XX�����,有人將你設(shè)置為暗戀對象;有前同事標(biāo)注你“有兩把刷子”;有好友記錄了你的生日��,并對你念念不忘……
突然有一天,收到一款從未注冊下載過的APP直呼你的名字�,發(fā)來這樣的消息����,你會是什么感覺?
不少人的反應(yīng)是詫異,誰泄露了我的信息?一般而言���,個人信息泄露的渠道是自己在促銷時留下了姓名電話���,或是社交媒體上主動公開,也可能是曾經(jīng)注冊過的APP里透露的個人偏好����。
但是,為何從未使用過的APP�,也能得知你的真名���,甚至給你發(fā)來短信呢?
從未用過的APP發(fā)來點名短信
不久前����,來自杭州的金先生收到“脈脈”APP發(fā)來的一條短信�,開頭直呼他的真名�,稱有北京大學(xué)經(jīng)濟系某項目組的前同事標(biāo)注他為“有兩把刷子”��,并列出他的7位朋友的真名��,其中還有1人向他共享了2619個職業(yè)人脈����。
脈脈發(fā)來的短信。
“此前我從沒使用過脈脈�,但它卻知道我的真實姓名���、手機號碼和一些簡歷信息��,太可怕了”。金先生致電短信中提及的一個朋友��,這位已經(jīng)十年沒聯(lián)系的朋友稱已經(jīng)很久沒有使用脈脈了�,并不知情���。
出于好奇�����,金先生下載了脈脈�����,彈出的頁面有兩排6個頭像���,全是他各個時期的朋友���。頁面提示:“由于你未注冊脈脈APP,系統(tǒng)代他(她)短信邀請你�。”在輸入手機號注冊完成后���,頁面系統(tǒng)要求金先生開啟通訊錄權(quán)限�����,只有同意���,才可以進入下一步����。
頁面顯示的六個好友的頭像�,并有他們就職單位的信息
據(jù)一名開放了通訊錄訪問權(quán)限的用戶稱,“沒想到(脈脈)竟然將我通訊錄里的400多個好友全部一一對應(yīng)了學(xué)校和單位�����,甚至連頭像都對應(yīng)上了����,它是怎么辦到的?”
金先生對隱私護衛(wèi)隊表示,“這分明是打著朋友��、同事的旗號����,擅自發(fā)短信誘導(dǎo)下載,然后強制讀取通訊錄���。如果保護隱私意識不強�����,很可能中招把自己通訊錄開放給脈脈了���?�!?/p>
這件蹊蹺事也發(fā)生在南京的王先生身上����,他向隱私護衛(wèi)隊表達了進一步的擔(dān)心:“注冊APP的時候被強制要求讀取通訊錄��,我有權(quán)泄露朋友的號碼嗎?”
隱私護衛(wèi)隊注意到����,通過發(fā)送短信提示有好友標(biāo)記的APP��,大多具有較強的社交屬性�����,比如“生日管家”���、“探探”也有類似功能����。
“生日管家”發(fā)送的短信稱,XX���,有男生/女生在生日管家記錄了你的生日��,并對你“打了招呼”或“念念不忘”���。當(dāng)打開“生日管家”后,用戶可以清楚看到手機通訊錄里大部分好友的生日��,星座和現(xiàn)居住地����,這些信息大多準確無誤。
生日管家發(fā)來的短信�����。
和生日管家一樣���,探探發(fā)送的短信開頭也直接點名稱呼����,有你的一位手機聯(lián)系人在探探上將你設(shè)置為“暗戀對象”�����。如果你也“暗戀”Ta,你們將配對成功�����,并附上了APP下載鏈接����。
親測:參與測試游戲生日信息也會被上傳
隱私護衛(wèi)隊隨后下載這三款A(yù)PP,發(fā)現(xiàn)它們都需要讀取用戶的通訊錄�����。當(dāng)用戶開啟相應(yīng)功能后��,APP會代發(fā)短信給被手機聯(lián)系人里被標(biāo)記的好友��。
在脈脈的注冊頁面�����,首先用戶會被要求填寫手機號碼���,點擊下一步,系統(tǒng)提示“脈脈”想訪問你的通訊錄。當(dāng)隱私護衛(wèi)隊點擊“不允許”時�����,頁面再次提醒“請允許打開通訊錄”���,還附上開啟步驟�,提示“請確保通訊錄不為空且手機號碼有效”�。在這一頁面中,用戶可選項只有一個:“我已開啟權(quán)限�����,繼續(xù)”�。
當(dāng)用戶注冊時,脈脈要求讀取通訊錄否則無法享受服務(wù)�����。
隱私護衛(wèi)隊下載“探探”APP時�����,被告知需訪問通訊錄���,并稱不會發(fā)送垃圾短信給他們或者存儲他們的聯(lián)系方式��。注冊完成后�,隱私護衛(wèi)隊點擊“匿名暗戀表白”功能,選取了一名好友進行操作��,探探提示對方將收到一條匿名表白��,如果其也暗戀你�����,你們會收到配對通知����。不久��,該好友果然收到了上述信息�����。
在探探上標(biāo)注暗戀對象后�����,出現(xiàn)提示ta將收到一條匿名表白。
探探發(fā)來的短信���。
當(dāng)打開“生日管家”開啟通訊錄授權(quán)后���,隱私護衛(wèi)隊就APP提示的生日信息,向數(shù)位好友確認����。不少人對于生日就這樣被公開,表示驚訝���。其中一位很少對外透露生日的好友確認后直言�����,“這不是泄露個人隱私嗎?”
