“我的手機(jī)軟件在偷偷監(jiān)視我�?”4月某天,網(wǎng)友程薇偶然間發(fā)現(xiàn)����,她手機(jī)中的某應(yīng)用軟件在“16分鐘內(nèi)獲取了2639次手機(jī)位置信息”���。這條記錄把程薇“嚇了一跳”��,她告訴央視網(wǎng)《新聞+》記者��,自己只在當(dāng)天中午打開該軟件搜索過一次路線���,使用十幾分鐘后就退出了����。而記錄顯示,當(dāng)天11:58至12:14期間,App持續(xù)以每分鐘上百次的頻率讀取她的定位信息����,“這是想干什么”�?
不久前,某社交軟件被曝3天內(nèi)訪問一位用戶個(gè)人信息1.7萬次���,讀取了定位��、照片、視頻、日程、剪貼板等內(nèi)容。這些消息引起了程薇的注意���。她在手機(jī)設(shè)置中找到了“應(yīng)用行為記錄”����,這才發(fā)現(xiàn)了一些軟件的“全天候監(jiān)控”行為。“我可以接受軟件通過算法向我推薦我喜歡的內(nèi)容�,但在我已經(jīng)不需要服務(wù)的時(shí)候���,它還一直頻繁刷新我的位置是要做什么用���?”
“細(xì)想下來這是很驚悚的一件事。”網(wǎng)友付茜茜向央視網(wǎng)《新聞+》記者表示:“我不知道自己的信息會被用到哪里�����,是否會被用到一些傷害我的場景����,它的危險(xiǎn)性在于未知����。”近三天中�����,某社交軟件共獲取了4032次付茜茜的位置信息�����。“我很驚訝,最近有這么頻繁地用到它嗎�����?如果軟件在后臺運(yùn)行時(shí)或關(guān)閉狀態(tài)下�,還調(diào)用我的信息�����,我覺得有點(diǎn)侵犯個(gè)人隱私了�����。”
為什么手機(jī)軟件如此“關(guān)心”用戶的個(gè)人信息?北京郵電大學(xué)網(wǎng)絡(luò)安全與治理中心副主任、中國電子學(xué)會網(wǎng)絡(luò)空間安全專委會委員鄧小龍向央視網(wǎng)《新聞+》記者表示����,這是軟件背后的廠家為了做大數(shù)據(jù)分析,或者完善平臺的推薦算法而采取的策略�。“算法的運(yùn)行需要很多參數(shù)��,并且參數(shù)越詳細(xì)越好���。”
“應(yīng)用軟件開發(fā)企業(yè)希望全方位了解用戶�,他們會使用一切可能的方法豐富、完善用戶畫像��,以提高用戶的注冊率、留存率�����、平均消費(fèi)額等指標(biāo)�����。”一位從業(yè)多年的某公司產(chǎn)品技術(shù)負(fù)責(zé)人楊飛(化名)告訴央視網(wǎng)《新聞+》記者,這些企業(yè)往往會極力獲取實(shí)時(shí)性����、個(gè)性化�����、私密性較強(qiáng)的用戶數(shù)據(jù),如對話內(nèi)容、搜索記錄����、位置信息等。
高頻讀取用戶信息暗藏風(fēng)險(xiǎn)
“現(xiàn)在一些軟件企業(yè)的數(shù)據(jù)庫安全保護(hù)系統(tǒng)其實(shí)不夠完善��,有被黑客從外部入侵突破的風(fēng)險(xiǎn)。”楊飛介紹���,若應(yīng)用開發(fā)商的操作系統(tǒng)、數(shù)據(jù)庫����、第三方API(應(yīng)用程序編程接口)或SDK(軟件開發(fā)工具包)存在漏洞,就可能導(dǎo)致用戶敏感信息被泄露�。此外����,也有個(gè)別企業(yè)或者員工為了商業(yè)利益����,主動(dòng)將用戶數(shù)據(jù)出售給第三方公司����,或用于其他用途�����。
鄧小龍認(rèn)為����,過度高頻獲取用戶信息可能泄露用戶個(gè)人隱私。“3天讀取上萬次用戶信息���,顯然超過了合理范圍����。”他表示�����,通過高頻獲取用戶位置信息��,軟件完全可以準(zhǔn)確描繪出用戶的行為軌跡和路線�。“軟件只需要高頻定位用戶一兩天�,就可以很清楚地知道你住什么地方��、在哪兒工作�、有哪些常去的餐館和運(yùn)動(dòng)場所等。”
“當(dāng)敏感個(gè)人信息被高頻采集時(shí)��,數(shù)據(jù)泄露的可能性呈指數(shù)級增長�����。”首都經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院副院長尹少成告訴央視網(wǎng)《新聞+》記者�����,行蹤軌跡�、金融賬戶等敏感個(gè)人信息遭到泄露后�,可能被用于為精準(zhǔn)電信詐騙提供數(shù)據(jù)支持����,也可能被用于跟蹤��、騷擾甚至人身侵害�����,增加財(cái)產(chǎn)損失和人身傷害風(fēng)險(xiǎn)。同時(shí)��,用戶也將面臨算法操控風(fēng)險(xiǎn)�。“企業(yè)可基于數(shù)據(jù)標(biāo)簽對特定群體進(jìn)行精準(zhǔn)廣告推送,甚至實(shí)施差異化定價(jià)����、大數(shù)據(jù)殺熟。”
尹少成表示��,部分軟件高頻定位用戶的行為,已涉嫌違反相關(guān)法律的規(guī)定,應(yīng)當(dāng)引起監(jiān)管部門的重視�。《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)對收集和處理個(gè)人信息有嚴(yán)格限制�,收集處理個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,遵循目的明確、合理和最小化處理原則�����。“如果應(yīng)用軟件收集的個(gè)人信息明顯超過了其提供服務(wù)的需要�����,就可能違反相關(guān)法律的規(guī)定�。”
“求關(guān)閉權(quán)限教程”,手機(jī)軟件過度獲取個(gè)人信息怎么辦�?
