“太恐怖了,美團App連續(xù)24小時定位我,每5分鐘一次,這是要干什么?”近日,一名數碼博主在微博上發(fā)帖寫道。
微博截圖。來源:@軒寧軒Sir
繼前幾日微信被網友曝出頻繁讀取用戶相冊后,美團也被指頻繁訪問位置信息。10月11日,美團一名工程師回應媒體稱,系該隱私記錄App讀取系統操作日志后進行了選擇性展示,還表示對大部分主流App監(jiān)測也會得到相似結果。
南都記者實測發(fā)現,除這兩款App外,支付寶、中國農業(yè)銀行、王者榮耀、大眾點評等App均有連續(xù)訪問用戶位置信息的記錄。對此,有專家分析認為,企業(yè)此舉可能是為了“預處理”,及時反饋客戶需要,但高頻率收集地理位置信息可能會形成行蹤軌跡,使數據變得更敏感。
1
微信、美團分別被指頻繁訪問相冊、地理位置
10月10日,數碼博主@軒寧軒Sir發(fā)帖稱美團“24小時”讀取位置信息。“太恐怖了,美團App連續(xù)24小時定位我,每5分鐘一次,這是要干什么?”
@軒寧軒Sir錄屏截圖。
從該博主錄制的視頻中可以看到,第三方檢測軟件隱私洞見App讀取系統操作日志后顯示,從10月6日10時起到10月8日15時許,美團連續(xù)訪問其位置信息,訪問的頻次從1分鐘到5分鐘不等,即便是10月8日凌晨亦存在訪問記錄。
對此,10月11日,據新快報報道,美團的一位技術工程師接受采訪時表示,之所以出現這種情況,是因為這類軟件在單方面讀取系統操作日之后,進行了選擇性展示。
上述工程師稱,經測試,在相關權限開啟且App后臺仍處于活躍狀態(tài)時,大部分主流App均會被該軟件檢測出頻繁讀取用戶信息,且監(jiān)測結果高度相似。他還提醒,其未對檢測軟件的安全性和保密性做測試,建議大家謹慎下載。
博主@軒寧軒Sir似乎對美團工程師的回應“不買賬”。他反駁稱,隱私洞見App只是把iOS15的數據可視化而已,并貼出了iOS15的App行為日志作為證明。
博主@軒寧軒Sir貼出的iOS15的App行為日志。
而就在上周,微信、QQ、淘寶等多款App被爆在后臺反復讀取用戶相冊。博主@Hackl0us稱,發(fā)現微信App在用戶未主動激活的情況下數次讀取相冊,每次讀取時間40秒至1分鐘,且QQ、淘寶等App也存在后臺頻繁讀取用戶相冊的行為。
微信方面在10月8日通過媒體回應稱,iOS系統為App開發(fā)者提供相冊更新通知標準能力,為便于用戶在微信聊天中按‘+’時可以快速發(fā)圖,微信使用了該系統能力,使用戶發(fā)送圖片體驗更快速流暢。微信方面還強調,上述行為均僅在手機本地完成,最新版本中將取消對該系統能力的使用,優(yōu)化快速發(fā)圖功能。
2
實測:不止微信美團,多款App均頻繁訪問位置信息
南都記者了解到,當iPhone更新到iOS15后,隱私設置中多了一項功能——記錄App活動。據介紹頁面顯示,該功能“可以記錄App何時訪問了用戶的位置或麥克風等數據,同時了解App或用戶在App內訪問的網站何時聯系了域”,并存儲記錄結果。
南都記者發(fā)現,點擊iOS15中的記錄App活動中的“存儲App活動”可以選擇多種導出方式,既可以選擇像隱私洞見App這樣的第三方軟件打開,也可以直接導出文檔,將后綴更改為“txt”格式后,可以看到代碼形式的App訪問記錄。
多種導出方式。
代碼形式的App訪問記錄。
值得注意的是,除美團外,其他App是否存在頻繁訪問用戶個人信息的情況?
