日前,江苏省消费者权益保护委员会以百度公司的两款手机APP产品“在未取得用户同意的情况下,获取诸如监听电话、定位、读取短彩信等各种权限,涉嫌违法获取消费者个人信息”为由,向百度提起消费民事公益诉讼。这一消息又被部分群众和媒体视为“互联网公司正密切监听用户以搜集大数据做商业推广”的重点怀疑对象。
不过,被怀疑的互联网公司已经明确否认自己有这样能力或企图,安全专家也劝谕用户,切勿听信这类传言,互联网公司没这个能力。
■新快报记者 郑志辉
互联网巨头们都干了啥?
事情始于去年7月,江苏省消保委曾对一批热门手机APP进行用户个人信息安全调查,其中“手机百度”“百度浏览器”两款APP,“在消费者安装前,未告知其所获取的各种权限及目的;在未取得用户同意的情况下,获取诸如监听电话、定位、读取短彩信、读取联系人、修改系统设置等各种权限”。消保委向百度公司发出调查函后,多次催促回复未果,决定对百度提起民事诉讼。
百度公关部人士昨日回复新快报记者查询时表示,已从媒体报道里知悉该诉讼。过去数月里,已经和江苏省消保委就手机应用产品的隐私保护和用户权限管理机制问题进行了多轮沟通、说明和澄清,目前也仍在积极沟通之中。
对于媒体报道里提及的“监听电话”,该人士强调说,这是媒体对技术了解不多所致,“实际上只是取得了麦克风使用权限,主要用于手机百度的语音搜索,地图的语音导航等用途。这和监听电话是两回事。安卓、苹果系统不可能提供这样的接口或权限,百度的手机应用没有能力、也从来不会申请这一权限。”而且,即使是麦克风的使用权限,也会首先弹窗提示用户是否授权以获得相应服务,用户授权使用后也随时可以自主选择关闭。
近日有网友在微博等之上反应,“家属下班进门问做了什么饭,我回答了以后,一翻手机,立马就出现今日头条推荐的做饭信息,想想都恐怖!难道对话被窃听了?”头条昨日发布声明称,“除非用户明确点击授权,否则无论哪种手机机型,今日头条都无法获得麦克风权限,无法收到用户任何语音信号”。同时,其还表示,“从技术角度看,目前声音信息技术的处理,也远达不到通过麦克风获取个人隐私的水平”。
微信则是在被吉利董事长李书福一则“马化腾肯定天天在看我们的微信”言论引发轩然大波后,对外解释说,“微信不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上;微信也不会将用户的任何聊天内容用于大数据分析。”
到底谁在偷窥我们的隐私?
猎豹公司知名安全专家李铁军昨日对记者表示,“手机监听技术,互联网公司没这个能力,有也不会用在个别网民身上。不值得啊,这监控成本得多高啊。”
如果说到部分搜索结果页能拿到访客手机号等个人资料的话,李铁军认为倒是不难实现,但这是黑产干的事,“这个锅不应该由百度来背”。
去年,有北京网友在上网时无意间发现一个网站提供抓取用户手机号的服务,向警方举报后,在百度安全技术团队的技术支持和协助下,对网站进行溯源研究,最终揭破一条盗取个人信息和财产账号用于非法牟利的新型三级黑色产业链。其具体操作流程是:一些三级网站会从二级代理手中按月或按年购买服务,将“手机访客营销平台”提供的恶意代码嵌入到网页中。当用户点击网页时,他们就可以在后台账户上看到用户的手机号、手机型号、搜索关键词等各种信息,并雇佣客服进行电话营销,从而让众多网民不得不承受这些骚扰。
截至去年9月25日,警方已经初步查获了26家涉案网站和100多万条信息,33名犯罪嫌疑人被批捕。
觉得正在被偷窥,怎么办?
对于近日不少用户都反应自己“遭遇了类似情况”,不由得十分担心。李铁军表示,用户首先是别想太多了,互联网公司确实没有这个能力。
如果还是不放心的话,李铁军建议到手机的系统权限设置里把所有需要用到麦克风的应用都过滤一遍,决定哪些不再授权权限。
李铁军建议,对系统不熟悉的小白用户,可以通过安装主流的手机安全软件来实现,手机权限管理正是这些安全软件的主要功能之一。
有互联网公司人士表示,安卓操作系统从6.0版本起,对权限申请严格了许多,会对应用的单个权限进行申请,部分用户难免会觉得逐个通过或拒绝太麻烦,干脆全部关闭,这又会导致自己享受不到一些如语音操控、随时随地获取天气信息、面部识别等新技术、新服务。
而对于还存在几万个暗藏恶意代码的网站,百度人士建议用户尽量不去不安全的网站,不贪便宜用一些不安全的WIFI;给支付设置更安全的密码,每个App、邮箱或网络账号都用不同的强密码,不通用密码。再有,发现有被盗或者被黑的情况,及时报警。
评论
众多APP“疯狂”索取用户信息目的何在?
