XX,有人將你設(shè)置為暗戀對(duì)象;有前同事標(biāo)注你“有兩把刷子”;有好友記錄了你的生日�����,并對(duì)你念念不忘……
突然有一天����,收到一款從未注冊(cè)下載過(guò)的APP直呼你的名字,發(fā)來(lái)這樣的消息��,你會(huì)是什么感覺(jué)?
不少人的反應(yīng)是詫異,誰(shuí)泄露了我的信息?一般而言����,個(gè)人信息泄露的渠道是自己在促銷(xiāo)時(shí)留下了姓名電話(huà),或是社交媒體上主動(dòng)公開(kāi)��,也可能是曾經(jīng)注冊(cè)過(guò)的APP里透露的個(gè)人偏好���。
但是�����,為何從未使用過(guò)的APP����,也能得知你的真名����,甚至給你發(fā)來(lái)短信呢?
從未用過(guò)的APP發(fā)來(lái)點(diǎn)名短信
不久前�,來(lái)自杭州的金先生收到“脈脈”APP發(fā)來(lái)的一條短信,開(kāi)頭直呼他的真名����,稱(chēng)有北京大學(xué)經(jīng)濟(jì)系某項(xiàng)目組的前同事標(biāo)注他為“有兩把刷子”�����,并列出他的7位朋友的真名��,其中還有1人向他共享了2619個(gè)職業(yè)人脈�����。
脈脈發(fā)來(lái)的短信�����。
“此前我從沒(méi)使用過(guò)脈脈���,但它卻知道我的真實(shí)姓名、手機(jī)號(hào)碼和一些簡(jiǎn)歷信息�����,太可怕了”��。金先生致電短信中提及的一個(gè)朋友�����,這位已經(jīng)十年沒(méi)聯(lián)系的朋友稱(chēng)已經(jīng)很久沒(méi)有使用脈脈了,并不知情�。
出于好奇,金先生下載了脈脈�����,彈出的頁(yè)面有兩排6個(gè)頭像���,全是他各個(gè)時(shí)期的朋友�。頁(yè)面提示:“由于你未注冊(cè)脈脈APP����,系統(tǒng)代他(她)短信邀請(qǐng)你?��!痹谳斎胧謾C(jī)號(hào)注冊(cè)完成后��,頁(yè)面系統(tǒng)要求金先生開(kāi)啟通訊錄權(quán)限,只有同意�����,才可以進(jìn)入下一步���。
頁(yè)面顯示的六個(gè)好友的頭像����,并有他們就職單位的信息
據(jù)一名開(kāi)放了通訊錄訪(fǎng)問(wèn)權(quán)限的用戶(hù)稱(chēng),“沒(méi)想到(脈脈)竟然將我通訊錄里的400多個(gè)好友全部一一對(duì)應(yīng)了學(xué)校和單位�,甚至連頭像都對(duì)應(yīng)上了,它是怎么辦到的?”
金先生對(duì)隱私護(hù)衛(wèi)隊(duì)表示����,“這分明是打著朋友、同事的旗號(hào)���,擅自發(fā)短信誘導(dǎo)下載���,然后強(qiáng)制讀取通訊錄。如果保護(hù)隱私意識(shí)不強(qiáng)�����,很可能中招把自己通訊錄開(kāi)放給脈脈了�����?!?/p>
這件蹊蹺事也發(fā)生在南京的王先生身上�,他向隱私護(hù)衛(wèi)隊(duì)表達(dá)了進(jìn)一步的擔(dān)心:“注冊(cè)APP的時(shí)候被強(qiáng)制要求讀取通訊錄���,我有權(quán)泄露朋友的號(hào)碼嗎?”
