酷应用

315聚焦：在中国，数亿人亲手签下“隐私卖身契”

百家作者：IT时报 2019-03-15 10:37:25

http://www.it-times.com.cn/

如果人类没有隐私，和机器人有什么区别！

大数据时代，出门有专车司机等，点外卖有推荐餐馆。同时诈骗越来越精准，犯罪团伙手段越来越高明。

你说：“为什么下载APP要读取我的地理位置、通讯录、设备信号...我的信息不想过度授权。”对方说：“藏着掖着怎么享受大数据时代带来的便利，交易合理合法，《用户协议》你同意了。”

为什么越来越多的公司想要你的个人信息？为什么企业宁愿送米送面送油送现金，也要让你注册APP？为什么账号只能注销，不能删除？因为你的隐私值钱！

3·15期间，《IT时报》记者对百度、支付宝、微信、微博、抖音短视频、滴滴出行、饿了么、携程，铁路12306、智行火车票-12306高铁抢票、网易云音乐、虾米音乐、学而思网校、淘宝等近20家常用手机App的个人隐私协议进行了调查。（文末附APP权限调查结果）

对照《中国网络安全法》（简称《网安法》）和欧盟出台《通用数据保护条例》（简称GDPR）发现在落实相关法规的过程中，大量平台依然存在打擦边球、钻空子的情况，用户的个人信息安全依然无法得到完全保证。

第一问：听音乐为什么要把通话记录给你？

法规：个人信息收集需遵守最小必要原则

为何音乐播放软件要收集用户的通话记录？为何餐饮订单平台要启用麦克风及录音功能？这些超出范围的权限收集，严格说来，都涉嫌违规违法。

很多用户吐槽，不少App都喜欢收集自己的“地理位置”，哪怕它的服务和定位一点关系都没有，而记者发现，另一个权限，手机国际移动设备识别码（IMEI码）也是“高危”超限授权。

所谓IMEI码，是指设备唯一标识码，App获取这个码用于标识用户设备并推送广告，另外，也结合平台或合作伙伴存储的其他数据综合确定用户身份。

记者查阅了百度、支付宝、微信、微博、淘宝、滴滴、抖音、今日头条、爱奇艺等常用App，发现这些应用的安卓版无一例外都默认允许获取手机识别码，同时，在这些应用的“个人隐私权限政策中”都注明：“当你使用本款应用时，我们会搜集你的设备信号、操作系统、唯一设备标识符、登录IP地址、接入网络的方式、网络质量数据……”

其中，百度App的“个人隐私权限协议”中写得很明确：“我们会收集设备属性信息（例如您的硬件型号、操作系统版本、设备配置、唯一设备标识符、国际移动设备身份码IMEI、网络设备硬件地址MAC、广告标识符IDFA等）……从您的各种设备上收集到的信息，我们可能会将它们进行关联，以便我们能在这些设备上为您提供一致的服务。我们可能会将您的设备信息或电话号码与您的百度账户相关联……”

由于这些App在搜集用户相关权限的过程中，不明确告知使用目的，大量用户并不会主动关闭设备号的权限授权。据了解，由于IMEI码泄露有巨大隐患，苹果iOS系统从7.0开始就停止了IMEI相关接口开放，开发者无法直接获得相关权限。

此外，在用户信息搜集使用中，存在大量类似的模糊地带。

比如，微信的“个人隐私协议”中注明： “我们可能将通过某些功能所搜集的信息用于其他服务。例如，包括但不限于展示广告、对你阅读过的内容进行信息安全类提示，基于特征标签进行间接人群画像并提供更加精准和个性化的服务和内容等。” 而新浪微博的“隐私协议”说法则是“在此希望你了解并接受在不透露你个人信息的前提下，微博有权对你的信息进行分析并予以商业化的利用。”

“所谓商业化利用究竟到达怎样的程度？其他服务具体包括哪些内容？”在网络信息安全行业协会副主任张威看来，无论是《网安法》，还是GDPR都明确了“个人信息收集最小必要原则”，即网络运营者不得收集与其提供服务无关的个人信息，不得违反法律、行政法规规定和双方的约定收集、使用个人信息。一旦用户认为自己的信息受到超范围使用，完全可以向有关部门提出异议。

