11月1日，個(gè)人信息保護(hù)法正式實(shí)施，個(gè)人隱私安全問(wèn)題又重回大眾視線。此前，就有博主曬出iPhone手機(jī)更新系統(tǒng)后，發(fā)現(xiàn)很多主流軟件都在后臺(tái)頻繁獲取用戶信息，對(duì)用戶隱私安全造成威脅。北青-北京頭條記者實(shí)測(cè)發(fā)現(xiàn)，確實(shí)有不少軟件頻繁調(diào)用個(gè)人位置和圖片信息，甚至有社交軟件一小時(shí)獲取定位達(dá)到75次，如此頻繁調(diào)用隱私信息，他們到底想干啥？

現(xiàn)象

不授權(quán)不能用APP 授了權(quán)卻被頻繁調(diào)信息？?

市民劉女士向北青-北京頭條記者爆料，10月30日，她在淘寶購(gòu)物后，因頻繁被推送“附近商品推薦”，于是便關(guān)閉了應(yīng)用的位置權(quán)限。但沒(méi)想到系統(tǒng)提示“需要同意該隱私權(quán)政策才能繼續(xù)使用”。劉女士選擇了“仍不同意”按鈕，沒(méi)想到軟件閃退且無(wú)法再繼續(xù)使用。當(dāng)她再次嘗試，并在頁(yè)面點(diǎn)擊“查看協(xié)議”，才發(fā)現(xiàn)上面寫(xiě)著：“基于您的明示授權(quán)，我們可能會(huì)獲取您的位置，為您提供附近的商品、店鋪……您有權(quán)拒絕或取消授權(quán)”。

當(dāng)她點(diǎn)下不同意該協(xié)議按鈕時(shí)，軟件依舊無(wú)法使用。對(duì)此，忍無(wú)可忍的劉女士向工信部官網(wǎng)的“部長(zhǎng)郵箱”進(jìn)行了投訴。

不過(guò)，針對(duì)APP過(guò)度索取手機(jī)權(quán)限的問(wèn)題，網(wǎng)上就一直詬病不斷，10月8日，就有用戶貼出截圖稱“iOS版微信在后臺(tái)反復(fù)讀取用戶相冊(cè)”。根據(jù)用戶描述，新版iOS15的“隱私”功能有“記錄APP活動(dòng)”，可以存儲(chǔ)7天內(nèi)APP訪問(wèn)位置或麥克風(fēng)等數(shù)據(jù)。上述用戶發(fā)現(xiàn)，微信在用戶未主動(dòng)激活應(yīng)用的情況下，在后臺(tái)數(shù)次讀取相冊(cè)，每次讀取時(shí)間長(zhǎng)達(dá)40秒至1分鐘不等。

該用戶同時(shí)表示，發(fā)現(xiàn)QQ、淘寶等多款國(guó)產(chǎn)軟件也存在后臺(tái)頻繁讀取用戶相冊(cè)的行為。如此頻繁的調(diào)取隱私數(shù)據(jù)，讓很多網(wǎng)友開(kāi)始擔(dān)心自己的隱私安全問(wèn)題。

體驗(yàn)

團(tuán)購(gòu)APP一小時(shí)讀取修改照片和文件121次

針對(duì)劉女士“不授權(quán)不能使用APP”的情況，11月2日，記者進(jìn)行體驗(yàn)，不過(guò)，在系統(tǒng)權(quán)限管理一欄中，“允許訪問(wèn)位置信息權(quán)限”頁(yè)面發(fā)生了改變，與此前劉女士的情況不同，記者在選擇“禁止”后，軟件依舊能正常使用。

但調(diào)用隱私信息的情況卻依然明顯，記者利用能夠監(jiān)測(cè)APP行為記錄的手機(jī)，在開(kāi)放權(quán)限的情況下，記錄了微信、微博、抖音、美團(tuán)、釘釘、淘寶、高德地圖共七款常用軟件的用戶信息調(diào)用情況。

