XX�,有人將你設(shè)置為暗戀對象;有前同事標注你“有兩把刷子”;有好友記錄了你的生日,并對你念念不忘……
突然有一天�,收到一款從未注冊下載過的APP直呼你的名字,發(fā)來這樣的消息�����,你會是什么感覺?
不少人的反應(yīng)是詫異���,誰泄露了我的信息?一般而言�����,個人信息泄露的渠道是自己在促銷時留下了姓名電話��,或是社交媒體上主動公開���,也可能是曾經(jīng)注冊過的APP里透露的個人偏好。
但是,為何從未使用過的APP����,也能得知你的真名,甚至給你發(fā)來短信呢?
從未用過的APP發(fā)來點名短信
不久前���,來自杭州的金先生收到“脈脈”APP發(fā)來的一條短信��,開頭直呼他的真名���,稱有北京大學(xué)經(jīng)濟系某項目組的前同事標注他為“有兩把刷子”,并列出他的7位朋友的真名����,其中還有1人向他共享了2619個職業(yè)人脈。
脈脈發(fā)來的短信����。
“此前我從沒使用過脈脈��,但它卻知道我的真實姓名�、手機號碼和一些簡歷信息,太可怕了”����。金先生致電短信中提及的一個朋友����,這位已經(jīng)十年沒聯(lián)系的朋友稱已經(jīng)很久沒有使用脈脈了�����,并不知情�。
出于好奇,金先生下載了脈脈���,彈出的頁面有兩排6個頭像�,全是他各個時期的朋友�。頁面提示:“由于你未注冊脈脈APP,系統(tǒng)代他(她)短信邀請你����。”在輸入手機號注冊完成后�,頁面系統(tǒng)要求金先生開啟通訊錄權(quán)限,只有同意���,才可以進入下一步����。
頁面顯示的六個好友的頭像,并有他們就職單位的信息
據(jù)一名開放了通訊錄訪問權(quán)限的用戶稱��,“沒想到(脈脈)竟然將我通訊錄里的400多個好友全部一一對應(yīng)了學(xué)校和單位����,甚至連頭像都對應(yīng)上了,它是怎么辦到的?”
金先生對隱私護衛(wèi)隊表示��,“這分明是打著朋友���、同事的旗號�����,擅自發(fā)短信誘導(dǎo)下載���,然后強制讀取通訊錄。如果保護隱私意識不強���,很可能中招把自己通訊錄開放給脈脈了?�!?/p>
這件蹊蹺事也發(fā)生在南京的王先生身上,他向隱私護衛(wèi)隊表達了進一步的擔心:“注冊APP的時候被強制要求讀取通訊錄�����,我有權(quán)泄露朋友的號碼嗎?”
隱私護衛(wèi)隊注意到�,通過發(fā)送短信提示有好友標記的APP,大多具有較強的社交屬性�����,比如“生日管家”�、“探探”也有類似功能。
“生日管家”發(fā)送的短信稱����,XX,有男生/女生在生日管家記錄了你的生日����,并對你“打了招呼”或“念念不忘”。當打開“生日管家”后����,用戶可以清楚看到手機通訊錄里大部分好友的生日,星座和現(xiàn)居住地�����,這些信息大多準確無誤。
生日管家發(fā)來的短信�����。
和生日管家一樣����,探探發(fā)送的短信開頭也直接點名稱呼,有你的一位手機聯(lián)系人在探探上將你設(shè)置為“暗戀對象”��。如果你也“暗戀”Ta�����,你們將配對成功�����,并附上了APP下載鏈接���。
親測:參與測試游戲生日信息也會被上傳
隱私護衛(wèi)隊隨后下載這三款A(yù)PP�,發(fā)現(xiàn)它們都需要讀取用戶的通訊錄�����。當用戶開啟相應(yīng)功能后��,APP會代發(fā)短信給被手機聯(lián)系人里被標記的好友��。
在脈脈的注冊頁面�,首先用戶會被要求填寫手機號碼,點擊下一步����,系統(tǒng)提示“脈脈”想訪問你的通訊錄。當隱私護衛(wèi)隊點擊“不允許”時��,頁面再次提醒“請允許打開通訊錄”�����,還附上開啟步驟����,提示“請確保通訊錄不為空且手機號碼有效”。在這一頁面中���,用戶可選項只有一個:“我已開啟權(quán)限�����,繼續(xù)”���。
當用戶注冊時��,脈脈要求讀取通訊錄否則無法享受服務(wù)�。
隱私護衛(wèi)隊下載“探探”APP時�,被告知需訪問通訊錄,并稱不會發(fā)送垃圾短信給他們或者存儲他們的聯(lián)系方式����。注冊完成后,隱私護衛(wèi)隊點擊“匿名暗戀表白”功能�,選取了一名好友進行操作,探探提示對方將收到一條匿名表白����,如果其也暗戀你,你們會收到配對通知���。不久�����,該好友果然收到了上述信息�����。
在探探上標注暗戀對象后�,出現(xiàn)提示ta將收到一條匿名表白�����。
探探發(fā)來的短信�����。
當打開“生日管家”開啟通訊錄授權(quán)后��,隱私護衛(wèi)隊就APP提示的生日信息�,向數(shù)位好友確認。不少人對于生日就這樣被公開�,表示驚訝。其中一位很少對外透露生日的好友確認后直言��,“這不是泄露個人隱私嗎?”