目前，Google在美国开发者政策中心明确说明：在未获得用户明确许可的情况下，广告标识符不得与个人身份信息或任何永久性设备标识符（例如IMEI，MAC地址，SSAID等）相关联。

对于这类操作，记者试图询问百度、微信客服，但前者因为线路繁忙挂断了电话，后者则无明确客服电话可提供。

而在询问虾米音乐客服为何虾米App在安卓客户端需要读取用户的电话硬件及存储卡信息时，客服并没有直接回答，只表示用户可以自行关闭这些权限。支付宝客服则表示，“未遇到过这种情况。”

第二问：《个人隐私协议》为何不明示？

法规：变相强迫同意不合规

大量手机App的注册和登录页面上，很少有人会留意最下方标注有一行字号缩小1/3的小字——“点击注册按钮，即表示同意《××隐私权政策》 ”（或《××隐私协议》）。

“个人隐私保护协议”相当于用户与平台签署的一份关于个人数据的“卖身契”，详细列明了平台方会搜集用户哪些数据，用于什么目的，涉及内容之重要，必须征得用户的同意。但实际执行过程中，大量手机应用App并不明确告知用户必须详细阅读这份隐私保护协议后慎重“签约”，反而混淆流程，试图蒙混过关。

这种将注册、登录账号与同意平台隐私政策混为一谈的做法十分普遍，记者调查发现，包括百度、支付宝、微信、京东、饿了么、滴滴、携程等在内的十几款常用App几乎都采取了这种做法，不主动提示，刻意低调处理。

在输入手机号之后，记者才在“我的”页面下方，看到《法律条款与平台规则》

以滴滴App（安卓版）为例，针对新注册用户，不仅不提供《个人隐私保护协议》，还一味要求用户先填写手机号码。只有在提供了个人手机号码，用户才能自行在相关页面底端找到“法律条款与计价规则”一行小字，进一步查阅“个人信息保护及隐私政策”。

此外，尽管“抖音短视频”和“虾米音乐”在用户注册前主动提示用户关注“个人隐私保护协议”，但只行使了告知义务，用户只能进行“同意”与“退出”选择，即便对隐私协议中的条款有不同意，也没有回旋余地。

类似这种变相强迫用户同意的做法也很难合规。

事实上，根据《网安法》规定，网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并征得被收集者同意。

而GDPR进一步细化了“明示”的范围：用户（数据主体）应当依照其意愿自愿做出“同意”选择，同时，用户有权拒绝同意，不应受到额外的权益损害；尤其注意的是，“同意”应当是明确的声明，而不是默认使用勾选的方式表达。

记者致电滴滴的客服询问此举是否合规，截至发稿前，尚未得到明确回复。

第三问：我的信息你究竟卖给了谁？

法规：用户应有权行使否决权

从暗网到某些不知名论坛，曾多次出现黑客公然出售用户数据包的非法交易。少则几十万，多次几百万的用户数据量究竟来自何处？在业内人士看来，平台之间私自共享往往是罪魁祸首。

记者在调查过程中，超过95%以上的App应用会将自有用户个人信息共享给第三方或者合作伙伴，包括支付宝、百度、12306都存在第三方共享信息，比如，在考拉海购的“用户隐私权协议”中写明”“我们可能向合作伙伴及其他第三方分享您的信息，以实现您需要的核心功能，或提供您需要的服务，如物流；合作并购、资产转让交易，信息作为交易的一部分而被转移，会要求接收公司继续接收约束，否则重新授权同意。”

而在信息安全尤为薄弱的教育行业，教育类App“一起学”的隐私协议中则是这样表达他们对外的信息共享：“我们以及我们的关联公司，可能将您的个人信息与我们的关联公司、合作伙伴及第三方服务供应商、承包商及代理共享（他们可能并非位于您所在的法域）。”

面对这些协议条款，用户既无法了解这些企业的第三方合作伙伴如何保存、使用个人信息,同时，当第三方或合作伙伴发生变更时，用户也无权进行重新授权同意。

“这些条款剥夺了用户的否决权。” 事实上，类似霸王条款在常用App中十分多见，比如抢票类App中，智行火车票以及高铁管家App的隐私协议中都写明：在您使用高铁管家登录12306账号时，表示您同意将您的12306账号和密码授权给本平台托管，以方便您执行查询、下单和退票。

