我們，手機(jī)上的透明人

詹丹晴

王思聰?shù)拇蟊婞c(diǎn)評(píng)賬號(hào)居然被盜了。

10月10日，王思聰連發(fā)兩條微博怒斥大眾點(diǎn)評(píng)“恰爛錢(qián)”，稱(chēng)自己的大眾點(diǎn)評(píng)賬號(hào)莫名其妙被別人改綁手機(jī)，并質(zhì)疑大眾點(diǎn)評(píng)，“這就是上萬(wàn)億市值公司的安全系統(tǒng)嗎？”

隨后，有網(wǎng)友證實(shí)，只要提供原手機(jī)號(hào)碼和生日日期，就可以順利換綁大眾點(diǎn)評(píng)賬號(hào)。

大眾點(diǎn)評(píng)為美團(tuán)旗下公司，博主@軒寧軒sir 在微博發(fā)布視頻演示了在美團(tuán)上更換手機(jī)賬號(hào)的過(guò)程：該博主以“手機(jī)無(wú)法接收短信”為由，申請(qǐng)換綁手機(jī)號(hào)，其間只提供了原手機(jī)號(hào)、生日日期和新手機(jī)號(hào)碼，就成功換綁了手機(jī)。換綁后，原賬號(hào)的訂單信息也一覽無(wú)遺。

原來(lái)，想要偷我們的美團(tuán)賬號(hào)，竟然這么容易？

問(wèn)題還遠(yuǎn)遠(yuǎn)不止這些。

美團(tuán)接連被爆信息安全問(wèn)題

在王思聰爆料后，大眾點(diǎn)評(píng)在王思聰微博評(píng)論區(qū)回應(yīng)稱(chēng)，“相關(guān)賬號(hào)已在反饋后的第一時(shí)間內(nèi)予以保護(hù)性?xún)鼋Y(jié)。相關(guān)問(wèn)題的核查已有初步信息，我們會(huì)在私信中與您同步。”

南都周刊記者從美團(tuán)平臺(tái)了解到，在@軒寧軒sir發(fā)布視頻后，目前在美團(tuán)上，“無(wú)法接收驗(yàn)證碼”的手機(jī)想要換綁，已經(jīng)修改為只限于6個(gè)月內(nèi)曾修改過(guò)綁定手機(jī)號(hào)的用戶(hù)操作。

就王思聰?shù)那闆r和用戶(hù)對(duì)賬號(hào)安全的擔(dān)憂(yōu)，南都周刊記者向美團(tuán)了解情況，美團(tuán)方面表示以王思聰評(píng)論區(qū)的回應(yīng)為準(zhǔn)，其他的暫無(wú)進(jìn)一步回應(yīng)。

記者測(cè)試了多個(gè)主流應(yīng)用軟件了解到，目前QQ、淘寶在換綁手機(jī)時(shí)需要接受人臉驗(yàn)證，微信則需要微信好友交叉認(rèn)證，京東則需要提交本人銀行卡和銀行卡綁定手機(jī)進(jìn)行交叉驗(yàn)證。

一位不愿具名的頭部互聯(lián)網(wǎng)公司軟件開(kāi)發(fā)人員告訴記者，人臉驗(yàn)證成本較高，現(xiàn)在很多軟件只要能證明“你是你自己”就可以找回賬號(hào)。美團(tuán)在驗(yàn)證用戶(hù)的個(gè)人信息時(shí)，確實(shí)過(guò)于簡(jiǎn)單，但這跟廠(chǎng)商收集用戶(hù)信息應(yīng)該沒(méi)有什么關(guān)系，更有可能是獲得了王思聰個(gè)人信息的“熟人”作案。

在王思聰爆料前，10月9日，#“美團(tuán)App連續(xù)24小時(shí)定位”登上微博熱搜榜。前述博主@軒寧軒sir 發(fā)博稱(chēng)，在升級(jí)蘋(píng)果手機(jī)ios15后，通過(guò)安裝某隱私記錄軟件后發(fā)現(xiàn)，美團(tuán)在后臺(tái)連續(xù)24小時(shí)進(jìn)行定位。

