当代人说的最多违心话之一便是“我同意隐私政策”。若不如此,又要面对不交出部分隐私数据权限就无法获得便捷服务的尴尬。但结合近期一些事件和研究报告可以总结出,在很多“同意”背后,还有更多隐私数据被以APP为代表移动应用不为人知地获取,用户更是无从得知其动机。
被APP“读取”的生活
有多少APP已经获取了收集隐私的权限?用户平日里随手一点的“同意”已经形成一个巨大的数据集群。
腾讯社会研究中心和DCCI互联网数据研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》(以下简称《报告》)显示:2018上半年,Android端获取隐私权限的手机APP占比已经达到99.9%——几乎所有的Android端手机APP都会程度不同地获取隐私权限。
那么在安全方面口碑相对较好一些的iOS表现如何呢?《报告》显示,截至2017年上半年,在iOS端的APP获得隐私授权的APP占比在69.3%,比同期Android端的98.5%占比低了不少。但这一情况并未能持续,最新数据显示,截至2018上半年,iOS端获取手机隐私权限的APP占比在一年时间内激增至93.8%。
其中,网络游戏类APP获取隐私权限比例增幅最大,由2017年下半年的43.1%增长到2018年上半年的88.9%,增幅达45.8%。
《报告》将所有权限进行了概括,分为核心隐私权限、重要隐私权限、普通隐私权限。最重要的核心权限包括访问联系人、获取手机号、读取短信记录、读取位置信息等。
“越重要的隐私数据获取的比例增长越明显。”DCCI互联网数据研究中心创始人胡延平介绍,以Android端手机APP为例:“读取位置信息”的占比在2017上半年时为89.3%,到了2018上半年则增至95.9%;“读取联系人”的占比从43.7%增长至61.2%;“打开摄像头”、“使用话筒录音”的增幅也都在20%左右。
很明显,APP读取隐私数据的主要增长点正在从线上数据向线下以大多数人想象不到的速度扩张——APP们正在愈发“积极”地去“读取”用户的现实生活。
那些没“同意”的
今年6月份,vivo发布了新的旗舰机型vivo NEX,这款手机安装了升降式前置摄像头,在用户需要拍摄时镜头会升起,挺有互动感的设计。
但在上市之后这款手机就开始出现了诡异的现象:明明没有自拍,摄像头却升起来“瞅”你一眼,再默默地缩回去。
但这并非是手机故障,也不是“鬼故事”,而是部分APP在不需要拍摄的时候照样获取了摄像头权限。虽然部分涉事APP在后来的回应中表示不会真的去“偷窥”用户,但这仍属典型超出隐私授权范畴的越界获取隐私数据行为。
在去年6月1日施行的《中华人民共和国网络安全法》中明确指出,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
订个酒店,为什么手机的摄像头弹出了?在线看个视频,为什么要读取位置信息?进行网购,为什么要读取我的运动数据?更关键的是,这些越界得来的数据,后来都拿去做了什么……
360显危镜平台通过对市场上主流移动应用进行随机化采样,对其安全性进行了扫描分析,并结合其大数据平台全网应用监控数据进行交叉比对,发现仍有许多APP存在动机不明的越界收集用户敏感隐私数据行为。
数据来源:360显危镜平台
360Vulpecker Team负责人、高级移动安全研究员周烨表示,尽管国家相关法律法规已经出台,但是许多APP仍然存在滥用权限,收集用户敏感隐私数据的行为。如今无论工作还是生活,人们对手机的依赖越来越严重,随之而来的是,手机APP也衍生出很多种类如通讯社交,新闻阅读,金融理财,生活服务类等,不同类别下的一款APP申请的使用权限也越来越多,在没有严格监管的情况下,不同类别APP难以划分界限。
规则需要细节,市场需要自律
无隐私不数据,无数据就无服务。那么用多少权限去换便利?数据使用规则的制定仍是一道难解的题。
“标准是什么?”北京浩天安理律师事务所合伙人王新锐直言,企业获取数据到底需要多少权限,这是用户无法去判断的,只能通过企业之间来达成。“如果排名前三百家的互联网公司能获得共识,告诉大家这些权限是不用获得的,这样才可以回馈给用户有价值的参考。”
腾讯法务数据及隐私中心负责人黄晓林也认为,对于用户数据的收集、使用和告知,归根到底跟互联网公司本身产品的态度有关,如果每个公司都能做到自律,对于广大用户的权限管理而言会是比较良好的趋势。