技术隐蔽收集边界不明!APP爬取个人信息花样多
2019-04-01 10:54 经济参考报
专家建议:推进个人信息保护立法工作,加快法律法规更新频率强化监管

截至去年12月,我国网民规模为8.29亿,全年新增网民5653万,互联网普及率达59.6%。智能化、大数据在方便人们生活的同时,个人隐私保护问题也日益凸显。

去年,猎豹浏览器默认开通监听用户外拨电话;华住旗下5亿条酒店用户个人信息疑似泄露……今年,“抖音”因涉嫌私自调取用户隐私数据,被其他互联网平台取消第三方登录授权;央视“315”曝光“社保掌上通”App通过获取用户授权,肆意收集用户隐私信息……

互联网时代,我们的隐私到底还剩多少?

获取用户隐私手法隐蔽

根据用户反馈的情况,第三方研究机构IDF实验室检测发现,与“抖音”同属北京字节跳动科技有限公司(以下简称“字节跳动”)的资讯类APP“今日头条”,在技术上采取了至少两个“非正常”操作,使其获取了微信用户的好友信息。

近日,一篇名为《法学博士生维权:我为什么起诉抖音、多闪侵犯我的隐私权?》的文章出现在微博、知乎等社交平台,引发广泛关注。

该博主经过比对发现,在通讯录未包含任何信息,他个人也没有明确同意它们收集使用通讯录的情况下,“字节跳动”旗下产品“抖音”和“多闪”两款APP仍然向他推荐很多微信好友。而且,在未经明确同意下,“抖音”就向“多闪”提供了博主在抖音上的个人信息。

博主凌先生在文章中写到,抖音用户规模多达上亿,收集和使用的用户信息量巨大,为牟取自身产品利益,擅自泄露和使用用户的个人信息,让人不寒而栗。

对此,“字节跳动”回应称,“抖音”“多闪”产品在运营过程中,合规合法,一直在法律允许范围内收集、使用、共享个人信息。

“字节跳动”还表示,“推荐好友”功能是“抖音”的基本功能之一,“抖音”相关页面上出现的被推荐人,是基于用户明确授权上传的通讯录信息、粉丝、关注、共同好友等信息,向用户推荐的好友或可能认识的人,与微信好友毫无关系。

然而,记者采访了多位“抖音”用户,他们均表示遇到过凌先生所反映的情况。北京市民刘先生告诉记者,当用户使用微信号授权登录“抖音”后,其微信好友会陆续出现在“抖音”推荐的“可能认识的人”里,随后用户手机通讯录中的好友也陆续出现在“抖音”的产品推荐中。“抖音”甚至会将用户微信的“二度好友”,即好友的好友,也推荐给用户。

今年1月,白帽黑客专家、IDF实验室联合创始人万涛指出,通过模拟用户分享环境运用抓包工具监测发现,如果用户甲在微信朋友圈分享了一条来自“今日头条”的新闻,当甲的微信好友乙和丙都打开看过这条新闻后,“今日头条”就悄悄记录下乙和丙都是甲的好友,进而将这组社交关系分享给本公司的“抖音”等APP平台,使乙和丙出现在“抖音”推荐的“可能认识的人”里。

“其违规原理在于,正常的软件在设置cookie(网站为辨别用户身份进行数据追踪的数值设定)参数时一般仅为5至7天,而‘今日头条’将这一数值设定为10年,这一隐蔽的设定使其可以长期更新关注用户的好友关系变动情况。”万涛说。

与此类似,此前两款社交软件“陌陌”“脉脉”也曾因侵犯用户隐私数据而被告上法庭,尽管法院最终判决两家企业侵权。然而,技术与监管漏洞并没有因此得到“根治”。

权责不明维权举报难

去年8月,中国消费者协会发布的《APP个人信息泄露情况调查报告》显示,超八成受访者曾遭遇个人信息泄露问题,其中常见情形为推销电话、短信骚扰、诈骗电话、垃圾邮件。而根据全国消协组织受理消费者投诉情况统计,去年上半年,电商、社交软件等平台非法收集消费者个人信息的现象已成投诉新热点。

不仅是“抖音”“陌陌”等APP有涉嫌爬取用户隐私的行为。近日,多家媒体报道,一种以WiFi探针为主要技术手段的广告营销设备“悄然兴起”。不少手机用户喜欢使用各种免费WiFi,常常开着WiFi搜索附近可用的网络,而此类设备会搜寻附近设备的Mac地址盗窃用户信息,并通过大数据生成用户图像,为随后的电话推广、骚扰做铺垫。有些设备甚至可以强制用户手机弹窗,并冒充已连接WiFi在微信置顶界面投放无法消除的“狗皮膏药式”广告。

