原標題:隱私難設防:APP爬取個人信息手段多樣
截至去年12月,我國網民規模為8.29億,全年新增網民5653萬,互聯網普及率達59.6%。智能化、大數據在方便人們生活的同時,個人隱私保護問題也日益凸顯。
去年,獵豹瀏覽器默認開通監聽用戶外撥電話﹔華住旗下5億條酒店用戶個人信息疑似泄露……今年,“抖音”因涉嫌私自調取用戶隱私數據,被其他互聯網平台取消第三方登錄授權﹔央視“315”曝光“社保掌上通”App通過獲取用戶授權,肆意收集用戶隱私信息……
互聯網時代,我們的隱私到底還剩多少?
獲取用戶隱私手法隱蔽
根據用戶反饋的情況,第三方研究機構IDF實驗室檢測發現,與“抖音”同屬北京字節跳動科技有限公司(以下簡稱“字節跳動”)的資訊類APP“今日頭條”,在技術上採取了至少兩個“非正常”操作,使其獲取了微信用戶的好友信息。
近日,一篇名為《法學博士生維權:我為什麼起訴抖音、多閃侵犯我的隱私權?》的文章出現在微博、知乎等社交平台,引發廣泛關注。
該博主經過比對發現,在通訊錄未包含任何信息,他個人也沒有明確同意它們收集使用通訊錄的情況下,“字節跳動”旗下產品“抖音”和“多閃”兩款APP仍然向他推薦很多微信好友。而且,在未經明確同意下,“抖音”就向“多閃”提供了博主在抖音上的個人信息。
博主凌先生在文章中寫到,抖音用戶規模多達上億,收集和使用的用戶信息量巨大,為牟取自身產品利益,擅自泄露和使用用戶的個人信息,讓人不寒而栗。
對此,“字節跳動”回應稱,“抖音”“多閃”產品在運營過程中,合規合法,一直在法律允許范圍內收集、使用、共享個人信息。
“字節跳動”還表示,“推薦好友”功能是“抖音”的基本功能之一,“抖音”相關頁面上出現的被推薦人,是基於用戶明確授權上傳的通訊錄信息、粉絲、關注、共同好友等信息,向用戶推薦的好友或可能認識的人,與微信好友毫無關系。
然而,記者採訪了多位“抖音”用戶,他們均表示遇到過凌先生所反映的情況。北京市民劉先生告訴記者,當用戶使用微信號授權登錄“抖音”后,其微信好友會陸續出現在“抖音”推薦的“可能認識的人”裡,隨后用戶手機通訊錄中的好友也陸續出現在“抖音”的產品推薦中。“抖音”甚至會將用戶微信的“二度好友”,即好友的好友,也推薦給用戶。
今年1月,白帽黑客專家、IDF實驗室聯合創始人萬濤指出,通過模擬用戶分享環境運用抓包工具監測發現,如果用戶甲在微信朋友圈分享了一條來自“今日頭條”的新聞,當甲的微信好友乙和丙都打開看過這條新聞后,“今日頭條”就悄悄記錄下乙和丙都是甲的好友,進而將這組社交關系分享給本公司的“抖音”等APP平台,使乙和丙出現在“抖音”推薦的“可能認識的人”裡。
“其違規原理在於,正常的軟件在設置cookie(網站為辨別用戶身份進行數據追蹤的數值設定)參數時一般僅為5至7天,而‘今日頭條’將這一數值設定為10年,這一隱蔽的設定使其可以長期更新關注用戶的好友關系變動情況。”萬濤說。
與此類似,此前兩款社交軟件“陌陌”“脈脈”也曾因侵犯用戶隱私數據而被告上法庭,盡管法院最終判決兩家企業侵權。然而,技術與監管漏洞並沒有因此得到“根治”。
權責不明維權舉報難
去年8月,中國消費者協會發布的《APP個人信息泄露情況調查報告》顯示,超八成受訪者曾遭遇個人信息泄露問題,其中常見情形為推銷電話、短信騷擾、詐騙電話、垃圾郵件。而根據全國消協組織受理消費者投訴情況統計,去年上半年,電商、社交軟件等平台非法收集消費者個人信息的現象已成投訴新熱點。
不僅是“抖音”“陌陌”等APP有涉嫌爬取用戶隱私的行為。近日,多家媒體報道,一種以WiFi探針為主要技術手段的廣告營銷設備“悄然興起”。不少手機用戶喜歡使用各種免費WiFi,常常開著WiFi搜索附近可用的網絡,而此類設備會搜尋附近設備的Mac地址盜竊用戶信息,並通過大數據生成用戶圖像,為隨后的電話推廣、騷擾做鋪墊。有些設備甚至可以強制用戶手機彈窗,並冒充已連接WiFi在微信置頂界面投放無法消除的“狗皮膏藥式”廣告。
記者調查發現,當前,不明確的邊界、日益隱蔽的技術和低威懾力的罰單,正成為互聯網用戶隱私“攻防戰”的三大新型難題。
隱私保護的權利與義務權責不明,管理的主體責任不清。“數據是互聯網公司的重要資產,平台有責任維護自己的數據安全,也有權利保障用戶的個人隱私不受侵犯。”中國社會科學院信息化研究中心秘書長姜奇平指出,保護的權利和責任非常明確,而相應的法理邊界又十分模糊,這在一定程度上會成為侵權者模糊事實的“保護傘”。
今年1月25日,中央網信辦、工信部、公安部、市場監管總局四部門聯合發聲,要求APP運營者收集使用個人信息,應遵循合法、正當、必要的原則,不收集與所提供服務無關的個人信息,對於違法違規情節嚴重的,需依法暫停相關業務、停業整頓等。
在重拳整治的同時,部分業內人士仍對侵權技術手段日趨隱蔽的問題表示擔憂。萬濤認為,雖然大多數資深代碼工程師都可以通過抓包軟件發現上述違規侵權的參數,然而類似的修改可能藏在數以萬計的程序代碼中,正常的監測流程根本無法發現。而這一類明顯違規的竊取行為,即使發現也難以直接定性為“違法違規”,僅僅能被認為“非常規”,因為大多數違法行為實際運用邏輯和判定參數都隻存在於侵權方的內部系統中,外部工程師無法全部獲取相關侵權証據的線索,因此維權和舉報都十分困難。
高投入維護與低成本侵權矛盾日趨激化。業內人士表示,一方面是用戶隱私保護需要耗費大量的人力及物力,同時,相關技術需要不斷對抗升級,法律風險日趨擴大。而另一方面,侵權方在快速獲取數據后可以產生無法計算的經濟和社會效益,同等條件下的違法成本又微乎其微。
界定模糊 制度建設需加速
根據我國刑法以及最高院在2011年頒布的《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》,非法獲取計算機信息系統數據,情節嚴重的,甚至構成刑事犯罪。對於非法獲取數據涉及公民個人信息的,涉嫌構成侵犯公民個人信息罪。
在媒體曝光“社保掌上通”和WiFi探針等產業鏈后,3月16日,工信部刊文表示,已第一時間責令基礎電信企業即刻關停報道中企業撥打騷擾電話的語音專線,停止違規號碼透傳,加強通信資源規范管理。
工業和信息化部還表示,為防范各類通信資源被用於電話擾民,將會同相關部門組織開展全面排查清理,嚴格規范語音專線管理,嚴查利用透傳技術虛擬主叫號碼的違規行為,對未通過鑒權的呼叫一律攔截。