經(jīng)過(guò)一小時(shí)的觀察，在七款軟件皆處于后臺(tái)狀況下，記者發(fā)現(xiàn)，高德獲取位置信息32次，修改系統(tǒng)設(shè)置8次；釘釘獲取位置18次，讀取剪貼板10次；美團(tuán)獲取位置16次，讀取及修改照片和文件121次；抖音獲取位置11次，讀取修改照片24次；淘寶獲取位置24次；微博獲取位置32次，讀取及修改照片和文件16次；微信獲取位置75次，修改系統(tǒng)設(shè)置9次，讀取及修改照片文件22次，讀取剪貼板5次。

此前微信回應(yīng)稱，iOS系統(tǒng)為APP開(kāi)發(fā)者提供相冊(cè)更新通知標(biāo)準(zhǔn)能力，相冊(cè)發(fā)生內(nèi)容更新時(shí)會(huì)通知到APP，提醒APP可以提前做準(zhǔn)備，APP的該準(zhǔn)備行為會(huì)被記錄成讀取系統(tǒng)相冊(cè)。

當(dāng)用戶授權(quán)微信可以讀取“系統(tǒng)相冊(cè)權(quán)限”后，為便于用戶在微信聊天中按“+”時(shí)可以快速發(fā)圖，微信使用了該系統(tǒng)能力，使用戶發(fā)送圖片體驗(yàn)更快速流暢。

微信表示，上述行為均僅在手機(jī)本地完成，最新版本中將取消對(duì)該系統(tǒng)能力的使用，優(yōu)化快速發(fā)圖功能。

揭秘

軟件在后臺(tái)調(diào)用權(quán)限是正常需求嗎？??

奇安盤(pán)古隱私安全業(yè)務(wù)負(fù)責(zé)人趙帥表示，在個(gè)人信息保護(hù)方面，操作系統(tǒng)的權(quán)限設(shè)計(jì)是為了讓APP收集使用個(gè)人信息的行為受到限制，讓用戶能夠主動(dòng)去控制APP能否采集特定類型的個(gè)人信息，如通訊錄、地理位置等。后臺(tái)調(diào)用權(quán)限的行為在特定場(chǎng)景下是合理的，比如我們用手機(jī)導(dǎo)航的場(chǎng)景，雖然切換到后臺(tái)，但我們?nèi)栽谑褂眠@個(gè)APP；也有一些場(chǎng)景是非必要的，比如我們將APP切換到后臺(tái)，暫時(shí)不用這個(gè)APP提供服務(wù)，那么這種情況下的后臺(tái)調(diào)用權(quán)限可能就已經(jīng)超出正常需求的范圍。

民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍認(rèn)為，從技術(shù)角度來(lái)講，調(diào)用次數(shù)其實(shí)并不能直接說(shuō)明問(wèn)題，還是以它的應(yīng)用場(chǎng)景實(shí)際做了什么才能確認(rèn)是否合規(guī)。以微信讀取相冊(cè)為例，實(shí)際上技術(shù)分析后確實(shí)和微信方面回復(fù)的一致，該功能是利用“相冊(cè)更新通知”實(shí)現(xiàn)“快速發(fā)圖”這個(gè)訴求，從這個(gè)角度來(lái)講，它確實(shí)是一個(gè)正常需求。做調(diào)研會(huì)發(fā)現(xiàn)，大家的訴求是不一樣的。如果想解決，建議類似這樣的需求可以單獨(dú)設(shè)定開(kāi)關(guān)。

社交軟件調(diào)用定位為什么比導(dǎo)航軟件還頻繁？

針對(duì)微信調(diào)用位置信息比高德還頻繁的情況，曲子龍介紹，導(dǎo)航軟件其實(shí)對(duì)位置的訴求，只有“起止”及中間的“是否偏航”判斷才需要使用位置，看起來(lái)很需要，實(shí)際確實(shí)不需要那么多。社交軟件在位置訴求上確實(shí)相對(duì)要更復(fù)雜一些，尤其在加上了小程序之后，社交軟件可能本身不需要這個(gè)位置信息，但是用戶授權(quán)的小程序要通過(guò)社交軟件獲取位置，授權(quán)的越多那獲取的自然也就跟著多了，再加上很多人用完就走可能很多應(yīng)用授權(quán)都沒(méi)取消，自然就變成了看到的表現(xiàn)。