记者调查发现,当前,不明确的边界、日益隐蔽的技术和低威慑力的罚单,正成为互联网用户隐私“攻防战”的三大新型难题。

隐私保护的权利与义务权责不明,管理的主体责任不清。“数据是互联网公司的重要资产,平台有责任维护自己的数据安全,也有权利保障用户的个人隐私不受侵犯。”中国社会科学院信息化研究中心秘书长姜奇平指出,保护的权利和责任非常明确,而相应的法理边界又十分模糊,这在一定程度上会成为侵权者模糊事实的“保护伞”。

今年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发声,要求APP运营者收集使用个人信息,应遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息,对于违法违规情节严重的,需依法暂停相关业务、停业整顿等。

在重拳整治的同时,部分业内人士仍对侵权技术手段日趋隐蔽的问题表示担忧。万涛认为,虽然大多数资深代码工程师都可以通过抓包软件发现上述违规侵权的参数,然而类似的修改可能藏在数以万计的程序代码中,正常的监测流程根本无法发现。而这一类明显违规的窃取行为,即使发现也难以直接定性为“违法违规”,仅仅能被认为“非常规”,因为大多数违法行为实际运用逻辑和判定参数都只存在于侵权方的内部系统中,外部工程师无法全部获取相关侵权证据的线索,因此维权和举报都十分困难。

高投入维护与低成本侵权矛盾日趋激化。业内人士表示,一方面是用户隐私保护需要耗费大量的人力及物力,同时,相关技术需要不断对抗升级,法律风险日趋扩大。而另一方面,侵权方在快速获取数据后可以产生无法计算的经济和社会效益,同等条件下的违法成本又微乎其微。

界定模糊 制度建设需加速

根据我国刑法以及最高院在2011年颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,非法获取计算机信息系统数据,情节严重的,甚至构成刑事犯罪。对于非法获取数据涉及公民个人信息的,涉嫌构成侵犯公民个人信息罪。

在媒体曝光“社保掌上通”和WiFi探针等产业链后,3月16日,工信部刊文表示,已第一时间责令基础电信企业即刻关停报道中企业拨打骚扰电话的语音专线,停止违规号码透传,加强通信资源规范管理。

工业和信息化部还表示,为防范各类通信资源被用于电话扰民,将会同相关部门组织开展全面排查清理,严格规范语音专线管理,严查利用透传技术虚拟主叫号码的违规行为,对未通过鉴权的呼叫一律拦截。

此外,为加强手机APP个人信息保护,工业和信息化部将配合中央网信办、公安部、市场监督管理总局等部门做好APP违法违规收集使用个人信息专项治理行动。采取日常技术检测和专项检查等多种方式加强监管,加大对各类违规行为的处置和曝光力度,积极推进个人信息保护立法工作,切实规范用户个人信息的收集、使用行为。

尽管如此,仍有专家认为,在实际操作过程中,一些涉及专业技术的问题在法律法规中尚存在界定不清晰的情况,导致相关法律法规在执行层面面临不少困难。

以此次微信与“抖音”和“今日头条”的事件为例,微信公众号“新闻实验室”创始人方可成认为,“抖音”和微信关于好友关系获取的争议核心在于cookie这个记录了用户数据的技术元素。“今日头条”将微信浏览器的cookie值设置为10年,这是一个非正常的时间范围,不仅如此,今日头条还通过将用户cookie值及分享者的信息回传到自己的服务器,从而留存用户信息。

“事实上,开放接口不应允许回传cookie。在我所参与的技术开发工作中,从来没有这样的操作。”译言网创始人、曾任美国甲骨文公司工程师赵嘉敏说。

“主管部门应进一步健全相关公开透明的隐私提醒制度,例如要求企业公布上述提示信息,以保证用户信息安全的知情权,同时加快法律法规的更新频率和加强依法监管,确保维权申诉渠道畅通无阻。”方可成说。

长平经济研究所执行所长王长勇建议,“支付宝”“微信”“微博”等作为互联网的数据平台企业,应对下游企业“设置准入管制”或者“设置准入权”,从而使平台成为一个“自律监管者”,进而强化数据安全的可靠性地位。(张玉洁)

来源 | 经济参考报
图片 | 视觉中国
责编 | 陈亮