不同于上述兩款社交類APP����,生日管家還能獲取用戶的生日�����。那么�,它是如何通過手機號碼匹配生日信息的呢?
根據(jù)生日管家介紹����, 所有手機號關(guān)聯(lián)的生日均為用戶自行手動添加�����,這包括但不限于公開自己的生日���、手動添加它們手機號和生日���、QQ和微信詢問中添加等,并將生日服務(wù)分享給使用本軟件的其他用戶����。
打個比方,當(dāng)你用生日管家記錄了某人的生日�����。在生日管家上�,存儲了這個人聯(lián)系方式的用戶�,都可以知道他的生日。
值得一提的是�,隱私護衛(wèi)隊發(fā)現(xiàn)���,在生日管家上,通過綁定微信�����,分享一款名為“今日運勢”的測試游戲可收集到這些信息����。參與測試時,用戶需輸入出生年月日才能知道獲取運勢情況�����。而整個運勢測試的過程中���,并無相關(guān)提示告知用戶的生日信息被收集到哪里�。
生日管家可以通過分享今日運勢給好友測試獲取生日信息��。
就這樣���,在沒有下載過該軟件的情況下���,有些人的生日信息莫名被收集了���。
企業(yè):用戶自主操作 點名為了引起注意
隱私護衛(wèi)隊發(fā)現(xiàn),在收到這些APP發(fā)來的點名短信后�,不少人基于獵奇心理,想要了解究竟被哪位匿名好友惦記�����。但要解開謎團并不容易����,用戶要點擊下載APP,還要標(biāo)注猜測對象���,發(fā)送短信驗證�,直到兩人同時配對成功后才能知曉�����。與此同時��,新一波被新標(biāo)注的未注冊用戶又會收到相同的信息�����。
基于此��,有人認為這是企業(yè)病毒式營銷的方法��,更有人質(zhì)疑企業(yè)未經(jīng)同意發(fā)送短信屬于侵權(quán)行為�。隱私護衛(wèi)隊就此咨詢?nèi)預(yù)PP的有關(guān)負責(zé)人,均得到回復(fù)稱是使用APP的用戶自主操作�,從而觸發(fā)短信推送。
探探相關(guān)負責(zé)人告訴隱私護衛(wèi)隊��, “去年上線‘匿名暗戀表白’功能���,旨在讓用戶知道彼此心意�����,可以理解未注冊用戶收到短信的心情��。但是不帶真名的話��,可能引起不了對方的注意��,對于發(fā)送者來說�����,表白成功的機會也不高���?��!?/p>
該負責(zé)人介紹,為了不使用戶感到莫名其妙�����,在短信文案上已注明��,“由于你未下載使用探探�,你的聯(lián)系人發(fā)送了短信通知”。姓名電話由該手機聯(lián)系人提供�。
脈脈方面回應(yīng)隱私護衛(wèi)隊稱,“脈脈是職場社交APP��,社交是最核心的業(yè)務(wù)����,脈脈要求上傳通訊錄目的,是提供人脈統(tǒng)計和標(biāo)注人脈等服務(wù)����,否則用戶無法享受脈脈添加好友的功能�,那么用戶使用脈脈將失去意義�?���!?/p>
隱私護衛(wèi)隊查閱脈脈“用戶信息條款”發(fā)現(xiàn), “用戶一旦注冊����、登陸、使用脈脈服務(wù)���,將視為用戶完全了解����、同意并接受淘友公司通過包括但不限于收集����、統(tǒng)計、分析��、使用等方式合理使用用戶信息��。”脈脈相關(guān)負責(zé)人表示���,在用戶同意本協(xié)議的基礎(chǔ)上�����,平臺發(fā)送短信�����,無需向用戶另行取得授權(quán)�����。
生日管家方面表示��,在收集生日信息的過程中��,采用了不可逆的加密算法���,提取通訊的手機號特征與云端數(shù)據(jù)進行匹配。通過玩“今日運勢”游戲收集生日信息��,是為了避免直面詢問好友生日的尷尬����,讓用戶悄悄做一個有心人�,更好地關(guān)心朋友��,“開發(fā)這個功能的出發(fā)點是善意的��?�!?/p>
上述3款A(yù)PP同時提到�,如果被記錄者介意自己的信息被分享���,平臺提供了相關(guān)的操作來避免“騷擾”��,并強調(diào)注重用戶的隱私保護��。
專家:你無權(quán)分享他人的任何個人信息
