被工信部點名的58款App,是怎麼侵犯用戶隱私的?

近期，工信部集中曝光了58款侵犯用戶隱私的App，在這其中包含平時人們日常所使用的一些App，同時，站在這些App背後的，並不是人們所認為的小公司，有些是著名的上市公司。

工信部發布2020年第三批違規APP名單 圖源於工信部官網

這些公司通過安裝在手機中的一個個App，幾乎可以做到了解每一個用戶的生活習慣、興趣愛好，甚至在用戶想吃螺螄粉時，就可以精準推送購買連結，真可謂是比你還了解自己。

要做到這一切，所依靠的就是實時的監控和利用用戶的隱私數據和信息。

隱私，是每個人的自然權利，而對於用戶隱私數據進行監控和利用已屬於違法行為。於是，工信部早已於去年就開展了對於國內App的監管和是否合規的排查，但始終屢禁不止。

這背後的原因有很多，比如很多人為了使用App不得不同意隱私條款，或者是懶得去看冗長的條款，直接同意等等。

一旦點了同意，所謂的隱私數據，就成為這些公司變現的工具。

都有哪些App，都是哪些公司？

被點名的公司不乏上市公司。

據了解，在被曝光的58款App名單中，涉及到超過10家的美股、港股和A股上市公司旗下的App產品，包括搜狐網絡的狐友App、上海巨人網絡的球球大作戰App、巨人網絡集團的哪哪美女直播和MUST兩款App、北京搜狗網絡的糖貓App、深圳房多多網絡的房多多App、科大訊飛的訊飛有聲App和北京五八信息技術有限公司的速聘58趕集網招聘App等。

可以發現在這些App中，有球球大作戰這種小遊戲，也有像房多多和58招聘這種日常需要的工具類App。另外，在名單中還可以看到像VISIA看天下這樣的資訊類平臺和像世紀佳緣App這樣的相親類平臺。

人們生活水平的提高，對於理財的需求也日益上升，以至於各種理財類App也成為人們日常需要打開的手機軟體，由此在這次的名單中，理財類App的數量也佔絕大部分。

其中包括天弘基金旗下的天弘基金App、北京展恒基金旗下的展恒基金、匯添富基金旗下的現金寶、華夏基金旗下的華夏基金管家和博時基金旗下的博時基金等多款理財類App。

在炒股和理財類App旁邊通常會有小額貸款類App存在。這次，兩者也一起上榜了，像小鵝花錢、小花錢包和還唄等App就出現在名單中。

可想而知，以上這些App或許已成為很多用戶手機中必備的軟體，而就在他們使用APP的過程中不知不覺將自己的隱私「雙手貢獻」了出去。

名單顯示，58款App所涉及的問題基本都包括「私自收集個人信息」、「私自將信息共享給第三方」、「超範圍收集個人信息」和「過渡索取權限」等。

第三批違規APP名單中所涉問題 圖源違規應用軟體名單

那麼，這些公司是如何收集用戶的信息？

一般要在手機中裝任何一款App，在打開App後都會存在一系列彈窗，來詢問用戶是否準許開啟一些授權，這其中就包括通訊錄權限、簡訊權限、位置定位權限和通話權限。

如果不同意這些權限，App就會自動退出，這也意味著告訴用戶——你不同意，就別用。無奈之下，很多人只能同意授權，然後使用App。

但這同時也為這些公司竊取隱私打開了「後門」。

2018年8月，中消協發布了《App個人信息洩露情況調查報告》稱，讀取位置信息權限和訪問聯繫人權限是安裝和使用手機App時遇到情況最多的，分別佔86.8%和62.3%。受訪者被要求讀取通話記錄權限(47.5%)、讀取簡訊記錄權限(39.3%)、打開攝像頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。