不同于上述兩款社交類APP�����,生日管家還能獲取用戶的生日。那么����,它是如何通過手機號碼匹配生日信息的呢?
根據(jù)生日管家介紹, 所有手機號關(guān)聯(lián)的生日均為用戶自行手動添加����,這包括但不限于公開自己的生日、手動添加它們手機號和生日�、QQ和微信詢問中添加等,并將生日服務(wù)分享給使用本軟件的其他用戶��。
打個比方�����,當你用生日管家記錄了某人的生日��。在生日管家上��,存儲了這個人聯(lián)系方式的用戶����,都可以知道他的生日。
值得一提的是,隱私護衛(wèi)隊發(fā)現(xiàn)�,在生日管家上,通過綁定微信��,分享一款名為“今日運勢”的測試游戲可收集到這些信息���。參與測試時�����,用戶需輸入出生年月日才能知道獲取運勢情況。而整個運勢測試的過程中��,并無相關(guān)提示告知用戶的生日信息被收集到哪里����。
生日管家可以通過分享今日運勢給好友測試獲取生日信息。
就這樣�����,在沒有下載過該軟件的情況下�����,有些人的生日信息莫名被收集了。
企業(yè):用戶自主操作 點名為了引起注意
隱私護衛(wèi)隊發(fā)現(xiàn)�����,在收到這些APP發(fā)來的點名短信后����,不少人基于獵奇心理,想要了解究竟被哪位匿名好友惦記�。但要解開謎團并不容易,用戶要點擊下載APP�,還要標注猜測對象,發(fā)送短信驗證���,直到兩人同時配對成功后才能知曉����。與此同時����,新一波被新標注的未注冊用戶又會收到相同的信息。
基于此�����,有人認為這是企業(yè)病毒式營銷的方法,更有人質(zhì)疑企業(yè)未經(jīng)同意發(fā)送短信屬于侵權(quán)行為�����。隱私護衛(wèi)隊就此咨詢?nèi)預(yù)PP的有關(guān)負責(zé)人�����,均得到回復(fù)稱是使用APP的用戶自主操作�����,從而觸發(fā)短信推送�。
探探相關(guān)負責(zé)人告訴隱私護衛(wèi)隊, “去年上線‘匿名暗戀表白’功能�����,旨在讓用戶知道彼此心意���,可以理解未注冊用戶收到短信的心情。但是不帶真名的話���,可能引起不了對方的注意�����,對于發(fā)送者來說����,表白成功的機會也不高?���!?/p>
該負責(zé)人介紹,為了不使用戶感到莫名其妙�,在短信文案上已注明,“由于你未下載使用探探�����,你的聯(lián)系人發(fā)送了短信通知”�����。姓名電話由該手機聯(lián)系人提供���。
脈脈方面回應(yīng)隱私護衛(wèi)隊稱�,“脈脈是職場社交APP����,社交是最核心的業(yè)務(wù)��,脈脈要求上傳通訊錄目的�,是提供人脈統(tǒng)計和標注人脈等服務(wù)���,否則用戶無法享受脈脈添加好友的功能���,那么用戶使用脈脈將失去意義?!?/p>
隱私護衛(wèi)隊查閱脈脈“用戶信息條款”發(fā)現(xiàn), “用戶一旦注冊�、登陸、使用脈脈服務(wù)�,將視為用戶完全了解、同意并接受淘友公司通過包括但不限于收集�����、統(tǒng)計�����、分析����、使用等方式合理使用用戶信息?��!泵}脈相關(guān)負責(zé)人表示�,在用戶同意本協(xié)議的基礎(chǔ)上���,平臺發(fā)送短信����,無需向用戶另行取得授權(quán)���。
生日管家方面表示����,在收集生日信息的過程中��,采用了不可逆的加密算法���,提取通訊的手機號特征與云端數(shù)據(jù)進行匹配���。通過玩“今日運勢”游戲收集生日信息����,是為了避免直面詢問好友生日的尷尬���,讓用戶悄悄做一個有心人�,更好地關(guān)心朋友�����,“開發(fā)這個功能的出發(fā)點是善意的�。”
上述3款A(yù)PP同時提到��,如果被記錄者介意自己的信息被分享����,平臺提供了相關(guān)的操作來避免“騷擾”,并強調(diào)注重用戶的隱私保護�。
專家:你無權(quán)分享他人的任何個人信息
