XXX,有人將你設置為暗戀對象;
XXX,有前同事標註你「有兩把刷子」;
XXX,有好友記錄了你的生日,並對你念念不忘……
突然有一天,收到一款從未註冊下載過的APP直呼你的名字,發來這樣的消息,你會有什麼感覺?
不少人的反應是詫異,誰洩露了我的信息?一般而言,個人信息洩露的渠道是自己在促銷時留下了姓名電話,或是社交媒體上主動公開,也可能是曾經註冊過的APP裡透露的個人偏好。
但是,為何從未使用過的APP,也能得知你的真名,甚至給你發來簡訊?
不久前,來自杭州的金先生收到「脈脈」APP發來的一條簡訊,開頭直呼他的真名,稱有北京大學經濟系某項目組的前同事標註他為「有兩把刷子」,並列出他的7位朋友的真名,其中還有1人向他共享了2619個職業人脈。
脈脈發來的簡訊。
「此前我從沒使用過脈脈,但它卻知道我的真實姓名、手機號碼和一些簡歷信息,太可怕了」。金先生致電簡訊中提及的一個朋友,這位已經十年沒聯繫的朋友稱已經很久沒有使用脈脈了,並不知情。
出於好奇,金先生下載了脈脈,彈出的頁面有兩排6個頭像,全是他各個時期的朋友。頁面提示:「由於你未註冊脈脈APP,系統代他(她)簡訊邀請你。」在輸入手機號註冊完成後,頁面系統要求金先生開啟通訊錄權限,只有同意,才可以進入下一步。
頁面顯示的六個好友的頭像,並有他們就職單位的信息。
據一名開放了通訊錄訪問權限的用戶稱,「沒想到(脈脈)竟然將我通訊錄裡的400多個好友全部一一對應了學校和單位,甚至連頭像都對應上了,它是怎麼辦到的?」
金先生對記者表示,「這分明是打著朋友、同事的旗號,擅自發簡訊誘導下載,然後強制讀取通訊錄。如果保護隱私意識不強,很可能中招把自己通訊錄開放給脈脈了。」
這件蹊蹺事也發生在南京的王先生身上,他向記者表達了進一步的擔心:「註冊APP的時候被強制要求讀取通訊錄,我有權洩露朋友的號碼嗎?」
記者注意到,通過發送簡訊提示有好友標記的APP,大多具有較強的社交屬性,比如「生日管家」、「探探」也有類似功能。
「生日管家」發送的簡訊稱,XX,有男生/女生在生日管家記錄了你的生日,並對你「打了招呼」或「念念不忘」。當打開「生日管家」後,用戶可以清楚看到手機通訊錄裡大部分好友的生日,星座和現居住地,這些信息大多準確無誤。
生日管家發來的簡訊。
和生日管家一樣,探探發送的簡訊開頭也直接點名稱呼,有你的一位手機聯繫人在探探上將你設置為「暗戀對象」。如果你也「暗戀」Ta,你們將配對成功,並附上了APP下載連結。
記者隨後下載這三款APP,發現它們都需要讀取用戶的通訊錄。當用戶開啟相應功能後,APP會代發簡訊給被手機聯繫人裡被標記的好友。
在脈脈的註冊頁面,首先用戶會被要求填寫手機號碼,點擊下一步,系統提示「脈脈」想訪問你的通訊錄。當記者點擊「不允許」時,頁面再次提醒「請允許打開通訊錄」,還附上開啟步驟,提示「請確保通訊錄不為空且手機號碼有效」。在這一頁面中,用戶可選項只有一個:「我已開啟權限,繼續」。
當用戶註冊時,脈脈要求讀取通訊錄否則無法享受服務。
記者下載「探探」APP時,被告知需訪問通訊錄,並稱不會發送垃圾簡訊給他們或者存儲他們的聯繫方式。註冊完成後,記者點擊「匿名暗戀表白」功能,選取了一名好友進行操作,探探提示對方將收到一條匿名表白,如果其也暗戀你,你們會收到配對通知。不久,該好友果然收到了上述信息。
在探探上標註暗戀對象後,出現提示ta將收到一條匿名表白。
探探發來的簡訊。
當打開「生日管家」開啟通訊錄授權後,記者就APP提示的生日信息,向數位好友確認。不少人對於生日就這樣被公開,表示驚訝。其中一位很少對外透露生日的好友確認後直言,「這不是洩露個人隱私嗎?」
不同於上述兩款社交類APP,生日管家還能獲取用戶的生日。那麼,它是如何通過手機號碼匹配生日信息的呢?
