业内新闻

中国几亿人的手机正在被绑架!

编辑/作者:安安 2018-01-30 我要评论

通过默认勾选,一些APP软件获取了用户的超范围授权,一些则在免责协议中悄悄让用户放弃了追索权,更甚者将用户数据和个人隐私转让给第三方一些APP的无良行为正在对...

通过“默认勾选”,一些APP软件获取了用户的超范围授权,一些则在免责协议中“悄悄”让用户放弃了追索权,更甚者将用户数据和个人隐私转让给第三方……一些APP的无良行为正在对中国高速发展的网络社会构成巨大安全隐患
 
用新闻阅读APP正看着新闻,突然一条广告闯入视野,里面推荐的内容正是你之前在某购物APP上搜索过的商品;下载理财APP后,各种推荐股票、基金的电话便络绎不绝,一些来电甚至能准确叫出你的姓名……《瞭望》新闻周刊记者采访了解到,近年来这样的场景正越来越多地在我们身边真实上演,但绝大多数人想不到正是“你自己”授权给了APP们,“允许”它们在你的手机里疯狂攫取各种信息乃至隐私。
APP怎样“偷走”授权
现实社会中,“签字画押”是很严肃的事,只要在白纸黑字的协议上“签字画押”,就意味着自己将对协议中阐明可能发生的后果负责。而在手机互联时代,使用APP前在用户协议上“打个勾”,就意味着用户同意让渡自己的部分权利。  福建省厦门市刘先生告诉《瞭望》新闻周刊记者,自己在手机里安装了多款同类APP,“前不久在某购物网站买了一副耳机,结果某新闻阅读APP连着好几天给我推送同款耳机的广告。”除了推送购物信息,他之前点过外卖的小吃店、买过团购券的西餐厅,甚至是搜索过的去哪个目的地的飞机票的广告都会冷不丁出现在阅读界面,“确实令人惊悚。”
本刊记者现场实测安装了刘先生下载的某款新闻类APP后,在登录界面的中间有一栏小字提示:“□我已阅读并同意用户协议和隐私条款”,前面的方框内已被默认打勾。点开该协议内容,在11.2.1日志信息中介绍了该APP对用户cookies(用户上网痕迹,包含浏览历史、账号、密码等敏感内容)的使用说明,其中明确表示“该公司可能会利用cookies和同类技术收取您的信息用于了解您的偏好……为用户和合作伙伴提供更好的服务。”  刘先生表示,自己并不了解cookies是指什么,也不清楚为什么在别的APP上的搜索、浏览、购买痕迹会被该APP截获。本刊记者在测试中发现,即使不在该新闻阅读APP中登录,手机上的其他诸如团购、外卖点餐、购物、旅行订票的搜索历史也会被读取,并最终演变成同类广告出现在阅读界面中。  本刊记者在随后的采访调查中了解到,“默认授权”并非孤案。据南都个人信息保护研究中心发布的《关于收集个人信息“明示同意”的测评报告与建议》显示,在实测了100款常用APP后发现,仅有11%的APP做到了合乎法规及规范的“明示同意”。
 