開啟iOS15中的記錄App活動功能后,10月12日下午,南都記者測試發(fā)現,不止美團,多款App均有連續(xù)訪問用戶個人信息的記錄。
僅就訪問地理位置信息來說,測試結果顯示,美團在10月12日19時24分、19時25分、19時32分等時間獲取定位;支付寶在11日17時34分、17時35分、17時40分等時間獲取定位;中國農業(yè)銀行在9日13時46分、13時48分、13時50分獲取定位。
支付寶在11日17時34分、17時35分、17時40分等時間獲取定位。
另外,測試結果顯示,王者榮耀和大眾點評曾在2分鐘內連續(xù)獲取3次位置信息。淘寶、閑魚均曾有多次讀取用戶相冊的記錄。
大眾點評曾在2分鐘內連續(xù)獲取3次位置信息。
3
專家:頻繁定位或成行蹤軌跡,技術黑盒需透明度
為何這么多App頻繁訪問用戶個人信息?這種做法合規(guī)嗎?企業(yè)如何權衡“便利”與“隱私”?
在中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲看來,App收集個人信息的頻率需要控制在個人保護法所規(guī)定的必要性范疇之下,高頻率收集個人信息可能會讓數據變得更敏感。
“比如地理位置本身不是敏感個人信息,但是高頻率地收集地理位置信息后可能會形成行蹤軌跡,用戶的行蹤軌跡就是敏感個人信息。”他說。
至于企業(yè)為何頻繁訪問用戶信息,何延哲分析認為,App為了提升用戶體驗,用到了一個可能會影響到用戶隱私,或者說可能影響到用戶安全感的一個功能,然后在決定是否告知同意時,并未考慮進去,而最后被網友發(fā)現反過來質問。因為在平衡好體驗和隱私的環(huán)節(jié),企業(yè)替網友做了決定,大家不買賬了。
“所有互聯網企業(yè)在技術層面上都會面臨一個問題,即客戶需要及時性的反饋。事實上,如果沒有預處理,這種反饋效率會很低,因此通過讀取數據進行預處理是有必要的。”對外經濟貿易大學數字經濟與法律創(chuàng)新研究中心執(zhí)行主任許可說。
許可認為,分析這類事件都要基于事實認定。如果App在讀取數據之后沒有上傳、泄露,那就是合法的;如果將數據上傳了但并未做出后續(xù)處理,這類情況在國內法律中尚無定論,但他認為是合理的,畢竟沒有給個人帶來真正意義上的損害。但如果不僅上傳備份了,還做了進一步的處理,那無論企業(yè)怎么聲稱是為了用戶的利益或便利進行該操作,都違反了相關規(guī)定。
在何延哲看來,企業(yè)通過評估保護個人信息,可以有三個方面需要考慮:一是需要進行相關方咨詢,也就是征詢消費者的意見,但是實踐層面還很少有人這么做;第二,評估的結論是輕微影響、低風險的處理活動是可以接受的,也就是說如果評估人員認為App的行為事實上沒有侵害到隱私,那么可能也會選擇直接上線功能而不事先告知;第三,影響評估本身也是一個自反饋機制,發(fā)現問題,解決問題,優(yōu)化機制也是評估的一部分。這也充分體現了風險管理中的動態(tài)平衡機制,合理利用影響評估不是徹底避免隱私問題,而是使其趨向于動態(tài)平衡。
許可提出企業(yè)可以采取告知措施。比如告知用戶為何要讀取數據進行預先處理。“很重要的一點是,用戶的知情權通常都應該得到保障,透明是最好的‘防腐劑’;倘若不告知用戶,這個問題就變成了一種欺詐。因此,如果企業(yè)操作的目的確實是為了給用戶更好的體驗和便利,就應當明確告知用戶。”他說。
“隱私是數字社會人們敏感而又脆弱的一根神經,每個企業(yè),每個人都應當思慮周全,審慎對待。”何延哲認為,技術也不能盲目推崇“中立論”“無罪論”,技術的黑盒子需要一定的透明度,需要事前評估,事中監(jiān)督,事后彌補,需要被監(jiān)管,這樣才能不斷修正技術的合理利用方向,而如何把握好這個“度”正是當下需要探索的重要命題。
凡注有"環(huán)球傳媒網"或電頭為"環(huán)球傳媒網"的稿件,均為環(huán)球傳媒網獨家版權所有,未經許可不得轉載或鏡像;授權轉載必須注明來源為"環(huán)球傳媒網",并保留"環(huán)球傳媒網"的電頭。