据新华社电 1月3日,支付宝开放年度个人账单查询之后,芝麻信用“搭便车”让消费者“被选择”授权获取个人信息的事实在网上曝光。随后,中国人民银行约谈支付宝和芝麻信用。近日,关于一些APP过度索权和个人金融信息安全的话题成为舆论焦点。
“新华视点”记者调查发现,为了收集用户信息,在大数据时代占据市场先机,一些APP过度索取消费者权限的情况近乎“疯狂”,相关法律和监管滞后。
“没人知道哪些数据会成为未来商业发展的重点,所以,拥有足够多的数据才是重点”
“大数据时代,没人知道哪些数据会成为未来商业发展的重点,所以,拥有足够多的数据才是重点。搜集的数据越多,营销价值就越大。”一位从事互联网营销的业内人士一句话点破了其中奥秘。
互联网从业人员叶先生对自己安卓手机上安装的109个应用进行了统计,104个APP都有“读取已安装应用列表”非强制性权限,由此可以了解用户的行为习惯及分析同行情况;第二受关注的权限就是“读取本机识别码”,这是用于确定用户,因为每个手机识别码都是独一无二的;第三是“读取位置信息”权限,有80个APP需要这一权限,可搜集用户的活动范围。
DCCI互联网数据中心发布的《2017年中国Android手机隐私安全报告》显示,非游戏类APP2017年越界获取的各种隐私权限显著减少,但核心隐私权限中的越界获取“通话记录”和越界“读取彩信记录”出现较大幅度增长。
“从行业看,都在尽一切可能收集用户信息。”移动互联网系统与应用安全国家工程实验室高级安全研究员朱易翔指出,本质上就是一些APP开发商没底线。
个人信息数据保护面临三大挑战
采访中,不少专家表达了对信息安全的忧虑。他们认为,目前我国个人信息数据的法律保护存在三方面问题:
——法无“明”权,保护零散。我国目前对公民个人信息权利的保护始终是依附在隐私、网络安全等领域进行保护,尚未形成法定的独立权利,这直接导致相关保护规范力度不足,措施不够。“大多是概括性、原则性的规定,执行力非常缺乏。”中国政法大学法学院大数据和人工智能法律研究中心主任汪庆华说。
——侵权普遍,维权困难。有专家形象地将目前消费者个人信息被侵犯的环境比喻为“温水煮青蛙”。在企业大量不同程度地违法采集使用个人信息的环境中,消费者不但难以知晓有哪些规范能够支持自己维权,甚至都难以知晓自己已被侵权。
——一些“实名制”规定有漏洞。汪庆华认为,目前,各种“实名制”相关规定质量参差不齐,有些地方的规定甚至成为授权企业过度采集信息的合法依据。
“越是大的平台、知名的公司,就越需要珍惜用户,保护和捍卫用户的个人信息,经合情合法授权利用,是一个企业不可动摇的理念。”中国电子商务研究中心生活服务电商分析师陈礼腾表认为,掌握大量原始数据的企业,更应自觉承担起保护个人数据的责任,“APP中包含了用户诸多隐私信息,若不能好好保护反而‘偷偷摸摸’获取更多信息,将极大影响用户的使用安全感。”
强化监管势在必行
汪庆华认为,虽然我国已经有多部相关法律法规加强对个人信息和与互联网相关的消费者权益的保护,但随着互联网快速发展,需要确立一个和其他人格权区分的个人信息权,在立法层面将原本分散的保护规定整合起来,建立起专门的保护机制。
上海汉盛律师事务所高级合伙人李旻认为,支付宝年度账单默认勾选协议这类现象的发生不是偶然。“从用户服务协议的签订是否在醒目位置明示、协议内容是否合法合规等要素看,电商立法势在必行,以进一步完善平台条款的合法性,理清用户与平台的法律关系。”
此外,强化对巨头企业行为合法性的行政监管非常重要。尤其是针对消费者被侵权,但尚未察觉损失的情况,要有针对性地对企业展开检查,建立适当的个人信息侵权行为行政处罚机制。
1月2日,南京市中级人民法院对江苏省消保委诉百度涉嫌违法获取消费者个人信息及相关问题正式立案。“发展公益诉讼,塑造社会在个人信息领域维权意识,支持各地消费者保护协会代表消费者维权有积极的作用。”中国人民大学法学院未来法治研究院研究员熊丙万表示。
北京志霖律师事务所副主任赵占领说,虽然管理诸多应用程序不太现实,但监管部门可以从应用商店入手,通过管平台来间接管应用,加强应用商店的审核标准,不断改善应用过度索取用户信息的情况。