隱私護(hù)衛(wèi)隊(duì)注意到����,通過(guò)發(fā)送短信提示有好友標(biāo)記的APP�,大多具有較強(qiáng)的社交屬性,比如“生日管家”�、“探探”也有類(lèi)似功能。
“生日管家”發(fā)送的短信稱(chēng)�,XX,有男生/女生在生日管家記錄了你的生日�����,并對(duì)你“打了招呼”或“念念不忘”���。當(dāng)打開(kāi)“生日管家”后�����,用戶(hù)可以清楚看到手機(jī)通訊錄里大部分好友的生日,星座和現(xiàn)居住地����,這些信息大多準(zhǔn)確無(wú)誤��。
生日管家發(fā)來(lái)的短信����。
和生日管家一樣����,探探發(fā)送的短信開(kāi)頭也直接點(diǎn)名稱(chēng)呼,有你的一位手機(jī)聯(lián)系人在探探上將你設(shè)置為“暗戀對(duì)象”�����。如果你也“暗戀”Ta�����,你們將配對(duì)成功��,并附上了APP下載鏈接�。
親測(cè):參與測(cè)試游戲生日信息也會(huì)被上傳
隱私護(hù)衛(wèi)隊(duì)隨后下載這三款A(yù)PP,發(fā)現(xiàn)它們都需要讀取用戶(hù)的通訊錄����。當(dāng)用戶(hù)開(kāi)啟相應(yīng)功能后�����,APP會(huì)代發(fā)短信給被手機(jī)聯(lián)系人里被標(biāo)記的好友����。
在脈脈的注冊(cè)頁(yè)面�,首先用戶(hù)會(huì)被要求填寫(xiě)手機(jī)號(hào)碼,點(diǎn)擊下一步�����,系統(tǒng)提示“脈脈”想訪(fǎng)問(wèn)你的通訊錄����。當(dāng)隱私護(hù)衛(wèi)隊(duì)點(diǎn)擊“不允許”時(shí),頁(yè)面再次提醒“請(qǐng)?jiān)试S打開(kāi)通訊錄”�,還附上開(kāi)啟步驟,提示“請(qǐng)確保通訊錄不為空且手機(jī)號(hào)碼有效”�。在這一頁(yè)面中,用戶(hù)可選項(xiàng)只有一個(gè):“我已開(kāi)啟權(quán)限�,繼續(xù)”。
當(dāng)用戶(hù)注冊(cè)時(shí)���,脈脈要求讀取通訊錄否則無(wú)法享受服務(wù)�。
隱私護(hù)衛(wèi)隊(duì)下載“探探”APP時(shí),被告知需訪(fǎng)問(wèn)通訊錄���,并稱(chēng)不會(huì)發(fā)送垃圾短信給他們或者存儲(chǔ)他們的聯(lián)系方式。注冊(cè)完成后����,隱私護(hù)衛(wèi)隊(duì)點(diǎn)擊“匿名暗戀表白”功能,選取了一名好友進(jìn)行操作����,探探提示對(duì)方將收到一條匿名表白,如果其也暗戀你��,你們會(huì)收到配對(duì)通知�����。不久�,該好友果然收到了上述信息。
在探探上標(biāo)注暗戀對(duì)象后��,出現(xiàn)提示ta將收到一條匿名表白���。
探探發(fā)來(lái)的短信����。
當(dāng)打開(kāi)“生日管家”開(kāi)啟通訊錄授權(quán)后,隱私護(hù)衛(wèi)隊(duì)就APP提示的生日信息�����,向數(shù)位好友確認(rèn)����。不少人對(duì)于生日就這樣被公開(kāi),表示驚訝�。其中一位很少對(duì)外透露生日的好友確認(rèn)后直言,“這不是泄露個(gè)人隱私嗎?”
不同于上述兩款社交類(lèi)APP��,生日管家還能獲取用戶(hù)的生日���。那么�����,它是如何通過(guò)手機(jī)號(hào)碼匹配生日信息的呢?
根據(jù)生日管家介紹���, 所有手機(jī)號(hào)關(guān)聯(lián)的生日均為用戶(hù)自行手動(dòng)添加����,這包括但不限于公開(kāi)自己的生日��、手動(dòng)添加它們手機(jī)號(hào)和生日�、QQ和微信詢(xún)問(wèn)中添加等,并將生日服務(wù)分享給使用本軟件的其他用戶(hù)����。
打個(gè)比方��,當(dāng)你用生日管家記錄了某人的生日�����。在生日管家上����,存儲(chǔ)了這個(gè)人聯(lián)系方式的用戶(hù),都可以知道他的生日�。
值得一提的是,隱私護(hù)衛(wèi)隊(duì)發(fā)現(xiàn)�,在生日管家上,通過(guò)綁定微信����,分享一款名為“今日運(yùn)勢(shì)”的測(cè)試游戲可收集到這些信息���。參與測(cè)試時(shí),用戶(hù)需輸入出生年月日才能知道獲取運(yùn)勢(shì)情況�。而整個(gè)運(yùn)勢(shì)測(cè)試的過(guò)程中,并無(wú)相關(guān)提示告知用戶(hù)的生日信息被收集到哪里�。
