隱私難設防：APP爬取個人信息手段多樣

　　數據收集邊界不明 技術日益隱蔽 處罰威懾力低

　　隱私難設防：APP爬取個人信息手段多樣

　　專家建議：推進個人信息保護立法工作，加快法律法規更新頻率強化監管

　　截至去年12月，我國網民規模為8.29億，全年新增網民5653萬，互聯網普及率達59.6%。智能化、大數據在方便人們生活的同時，個人隱私保護問題也日益凸顯。

　　去年，獵豹瀏覽器默認開通監聽用戶外撥電話；華住旗下5億條酒店用戶個人信息疑似泄露……今年，“抖音”因涉嫌私自調取用戶隱私數據，被其他互聯網平臺取消第三方登錄授權；央視“315”曝光“社保掌上通”App通過獲取用戶授權，肆意收集用戶隱私信息……

　　互聯網時代，我們的隱私到底還剩多少？

　　獲取用戶隱私手法隱蔽

　　根據用戶反饋的情況，第三方研究機構IDF實驗室檢測發現，與“抖音”同屬北京字節跳動科技有限公司（以下簡稱“字節跳動”）的資訊類APP“今日頭條”，在技術上采取了至少兩個“非正常”操作，使其獲取了微信用戶的好友信息。

　　近日，一篇名為《法學博士生維權：我為什么起訴抖音、多閃侵犯我的隱私權？》的文章出現在微博、知乎等社交平臺，引發廣泛關注。

　　該博主經過比對發現，在通訊錄未包含任何信息，他個人也沒有明確同意它們收集使用通訊錄的情況下，“字節跳動”旗下產品“抖音”和“多閃”兩款APP仍然向他推薦很多微信好友。而且，在未經明確同意下，“抖音”就向“多閃”提供了博主在抖音上的個人信息。

　　博主凌先生在文章中寫到，抖音用戶規模多達上億，收集和使用的用戶信息量巨大，為牟取自身產品利益，擅自泄露和使用用戶的個人信息，讓人不寒而栗。

　　對此，“字節跳動”回應稱，“抖音”“多閃”產品在運營過程中，合規合法，一直在法律允許范圍內收集、使用、共享個人信息。

　　“字節跳動”還表示，“推薦好友”功能是“抖音”的基本功能之一，“抖音”相關頁面上出現的被推薦人，是基于用戶明確授權上傳的通訊錄信息、粉絲、關注、共同好友等信息，向用戶推薦的好友或可能認識的人，與微信好友毫無關系。

　　然而，記者采訪了多位“抖音”用戶，他們均表示遇到過凌先生所反映的情況。北京市民劉先生告訴記者，當用戶使用微信號授權登錄“抖音”后，其微信好友會陸續出現在“抖音”推薦的“可能認識的人”里，隨后用戶手機通訊錄中的好友也陸續出現在“抖音”的產品推薦中。“抖音”甚至會將用戶微信的“二度好友”，即好友的好友，也推薦給用戶。

　　今年1月，白帽黑客專家、IDF實驗室聯合創始人萬濤指出，通過模擬用戶分享環境運用抓包工具監測發現，如果用戶甲在微信朋友圈分享了一條來自“今日頭條”的新聞，當甲的微信好友乙和丙都打開看過這條新聞后，“今日頭條”就悄悄記錄下乙和丙都是甲的好友，進而將這組社交關系分享給本公司的“抖音”等APP平臺，使乙和丙出現在“抖音”推薦的“可能認識的人”里。

　　“其違規原理在于，正常的軟件在設置cookie（網站為辨別用戶身份進行數據追蹤的數值設定）參數時一般僅為5至7天，而‘今日頭條’將這一數值設定為10年，這一隱蔽的設定使其可以長期更新關注用戶的好友關系變動情況。”萬濤說。

　　與此類似，此前兩款社交軟件“陌陌”“脈脈”也曾因侵犯用戶隱私數據而被告上法庭，盡管法院最終判決兩家企業侵權。然而，技術與監管漏洞并沒有因此得到“根治”。

　　權責不明維權舉報難

　　去年8月，中國消費者協會發布的《APP個人信息泄露情況調查報告》顯示，超八成受訪者曾遭遇個人信息泄露問題，其中常見情形為推銷電話、短信騷擾、詐騙電話、垃圾郵件。而根據全國消協組織受理消費者投訴情況統計，去年上半年，電商、社交軟件等平臺非法收集消費者個人信息的現象已成投訴新熱點。

　　不僅是“抖音”“陌陌”等APP有涉嫌爬取用戶隱私的行為。近日，多家媒體報道，一種以WiFi探針為主要技術手段的廣告營銷設備“悄然興起”。不少手機用戶喜歡使用各種免費WiFi，常常開著WiFi搜索附近可用的網絡，而此類設備會搜尋附近設備的Mac地址盜竊用戶信息，并通過大數據生成用戶圖像，為隨后的電話推廣、騷擾做鋪墊。有些設備甚至可以強制用戶手機彈窗，并冒充已連接WiFi在微信置頂界面投放無法消除的“狗皮膏藥式”廣告。