美團(tuán)App一位技術(shù)工程師告訴南都周刊記者，這是因?yàn)檫@類(lèi)隱私記錄軟件在單方面讀取系統(tǒng)操作日志后，進(jìn)行了選擇性展示。經(jīng)測(cè)試，在相關(guān)權(quán)限開(kāi)啟且App后臺(tái)仍處于活躍狀態(tài)時(shí)，大部分主流App均會(huì)被該軟件檢測(cè)出頻繁讀取用戶(hù)信息，且監(jiān)測(cè)結(jié)果高度相似。

上述美團(tuán)工程師透露，最早發(fā)微博的用戶(hù)拒絕提供更多信息，因此也無(wú)法確認(rèn)該用戶(hù)截取數(shù)據(jù)時(shí)的狀態(tài)，不過(guò)根據(jù)系統(tǒng)分析來(lái)看，美團(tuán)App定位之中，該用戶(hù)應(yīng)該發(fā)生過(guò)大范圍移動(dòng)。

你的相冊(cè)，也不安全

除了美團(tuán)，近日，微信也因?yàn)樾畔踩珕?wèn)題被推上風(fēng)口浪尖。

10月8日，網(wǎng)友@Hackl0us 在微博爆料稱(chēng)，微信在用戶(hù)未主動(dòng)激活A(yù)pp的情況下，在后臺(tái)數(shù)次讀取用戶(hù)相冊(cè)，每次讀取時(shí)間為40秒至1分鐘不等。

當(dāng)天，微信回應(yīng)稱(chēng)，在用戶(hù)授權(quán)微信可以讀取“系統(tǒng)相冊(cè)權(quán)限”的前提下，為方便用戶(hù)在微信聊天中按“+”時(shí)可以快速發(fā)圖，微信使用了IOS系統(tǒng)提供的相冊(cè)更新通知標(biāo)準(zhǔn)能力，使用戶(hù)發(fā)送圖片體驗(yàn)更快速流暢。

目前，微信針對(duì)此事作出緊急修復(fù)，向蘋(píng)果手機(jī)用戶(hù)推送了8.0.15新版本，新版本安裝之后系統(tǒng)監(jiān)控不再有微信讀取相冊(cè)的記錄。

盡管微信反應(yīng)迅速，網(wǎng)友們對(duì)它偷偷收集“個(gè)人相冊(cè)”更新信息仍然感到疑惑和擔(dān)憂(yōu)。

對(duì)此，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任、北京師范大學(xué)法學(xué)院網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括向南都周刊記者解釋說(shuō)，“相冊(cè)更新，它在技術(shù)上表示是否有新增圖片的信息，不涉及個(gè)人信息的圖片本身。目前來(lái)看，這應(yīng)該不屬于個(gè)人信息的范疇，它只是表示是否有新增的情況，不涉及個(gè)人身份的識(shí)別問(wèn)題?！?/p>

有關(guān)個(gè)人信息的范疇，11月1日即將實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱(chēng)“個(gè)保法”）有了明確規(guī)定，根據(jù)第一章第四條，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲告訴記者，微信沒(méi)有把“讀取相冊(cè)更新信息”告知用戶(hù)，可能它認(rèn)為不重要，它也不收集，只是在本地使用，可能也不會(huì)造成什么傷害，這也是一種用戶(hù)體驗(yàn)。如果事事告知，如何平衡用戶(hù)體驗(yàn)也是個(gè)難題，隱私政策變得更長(zhǎng)，用戶(hù)也不一定會(huì)去讀。如果對(duì)個(gè)人評(píng)估沒(méi)有什么影響時(shí)，是否還需要用非常明顯的方式去提示用戶(hù)呢？個(gè)人保護(hù)法實(shí)施后，恐怕App在“同意”這個(gè)環(huán)節(jié)會(huì)發(fā)生較大的變化，屆時(shí)有待進(jìn)一步觀(guān)察告知的過(guò)程和用戶(hù)體驗(yàn)之間大家的態(tài)度。

