「太恐怖了,美團App連續24小時定位我,每5分鐘一次,這是要幹什麼?」近日,一名數碼博主在微博上發帖寫道。
微博截圖。
繼前幾日微信被網友曝出頻繁讀取用戶相冊後,美團也被指頻繁訪問位置信息。10月11日,美團一名工程師回應媒體稱,系該隱私記錄App讀取系統操作日誌後進行了選擇性展示,還表示對大部分主流App監測也會得到相似結果。
南都記者實測發現,除這兩款App外,支付寶、中國農業銀行、王者榮耀、大眾點評等App均有連續訪問用戶位置信息的記錄。對此,有專家分析認為,企業此舉可能是為了「預處理」,及時反饋客戶需要,但高頻率收集地理位置信息可能會形成行蹤軌跡,使數據變得更敏感。
一.微信、美團分別被指頻繁訪問相冊、地理位置
10月10日,數碼博主@軒寧軒Sir發帖稱美團「24小時」讀取位置信息。「太恐怖了,美團App連續24小時定位我,每5分鐘一次,這是要幹什麼?」
@軒寧軒Sir錄屏截圖。
從該博主錄製的視頻中可以看到,第三方檢測軟體隱私洞見App讀取系統操作日誌後顯示,從10月6日10時起到10月8日15時許,美團連續訪問其位置信息,訪問的頻次從1分鐘到5分鐘不等,即便是10月8日凌晨亦存在訪問記錄。
對此,10月11日,據新快報報導,美團的一位技術工程師接受採訪時表示,之所以出現這種情況,是因為這類軟體在單方面讀取系統操作日之後,進行了選擇性展示。
上述工程師稱,經測試,在相關權限開啟且App後台仍處於活躍狀態時,大部分主流App均會被該軟體檢測出頻繁讀取用戶信息,且監測結果高度相似。他還提醒,其未對檢測軟體的安全性和保密性做測試,建議大家謹慎下載。
博主@軒寧軒Sir似乎對美團工程師的回應「不買帳」。他反駁稱,隱私洞見App只是把iOS15的數據可視化而已,並貼出了iOS15的App行為日誌作為證明。
博主@軒寧軒Sir貼出的iOS15的App行為日誌。
而就在上周,微信、QQ、淘寶等多款App被爆在後台反覆讀取用戶相冊。博主@Hackl0us稱,發現微信App在用戶未主動激活的情況下數次讀取相冊,每次讀取時間40秒至1分鐘,且QQ、淘寶等App也存在後台頻繁讀取用戶相冊的行為。
微信方面在10月8日通過媒體回應稱,iOS系統為App開發者提供相冊更新通知標準能力,為便於用戶在微信聊天中按『+』時可以快速發圖,微信使用了該系統能力,使用戶發送圖片體驗更快速流暢。微信方面還強調,上述行為均僅在手機本地完成,最新版本中將取消對該系統能力的使用,優化快速發圖功能。
二.實測:不止微信美團,多款App均頻繁訪問位置信息
南都記者了解到,當iPhone更新到iOS15後,隱私設置中多了一項功能——記錄App活動。據介紹頁面顯示,該功能「可以記錄App何時訪問了用戶的位置或麥克風等數據,同時了解App或用戶在App內訪問的網站何時聯繫了域」,並存儲記錄結果。
南都記者發現,點擊iOS15中的記錄App活動中的「存儲App活動」可以選擇多種導出方式,既可以選擇像隱私洞見App這樣的第三方軟體打開,也可以直接導出文檔,將後綴更改為「txt」格式後,可以看到代碼形式的App訪問記錄。
多種導出方式。
代碼形式的App訪問記錄。
值得注意的是,除美團外,其他App是否存在頻繁訪問用戶個人信息的情況?
開啟iOS15中的記錄App活動功能後,10月12日下午,南都記者測試發現,不止美團,多款App均有連續訪問用戶個人信息的記錄。
僅就訪問地理位置信息來說,測試結果顯示,美團在10月12日19時24分、19時25分、19時32分等時間獲取定位;支付寶在11日17時34分、17時35分、17時40分等時間獲取定位;中國農業銀行在9日13時46分、13時48分、13時50分獲取定位。
支付寶在11日17時34分、17時35分、17時40分等時間獲取定位。
另外,測試結果顯示,王者榮耀和大眾點評曾在2分鐘內連續獲取3次位置信息。淘寶、閒魚均曾有多次讀取用戶相冊的記錄。
大眾點評曾在2分鐘內連續獲取3次位置信息。
三.專家:頻繁定位或成行蹤軌跡,技術黑盒需透明度
為何這麼多App頻繁訪問用戶個人信息?這種做法合規嗎?企業如何權衡「便利」與「隱私」?
在中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲看來,App收集個人信息的頻率需要控制在個人保護法所規定的必要性範疇之下,高頻率收集個人信息可能會讓數據變得更敏感。
「比如地理位置本身不是敏感個人信息,但是高頻率地收集地理位置信息後可能會形成行蹤軌跡,用戶的行蹤軌跡就是敏感個人信息。」他說。
至於企業為何頻繁訪問用戶信息,何延哲分析認為,App為了提升用戶體驗,用到了一個可能會影響到用戶隱私,或者說可能影響到用戶安全感的一個功能,然後在決定是否告知同意時,並未考慮進去,而最後被網友發現反過來質問。因為在平衡好體驗和隱私的環節,企業替網友做了決定,大家不買帳了。
「所有網際網路企業在技術層面上都會面臨一個問題,即客戶需要及時性的反饋。事實上,如果沒有預處理,這種反饋效率會很低,因此通過讀取數據進行預處理是有必要的。」對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可說。
許可認為,分析這類事件都要基於事實認定。如果App在讀取數據之後沒有上傳、泄露,那就是合法的;如果將數據上傳了但並未做出後續處理,這類情況在國內法律中尚無定論,但他認為是合理的,畢竟沒有給個人帶來真正意義上的損害。但如果不僅上傳備份了,還做了進一步的處理,那無論企業怎麼聲稱是為了用戶的利益或便利進行該操作,都違反了相關規定。
在何延哲看來,企業通過評估保護個人信息,可以有三個方面需要考慮:一是需要進行相關方諮詢,也就是徵詢消費者的意見,但是實踐層面還很少有人這麼做;第二,評估的結論是輕微影響、低風險的處理活動是可以接受的,也就是說如果評估人員認為App的行為事實上沒有侵害到隱私,那麼可能也會選擇直接上線功能而不事先告知;第三,影響評估本身也是一個自反饋機制,發現問題,解決問題,優化機制也是評估的一部分。這也充分體現了風險管理中的動態平衡機制,合理利用影響評估不是徹底避免隱私問題,而是使其趨向於動態平衡。
許可提出企業可以採取告知措施。比如告知用戶為何要讀取數據進行預先處理。「很重要的一點是,用戶的知情權通常都應該得到保障,透明是最好的『防腐劑』;倘若不告知用戶,這個問題就變成了一種欺詐。因此,如果企業操作的目的確實是為了給用戶更好的體驗和便利,就應當明確告知用戶。」他說。
「隱私是數字社會人們敏感而又脆弱的一根神經,每個企業,每個人都應當思慮周全,審慎對待。」何延哲認為,技術也不能盲目推崇「中立論」「無罪論」,技術的黑盒子需要一定的透明度,需要事前評估,事中監督,事後彌補,需要被監管,這樣才能不斷修正技術的合理利用方向,而如何把握好這個「度」正是當下需要探索的重要命題。