隱私護衛(wèi)隊了解到,目前多數(shù)互聯(lián)網(wǎng)公司的產(chǎn)品在新用戶注冊使用時�����,都會請求讀取�����、上傳通訊錄信息��,尤其是在P2P產(chǎn)品�、征信和社交類產(chǎn)品。
然而����,“不管所提供的服務(wù)需不需要,很多APP都會習(xí)慣性地向用戶申請通訊錄權(quán)限��,連金山詞霸這種工具APP也不例外��?��!币幻麡I(yè)內(nèi)人士告訴隱私護衛(wèi)隊��。
隱私護衛(wèi)隊使用的一款安卓手機����,在應(yīng)用授權(quán)管理中�,可以看到所下載的41款A(yù)PP中,需要讀取聯(lián)系人的共有32個�����。除上述APP外,還有今日頭條���、百度地圖�、豌豆莢�、搜狗輸入法等。
對此���,中國信息安全研究院副院長左曉棟向隱私護衛(wèi)隊表示�����,APP讀取通訊錄����,或?qū)⒋水斪髯圆襟E�,這要看功能需要?!氨热缑淼腁PP,它本來就是處理名片的���,讀取通訊錄很正?���!?����,左曉棟說�����,僅從這幾款A(yù)PP的定位來看�,不好判斷讀取通訊錄是否必需,但它們至少違反了國家關(guān)于“主動說明收集的個人信息最小元素集����,并說明與其基本功能的關(guān)系”之規(guī)定。
左曉棟指出���,國家標準規(guī)定�,企業(yè)應(yīng)該明確標注收集的個人信息最小元素集���。如果是在最小元素集之內(nèi)收集的信息���,用戶不同意��,企業(yè)可以不提供服務(wù);但如果是在范圍之外的話��,企業(yè)無權(quán)拒絕提供服務(wù)�,也不能降低服務(wù)質(zhì)量���。
針對APP向未下載過的用戶發(fā)送短信的問題���,有專家表示,類似的功能應(yīng)當限于兩個使用者之間��。左曉棟告訴隱私護衛(wèi)隊�����,在非注冊用戶不知情的情況下發(fā)送短信��,這首先是非法獲取用戶信息��,然后是非法廣告推廣�。
隱私護衛(wèi)隊了解到,依據(jù)《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》�����,任何組織和個人未經(jīng)電子信息接收者同意或者請求,或者電子信息接收者明確表示拒絕的����,不得向其固定電話、移動電話或者個人電子郵箱發(fā)送商業(yè)性電子信息��。
北京志霖律師事務(wù)所副主任�、中國政法大學(xué)知識產(chǎn)權(quán)研究中心特約研究員趙占領(lǐng)也表示�����, “個人信息的收集需要用戶知情同意?�,F(xiàn)在用戶同意提供信息�����,但是用戶并不知道企業(yè)收集后�����,如何使用這些信息����,也不知道將如何提供給他人���。”
據(jù)隱私護衛(wèi)隊了解��,今年10月正式實施的《民法總則》首次將個人信息保護作為個人權(quán)利納入其中����,對非法收集個人信息也做出明確規(guī)定:自然人的個人信息受法律保護。任何組織和個人……不得非法收集��、使用��、加工�����、傳輸他人個人信息����,不得非法買賣、提供或者公開他人個人信息��。
南京大學(xué)法學(xué)院教授邱鷺風(fēng)向隱私護衛(wèi)隊表示����,即便是APP注冊用戶也無權(quán)泄露好友的聯(lián)系方式��。個人信息擁有“絕對權(quán)”�,即除本人外��,其他人未經(jīng)授權(quán)無權(quán)支配其個人信息����。
“通訊錄表面上看,是我和朋友的個人關(guān)系����,但實際上是朋友的個人信息�,一旦隨意授權(quán)給第三方,我和第三方就共同對朋友構(gòu)成了侵權(quán)�,也未盡到保護他人信息的法定義務(wù)?���!?/p>
采寫:南都記者 李玲 蔣琳
本文鏈接: http://www.yixieshi.com/91754.html (轉(zhuǎn)載請保留)