上述某頭部互聯(lián)網(wǎng)公司的軟件開(kāi)發(fā)人員指出，故意收集個(gè)人信息在大平臺(tái)屬于嚴(yán)重違規(guī)，如果發(fā)生這種事，公司內(nèi)部從程序員到領(lǐng)導(dǎo)再到上級(jí)領(lǐng)導(dǎo)都要被抓出來(lái)復(fù)盤(pán)，“做了這種事情的程序員今年的績(jī)效就完蛋了?！痹谒磥?lái)，這更可能是系統(tǒng)bug，平臺(tái)主觀(guān)故意的可能性比較低。

為什么我們?nèi)绱撕ε拢?/h3>

盡管微信和美團(tuán)作出澄清，許多用戶(hù)還是第一時(shí)間關(guān)閉了微信讀取相冊(cè)的權(quán)限，關(guān)閉了美團(tuán)的定位權(quán)限。

用戶(hù)的擔(dān)憂(yōu)與過(guò)去App過(guò)度索取權(quán)限、信息遭受泄露不無(wú)關(guān)系。以前，手機(jī)的手電筒需要獲得通訊錄、照片、錄音、位置、讀取修改文件的權(quán)限;小說(shuō)軟件需要定位權(quán)限;美顏相機(jī)需要通訊錄權(quán)限……許多App索取的權(quán)限遠(yuǎn)超出實(shí)際需求，有些App甚至不給權(quán)限就不讓用。

中國(guó)消費(fèi)者協(xié)會(huì)在2018年曾發(fā)布過(guò)一份測(cè)評(píng)報(bào)告，該報(bào)告顯示，在調(diào)查的100款A(yù)pp中，多達(dá)91款A(yù)pp存在過(guò)度收集用戶(hù)個(gè)人信息的問(wèn)題。在100款A(yù)pp中，59款A(yù)pp涉嫌過(guò)度收集了“位置信息”，28款A(yù)pp涉嫌過(guò)度收集“通訊錄信息”。

2019年1月，網(wǎng)信辦等四部門(mén)在全國(guó)成立App違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作組。今年以來(lái)，工信部多次下架多款應(yīng)用軟件。就在8月25日，工信部又下架了67個(gè)應(yīng)用軟件，主要涉及違規(guī)收集個(gè)人信息。

何延哲告訴記者，以前企業(yè)濫收數(shù)據(jù)的行為確實(shí)存在，現(xiàn)在有了監(jiān)管，App強(qiáng)制索取權(quán)限已經(jīng)得到了大幅改善。但還有一些很細(xì)節(jié)的問(wèn)題沒(méi)有徹底解決好，比如，App收集的權(quán)限獲得用戶(hù)同意打開(kāi)，但是它沒(méi)有在合適時(shí)機(jī)、合適場(chǎng)景去采集，或者采集頻率過(guò)高。

盡管情況得到改善，但是，經(jīng)歷過(guò)被手機(jī)App過(guò)度索權(quán)的用戶(hù)，看著手機(jī)上各個(gè)App過(guò)于精準(zhǔn)的推送，接到一個(gè)又一個(gè)的騷擾短信、電話(huà)，始終難以對(duì)App真正放心。特別是這兩年，還有不少用戶(hù)懷疑手機(jī)App在進(jìn)行竊聽(tīng)。

有豆瓣網(wǎng)友發(fā)帖稱(chēng)，在跟同事討論了蘋(píng)果手機(jī)后，打開(kāi)某電商平臺(tái)，立馬看到相關(guān)產(chǎn)品的推送;還有網(wǎng)友發(fā)帖稱(chēng)，跟朋友閑聊時(shí)提起整形醫(yī)生建議她做耳軟骨隆鼻，結(jié)果就在微博上看到隆鼻的相關(guān)微博……在這些帖子下方，許多網(wǎng)友分享被疑似竊聽(tīng)的經(jīng)歷。

對(duì)此，何延哲指出，理論上說(shuō)，竊聽(tīng)從技術(shù)角度是可能的。但是，手機(jī)也不允許App24小時(shí)偷聽(tīng)，只要鎖了屏、退出之后，錄音錄像的權(quán)限就不能調(diào)用了，本身24小時(shí)偷聽(tīng)不具備條件。

