被工信部点名的58款App,是怎么侵犯用户隐私的?

森语 · 2020-08-03
本文来自 “连线Insight”(ID:lxinsight) ,作者 森语

编辑 | 水笙

近期,工信部集中曝光了58款侵犯用户隐私的App,在这其中包含平时人们日常所使用的一些App,同时,站在这些App背后的,并不是人们所认为的小公司,有些是著名的上市公司。

工信部发布2020年第三批违规APP名单 

图源于工信部官网

这些公司通过安装在手机中的一个个App,几乎可以做到了解每一个用户的生活习惯、兴趣爱好,甚至在用户想吃螺蛳粉时,就可以精准推送购买链接,真可谓是比你还了解自己。

要做到这一切,所依靠的就是实时的监控和利用用户的隐私数据和信息。

隐私,是每个人的自然权利,而对于用户隐私数据进行监控和利用已属于违法行为。于是,工信部早已于去年就开展了对于国内App的监管和是否合规的排查,但始终屡禁不止。

这背后的原因有很多,比如很多人为了使用App不得不同意隐私条款,或者是懒得去看冗长的条款,直接同意等等。

一旦点了同意,所谓的隐私数据,就成为这些公司变现的工具。

都有哪些App,都是哪些公司?

被点名的公司不乏上市公司。

据了解,在被曝光的58款App名单中,涉及到超过10家的美股、港股和A股上市公司旗下的App产品,包括搜狐网络的狐友App、上海巨人网络的球球大作战App、巨人网络集团的哪哪美女直播和MUST两款App、北京搜狗网络的糖猫App、深圳房多多网络的房多多App、科大讯飞的讯飞有声App和北京五八信息技术有限公司的速聘58赶集网招聘App等。

可以发现在这些App中,有球球大作战这种小游戏,也有像房多多和58招聘这种日常需要的工具类App。另外,在名单中还可以看到像VISIA看天下这样的资讯类平台和像世纪佳缘App这样的相亲类平台。

人们生活水平的提高,对于理财的需求也日益上升,以至于各种理财类App也成为人们日常需要打开的手机软件,由此在这次的名单中,理财类App的数量也占绝大部分。

其中包括天弘基金旗下的天弘基金App、北京展恒基金旗下的展恒基金、汇添富基金旗下的现金宝、华夏基金旗下的华夏基金管家和博时基金旗下的博时基金等多款理财类App。

在炒股和理财类App旁边通常会有小额贷款类App存在。这次,两者也一起上榜了,像小鹅花钱、小花钱包和还呗等App就出现在名单中。

可想而知,以上这些App或许已成为很多用户手机中必备的软件,而就在他们使用APP的过程中不知不觉将自己的隐私“双手贡献”了出去。

名单显示,58款App所涉及的问题基本都包括“私自收集个人信息”、“私自将信息共享给第三方”、“超范围收集个人信息”和“过渡索取权限”等。

第三批违规APP名单中所涉问题 

图源违规应用软件名单

那么,这些公司是如何收集用户的信息?

一般要在手机中装任何一款App,在打开App后都会存在一系列弹窗,来询问用户是否准许开启一些授权,这其中就包括通讯录权限、短信权限、位置定位权限和通话权限。

如果不同意这些权限,App就会自动退出,这也意味着告诉用户——你不同意,就别用。无奈之下,很多人只能同意授权,然后使用App。

但这同时也为这些公司窃取隐私打开了“后门”。

2018年8月,中消协发布了《App个人信息泄露情况调查报告》称,读取位置信息权限和访问联系人权限是安装和使用手机App时遇到情况最多的,分别占86.8%和62.3%。受访者被要求读取通话记录权限(47.5%)、读取短信记录权限(39.3%)、打开摄像头权限(39.3%)、话筒录音权限(24.6%)的比例也相对较高。

App泄露个人数据调查数据,制图/连线Insight


数据源于《App个人信息泄露情况调查报告》

通过这一报告,真正将App窃取个人隐私的事情摆在了大众的面前。在法律层面,对于用户的这些信息的窃取均已属于违法行为,因此相关部门对此也开始了相应的管制和处理。

 2 中央是如何管制的?

