XXX,有人將你設置為暗戀對象;
XXX,有前同事標註你 " 有兩把刷子 ";
XXX,有好友記錄瞭你的生日,並對你念念不忘 ……
突然有一天,收到一款從未註冊下載過的 APP 直呼你的名字,發來這樣的消息,你會有什麼感覺?
不少人的反應是詫異,誰泄露瞭我的信息?一般而言,個人信息泄露的渠道是自己在促銷時留下瞭姓名電話,或是社交媒體上主動公開,也可能是曾經註冊過的 APP 裡透露的個人偏好。
但是,為何從未使用過的 APP,也能得知你的真名,甚至給你發來短信?
從未用過的 APP 發來點名短信
不久前,來自杭州的金先生收到" 脈脈 "APP 發來的一條短信,開頭直呼他的真名,稱有北京大學經濟系某項目組的前同事標註他為 " 有兩把刷子 ",並列出他的 7 位朋友的真名,其中還有 1 人向他共享瞭 2619 個職業人脈。
脈脈發來的短信。
" 此前我從沒使用過脈脈,但它卻知道我的真實姓名、手機號碼和一些簡歷信息,太可怕瞭 "。金先生致電短信中提及的一個朋友,這位已經十年沒聯系的朋友稱已經很久沒有使用脈脈瞭,並不知情。
出於好奇,金先生下載瞭脈脈,彈出的頁面有兩排 6 個頭像,全是他各個時期的朋友。頁面提示:" 由於你未註冊脈脈 APP,系統代他(她)短信邀請你。" 在輸入手機號註冊完成後,頁面系統要求金先生開啟通訊錄權限,隻有同意,才可以進入下一步。
頁面顯示的六個好友的頭像,並有他們就職單位的信息。
據一名開放瞭通訊錄訪問權限的用戶稱," 沒想到(脈脈)竟然將我通訊錄裡的 400 多個好友全部一一對應瞭學校和單位,甚至連頭像都對應上瞭,它是怎麼辦到的?"
金先生對記者表示," 這分明是打著朋友、同事的旗號,擅自發短信誘導下載,然後強制讀取通訊錄。如果保護隱私意識不強,很可能中招把自己通訊錄開放給脈脈瞭。"
這件蹊蹺事也發生在南京的王先生身上,他向記者表達瞭進一步的擔心:" 註冊 APP 的時候被強制要求讀取通訊錄,我有權泄露朋友的號碼嗎?"
記者註意到,通過發送短信提示有好友標記的 APP,大多具有較強的社交屬性,比如" 生日管傢 "、" 探探 "也有類似功能。
" 生日管傢 " 發送的短信稱,XX,有男生/女生在生日管傢記錄瞭你的生日,並對你 " 打瞭招呼 " 或 " 念念不忘 "。當打開 " 生日管傢 " 後,用戶可以清楚看到手機通訊錄裡大部分好友的生日,星座和現居住地,這些信息大多準確無誤。
生日管傢發來的短信。
和生日管傢一樣,探探發送的短信開頭也直接點名稱呼,有你的一位手機聯系人在探探上將你設置為 " 暗戀對象 "。如果你也 " 暗戀 "Ta,你們將配對成功,並附上瞭 APP 下載鏈接。
親測:參與測試遊戲
生日信息也會被上傳
記者隨後下載這三款 APP,發現它們都需要讀取用戶的通訊錄。當用戶開啟相應功能後,APP 會代發短信給被手機聯系人裡被標記的好友。
在脈脈的註冊頁面,首先用戶會被要求填寫手機號碼,點擊下一步,系統提示 " 脈脈 " 想訪問你的通訊錄。當記者點擊 " 不允許 " 時,頁面再次提醒 " 請允許打開通訊錄 ",還附上開啟步驟,提示 " 請確保通訊錄不為空且手機號碼有效 "。在這一頁面中,用戶可選項隻有一個:" 我已開啟權限,繼續 "。
當用戶註冊時,脈脈要求讀取通訊錄否則無法享受服務。
記者下載 " 探探 "APP 時,被告知需訪問通訊錄,並稱不會發送垃圾短信給他們或者存儲他們的聯系方式。註冊完成後,記者點擊 " 匿名暗戀表白 " 功能,選取瞭一名好友進行操作,探探提示對方將收到一條匿名表白,如果其也暗戀你,你們會收到配對通知。不久,該好友果然收到瞭上述信息。
在探探上標註暗戀對象後,出現提示 ta 將收到一條匿名表白。
探探發來的短信。
當打開 " 生日管傢 " 開啟通訊錄授權後,記者就 APP 提示的生日信息,向數位好友確認。不少人對於生日就這樣被公開,表示驚訝。其中一位很少對外透露生日的好友確認後直言," 這不是泄露個人隱私嗎?"
不同於上述兩款社交類 APP,生日管傢還能獲取用戶的生日。那麼,它是如何通過手機號碼匹配生日信息的呢?
