XX,有人將你設(shè)置為暗戀對象;有前同事標(biāo)注你“有兩把刷子”;有好友記錄了你的生日,并對你念念不忘……
突然有一天,收到一款從未注冊下載過的APP直呼你的名字,發(fā)來這樣的消息,你會是什么感覺?
不少人的反應(yīng)是詫異,誰泄露了我的信息?一般而言,個人信息泄露的渠道是自己在促銷時留下了姓名電話,或是社交媒體上主動公開,也可能是曾經(jīng)注冊過的APP里透露的個人偏好。
但是,為何從未使用過的APP,也能得知你的真名,甚至給你發(fā)來短信呢?
從未用過的APP發(fā)來點名短信
不久前,來自杭州的金先生收到“脈脈”APP發(fā)來的一條短信,開頭直呼他的真名,稱有北京大學(xué)經(jīng)濟系某項目組的前同事標(biāo)注他為“有兩把刷子”,并列出他的7位朋友的真名,其中還有1人向他共享了2619個職業(yè)人脈。
脈脈發(fā)來的短信。
“此前我從沒使用過脈脈,但它卻知道我的真實姓名、手機號碼和一些簡歷信息,太可怕了”。金先生致電短信中提及的一個朋友,這位已經(jīng)十年沒聯(lián)系的朋友稱已經(jīng)很久沒有使用脈脈了,并不知情。
出于好奇,金先生下載了脈脈,彈出的頁面有兩排6個頭像,全是他各個時期的朋友。頁面提示:“由于你未注冊脈脈APP,系統(tǒng)代他(她)短信邀請你?!痹谳斎胧謾C號注冊完成后,頁面系統(tǒng)要求金先生開啟通訊錄權(quán)限,只有同意,才可以進入下一步。
頁面顯示的六個好友的頭像,并有他們就職單位的信息
據(jù)一名開放了通訊錄訪問權(quán)限的用戶稱,“沒想到(脈脈)竟然將我通訊錄里的400多個好友全部一一對應(yīng)了學(xué)校和單位,甚至連頭像都對應(yīng)上了,它是怎么辦到的?”
金先生對隱私護衛(wèi)隊表示,“這分明是打著朋友、同事的旗號,擅自發(fā)短信誘導(dǎo)下載,然后強制讀取通訊錄。如果保護隱私意識不強,很可能中招把自己通訊錄開放給脈脈了?!?/p>
這件蹊蹺事也發(fā)生在南京的王先生身上,他向隱私護衛(wèi)隊表達了進一步的擔(dān)心:“注冊APP的時候被強制要求讀取通訊錄,我有權(quán)泄露朋友的號碼嗎?”
隱私護衛(wèi)隊注意到,通過發(fā)送短信提示有好友標(biāo)記的APP,大多具有較強的社交屬性,比如“生日管家”、“探探”也有類似功能。
“生日管家”發(fā)送的短信稱,XX,有男生/女生在生日管家記錄了你的生日,并對你“打了招呼”或“念念不忘”。當(dāng)打開“生日管家”后,用戶可以清楚看到手機通訊錄里大部分好友的生日,星座和現(xiàn)居住地,這些信息大多準(zhǔn)確無誤。
生日管家發(fā)來的短信。
和生日管家一樣,探探發(fā)送的短信開頭也直接點名稱呼,有你的一位手機聯(lián)系人在探探上將你設(shè)置為“暗戀對象”。如果你也“暗戀”Ta,你們將配對成功,并附上了APP下載鏈接。
親測:參與測試游戲生日信息也會被上傳
隱私護衛(wèi)隊隨后下載這三款A(yù)PP,發(fā)現(xiàn)它們都需要讀取用戶的通訊錄。當(dāng)用戶開啟相應(yīng)功能后,APP會代發(fā)短信給被手機聯(lián)系人里被標(biāo)記的好友。
在脈脈的注冊頁面,首先用戶會被要求填寫手機號碼,點擊下一步,系統(tǒng)提示“脈脈”想訪問你的通訊錄。當(dāng)隱私護衛(wèi)隊點擊“不允許”時,頁面再次提醒“請允許打開通訊錄”,還附上開啟步驟,提示“請確保通訊錄不為空且手機號碼有效”。在這一頁面中,用戶可選項只有一個:“我已開啟權(quán)限,繼續(xù)”。
當(dāng)用戶注冊時,脈脈要求讀取通訊錄否則無法享受服務(wù)。
隱私護衛(wèi)隊下載“探探”APP時,被告知需訪問通訊錄,并稱不會發(fā)送垃圾短信給他們或者存儲他們的聯(lián)系方式。注冊完成后,隱私護衛(wèi)隊點擊“匿名暗戀表白”功能,選取了一名好友進行操作,探探提示對方將收到一條匿名表白,如果其也暗戀你,你們會收到配對通知。不久,該好友果然收到了上述信息。
在探探上標(biāo)注暗戀對象后,出現(xiàn)提示ta將收到一條匿名表白。
探探發(fā)來的短信。
當(dāng)打開“生日管家”開啟通訊錄授權(quán)后,隱私護衛(wèi)隊就APP提示的生日信息,向數(shù)位好友確認。不少人對于生日就這樣被公開,表示驚訝。其中一位很少對外透露生日的好友確認后直言,“這不是泄露個人隱私嗎?”