根據生日管家介紹, 所有手機號關聯的生日均為用戶自行手動添加,這包括但不限於公開自己的生日、手動添加它們手機號和生日、QQ和微信詢問中添加等,並將生日服務分享給使用本軟體的其他用戶。
打個比方,當你用生日管家記錄了某人的生日。在生日管家上,存儲了這個人聯繫方式的用戶,都可以知道他的生日。
值得一提的是,記者發現,在生日管家上,通過綁定微信,分享一款名為「今日運勢」的測試遊戲可收集到這些信息。參與測試時,用戶需輸入出生年月日才能知道獲取運勢情況。而整個運勢測試的過程中,並無相關提示告知用戶的生日信息被收集到哪裡。
生日管家可以通過分享今日運勢給好友測試獲取生日信息。
就這樣,在沒有下載過該軟體的情況下,有些人的生日信息莫名被收集了。
記者發現,在收到這些APP發來的點名簡訊後,不少人基於獵奇心理,想要了解究竟被哪位匿名好友惦記。但要解開謎團並不容易,用戶要點擊下載APP,還要標註猜測對象,發送簡訊驗證,直到兩人同時配對成功後才能知曉。與此同時,新一波被新標註的未註冊用戶又會收到相同的信息。
基於此,有人認為這是企業病毒式營銷的方法,更有人質疑企業未經同意發送簡訊屬於侵權行為。記者就此諮詢三款APP的有關負責人,均得到回覆稱是使用APP的用戶自主操作,從而觸發簡訊推送。
▶ 探探相關負責人告訴記者:
去年上線「匿名暗戀表白」功能,旨在讓用戶知道彼此心意,可以理解未註冊用戶收到簡訊的心情。但是不帶真名的話,可能引起不了對方的注意,對於發送者來說,表白成功的機會也不高。
為了不使用戶感到莫名其妙,在簡訊文案上已註明,「由於你未下載使用探探,你的聯繫人發送了簡訊通知」。姓名電話由該手機聯繫人提供。
▶脈脈方面回應記者稱:
脈脈是職場社交APP,社交是最核心的業務,脈脈要求上傳通訊錄目的,是提供人脈統計和標註人脈等服務,否則用戶無法享受脈脈添加好友的功能,那麼用戶使用脈脈將失去意義。
記者查閱脈脈「用戶信息條款」發現, 「用戶一旦註冊、登陸、使用脈脈服務,將視為用戶完全了解、同意並接受淘友公司通過包括但不限於收集、統計、分析、使用等方式合理使用用戶信息。」脈脈相關負責人表示,在用戶同意本協議的基礎上,平臺發送簡訊,無需向用戶另行取得授權。
▶生日管家方面表示:
在收集生日信息的過程中,採用了不可逆的加密算法,提取通訊的手機號特徵與雲端數據進行匹配。
通過玩「今日運勢」遊戲收集生日信息,是為了避免直面詢問好友生日的尷尬,讓用戶悄悄做一個有心人,更好地關心朋友,「開發這個功能的出發點是善意的。」
上述3款APP同時提到,如果被記錄者介意自己的信息被分享,平臺提供了相關的操作來避免「騷擾」,並強調注重用戶的隱私保護。
記者了解到,目前多數網際網路公司的產品在新用戶註冊使用時,都會請求讀取、上傳通訊錄信息,尤其是在P2P產品、徵信和社交類產品。
然而,「不管所提供的服務需不需要,很多APP都會習慣性地向用戶申請通訊錄權限,連金山詞霸這種工具APP也不例外。」一名業內人士告訴記者。
記者使用的一款安卓手機,在應用授權管理中,可以看到所下載的41款APP中,需要讀取聯繫人的共有32個。除上述APP外,還有今日頭條、百度地圖、豌豆莢、搜狗輸入法等。
對此,中國信息安全研究院副院長左曉棟向記者表示,APP讀取通訊錄,或將此當作註冊步驟,這要看功能需要。「比如名片整理的APP,它本來就是處理名片的,讀取通訊錄很正常」,左曉棟說,僅從這幾款APP的定位來看,不好判斷讀取通訊錄是否必需,但它們至少違反了國家關於「主動說明收集的個人信息最小元素集,並說明與其基本功能的關係」之規定。
▶左曉棟指出,國家標準規定:
企業應該明確標註收集的個人信息最小元素集。如果是在最小元素集之內收集的信息,用戶不同意,企業可以不提供服務;但如果是在範圍之外的話,企業無權拒絕提供服務,也不能降低服務質量。
針對APP向未下載過的用戶發送簡訊的問題,有專家表示,類似的功能應當限於兩個使用者之間。左曉棟告訴記者,在非註冊用戶不知情的情況下發送簡訊,這首先是非法獲取用戶信息,然後是非法廣告推廣。
▶記者了解到,依據《關於加強網絡信息保護的決定》:
任何組織和個人未經電子信息接收者同意或者請求,或者電子信息接收者明確表示拒絕的,不得向其固定電話、行動電話或者個人電子郵箱發送商業性電子信息。
據記者了解,今年10月正式實施的《民法總則》首次將個人信息保護作為個人權利納入其中,對非法收集個人信息也做出明確規定:
自然人的個人信息受法律保護。任何組織和個人……不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
南京大學法學院教授邱鷺風向記者表示:
即便是APP註冊用戶也無權洩露好友的聯繫方式。個人信息擁有「絕對權」,即除本人外,其他人未經授權無權支配其個人信息。
「通訊錄表面上看,是我和朋友的個人關係,但實際上是朋友的個人信息,一旦隨意授權給第三方,我和第三方就共同對朋友構成了侵權,也未盡到保護他人信息的法定義務。」
來源丨南方網
編輯丨鍾靜文