本刊记者现场实测安装了刘先生下载的某款新闻类APP后,在登录界面的中间有一栏小字提示:“□我已阅读并同意用户协议和隐私条款”,前面的方框内已被默认打勾。点开该协议内容,在11.2.1日志信息中介绍了该APP对用户cookies(用户上网痕迹,包含浏览历史、账号、密码等敏感内容)的使用说明,其中明确表示“该公司可能会利用cookies和同类技术收取您的信息用于了解您的偏好……为用户和合作伙伴提供更好的服务。”
刘先生表示,自己并不了解cookies是指什么,也不清楚为什么在别的APP上的搜索、浏览、购买痕迹会被该APP截获。本刊记者在测试中发现,即使不在该新闻阅读APP中登录,手机上的其他诸如团购、外卖点餐、购物、旅行订票的搜索历史也会被读取,并最终演变成同类广告出现在阅读界面中。
本刊记者在随后的采访调查中了解到,“默认授权”并非孤案。据南都个人信息保护研究中心发布的《关于收集个人信息“明示同意”的测评报告与建议》显示,在实测了100款常用APP后发现,仅有11%的APP做到了合乎法规及规范的“明示同意”。
用户“被作主”情况泛滥
为了解手机APP的“授权体验”,根据苹果和安卓应用商店的畅销度排名,《瞭望》新闻周刊记者下载了十几款流行APP,涵盖外卖点餐、社交、旅行、共享出行、金融理财、网络直播等诸多领域。  在某手机银行APP注册界面,页面下方有一行文字提示“点击下一步即表示您同意《电子银行个人客户服务协议》”,也就是说,新用户只要点击下一步,即表示同意了该协议。  在某知名网络直播APP的注册界面,其下方也有一行小字提示:使用即为同意《××注册协议及版权声明》。该《协议》某条款载明“您理解并知晓在使用××平台服务时,所接触的内容和信息来源广泛……您可能会接触到不正确的、令人不快的、不适当的或令人厌恶的内容和信息,您不会以此追究平台的相关责任。”该条款具有很强“撇清关系”的意味,暗示用户在观看直播时如遇不合适的播出内容,平台将免于被追责。
在某热门共享单车APP《用车服务条款》的5.4条中,有这样一句表述:“用户理解并同意,‘××单车’可能会与第三方合作向用户提供相关的服务,在此情况下,如该第三方同意承担与××公司同等的保护用户隐私的责任,则××公司有权将用户的注册资料等提供给第三方,用于向用户提供服务之目的。”  相关软件评测人士向本刊记者表示,“该条款近乎‘耍流氓’地向用户说明,你在使用本公司共享单车服务时所填写的姓名、身份证号、手机号码等注册信息,会被提供给第三方,而目的则是向你‘提供服务’。”  除用户在注册时遭遇的“默认勾选”外,一些APP在使用过程中“主动”为用户选择了一些打包产品。在某知名旅行订票APP中,本刊记者尝试预订一张从上海至北京的高铁票,除票面价格553元外,该款APP默认为用户勾选了一个价值30元的“优惠套餐”,而页面中也并未明示该优惠套餐包含何种内容,如非留意到订单总价变化,用户在下单时很难发现其中蹊跷。  此外,还有某社交APP在注册时通过剥洋葱的模式“告知”用户使用协议,在聊天功能外,还包含支付协议,在支付协议中,又包含了理财协议。
 
在某热门共享单车APP《用车服务条款》的5.4条中,有这样一句表述:“用户理解并同意,‘××单车’可能会与第三方合作向用户提供相关的服务,在此情况下,如该第三方同意承担与××公司同等的保护用户隐私的责任,则××公司有权将用户的注册资料等提供给第三方,用于向用户提供服务之目的。”
相关软件评测人士向本刊记者表示,“该条款近乎‘耍流氓’地向用户说明,你在使用本公司共享单车服务时所填写的姓名、身份证号、手机号码等注册信息,会被提供给第三方,而目的则是向你‘提供服务’。”
除用户在注册时遭遇的“默认勾选”外,一些APP在使用过程中“主动”为用户选择了一些打包产品。在某知名旅行订票APP中,本刊记者尝试预订一张从上海至北京的高铁票,除票面价格553元外,该款APP默认为用户勾选了一个价值30元的“优惠套餐”,而页面中也并未明示该优惠套餐包含何种内容,如非留意到订单总价变化,用户在下单时很难发现其中蹊跷。
此外,还有某社交APP在注册时通过剥洋葱的模式“告知”用户使用协议,在聊天功能外,还包含支付协议,在支付协议中,又包含了理财协议。
尤其令用户防不胜防的是,本刊记者在调查中还发现,某团购APP在“我的钱包-借钱”功能中甚至还玩起了“偷梁换柱”的猫腻,让用户与第三方金融服务企业“签”起了协议。  在该《借钱业务用户协议》中,包含“用户在使用借钱业务中,本平台对此不承担任何责任”“用户点击确认本协议,即视为用户同意且不可撤销地授权本平台将用户的必要信息,包括但不限于账号、手机号等,提供给第三方……”业内人士表示,此举意在借该团购平台的流量营造“品牌效应”,让用户误以为是自己和平台本身产生关系,而这一手段在行业内有大行其道。
 