个人隐私保护,已成为重中之重的问题。

早在2017年国家网信办、工信部、公安部和国家标准委等四部门联合召开了“个人信息保护提升行动”,重点对微信、新浪微博、淘宝和百度地图等大众产品进行审查。

这是我国对于网络中的个人隐私保护的首次行动。

而随着这两年人们在手机上花的时间越来越多,App越装越多,于是在去年12月,国家网信办、工信部、公安部和市场监管总局等四部门联合印发了《App违法违规收集个人信息行为认定方法》,《方法》不仅规定了“未经用户同意收集个人信息”的行为认定方法,同时限定了认定方法。

《App违法违规收集个人信息行为认定方法》发布

图源于网络

在此《方法》出台后,国家网信办和公安部两部门就立即对违规App进行了下架处理。2019年12月,工信部发布了《第一批关于侵害用户权益行为的App通报》,有41款App存在违规侵害用户隐私的行为。

自这之后,这样的通报延续到了今年,涉及的App也已达到了几百款之多,整治力度较大。

针对隐私保护这一普遍问题,国际上各国及组织也在积极应对。

2018年5月25日,欧盟生效了一个被号称史上最严数据保护法GDPR(欧盟《通用数据保护条例》),这项条例规定了企业该如何收集、使用和处理欧盟公民的个人数据。如果出现不合规的行为,罚金可高至总营业额的4%。

除了欧盟,美国同样也在保护隐私上做出行动。

今年年初,美国《加州消费者隐私法》(CCPA)正式生效,此立法预计将影响到在美运营的50万家企业,其中就包括facebook和Tiwwer,这势必会对一些以广告分发来赚钱的企业产生挑战。

虽然国内外都在做出行动来保证国民的个人隐私不被侵害,但不可否认的是,对于个人隐私的侵犯和窃取依旧在发生着。

在屡禁不止的背后,或许是利益驱动着罪恶“齿轮”不断转动。

 3 屡禁不止下的灰色产业链

“出差住个酒店,就把自己的个人隐私信息给住没了。”王先生对媒体这样诉着苦。

2018年,据媒体报道,一则新闻成为了大众关注的焦点,华住酒店集团被曝出有5亿条用户开房信息疑似遭到泄露,在开房数据中包括用户的姓名、性别、国籍、身份证号住址和手机号码等个人重要信息。

最后经调查,是由于黑客通过酒店安全漏洞侵入酒店用户资料库,盗取数据信息并“打包”卖给了不法分子,以此来牟取暴利。

无独有偶,在同年年底,约410万条旅客个人信息在网上被出售,很快中国铁路总公司发布声明表示,信息泄露与中国铁路总公司无关,是用户通过第三方抢票软件订票后发生的。

这些事件虽不是数据持有方主动将数据进行变卖,但通过这些事件的发生,不仅让人们意识到了个人隐私多么不安全,同时也揭示出了一条隐藏在众多网站和App背后的灰色产业链。

首先,这条产业链的源头就是获取个人信息数据,通过梳理相关信息可以发现,数据来源可以从黑客盗取数据、或者就是从一些像网贷公司处进行买卖所得。2018年淮安警方破获了一起公民个人数据买卖案件,作案人通过低价买入数据、高价卖出赚取差价。

“六毛一条数据,纯二手数据”,这是买卖双方经常沟通的对话。

明码标价的信息,图源于网络

再次买得数据的人会进行比如敲诈、推销和套路贷等利用,或者就会再次卖出换取金钱,一条灰色产业链就此形成。

天下熙熙,皆为利来;天下攘攘,皆为利往。

有了巨大的利益诱惑,这条产业链才能延续至今还能存在下去。然而,随着大数据和人工智能等技术的发展,现在越来越多的App都打着美其名曰“用算法精准推送用户喜爱的内容”,来读取用户手机中的各种数据。

殊不知,很多人还没有真正享受到“精准”“个性化”服务前,就已经失去了对于个人隐私数据的控制,彻底变成一个“透明人”。

什么时候,我们的隐私数据安全,能够得到真正的保障?