央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

互联网
央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?
麻省理工科技评论 2020-06-10

2020-06-10

技术和法律齐上阵,App 偷窥之眼才可以被捂上。
网络安全 互联网
技术和法律齐上阵,App 偷窥之眼才可以被捂上。

十几分钟,偷看手机照片文件近 25000 次!

近日,央视《朝闻天下》记者曝光了优学院 App 的上述操作。

当记者问优学院客服,为何没有登录优学院,手机后台却显示该 App 在十几分钟内,访问照片和文件等信息两万多次时,客服说“系统里的考试和作业都会涉及图片和文件等”。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

在记者追问,为什么在无登录、无授权、且非考试和上课等状态下,优学院仍可以自由访问手机信息时,优学院给出的回复是“可能是手机中了病毒。”

在这期节目中,一位受访者表示,有的 App 必须授权通讯录才让使用,不授权就不让用。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

另一位受访者则表示,刚和同事谈论过办理证件,电商 App 就给她推荐了证件卡套,这让她很恐惧。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

此外,据本次节目曝光,多款出行软件、短视频软件都存在自启动、或者访问软件外信息的情况。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

谈到这里,就不得不说近期小米手机发布的 MIUI 12 操作系统,该版本的照明弹功能,可以跟踪 App 的自启动和读取设备信息等行为。

也正是本次新版本的发布,让用户对 App 的违规操作有了新认识。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

图 | 小米 MIUI 12 的照明弹功能

知乎网友弗利萨表示,自从使用 MIUI 12,把所有 App 在后台的不合理请求,如自启动、偷偷唤醒其他应用、读取通讯录等禁掉之后,他的手机电池,比之前多续航了两小时。

不过,即便你不是小米手机用户,用其他手机也可以查看 App 的访问动作。

以某款国产手机为例,按照设置 - 应用启动管理 - 启动记录的步骤查询后,DeepTech 发现某款单词 App,曾多次访问其他 App。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

当 DeepTech 询问该 App 的客户时,其表示:“这个问题是由于这些软件都和我们集成了相同的推送插件,相互唤醒导致的,我们会提 Bug 想办法缓解这个问题。”

事实上,对于 App 过多收集用户信息,相关部门早已开展治理。近年来,国家出台了《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等规定。但 App 开发商的执行力却不容乐观。

2020 年 5 月,工业和信息化部根据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,发布了本年度第一批侵害用户权益行为 App 名单。工信部表示,这 16 款 App 需要在 5 月 25 日之前完成整改工作,逾期不改的,将依法依规组织开展相关处置工作。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?


央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?


央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

然而,6 月 9 日,DeepTech 亲自试用上述名单中的音乐 App 时,发现其仍旧存在工信部指出的 “不给权限不让用” 的问题。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

图 | 音乐 App 不给权限不让用(来源:DeepTech 制图)

那么,App 是否可以访问用户信息呢?北京志霖律师事务所律师、中国政法大学知识产权研究中心研究员赵占领告诉 DeepTech,根据《网络安全法》,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

因此,很明显前文优学院的做法,属于违法行为。不过,这具体是怎样的违法行为?

赵占领称,用户的手机照片和文件,属于个人信息的范围,如果用户根本没有登录和使用某款软件,而该软件却访问用户的手机照片和文件,则该行为直接违反了《网络安全法》等法律的规定,对用户构成民事侵权。

也就是说,App 不经用户同意就访问,很明显是侵权行为,侵权就得担责。

对于 App 开发商的侵权行为,赵占领进一步解释称:App 开发商应当依法承担行政责任,由有关主管部门责令改正,并可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款;

没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

央视曝光某App十几分钟偷窥隐私25000次,快看你“中招”没?

工业和信息化部赛迪研究院副所长陆峰,在央视的采访中也坦言:根据国家互联网应急中心监测分析发现,在目前下载量较大的千余款移动 App 中,每款应用平均申请 25 项权限。其中,申请与自身业务无关权限的 App 数量,占比超过 30%。

这相当于你手机中 10 个 App,就有 3 个以上、想要查看跟其业务无关的权限。你无法理解,一个背单词 App,为何要启动你的美颜 App 和出行 App。一个背单词的 App,又怎么可能涉及到修照片和刷闸机进地铁?

据了解,App 之所以 “疯狂” 搜集用户信息,一是为了精准营销,二是 App 频繁启动可以使日活跃用户变多,而 App 日活等数据,正是其背后公司获得融资、以及广告客户的重要参考指标。

“天下攘攘皆为利而来”,但把自己的利益,建立在侵犯用户的权利之上,最终 “毁灭” 的只会是 App 开发商本人。有一说一,小米 MIUI 12 的照明弹功能,可谓碰触到广大 App 的利益点和敏感点,但这对于包含 App 开发者在内的手机用户,都是一件保护隐私的优秀举措。

而越来越多的中国人选择国产手机,并且每个国产手机厂商,基本都有自己的操作系统。如果厂商都能从手机系统上保护用户,可谓利己又利人,既让自己手机有更多卖点,又保护了用户权益,两全其美!总而言之,技术和法律齐上阵,App 偷窥之眼才可以逐渐被捂上。

麻省理工科技评论

From Tech to Deeptech