隱私護衛(wèi)隊了解到����,目前多數(shù)互聯(lián)網(wǎng)公司的產(chǎn)品在新用戶注冊使用時�,都會請求讀取、上傳通訊錄信息���,尤其是在P2P產(chǎn)品���、征信和社交類產(chǎn)品��。
然而����,“不管所提供的服務(wù)需不需要���,很多APP都會習(xí)慣性地向用戶申請通訊錄權(quán)限����,連金山詞霸這種工具APP也不例外����。”一名業(yè)內(nèi)人士告訴隱私護衛(wèi)隊���。
隱私護衛(wèi)隊使用的一款安卓手機����,在應(yīng)用授權(quán)管理中����,可以看到所下載的41款A(yù)PP中�,需要讀取聯(lián)系人的共有32個��。除上述APP外�,還有今日頭條、百度地圖�����、豌豆莢�、搜狗輸入法等。
對此���,中國信息安全研究院副院長左曉棟向隱私護衛(wèi)隊表示,APP讀取通訊錄���,或?qū)⒋水?dāng)作注冊步驟�,這要看功能需要�����?���!氨热缑淼腁PP���,它本來就是處理名片的,讀取通訊錄很正?�!?����,左曉棟說��,僅從這幾款A(yù)PP的定位來看��,不好判斷讀取通訊錄是否必需���,但它們至少違反了國家關(guān)于“主動說明收集的個人信息最小元素集����,并說明與其基本功能的關(guān)系”之規(guī)定�。
左曉棟指出,國家標(biāo)準規(guī)定���,企業(yè)應(yīng)該明確標(biāo)注收集的個人信息最小元素集��。如果是在最小元素集之內(nèi)收集的信息��,用戶不同意��,企業(yè)可以不提供服務(wù);但如果是在范圍之外的話���,企業(yè)無權(quán)拒絕提供服務(wù)��,也不能降低服務(wù)質(zhì)量���。
針對APP向未下載過的用戶發(fā)送短信的問題,有專家表示��,類似的功能應(yīng)當(dāng)限于兩個使用者之間��。左曉棟告訴隱私護衛(wèi)隊�,在非注冊用戶不知情的情況下發(fā)送短信���,這首先是非法獲取用戶信息���,然后是非法廣告推廣。
隱私護衛(wèi)隊了解到�����,依據(jù)《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,任何組織和個人未經(jīng)電子信息接收者同意或者請求��,或者電子信息接收者明確表示拒絕的�����,不得向其固定電話���、移動電話或者個人電子郵箱發(fā)送商業(yè)性電子信息�。
北京志霖律師事務(wù)所副主任�����、中國政法大學(xué)知識產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)也表示���, “個人信息的收集需要用戶知情同意?����,F(xiàn)在用戶同意提供信息����,但是用戶并不知道企業(yè)收集后,如何使用這些信息����,也不知道將如何提供給他人?��!?/p>
據(jù)隱私護衛(wèi)隊了解��,今年10月正式實施的《民法總則》首次將個人信息保護作為個人權(quán)利納入其中��,對非法收集個人信息也做出明確規(guī)定:自然人的個人信息受法律保護��。任何組織和個人……不得非法收集�、使用����、加工、傳輸他人個人信息�,不得非法買賣、提供或者公開他人個人信息�。
南京大學(xué)法學(xué)院教授邱鷺風(fēng)向隱私護衛(wèi)隊表示���,即便是APP注冊用戶也無權(quán)泄露好友的聯(lián)系方式���。個人信息擁有“絕對權(quán)”����,即除本人外�,其他人未經(jīng)授權(quán)無權(quán)支配其個人信息。
“通訊錄表面上看���,是我和朋友的個人關(guān)系���,但實際上是朋友的個人信息,一旦隨意授權(quán)給第三方��,我和第三方就共同對朋友構(gòu)成了侵權(quán)�����,也未盡到保護他人信息的法定義務(wù)�。”
采寫:南都記者 李玲 蔣琳
本文鏈接: http://www.yixieshi.com/91754.html (轉(zhuǎn)載請保留)