“这些都是过度使用强授权的机制，导致用户的主要信息被多次非法爬取，最终无法明确责任人，”在法律界人士看来，根据《网安法》，第三方强授权个人信息获取方式被视为非法，“用户注册平台App有责任告知用户共享信息的第三方具体是谁，同时获得用户的授权，而当授权方发生变更时，同样应当告知用户，允许用户行使正当的否决权。”

第四问:“分手”了，为何你还留着我的信息？

法规：应将删除权还给用户

许多用户都知道，停止使用App可以注销账号，但很少有人知道在注销账号之外还应当彻底删除账号，以确保平台的备份服务器上不再保留相关的个人信息。

记者查阅了近二十款常用的App，包括支付宝、微信、百度、滴滴、微博、淘宝，这些留存大量用户行为轨迹及个人信息的App，都只提供“注销账号”功能，而没有删除账号的入口。同时，在“个人隐私权益政策”中，有些App明确表明用户的个人信息在注销后将依旧被保存。

“注销账号是指不再接受协议或者使用对方提供的服务，但删除账号则是彻底清除了所有相关账号及密码信息，包括在备份服务器上的信息痕迹。”在安全行业人士看来，留存在备份服务器上的账号和密码同样存在被黑客攻破后泄露的隐患。

记者查阅了不同App对注销后的账号的处理方法，可谓五花八门。百度App的《用户个人隐私权》表明：在您注销账户后，我们不会再对您的个人信息进行商业化使用，但我们可能会对您的个人信息进行匿名化处理后使用。虾米音乐App隐私协议政策中的说法是，您注销账号后，我们可能不会立即从系统中删除相应的信息，但会在备份更新时删除这些信息。

但根据《网安法》的规定：用户有权行使“删除权”，其中包括平台搜集使用信息未获得用户同意且无法律依据；信息的收集超出约定或法定范围;向不特定第三方的披露信息以及注销了的账户信息。

记者向支付宝客服询问为何平台不提供“删除账号”的功能时，客服给出的回答是支付宝客户端目前不存在删除功能，但支付宝会严格保护用户的隐私。

第五问:为什么有责任的永远是我？

法规：应按安全等级要求保护用户数据

在这次调查中，记者发现不少App不仅不主动表明自己的安防等级，还不断推卸本应承担的责任。

掌握了大量中小学生个人信息平台的“学而思网校”App（安卓版）的《注册协议》中列明：用户应谨慎合理地保存用户名和密码，并且承担丢失造成的一切损失和责任。但对平台发现漏洞后应承担的责任却只字不提：用户若发现任何非法使用用户账号或存在安全漏洞的情况，请立即通知本站……

无独有偶，在抢火车票应用软件中，智行火车票App也在用户隐私服务条款中写明：“因不可抗力，包括但不限于黑客入侵，计算机病毒等原因造成用户资料泄露、丢失，被盗用，被篡改的，我司不承担任何责任。”

“这些条款本就不合理，平台完全有义务保护用户个人信息安全，并承担责任。”张威表示，根据《网安法》第21条规定，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

在张威看来，“目前，所有互联网平台必须按照国家授予的等级对用户数据进行保护，其中最基本的做法就是，对用户信息进行脱敏处理，同时不允许进行明文储存。”但究竟有多少企业能做到，用户很难进行直接监督，只能依靠政府的力量。

2018年开始，政府加大了对违法企业的惩罚力度，据《网安法》第五十九条规定，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款；对直接负责的主管人员处五千元以上五万元以下罚款。

同时，《网安法》也明确了信息安全保护的第一责任人，就是企业的法人代表，一旦出现违法事件，第一责任人将承担法律责任。这意味着，网络运营者要采用各种技术手段保障所运营网站的安全，否则将会受到严厉的惩罚，这对于网络运营者无疑形成新的监管压力。

“用户个人信息安全的保护在操作过程中，会涉及企业商业利益，因此推行过程中，存在阻碍；在落实过程中，执法机构本身也需要提高执法能力。因此，目前我国在《网安法》的推行过程中，采取执法和治理相结合的方式，进度会相对缓慢。”张威建议，向公众开放投诉入口，让社会公众一同参与监督。