App洩露個人數據調查數據，製圖/連線Insight  數據源於《App個人信息洩露情況調查報告》

通過這一報告，真正將App竊取個人隱私的事情擺在了大眾的面前。在法律層面，對於用戶的這些信息的竊取均已屬於違法行為，因此相關部門對此也開始了相應的管制和處理。

國家是如何管制的？

個人隱私保護，已成為重中之重的問題。

早在2017年國家網信辦、工信部、公安部和國家標準委等四部門聯合召開了「個人信息保護提升行動」，重點對微信、新浪微博、淘寶和百度地圖等大眾產品進行審查。

這是我國對於網絡中的個人隱私保護的首次行動。

而隨著這兩年人們在手機上花的時間越來越多，App越裝越多，於是在去年12月，國家網信辦、工信部、公安部和市場監管總局等四部門聯合印發了《App違法違規收集個人信息行為認定方法》，《方法》不僅規定了「未經用戶同意收集個人信息」的行為認定方法，同時限定了認定方法。

《App違法違規收集個人信息行為認定方法》發布  圖源於網絡

在此《方法》出臺後，國家網信辦和公安部兩部門就立即對違規App進行了下架處理。2019年12月，工信部發布了《第一批關於侵害用戶權益行為的App通報》，有41款App存在違規侵害用戶隱私的行為。

自這之後，這樣的通報延續到了今年，涉及的App也已達到了幾百款之多，整治力度較大。

針對隱私保護這一普遍問題，國際上各國及組織也在積極應對。

2018年5月25日，歐盟生效了一個被號稱史上最嚴數據保護法GDPR（歐盟《通用數據保護條例》），這項條例規定了企業該如何收集、使用和處理歐盟公民的個人數據。如果出現不合規的行為，罰金可高至總營業額的4%。

除了歐盟，美國同樣也在保護隱私上做出行動。

今年年初，美國《加州消費者隱私法》（CCPA）正式生效，此立法預計將影響到在美運營的50萬家企業，其中就包括facebook和Tiwwer，這勢必會對一些以廣告分發來賺錢的企業產生挑戰。

雖然國內外都在做出行動來保證國民的個人隱私不被侵害，但不可否認的是，對於個人隱私的侵犯和竊取依舊在發生著。

在屢禁不止的背後，或許是利益驅動著罪惡「齒輪」不斷轉動。

屢禁不止下的灰色產業鏈

「出差住個酒店，就把自己的個人隱私信息給住沒了。」王先生對媒體這樣訴著苦。

2018年，據媒體報導，一則新聞成為了大眾關注的焦點，華住酒店集團被曝出有5億條用戶開房信息疑似遭到洩露，在開房數據中包括用戶的姓名、性別、國籍、身份證號住址和手機號碼等個人重要信息。

最後經調查，是由於黑客通過酒店安全漏洞侵入酒店用戶資料庫，盜取數據信息並「打包」賣給了不法分子，以此來牟取暴利。

無獨有偶，在同年年底，約410萬條旅客個人信息在網上被出售，很快中國鐵路總公司發布聲明表示，信息洩露與中國鐵路總公司無關，是用戶通過第三方搶票軟體訂票後發生的。

這些事件雖不是數據持有方主動將數據進行變賣，但通過這些事件的發生，不僅讓人們意識到了個人隱私多麼不安全，同時也揭示出了一條隱藏在眾多網站和App背後的灰色產業鏈。

首先，這條產業鏈的源頭就是獲取個人信息數據，通過梳理相關信息可以發現，數據來源可以從黑客盜取數據、或者就是從一些像網貸公司處進行買賣所得。2018年淮安警方破獲了一起公民個人數據買賣案件，作案人通過低價買入數據、高價賣出賺取差價。

「六毛一條數據，純二手數據」，這是買賣雙方經常溝通的對話。

明碼標價的信息，圖源於網絡

再次買得數據的人會進行比如敲詐、推銷和套路貸等利用，或者就會再次賣出換取金錢，一條灰色產業鏈就此形成。

天下熙熙，皆為利來；天下攘攘，皆為利往。

有了巨大的利益誘惑，這條產業鏈才能延續至今還能存在下去。然而，隨著大數據和人工智慧等技術的發展，現在越來越多的App都打著美其名曰「用算法精準推送用戶喜愛的內容」，來讀取用戶手機中的各種數據。

殊不知，很多人還沒有真正享受到「精準」「個性化」服務前，就已經失去了對於個人隱私數據的控制，徹底變成一個「透明人」。

什麼時候，我們的隱私數據安全，能夠得到真正的保障？