生日管家可以通過(guò)分享今日運(yùn)勢(shì)給好友測(cè)試獲取生日信息。
就這樣���,在沒(méi)有下載過(guò)該軟件的情況下����,有些人的生日信息莫名被收集了����。
企業(yè):用戶(hù)自主操作 點(diǎn)名為了引起注意
隱私護(hù)衛(wèi)隊(duì)發(fā)現(xiàn),在收到這些APP發(fā)來(lái)的點(diǎn)名短信后����,不少人基于獵奇心理,想要了解究竟被哪位匿名好友惦記�。但要解開(kāi)謎團(tuán)并不容易,用戶(hù)要點(diǎn)擊下載APP����,還要標(biāo)注猜測(cè)對(duì)象����,發(fā)送短信驗(yàn)證�����,直到兩人同時(shí)配對(duì)成功后才能知曉����。與此同時(shí)����,新一波被新標(biāo)注的未注冊(cè)用戶(hù)又會(huì)收到相同的信息。
基于此�,有人認(rèn)為這是企業(yè)病毒式營(yíng)銷(xiāo)的方法,更有人質(zhì)疑企業(yè)未經(jīng)同意發(fā)送短信屬于侵權(quán)行為�����。隱私護(hù)衛(wèi)隊(duì)就此咨詢(xún)?nèi)預(yù)PP的有關(guān)負(fù)責(zé)人���,均得到回復(fù)稱(chēng)是使用APP的用戶(hù)自主操作��,從而觸發(fā)短信推送�。
探探相關(guān)負(fù)責(zé)人告訴隱私護(hù)衛(wèi)隊(duì), “去年上線(xiàn)‘匿名暗戀表白’功能�����,旨在讓用戶(hù)知道彼此心意���,可以理解未注冊(cè)用戶(hù)收到短信的心情��。但是不帶真名的話(huà)����,可能引起不了對(duì)方的注意����,對(duì)于發(fā)送者來(lái)說(shuō),表白成功的機(jī)會(huì)也不高���?!?/p>
該負(fù)責(zé)人介紹���,為了不使用戶(hù)感到莫名其妙�����,在短信文案上已注明��,“由于你未下載使用探探�,你的聯(lián)系人發(fā)送了短信通知”。姓名電話(huà)由該手機(jī)聯(lián)系人提供�。
脈脈方面回應(yīng)隱私護(hù)衛(wèi)隊(duì)稱(chēng),“脈脈是職場(chǎng)社交APP���,社交是最核心的業(yè)務(wù)����,脈脈要求上傳通訊錄目的����,是提供人脈統(tǒng)計(jì)和標(biāo)注人脈等服務(wù)�����,否則用戶(hù)無(wú)法享受脈脈添加好友的功能����,那么用戶(hù)使用脈脈將失去意義���。”
隱私護(hù)衛(wèi)隊(duì)查閱脈脈“用戶(hù)信息條款”發(fā)現(xiàn)�����, “用戶(hù)一旦注冊(cè)�����、登陸���、使用脈脈服務(wù)�,將視為用戶(hù)完全了解�����、同意并接受淘友公司通過(guò)包括但不限于收集���、統(tǒng)計(jì)���、分析、使用等方式合理使用用戶(hù)信息?���!泵}脈相關(guān)負(fù)責(zé)人表示,在用戶(hù)同意本協(xié)議的基礎(chǔ)上����,平臺(tái)發(fā)送短信,無(wú)需向用戶(hù)另行取得授權(quán)����。
生日管家方面表示,在收集生日信息的過(guò)程中�,采用了不可逆的加密算法,提取通訊的手機(jī)號(hào)特征與云端數(shù)據(jù)進(jìn)行匹配���。通過(guò)玩“今日運(yùn)勢(shì)”游戲收集生日信息��,是為了避免直面詢(xún)問(wèn)好友生日的尷尬�,讓用戶(hù)悄悄做一個(gè)有心人����,更好地關(guān)心朋友����,“開(kāi)發(fā)這個(gè)功能的出發(fā)點(diǎn)是善意的�?����!?/p>
上述3款A(yù)PP同時(shí)提到�����,如果被記錄者介意自己的信息被分享�,平臺(tái)提供了相關(guān)的操作來(lái)避免“騷擾”,并強(qiáng)調(diào)注重用戶(hù)的隱私保護(hù)�����。
專(zhuān)家:你無(wú)權(quán)分享他人的任何個(gè)人信息
隱私護(hù)衛(wèi)隊(duì)了解到�����,目前多數(shù)互聯(lián)網(wǎng)公司的產(chǎn)品在新用戶(hù)注冊(cè)使用時(shí)�,都會(huì)請(qǐng)求讀取、上傳通訊錄信息��,尤其是在P2P產(chǎn)品���、征信和社交類(lèi)產(chǎn)品�。
