提高公民隱私保護意識只是第一步,更為關鍵的是,監管機構應該對數據擁有者提出更高的監管要求,強化對App應用企業的合法行為的行政監管。
原文首發於447期《法治周末》4版
原題:App“偷聽門”
對於智能手機用戶而言,為了滿足個性化需求,各種手機應用App幾乎成為生活必需品。不過,這些App在帶來方便的同時,也給用戶的資訊安全帶來了挑戰。
不少用戶發現,App使用權限不僅涉及用戶的姓名、電話、位置等資訊,有的還需要讀取簡訊、讀取通話記錄等權限。甚至為了實現內容的精準推送,用戶無意間的談話也被某些App“偷聽”。
對此,應用軟體公司則為自己“正名”,認為手機監聽和語音使用權限是兩回事,互聯網公司還沒有能力做到手機監聽,由於成本高,即便有監聽也不會用在個別網民身上。
但這種說法依然難以化解用戶的質疑,為何剛接了個電話,App就會推送與電話內容相關的廣告,如此精準的內容推送從何而來?又是誰在“偷窺”著我們的生活?
1
用戶感覺被“偷聽”
“和朋友聊到一個與健康相關的話題,隨後手機上的某款資訊類App就推送了相關內容。”張曉光(化名)談起近期的遭遇很是無奈。
前不久,在北京工作的張曉光遇到了一件怪事。張曉光和朋友聚會聊天時,說到了健身的話題,隨後翻閱該資訊類App時,他發現被推送了不少相關內容。這讓張曉光感到很不對勁,“自己從來沒有在手機上搜索過此類關鍵詞,也不知道為什麽突然就推送給我這些內容”。
“大家有沒有覺得App在偷聽我們日常聊天?”“剛剛,幾個同事在聊哪家蛋糕好吃,其中一個同事說了85°C。過了大概半小時,我打開App,推送廣告赫然是加盟85°C的廣告!”“想買個溫濕計,在逛沃爾瑪時,發現牆上掛著一個,我視力不好,就讓孩子幫我看的牌子,結果回到家一打開App,它就把同牌子的溫濕度計推薦給我了”“App在偷聽,細思極恐”在某網絡貼吧中,記者粗略統計,從2017年10月至今,有超過20位用戶發帖反映手機中的App涉嫌“偷聽”,並推送定向精準廣告,跟帖人數多達百餘人。
“有些用戶資訊,是App開發運營公司出售給廣告商的。廣告商加以分析,以便廣告商提高廣告精準性。”在某新聞資訊類App公司工作了3年的內容運營人員張琪(化名)告訴法治周末記者,目前一些社交或新聞谘詢類App的大部分收入來自廣告。
“而精準的內容推薦,是來自於App自身發展的需要。”據張琪介紹,“大部分App公司自身為了吸引更多的廣告商,也會在內容以及拓展、維護客戶方面下功夫。畢竟穩定、優質客戶才會取得更多的廣告收入。”
App提供精準服務的第一步是收集用戶資訊資料。張琪介紹,除了注冊時提供的電話、性別、年齡等個人資訊外,App開發商也會對用戶的內容偏好以及其評論、轉發數量進行收集,根據這些資訊對用戶進行圖文、影片定向推薦。並輔以大數據計算。
對於一些用戶反映的談話內容被“偷聽”,張琪坦言,自己並未采集過用戶的音影片資訊:“如果真有監聽,可能會出現在需要開啟音影片的App應用中。因為這些App對用戶的音影片資訊收集和處理的需求比較多。”
12月3日,記者也就“監聽”問題,採訪了短影片平台快手。“快手絕對不會在用戶不知情的情況下收集用戶隱私數據。”快手相關負責人回復稱,我國相關法律規定,App采集用戶資訊,需要通過用戶的授權。且定向推送也是建立在用戶點擊行為所產生數據的基礎之上實現的。
不僅是上文提到的新聞資訊類App和快手,對於“偷聽”的質疑,多家App也接連“喊冤”。今年年初,某新聞資訊類App發布聲明,稱:“除非用戶明確點擊授權,否則無論哪種手機機型,都無法獲得麥克風權限,無法收到用戶任何語音信號。”
11月28日,獵豹瀏覽器被上海市消保委點名通報,稱該App默認監聽外撥通話、位置資訊、發送簡訊的權限。對此,獵豹瀏覽器予以否認,稱“默認監聽外界電話“是避免用戶在收聽有聲讀物時影響正常來電的功能,不會獲取用戶個人隱私資訊。
接受法治周末記者採訪的公司均表示,從技術角度看,目前聲音資訊技術的處理,也遠達不到通過麥克風獲取個人隱私的水準。獵豹公司知名安全專家李鐵軍曾在接受媒體採訪時直言:“即便是有這個能力(監聽),礙於成本也不會用在個別網民身上。”
2
“偷聽”音頻較難被發現
“關於攝影頭和麥克風偷窺隱私的問題早在PC時代就有爆發。”在某軟體公司任職的崔亮(化名)告訴記者,“在手機上‘監視’用戶,從技術上來說是可以做到的。”
騰訊社會研究中心和DCCI互聯網數據研究中心聯合發布《網絡隱私安全及網絡欺詐行為研究分析報告(2018年上半年)》顯示,2017年下半年,幾乎所有的安卓手機App都在獲取用戶隱私權限。其中,9%的Android應用在2017下半年存在越界獲取用戶隱私權限的現象。