但趙帥認(rèn)為，APP實(shí)際獲取定位信息的頻率與產(chǎn)品功能設(shè)計(jì)、用戶使用習(xí)慣等均有一定關(guān)系，在個(gè)體上的表現(xiàn)會(huì)有一些差異。但如果存在過(guò)高頻率收集地理位置信息的話，是一種超出合理必要范圍的行為。

軟件收集用戶隱私權(quán)限的邊界在哪？

關(guān)于APP手機(jī)用戶數(shù)據(jù)，趙帥表示，從技術(shù)角度上看應(yīng)分為幾種不同的情況：包括系統(tǒng)權(quán)限保護(hù)的個(gè)人信息，如通訊錄、錄音、定位等；未受用戶權(quán)限保護(hù)的個(gè)人信息，如用戶主動(dòng)錄入的身份證號(hào)碼、病歷、婚姻狀況等；用戶在使用APP過(guò)程產(chǎn)生的一些使用偏好信息，這些可能由APP主動(dòng)記錄產(chǎn)生，如喜歡聽(tīng)的歌曲、經(jīng)常去的餐館等。

對(duì)于系統(tǒng)權(quán)限保護(hù)的個(gè)人信息，軟件應(yīng)充分明示并征得用戶同意后，才能調(diào)用這些權(quán)限獲取個(gè)人信息，并應(yīng)確保獲取的范圍、頻率、方式符合最小必要的原則。對(duì)于用戶主動(dòng)錄入的信息，應(yīng)當(dāng)充分說(shuō)明錄入的合理性及可能造成的影響，給予用戶選擇是否錄入的權(quán)利。對(duì)于軟件使用過(guò)程中收集的數(shù)據(jù)，應(yīng)該做到明確告知用戶，并說(shuō)明后續(xù)的用處。

用戶信息被收集有哪些風(fēng)險(xiǎn)？

趙帥表示，用戶信息收集后，企業(yè)運(yùn)營(yíng)者如果對(duì)數(shù)據(jù)進(jìn)行不合理的使用，則會(huì)對(duì)用戶造成生活上的困擾，比如推銷電話、騷擾短信、大數(shù)據(jù)殺熟等現(xiàn)象。企業(yè)運(yùn)營(yíng)者如果不能有效保障數(shù)據(jù)的安全性，出現(xiàn)數(shù)據(jù)泄露事件后，可能被黑灰產(chǎn)利用，進(jìn)一步導(dǎo)致網(wǎng)絡(luò)詐騙等犯罪行為發(fā)生。

曲子龍說(shuō)，正規(guī)的軟件獲取用戶隱私信息，大部分都是用于“用戶畫(huà)像”用途，對(duì)某個(gè)用戶了解得越具體，畫(huà)像越精準(zhǔn)，那潛在或者直達(dá)的“商機(jī)”就可以更明確，大部分是通過(guò)自營(yíng)亦或者售賣(mài)廣告的方式進(jìn)行變現(xiàn)。隱私泄露之后被精準(zhǔn)推送廣告并不是最大的風(fēng)險(xiǎn)，不良企業(yè)會(huì)通過(guò)大數(shù)據(jù)殺熟，甚至不法軟件裝入手機(jī)后獲取通訊錄及相冊(cè)權(quán)限，經(jīng)過(guò)分析提取用于實(shí)現(xiàn)“個(gè)人身份信息盜用”、“定向網(wǎng)絡(luò)詐騙”等用途。建議用戶不要輕易讓第三方軟件獲取通訊錄及相冊(cè)權(quán)限，相冊(cè)中也盡量不要存放身份證、銀行卡等包含敏感信息的照片內(nèi)容。

曲子龍則認(rèn)為，必要權(quán)限按照行業(yè)區(qū)分，法律上國(guó)家已經(jīng)規(guī)定的很明確了，大部分產(chǎn)生爭(zhēng)議的是一些個(gè)性化的內(nèi)容，比如支付寶是一個(gè)支付軟件，但是里面加了小程序后就變成了“公眾應(yīng)用平臺(tái)”，屬性發(fā)生變化獲取的權(quán)限也自然跟著發(fā)生變化，最好的方式是應(yīng)用內(nèi)的第三方服務(wù)如果僅是偶爾使用的應(yīng)用，都采用二次授權(quán)、并且即用即授權(quán)原則，如果長(zhǎng)期使用的應(yīng)用則制定權(quán)限開(kāi)關(guān)，用戶隨時(shí)可以手動(dòng)關(guān)閉停止授權(quán)，可能會(huì)是一個(gè)較好的解決方案。

說(shuō)法

調(diào)權(quán)限屬正常行為 但要掌握好度?