不同于上述兩款社交類APP,生日管家還能獲取用戶的生日。那么,它是如何通過手機號碼匹配生日信息的呢?
根據(jù)生日管家介紹, 所有手機號關(guān)聯(lián)的生日均為用戶自行手動添加,這包括但不限于公開自己的生日、手動添加它們手機號和生日、QQ和微信詢問中添加等,并將生日服務(wù)分享給使用本軟件的其他用戶。
打個比方,當(dāng)你用生日管家記錄了某人的生日。在生日管家上,存儲了這個人聯(lián)系方式的用戶,都可以知道他的生日。
值得一提的是,隱私護衛(wèi)隊發(fā)現(xiàn),在生日管家上,通過綁定微信,分享一款名為“今日運勢”的測試游戲可收集到這些信息。參與測試時,用戶需輸入出生年月日才能知道獲取運勢情況。而整個運勢測試的過程中,并無相關(guān)提示告知用戶的生日信息被收集到哪里。
生日管家可以通過分享今日運勢給好友測試獲取生日信息。
就這樣,在沒有下載過該軟件的情況下,有些人的生日信息莫名被收集了。
企業(yè):用戶自主操作 點名為了引起注意
隱私護衛(wèi)隊發(fā)現(xiàn),在收到這些APP發(fā)來的點名短信后,不少人基于獵奇心理,想要了解究竟被哪位匿名好友惦記。但要解開謎團并不容易,用戶要點擊下載APP,還要標(biāo)注猜測對象,發(fā)送短信驗證,直到兩人同時配對成功后才能知曉。與此同時,新一波被新標(biāo)注的未注冊用戶又會收到相同的信息。
基于此,有人認為這是企業(yè)病毒式營銷的方法,更有人質(zhì)疑企業(yè)未經(jīng)同意發(fā)送短信屬于侵權(quán)行為。隱私護衛(wèi)隊就此咨詢?nèi)預(yù)PP的有關(guān)負責(zé)人,均得到回復(fù)稱是使用APP的用戶自主操作,從而觸發(fā)短信推送。
探探相關(guān)負責(zé)人告訴隱私護衛(wèi)隊, “去年上線‘匿名暗戀表白’功能,旨在讓用戶知道彼此心意,可以理解未注冊用戶收到短信的心情。但是不帶真名的話,可能引起不了對方的注意,對于發(fā)送者來說,表白成功的機會也不高?!?/p>
該負責(zé)人介紹,為了不使用戶感到莫名其妙,在短信文案上已注明,“由于你未下載使用探探,你的聯(lián)系人發(fā)送了短信通知”。姓名電話由該手機聯(lián)系人提供。
脈脈方面回應(yīng)隱私護衛(wèi)隊稱,“脈脈是職場社交APP,社交是最核心的業(yè)務(wù),脈脈要求上傳通訊錄目的,是提供人脈統(tǒng)計和標(biāo)注人脈等服務(wù),否則用戶無法享受脈脈添加好友的功能,那么用戶使用脈脈將失去意義?!?/p>
隱私護衛(wèi)隊查閱脈脈“用戶信息條款”發(fā)現(xiàn), “用戶一旦注冊、登陸、使用脈脈服務(wù),將視為用戶完全了解、同意并接受淘友公司通過包括但不限于收集、統(tǒng)計、分析、使用等方式合理使用用戶信息。”脈脈相關(guān)負責(zé)人表示,在用戶同意本協(xié)議的基礎(chǔ)上,平臺發(fā)送短信,無需向用戶另行取得授權(quán)。
生日管家方面表示,在收集生日信息的過程中,采用了不可逆的加密算法,提取通訊的手機號特征與云端數(shù)據(jù)進行匹配。通過玩“今日運勢”游戲收集生日信息,是為了避免直面詢問好友生日的尷尬,讓用戶悄悄做一個有心人,更好地關(guān)心朋友,“開發(fā)這個功能的出發(fā)點是善意的?!?/p>
上述3款A(yù)PP同時提到,如果被記錄者介意自己的信息被分享,平臺提供了相關(guān)的操作來避免“騷擾”,并強調(diào)注重用戶的隱私保護。
專家:你無權(quán)分享他人的任何個人信息