在朋友的建議下,程薇已經(jīng)將軟件的位置信息權(quán)限設(shè)置成“每次使用詢問”,并關(guān)閉了定位“精確位置”的功能����。“關(guān)閉不需要的權(quán)限,可以對權(quán)限進(jìn)行最小化管理。”尹少成表示��,“當(dāng)發(fā)現(xiàn)個(gè)人信息被過度收集甚至已經(jīng)被侵權(quán)時(shí)����,應(yīng)當(dāng)及時(shí)固定證據(jù)并向平臺投訴����。若平臺不及時(shí)處理,可以向網(wǎng)信辦等監(jiān)管部門進(jìn)行舉報(bào)���。”同時(shí),鄧小龍?zhí)崾?����,從官方?yīng)用商城等正規(guī)渠道下載應(yīng)用軟件���,能夠降低個(gè)人信息被違規(guī)使用的風(fēng)險(xiǎn)���。
不過��,目前用戶個(gè)人進(jìn)行維權(quán)存在較大難度��。“用戶在首次使用應(yīng)用軟件時(shí)���,往往給予了‘一攬子’整體授權(quán)��。那么����,后續(xù)高頻數(shù)據(jù)讀取是否屬于過度數(shù)據(jù)收集���,就可能會存在爭議。”尹少成表示���。“用戶很難知道自己的信息被過度采集,也不清楚數(shù)據(jù)被用在哪里����。這些信息只有在企業(yè)的數(shù)據(jù)庫中才能查到。”一名參與過網(wǎng)絡(luò)安全案件偵查工作的刑警向央視網(wǎng)《新聞+》記者表示����。
“App給你一個(gè)長長的用戶授權(quán)說明����,更多就像一個(gè)免責(zé)聲明�。”付茜茜表示,“沒有用戶會完整地讀完全篇,即使看完了��,也很難知道平臺會如何使用自己的個(gè)人信息���。”在她看來����,這并不公平。可是����,“當(dāng)你不同意讓渡自己的一些權(quán)利�����,你就無法使用這個(gè)軟件”�。
尹少成認(rèn)為�����,解決軟件高頻讀取用戶信息問題,還需要國家�����、企業(yè)和個(gè)人三方共同努力�。“國家層面應(yīng)加強(qiáng)個(gè)人信息保護(hù)的立法與執(zhí)法��,加強(qiáng)對數(shù)據(jù)監(jiān)控等違法行為的執(zhí)法力度��。”企業(yè)在獲取用戶數(shù)據(jù)時(shí)�����,應(yīng)當(dāng)遵循“告知—同意”原則�、必要性原則和最小化原則�,做好個(gè)人信息收集����、儲存��、處理等全流程的信息保護(hù)合規(guī)建設(shè)��。“只有各方形成合力�,讓違法者付出高額違法成本���,才能讓過度數(shù)據(jù)監(jiān)控?zé)o處遁形����。”
鄧小龍建議:“有關(guān)部門可以根據(jù)每一款A(yù)pp的特點(diǎn)����,測出它正常使用時(shí)讀取數(shù)據(jù)的邊界值���,比如說每分鐘或者每小時(shí)讀取多少次定位是正常的�����,并依據(jù)測試結(jié)果對軟件廠商進(jìn)行嚴(yán)格管理�����。”他認(rèn)為���,“很多應(yīng)用軟件不用獲取用戶的位置信息也可以提供服務(wù)”�����,應(yīng)建立一個(gè)曝光和違約機(jī)制���,“如果應(yīng)用軟件非法獲取了用戶隱私信息�����,對用戶的生命��、財(cái)產(chǎn)和其他權(quán)益造成明顯的侵犯,就應(yīng)該督促軟件廠商把相關(guān)功能關(guān)掉�,或者把相關(guān)廠商加入黑名單”���。
?�。☉?yīng)受訪者要求,文中程薇���、付茜茜�、楊飛皆為化名)