“前不久,某App啟動攝影頭‘偷看’,就誤打誤撞地被一款國產手機‘發現’。”崔亮說,“這款國產手機設有前置攝影頭,一些用戶發現,在沒有啟動手機自拍程式時,前置攝影頭會不定時地升起,隨後又縮回。雖然該App開發公司解釋,啟動攝影頭原因是在調用camera、申請或者檢查camera權限時觸發,並非偷拍。但是App公司究竟是否涉及偷拍,就得看開發商的底線了。”
“相對於影片‘偷拍’,音頻的‘偷聽’較難以被發現。”崔亮說。
據其介紹,對於互聯網軟體公司來監聽技術並不是難題,如果某款App調用麥克風權限,錄製用戶音頻,再將部分存儲的錄音檔案上傳伺服器,則可以達到監聽用戶的效果。但是,這些技術上的問題,除非內部人透露,否則“偷聽”很難用現有設備檢測出來。而且,一旦被舉報或監管機構發現,開發公司在後台、伺服器上做一些修改也比較容易。
崔亮坦言,目前App獲取用戶個人隱私資訊已“勢不可擋”,最大的問題在於資訊獲得是否能合規合法。因為一旦用戶資訊被洩露,機主的銀行账號、密碼都可能受到威脅。
去年8月,江蘇省消協召開“關於手機應用程式侵犯消費者個人資訊安全”發布會上,在現場檢測100多個App中,竟然有14個App甚至可以監聽電話或掛斷電話。
騰訊守護者計劃安全專家李新曾表示,目前,八成的網絡欺詐場景都來自移動端。移動網絡隱私的洩露主要有手機軟體獲取、免費Wi-Fi竊取等管道。
3
資訊獲取需合法合理
對於App開發商對用戶資料收集的問題,業內人士也有不同的看法。他們認為對於App搜集個人資訊的行為輿論過於“杞人憂天”。
科技自由撰稿人寧宇在自己的公號上發表文章認為,App開發商關注的是群體行為。對收集到的用戶做“群體畫像”處理,依據業內慣常做法,是將收集的用戶資訊進行去標識化或匿名化處理,並且貼上興趣、行為特點等各種維度標簽,再按照標簽來劃分群體,進而完成相關的分析。在用戶協定明確範圍內與廣告主共享,並不涉及提供用戶的隱私資訊,廣告主無法通過這些無法識別的資訊還原用戶個人。
但是如果這些數據資訊被惡意盜用,又該由誰來負責?
“原本不用給別人的數據,現在被別人拿走了,這實際上就增加了隱私洩露的風險。因此,互聯網企業搜集用戶資訊需要堅守兩個原則,即合法與合理性。”上海漢盛律師事務所高級合夥人李旻告訴法治周末記者,App應用收集資訊時首先要征得用戶同意,通過合法途徑取得。
“其次是合理。有些行為看似合法,實則不然。”李旻舉例指出,雖然一些App征得用戶授權,但這些App可能存在的“監聽電話”“讀取短彩信”等行為涉及消費者個人資訊安全的相關權限,並非提供正常服務所必須,已超出合理的範圍。即便需要對個人通訊設備實施“監控”,也僅限於警察部門調查取證之用,個人或個別企業並沒有相應的權利。
李旻介紹,一旦發現互聯網公司有不規範的獲取用戶資訊的情況,消費者或用戶可以訴諸法院,請求司法賠償。監管方面,行政主管部門(網信辦)按照網絡安全法的相關要求,給予違規獲取用戶資訊的相關部門以警告、責令整改,或行政處罰(一般課以50萬元以下罰款)。
“但是,實務中,因違法違規收集用戶資訊案例比較少。”李旻指出,一方面原因在於司法訴訟流程長、成本高,一般用戶望而卻步。另一方面,取證難也是維權的一大障礙。“技術層面壁壘和法律規範的不健全,一些機構雖然被查,但具體罪犯哪條,如何論處,對於監管部門來說都是巨大的挑戰。”
1月,百度公司兩款App產品曾被監管機構以涉嫌違法獲取消費者個人資訊(未取得用戶同意的情況下,獲取監聽電話、定位等權限)為由告上法庭。1月2日,南京市中級人民法院對江蘇省消保委訴百度涉嫌違法獲取消費者個人資訊及相關問題正式立案。
但被告公司卻有自己的看法。立案後的第3天,百度公司回應稱,百度旗下手機應用既沒有能力、也不會進行所謂的“監聽通話”。稱無論是蘋果還是安卓系統,根本不可能向應用開發者提供監聽用戶通話的借口或者權限。
在互聯網時代如何保護隱私安全,在個人隱私權被損害時如何維護?有業內人士指出,提高公民隱私保護意識只是第一步,更為關鍵的是,監管機構應該對數據擁有者提出更高的監管要求,強化對App應用企業的合法行為的行政監管。尤其是要求做到防範於未然,對消費者被侵權,但尚未察覺損失的情況,要有針對性地對企業展開檢查,建立適當的個人資訊侵權行為行政處罰機制,一旦發生數據和資訊泄漏的情況,必須倒查追責,讓隱私保護的問題更加規範。
—END—
責編 | 吳昊 王碩
香港九龍灣馬來街興發大廈15樓D室