然而,“不管所提供的服務(wù)需不需要���,很多APP都會(huì)習(xí)慣性地向用戶(hù)申請(qǐng)通訊錄權(quán)限����,連金山詞霸這種工具APP也不例外��?!币幻麡I(yè)內(nèi)人士告訴隱私護(hù)衛(wèi)隊(duì)。
隱私護(hù)衛(wèi)隊(duì)使用的一款安卓手機(jī)�����,在應(yīng)用授權(quán)管理中����,可以看到所下載的41款A(yù)PP中,需要讀取聯(lián)系人的共有32個(gè)���。除上述APP外���,還有今日頭條、百度地圖����、豌豆莢、搜狗輸入法等����。
對(duì)此,中國(guó)信息安全研究院副院長(zhǎng)左曉棟向隱私護(hù)衛(wèi)隊(duì)表示�����,APP讀取通訊錄���,或?qū)⒋水?dāng)作注冊(cè)步驟�����,這要看功能需要��?���!氨热缑淼腁PP��,它本來(lái)就是處理名片的,讀取通訊錄很正?���!保髸詶澱f(shuō)�����,僅從這幾款A(yù)PP的定位來(lái)看�����,不好判斷讀取通訊錄是否必需�,但它們至少違反了國(guó)家關(guān)于“主動(dòng)說(shuō)明收集的個(gè)人信息最小元素集,并說(shuō)明與其基本功能的關(guān)系”之規(guī)定����。
左曉棟指出,國(guó)家標(biāo)準(zhǔn)規(guī)定�����,企業(yè)應(yīng)該明確標(biāo)注收集的個(gè)人信息最小元素集��。如果是在最小元素集之內(nèi)收集的信息����,用戶(hù)不同意��,企業(yè)可以不提供服務(wù);但如果是在范圍之外的話(huà),企業(yè)無(wú)權(quán)拒絕提供服務(wù)��,也不能降低服務(wù)質(zhì)量�。
針對(duì)APP向未下載過(guò)的用戶(hù)發(fā)送短信的問(wèn)題,有專(zhuān)家表示�����,類(lèi)似的功能應(yīng)當(dāng)限于兩個(gè)使用者之間�。左曉棟告訴隱私護(hù)衛(wèi)隊(duì),在非注冊(cè)用戶(hù)不知情的情況下發(fā)送短信����,這首先是非法獲取用戶(hù)信息,然后是非法廣告推廣�。
隱私護(hù)衛(wèi)隊(duì)了解到,依據(jù)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》�����,任何組織和個(gè)人未經(jīng)電子信息接收者同意或者請(qǐng)求�,或者電子信息接收者明確表示拒絕的�,不得向其固定電話(huà)�����、移動(dòng)電話(huà)或者個(gè)人電子郵箱發(fā)送商業(yè)性電子信息�����。
北京志霖律師事務(wù)所副主任�����、中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)也表示�, “個(gè)人信息的收集需要用戶(hù)知情同意。現(xiàn)在用戶(hù)同意提供信息���,但是用戶(hù)并不知道企業(yè)收集后���,如何使用這些信息,也不知道將如何提供給他人�。”
據(jù)隱私護(hù)衛(wèi)隊(duì)了解����,今年10月正式實(shí)施的《民法總則》首次將個(gè)人信息保護(hù)作為個(gè)人權(quán)利納入其中�,對(duì)非法收集個(gè)人信息也做出明確規(guī)定:自然人的個(gè)人信息受法律保護(hù)��。任何組織和個(gè)人……不得非法收集�、使用、加工��、傳輸他人個(gè)人信息��,不得非法買(mǎi)賣(mài)��、提供或者公開(kāi)他人個(gè)人信息��。
南京大學(xué)法學(xué)院教授邱鷺風(fēng)向隱私護(hù)衛(wèi)隊(duì)表示�,即便是APP注冊(cè)用戶(hù)也無(wú)權(quán)泄露好友的聯(lián)系方式�。個(gè)人信息擁有“絕對(duì)權(quán)”,即除本人外���,其他人未經(jīng)授權(quán)無(wú)權(quán)支配其個(gè)人信息�。
“通訊錄表面上看��,是我和朋友的個(gè)人關(guān)系���,但實(shí)際上是朋友的個(gè)人信息�,一旦隨意授權(quán)給第三方,我和第三方就共同對(duì)朋友構(gòu)成了侵權(quán)����,也未盡到保護(hù)他人信息的法定義務(wù)?����!?/p>
采寫(xiě):南都記者 李玲 蔣琳
本文鏈接: http://www.yixieshi.com/91754.html (轉(zhuǎn)載請(qǐng)保留)