵德萊等4款自制寵物零食細菌超標(2024-08-23)