隱私護衛(wèi)隊了解到,目前多數(shù)互聯(lián)網(wǎng)公司的產(chǎn)品在新用戶注冊使用時,都會請求讀取、上傳通訊錄信息,尤其是在P2P產(chǎn)品、征信和社交類產(chǎn)品。
然而,“不管所提供的服務(wù)需不需要,很多APP都會習(xí)慣性地向用戶申請通訊錄權(quán)限,連金山詞霸這種工具APP也不例外?!币幻麡I(yè)內(nèi)人士告訴隱私護衛(wèi)隊。
隱私護衛(wèi)隊使用的一款安卓手機,在應(yīng)用授權(quán)管理中,可以看到所下載的41款A(yù)PP中,需要讀取聯(lián)系人的共有32個。除上述APP外,還有今日頭條、百度地圖、豌豆莢、搜狗輸入法等。
對此,中國信息安全研究院副院長左曉棟向隱私護衛(wèi)隊表示,APP讀取通訊錄,或?qū)⒋水?dāng)作注冊步驟,這要看功能需要?!氨热缑淼腁PP,它本來就是處理名片的,讀取通訊錄很正?!?,左曉棟說,僅從這幾款A(yù)PP的定位來看,不好判斷讀取通訊錄是否必需,但它們至少違反了國家關(guān)于“主動說明收集的個人信息最小元素集,并說明與其基本功能的關(guān)系”之規(guī)定。
左曉棟指出,國家標(biāo)準(zhǔn)規(guī)定,企業(yè)應(yīng)該明確標(biāo)注收集的個人信息最小元素集。如果是在最小元素集之內(nèi)收集的信息,用戶不同意,企業(yè)可以不提供服務(wù);但如果是在范圍之外的話,企業(yè)無權(quán)拒絕提供服務(wù),也不能降低服務(wù)質(zhì)量。
針對APP向未下載過的用戶發(fā)送短信的問題,有專家表示,類似的功能應(yīng)當(dāng)限于兩個使用者之間。左曉棟告訴隱私護衛(wèi)隊,在非注冊用戶不知情的情況下發(fā)送短信,這首先是非法獲取用戶信息,然后是非法廣告推廣。
隱私護衛(wèi)隊了解到,依據(jù)《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,任何組織和個人未經(jīng)電子信息接收者同意或者請求,或者電子信息接收者明確表示拒絕的,不得向其固定電話、移動電話或者個人電子郵箱發(fā)送商業(yè)性電子信息。
北京志霖律師事務(wù)所副主任、中國政法大學(xué)知識產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)也表示, “個人信息的收集需要用戶知情同意。現(xiàn)在用戶同意提供信息,但是用戶并不知道企業(yè)收集后,如何使用這些信息,也不知道將如何提供給他人?!?/p>
據(jù)隱私護衛(wèi)隊了解,今年10月正式實施的《民法總則》首次將個人信息保護作為個人權(quán)利納入其中,對非法收集個人信息也做出明確規(guī)定:自然人的個人信息受法律保護。任何組織和個人……不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
南京大學(xué)法學(xué)院教授邱鷺風(fēng)向隱私護衛(wèi)隊表示,即便是APP注冊用戶也無權(quán)泄露好友的聯(lián)系方式。個人信息擁有“絕對權(quán)”,即除本人外,其他人未經(jīng)授權(quán)無權(quán)支配其個人信息。
“通訊錄表面上看,是我和朋友的個人關(guān)系,但實際上是朋友的個人信息,一旦隨意授權(quán)給第三方,我和第三方就共同對朋友構(gòu)成了侵權(quán),也未盡到保護他人信息的法定義務(wù)。”
采寫:南都記者 李玲 蔣琳
本文鏈接: http://www.yixieshi.com/91754.html (轉(zhuǎn)載請保留)