尤其令用户防不胜防的是,本刊记者在调查中还发现,某团购APP在“我的钱包-借钱”功能中甚至还玩起了“偷梁换柱”的猫腻,让用户与第三方金融服务企业“签”起了协议。
在该《借钱业务用户协议》中,包含“用户在使用借钱业务中,本平台对此不承担任何责任”“用户点击确认本协议,即视为用户同意且不可撤销地授权本平台将用户的必要信息,包括但不限于账号、手机号等,提供给第三方……”业内人士表示,此举意在借该团购平台的流量营造“品牌效应”,让用户误以为是自己和平台本身产生关系,而这一手段在行业内有大行其道。
APP究竟想得到什么
在测试过程中《瞭望》新闻周刊记者发现,通过“默认勾选”,一些软件获取了用户的超范围授权,一些软件则在免责协议中“悄悄”让用户放弃了追索权。  “不是不在乎个人隐私和选择权,是没辙啊!”厦门市民管先生向本刊记者抱怨道,“用户协议篇幅长,专业术语还多,作为普通用户根本不懂它想表达什么,它到底会拿走我什么。”事实上,和管先生有类似想法的人还有很多,甚至是一些专门从事法律和互联网安全工作的受访者也会对“默认勾选”的用户协议感到迷茫。  在某知名外卖APP冗长的《隐私政策》中,两段这样的表述引起了记者的注意:“我们或我们的第三方合作伙伴,可能通过cookies收集和使用您的信息,并将该等信息储存为日志信息。”“这些第三方cookies手机和使用该等信息,不受本《隐私政策》约束,而是受相关使用者的隐私政策约束,我们不对第三方的cookies承担相关责任。”
有意思的是,这款外卖APP既向用户声索了自己使用cookies的权利,还“替用户”将其cookies转让给第三方合作伙伴使用,同时“告知”用户这些信息不受自己的隐私政策保护。也就是说,用户在使用该外卖APP时,无偿将自己的搜索记录、下单记录、浏览记录等使用偏好转让给了APP开发者及其合作方,同时还要自行承担这些内容遭到泄露的安全风险。  “一个做外卖的APP,不但收集我的cookies,还要把cookies分享给第三方合作伙伴,我能相信你只是要给我推送广告吗?”一位不愿具名的互联网安全行业人士表示,很多用户连cookies都不知道是什么,还把这部分内容藏在几千字的用户协议中,不得不让人对其目的产生怀疑。  据业内人士透露,“默认勾选”早在大家使用PC端的BBS(论坛)功能时就已经以行业潜规则的形式出现,当时的初衷是为了减少用户在网站的点击次数,提升用户上网体验。而现在很多APP开发者既想尽可能获得更多用户授权,又意图符合监管规定,所以就衍生出了五花八门的替用户作主的方式。  “去年出台的网络安全法对于用户授权和隐私条款有了明确的规定,许多APP为了迎合监管,草草上线更改后的用户协议,利用大量专业词汇和免责表述‘绕晕’用户,既不合法,也不合规。”上海信息安全行业协会专委会副主任张威向《瞭望》新闻周刊记者表示。
 