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲表示，此前權(quán)限強(qiáng)制、濫用的問(wèn)題突出，用戶不想用這個(gè)功能，平臺(tái)卻強(qiáng)制使用，個(gè)人信息保護(hù)法出臺(tái)以后，這個(gè)問(wèn)題基本解決了，用戶可以自由選擇。他表示，如果權(quán)限被開(kāi)通后，獲取的信息是否在合理范圍內(nèi)使用，是需要考慮的問(wèn)題。

APP索要相機(jī)權(quán)限一般是為了拍照、掃二維碼，要地理位置就是定位導(dǎo)航，這些在相關(guān)隱私協(xié)議里都寫(xiě)得很清楚，但目前仍有些細(xì)節(jié)確實(shí)存在問(wèn)題，比如讀取的次數(shù)，本來(lái)可能只需要10次，最后獲取了20次。

此前的情況更嚴(yán)重，讀取次數(shù)能達(dá)到幾百次上千次，如今次數(shù)只是個(gè)位數(shù)和十位數(shù)之間，這在檢測(cè)過(guò)程中一般不會(huì)判定成違規(guī)，“需要調(diào)權(quán)限有很多是因?yàn)榘踩L(fēng)控的問(wèn)題，比如賬戶異地登錄，平臺(tái)會(huì)拿這個(gè)去判斷，原因非常復(fù)雜，只要控制在十幾次內(nèi)，基本上都不是什么問(wèn)題?！?何延哲表示，后臺(tái)讀取也是同樣的道理，也是需要看頻率，如果賬戶存在異常會(huì)通過(guò)后臺(tái)讀取進(jìn)行探測(cè)，不一定會(huì)將數(shù)據(jù)讀走?！斑@要看是單純驗(yàn)證位置，還是上傳數(shù)據(jù)，后臺(tái)的事情不合理因素更多，需要具體問(wèn)題具體分析。”

律師解讀

APP應(yīng)當(dāng)遵循必要原則 不得過(guò)度收集個(gè)人信息

北京驊之韜律師事務(wù)所金劍南律師認(rèn)為，諸如此類要求權(quán)限過(guò)多的軟件、過(guò)度收集信息現(xiàn)象，在最新出臺(tái)的《個(gè)人信息保護(hù)法》中有了進(jìn)一步明確規(guī)定：個(gè)人信息處理規(guī)則，確立處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則；處理個(gè)人信息應(yīng)當(dāng)與處理目的有直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式；收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

對(duì)于不同意就不能用的霸王條款，《個(gè)人信息保護(hù)法》中確立以“告知-同意”為核心的個(gè)人信息處理規(guī)則，要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得同意，并且個(gè)人有權(quán)撤回同意，不得以不同意處理個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)，處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需除外。

互聯(lián)網(wǎng)時(shí)代，個(gè)人隱私信息的商業(yè)價(jià)值日益凸顯，我國(guó)對(duì)于個(gè)人信息保護(hù)的力度也不斷在加大，不僅明確個(gè)人信息保護(hù)部門(mén)的職責(zé)，且賦予個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利和處理者的義務(wù)，及相關(guān)的法律責(zé)任。最后，金劍南律師提醒，我們每個(gè)公民也需提升隱私安全意識(shí)和自我保護(hù)意識(shí)，不要輕易泄露個(gè)人隱私，對(duì)于有關(guān)個(gè)人信息安全的事項(xiàng)應(yīng)當(dāng)謹(jǐn)慎處理。

文/北青-北京頭條記者 董振杰 宋霞

編輯/白龍

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/