　　記者調查發現，當前，不明確的邊界、日益隱蔽的技術和低威懾力的罰單，正成為互聯網用戶隱私“攻防戰”的三大新型難題。

　　隱私保護的權利與義務權責不明，管理的主體責任不清。“數據是互聯網公司的重要資產，平臺有責任維護自己的數據安全，也有權利保障用戶的個人隱私不受侵犯。”中國社會科學院信息化研究中心秘書長姜奇平指出，保護的權利和責任非常明確，而相應的法理邊界又十分模糊，這在一定程度上會成為侵權者模糊事實的“保護傘”。

　　今年1月25日，中央網信辦、工信部、公安部、市場監管總局四部門聯合發聲，要求APP運營者收集使用個人信息，應遵循合法、正當、必要的原則，不收集與所提供服務無關的個人信息，對于違法違規情節嚴重的，需依法暫停相關業務、停業整頓等。

　　在重拳整治的同時，部分業內人士仍對侵權技術手段日趨隱蔽的問題表示擔憂。萬濤認為，雖然大多數資深代碼工程師都可以通過抓包軟件發現上述違規侵權的參數，然而類似的修改可能藏在數以萬計的程序代碼中，正常的監測流程根本無法發現。而這一類明顯違規的竊取行為，即使發現也難以直接定性為“違法違規”，僅僅能被認為“非常規”，因為大多數違法行為實際運用邏輯和判定參數都只存在于侵權方的內部系統中，外部工程師無法全部獲取相關侵權證據的線索，因此維權和舉報都十分困難。

　　高投入維護與低成本侵權矛盾日趨激化。業內人士表示，一方面是用戶隱私保護需要耗費大量的人力及物力，同時，相關技術需要不斷對抗升級，法律風險日趨擴大。而另一方面，侵權方在快速獲取數據后可以產生無法計算的經濟和社會效益，同等條件下的違法成本又微乎其微。

　　界定模糊 制度建設需加速

　　根據我國刑法以及最高院在2011年頒布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，非法獲取計算機信息系統數據，情節嚴重的，甚至構成刑事犯罪。對于非法獲取數據涉及公民個人信息的，涉嫌構成侵犯公民個人信息罪。

　　在媒體曝光“社保掌上通”和WiFi探針等產業鏈后，3月16日，工信部刊文表示，已第一時間責令基礎電信企業即刻關停報道中企業撥打騷擾電話的語音專線，停止違規號碼透傳，加強通信資源規范管理。

　　工業和信息化部還表示，為防范各類通信資源被用于電話擾民，將會同相關部門組織開展全面排查清理，嚴格規范語音專線管理，嚴查利用透傳技術虛擬主叫號碼的違規行為，對未通過鑒權的呼叫一律攔截。

　　此外，為加強手機APP個人信息保護，工業和信息化部將配合中央網信辦、公安部、市場監督管理總局等部門做好APP違法違規收集使用個人信息專項治理行動。采取日常技術檢測和專項檢查等多種方式加強監管，加大對各類違規行為的處置和曝光力度，積極推進個人信息保護立法工作，切實規范用戶個人信息的收集、使用行為。

　　盡管如此，仍有專家認為，在實際操作過程中，一些涉及專業技術的問題在法律法規中尚存在界定不清晰的情況，導致相關法律法規在執行層面面臨不少困難。

　　以此次微信與“抖音”和“今日頭條”的事件為例，微信公眾號“新聞實驗室”創始人方可成認為，“抖音”和微信關于好友關系獲取的爭議核心在于cookie這個記錄了用戶數據的技術元素。“今日頭條”將微信瀏覽器的cookie值設置為10年，這是一個非正常的時間范圍，不僅如此，今日頭條還通過將用戶cookie值及分享者的信息回傳到自己的服務器，從而留存用戶信息。

　　“事實上，開放接口不應允許回傳cookie。在我所參與的技術開發工作中，從來沒有這樣的操作。”譯言網創始人、曾任美國甲骨文公司工程師趙嘉敏說。

　　“主管部門應進一步健全相關公開透明的隱私提醒制度，例如要求企業公布上述提示信息，以保證用戶信息安全的知情權，同時加快法律法規的更新頻率和加強依法監管，確保維權申訴渠道暢通無阻。”方可成說。

　　長平經濟研究所執行所長王長勇建議，“支付寶”“微信”“微博”等作為互聯網的數據平臺企業，應對下游企業“設置準入管制”或者“設置準入權”，從而使平臺成為一個“自律監管者”，進而強化數據安全的可靠性地位。（記者 張玉潔）

?

?

相關鏈接：

?