在何延哲看來(lái)，“竊聽(tīng)”更有可能是大數(shù)據(jù)下廣告的精準(zhǔn)定位。他指出，互聯(lián)網(wǎng)公司為了追求廣告更加的高效、更加個(gè)性化，讓用戶(hù)畫(huà)像變得越來(lái)越精準(zhǔn)，精準(zhǔn)到無(wú)所不知。企業(yè)的數(shù)據(jù)積累越多，確確實(shí)實(shí)真的可能做到很了解你的程度。

何延哲進(jìn)一步指出，“企業(yè)也要自律，一味追求精準(zhǔn)，效率如何難說(shuō)，但是對(duì)用戶(hù)安全感的破壞也會(huì)對(duì)產(chǎn)業(yè)發(fā)展不利?！忖忂€須系鈴人，沒(méi)有人愿意生活在這種焦慮中，除了持續(xù)科普以外，企業(yè)恐怕要用更大的誠(chéng)意、更多的付出來(lái)贏(yíng)回用戶(hù)?！?h3>11月起個(gè)人信息保護(hù)法開(kāi)始實(shí)施

值得期待的是，下個(gè)月開(kāi)始，App的過(guò)度索取權(quán)限現(xiàn)象有望得到進(jìn)一步改善。11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》將開(kāi)始施行，這是我國(guó)首部完整規(guī)定個(gè)人信息處理規(guī)則的法律。

根據(jù)個(gè)保法，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

除了個(gè)保法中規(guī)定的特殊情形，手機(jī)App要處理個(gè)人信息需要取得個(gè)人同意。用戶(hù)同意App處理個(gè)人信息，今后也有權(quán)撤回其同意，而App不得以撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

過(guò)去，手機(jī)App獲得用戶(hù)同意的方式，通常會(huì)以一攬子的用戶(hù)協(xié)議條款告知。吳沈括指出，從個(gè)保法規(guī)定來(lái)看，告知是以一種清晰易懂的方式來(lái)予以告知的，目前監(jiān)管機(jī)關(guān)公開(kāi)的一些表示當(dāng)中，這種特別冗長(zhǎng)的個(gè)人信息協(xié)議告知方式肯定是要改的，有一些App已經(jīng)在改變過(guò)程當(dāng)中。

此外，App處理個(gè)人敏感信息還需要獲得個(gè)人單獨(dú)同意。個(gè)人敏感信息包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡等信息，以及不滿(mǎn)14周歲未成年人的個(gè)人信息。

新規(guī)實(shí)施后，手機(jī)App違反個(gè)保法規(guī)定處理個(gè)人信息，拒不改正的，將被并處一百萬(wàn)元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，沒(méi)收違法所得，并處5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。

何延哲透露，現(xiàn)在很多企業(yè)在加班加點(diǎn)改造產(chǎn)品的形態(tài)以迎合法律要求?！皞€(gè)保法實(shí)施后，大家都把個(gè)人信息保護(hù)放在第一位。態(tài)度擺正后，隱私保護(hù)工作就有了更多實(shí)質(zhì)性的動(dòng)作。雖然不能依靠一部法律就能立馬徹底解決問(wèn)題，但是一定會(huì)有一個(gè)變化，這個(gè)變化是大家都希望能夠通過(guò)法律約束企業(yè)的行為來(lái)重建對(duì)隱私保護(hù)的信任。只有重建信任，互聯(lián)網(wǎng)產(chǎn)品才能用得更舒心、省心。”

而在用戶(hù)層面，針對(duì)維權(quán)難問(wèn)題，個(gè)保法明確了用戶(hù)維權(quán)的路徑。吳沈括表示，個(gè)人信息泄露之后，將主要有三種維權(quán)方式：通過(guò)消費(fèi)者保護(hù)組織等權(quán)益保護(hù)類(lèi)協(xié)會(huì)和機(jī)構(gòu)進(jìn)行維權(quán);通過(guò)舉報(bào)、投訴等行政監(jiān)管的方式，通過(guò)行政執(zhí)法機(jī)關(guān)來(lái)獲得維權(quán);通過(guò)司法訴訟的方式向法院提起侵權(quán)訴訟，取得司法保護(hù)。

未來(lái)，也許我們不用再擔(dān)心自己是手機(jī)上的透明人了。