有意思的是,这款外卖APP既向用户声索了自己使用cookies的权利,还“替用户”将其cookies转让给第三方合作伙伴使用,同时“告知”用户这些信息不受自己的隐私政策保护。也就是说,用户在使用该外卖APP时,无偿将自己的搜索记录、下单记录、浏览记录等使用偏好转让给了APP开发者及其合作方,同时还要自行承担这些内容遭到泄露的安全风险。
“一个做外卖的APP,不但收集我的cookies,还要把cookies分享给第三方合作伙伴,我能相信你只是要给我推送广告吗?”一位不愿具名的互联网安全行业人士表示,很多用户连cookies都不知道是什么,还把这部分内容藏在几千字的用户协议中,不得不让人对其目的产生怀疑。
据业内人士透露,“默认勾选”早在大家使用PC端的BBS(论坛)功能时就已经以行业潜规则的形式出现,当时的初衷是为了减少用户在网站的点击次数,提升用户上网体验。而现在很多APP开发者既想尽可能获得更多用户授权,又意图符合监管规定,所以就衍生出了五花八门的替用户作主的方式。
“去年出台的网络安全法对于用户授权和隐私条款有了明确的规定,许多APP为了迎合监管,草草上线更改后的用户协议,利用大量专业词汇和免责表述‘绕晕’用户,既不合法,也不合规。”上海信息安全行业协会专委会副主任张威向《瞭望》新闻周刊记者表示。
依法重拳打击APP侵权
互联网行业专家普遍认为,“默认勾选”不能成为潜规则,监管部门应加强执法监督,保护用户合法权益,保障行业持续向好发展。  张威指出,“默认勾选”的做法不仅在大企业中盛行,小企业的问题同样值得关注。他建议,约谈证明互联网企业在替用户做决定的这一行为,确实触及法律底线,接下来执法部门应根据相关法律法规严格执法,倒逼全行业尊重用户的知情权和选择权。此外,国家有关部门应完善用户对此类行为的举报机制,便于用户在发现违法线索时能第一时间上报给执法部门。
“数字时代,信息成为了重要资源。”中国信息安全研究院副院长左晓栋向《瞭望》新闻周刊记者表示,网络安全法与《个人信息安全规范》等法律法规都对个人信息的保护提出了明确的要求。但目前,在公众接触最多的信息收集环节,绝大部分互联网企业远未达到法律法规与国家标准的要求。企业主动遵守规范的动力不足,却有充分的动力诱导用户提供个人信息,因此会用模棱两可或晦涩难懂的条款来取得用户的授权。  他认为,仅靠企业自律不是办法,最关键的还是严格的执法。欧盟不久前发布的《通用数据保护条例(GDPR)》中,处罚力度可谓非常大,违规企业面临高达全部营业额2%~4%的罚款,能直接推动企业自我规范。目前,工信部与中央网信办虽有约谈机制,但缺乏强制力。他建议国家明确个人信息保护的主管单位,可效仿欧洲设置独立的个人信息保护机构。
 
“数字时代,信息成为了重要资源。”中国信息安全研究院副院长左晓栋向《瞭望》新闻周刊记者表示,网络安全法与《个人信息安全规范》等法律法规都对个人信息的保护提出了明确的要求。但目前,在公众接触最多的信息收集环节,绝大部分互联网企业远未达到法律法规与国家标准的要求。企业主动遵守规范的动力不足,却有充分的动力诱导用户提供个人信息,因此会用模棱两可或晦涩难懂的条款来取得用户的授权。
他认为,仅靠企业自律不是办法,最关键的还是严格的执法。欧盟不久前发布的《通用数据保护条例(GDPR)》中,处罚力度可谓非常大,违规企业面临高达全部营业额2%~4%的罚款,能直接推动企业自我规范。目前,工信部与中央网信办虽有约谈机制,但缺乏强制力。他建议国家明确个人信息保护的主管单位,可效仿欧洲设置独立的个人信息保护机构。
 
采访中,厦门大学法学院助理教授汪东升认为,互联网企业的用户协议采取了过去金融部门普遍使用的“格式合同”,即用户要么同意用户协议的全部条款,要么就不要使用该款软件,“这对用户而言是不公平的。”根据合同法的有关规定,在双方同意的情况下,用户和企业是可以就协议的部分条款进行修改的。他建议,企业在未来应更多照顾不同用户之间的差别化需求,尝试推出“需求定制”的用户协议。
文章来源:新浪

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 严把网络安全关|CIS 2020天威诚信精彩亮相

    严把网络安全关|CIS 2020天威诚信精彩亮相

  • 鼎和保险公司荣获CIS2020中国网络安全创新年度金

    鼎和保险公司荣获CIS2020中国网络安全创新年度金

  • 通付盾荣登《2020中国网络安全产业100强》榜单

    通付盾荣登《2020中国网络安全产业100强》榜单

  • 腾讯安全与奇安信达成战略合作

    腾讯安全与奇安信达成战略合作