根據生日管傢介紹, 所有手機號關聯的生日均為用戶自行手動添加,這包括但不限於公開自己的生日、手動添加它們手機號和生日、QQ 和微信詢問中添加等,並將生日服務分享給使用本軟件的其他用戶。
打個比方,當你用生日管傢記錄瞭某人的生日。在生日管傢上,存儲瞭這個人聯系方式的用戶,都可以知道他的生日。
值得一提的是,記者發現,在生日管傢上,通過綁定微信,分享一款名為 " 今日運勢 " 的測試遊戲可收集到這些信息。參與測試時,用戶需輸入出生年月日才能知道獲取運勢情況。而整個運勢測試的過程中,並無相關提示告知用戶的生日信息被收集到哪裡。
生日管傢可以通過分享今日運勢給好友測試獲取生日信息。
就這樣,在沒有下載過該軟件的情況下,有些人的生日信息莫名被收集瞭。
企業:用戶自主操作
點名為瞭引起註意
記者發現,在收到這些 APP 發來的點名短信後,不少人基於獵奇心理,想要瞭解究竟被哪位匿名好友惦記。但要解開謎團並不容易,用戶要點擊下載 APP,還要標註猜測對象,發送短信驗證,直到兩人同時配對成功後才能知曉。與此同時,新一波被新標註的未註冊用戶又會收到相同的信息。
基於此,有人認為這是企業病毒式營銷的方法,更有人質疑企業未經同意發送短信屬於侵權行為。記者就此咨詢三款 APP 的有關負責人,均得到回復稱是使用 APP 的用戶自主操作,從而觸發短信推送。
▶ 探探相關負責人告訴記者:
去年上線 " 匿名暗戀表白 " 功能,旨在讓用戶知道彼此心意,可以理解未註冊用戶收到短信的心情。但是不帶真名的話,可能引起不瞭對方的註意,對於發送者來說,表白成功的機會也不高。
為瞭不使用戶感到莫名其妙,在短信文案上已註明," 由於你未下載使用探探,你的聯系人發送瞭短信通知 "。姓名電話由該手機聯系人提供。
▶ 脈脈方面回應記者稱:
脈脈是職場社交 APP,社交是最核心的業務,脈脈要求上傳通訊錄目的,是提供人脈統計和標註人脈等服務,否則用戶無法享受脈脈添加好友的功能,那麼用戶使用脈脈將失去意義。
記者查閱脈脈 " 用戶信息條款 " 發現, " 用戶一旦註冊、登陸、使用脈脈服務,將視為用戶完全瞭解、同意並接受淘友公司通過包括但不限於收集、統計、分析、使用等方式合理使用用戶信息。" 脈脈相關負責人表示,在用戶同意本協議的基礎上,平臺發送短信,無需向用戶另行取得授權。
▶ 生日管傢方面表示:
在收集生日信息的過程中,采用瞭不可逆的加密算法,提取通訊的手機號特征與雲端數據進行匹配。
通過玩 " 今日運勢 " 遊戲收集生日信息,是為瞭避免直面詢問好友生日的尷尬,讓用戶悄悄做一個有心人,更好地關心朋友," 開發這個功能的出發點是善意的。"
上述 3 款 APP 同時提到,如果被記錄者介意自己的信息被分享,平臺提供瞭相關的操作來避免 " 騷擾 ",並強調註重用戶的隱私保護。
專傢:
你無權分享他人的任何個人信息
記者瞭解到,目前多數互聯網公司的產品在新用戶註冊使用時,都會請求讀取、上傳通訊錄信息,尤其是在 P2P 產品、征信和社交類產品。
然而," 不管所提供的服務需不需要,很多 APP 都會習慣性地向用戶申請通訊錄權限,連金山詞霸這種工具 APP 也不例外。" 一名業內人士告訴記者。
記者使用的一款安卓手機,在應用授權管理中,可以看到所下載的 41 款 APP 中,需要讀取聯系人的共有 32 個。除上述 APP 外,還有今日頭條、百度地圖、豌豆莢、搜狗輸入法等。
對此,中國信息安全研究院副院長左曉棟向記者表示,APP 讀取通訊錄,或將此當作註冊步驟,這要看功能需要。" 比如名片整理的 APP,它本來就是處理名片的,讀取通訊錄很正常 ",左曉棟說,僅從這幾款 APP 的定位來看,不好判斷讀取通訊錄是否必需,但它們至少違反瞭國傢關於 " 主動說明收集的個人信息最小元素集,並說明與其基本功能的關系 " 之規定。
▶ 左曉棟指出,國傢標準規定:
企業應該明確標註收集的個人信息最小元素集。如果是在最小元素集之內收集的信息,用戶不同意,企業可以不提供服務;但如果是在范圍之外的話,企業無權拒絕提供服務,也不能降低服務質量。
針對 APP 向未下載過的用戶發送短信的問題,有專傢表示,類似的功能應當限於兩個使用者之間。左曉棟告訴記者,在非註冊用戶不知情的情況下發送短信,這首先是非法獲取用戶信息,然後是非法廣告推廣。
▶ 記者瞭解到,依據《關於加強網絡信息保護的決定》:
任何組織和個人未經電子信息接收者同意或者請求,或者電子信息接收者明確表示拒絕的,不得向其固定電話、移動電話或者個人電子郵箱發送商業性電子信息。
據記者瞭解,今年 10 月正式實施的《民法總則》首次將個人信息保護作為個人權利納入其中,對非法收集個人信息也做出明確規定:
自然人的個人信息受法律保護。任何組織和個人 …… 不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
南京大學法學院教授邱鷺風向記者表示:
即便是APP 註冊用戶也無權泄露好友的聯系方式。個人信息擁有 " 絕對權 ",即除本人外,其他人未經授權無權支配其個人信息。
" 通訊錄表面上看,是我和朋友的個人關系,但實際上是朋友的個人信息,一旦隨意授權給第三方,我和第三方就共同對朋友構成瞭侵權,也未盡到保護他人信息的法定義務。"
來源 | 南方都市報,版權歸原作者所有
