文｜胡小凤 林泽玲

编辑｜顾彦

从某个时候开始，人们发现，手机里的App们变得比自己还懂自己。

比如刚跟闺蜜聊完某个牌子的护肤品，转头就在多个购物App上发现相关的产品推荐；跟久不见面的朋友提了一嘴结婚的事，隔天各类社交平台就闪现着婚礼广告……

这样的情景，相信很多人并不陌生。大数据时代，用户个人信息被各类平台非法获取、不合规使用的情况普遍存在。

过去几年，无论是个人层面还是国家层面，对个人信息保护越来越重视。自2019年以来，工信部连续开展针对App侵害用户权益的专项整治工作，重点整治App存在的“违规收集个人信息、过度索权、频繁骚扰、侵害用户权益”等问题。

不过，App违规事件依然时有发生。

近日，微信、QQ、淘宝、美团等头部App接连被曝出存在“后台读取相册”、“24小时连续获取定位”等涉嫌窃取用户隐私信息的情况，引发舆论声讨，也再次挑动了人们关于个人隐私保护的神经。

iOS15引发的风波

10月8日，微博用户@Hackl0us爆料指出， 微信、QQ、淘宝等多款App存在“后台反复读取用户相册”的情况。

根据该条微博内容，有用户在使用了iOS15带有的“记录App活动”功能后发现，微信在用户未主动激活应用的情况下，在后台数次读取相册，每次读取时间长达40秒至1分钟不等。后续多位网友反映，QQ、淘宝、微博等多款App均有后台频繁读取用户相册的行为。

图源：微博用户@Hackl0us

微信针对该事件回应称，iOS系统为App开发者提供相册更新通知标准能力，相册发生内容更新时会通知到App，提醒App可以提前做准备，App的该准备行为会被记录成读取系统相册。而微信使用该系统能力，是为了让用户获得更为快速流畅的发送图片体验。

同时微信也表示，上述行为均仅在手机本地完成，最新版本中将取消对该系统能力的使用，优化快速发图功能。

但此次爆料的微博用户@Hackl0us在10月9日公开的材料中提到，要实现“快捷发图”这一功能完全可以用简单的方法，而不需要像微信这样“为了快捷选图，就在后台一直预处理”。

微信的回应没能打消用户们的疑虑。大家对该事件的疑问主要集中在两个方面，其一是，“实现快捷发图”是否必然得通过后台预处理的方式才能实现？其二是，为什么用户在没有启用App的情况下微信也在后台“读取相册”？

微信“后台读取相册”风波尚未平息，美团也被曝出不合理读取用户数据的情况。

10月10日上午，微博用户@轩宁轩Sir发文称“美团App连续24小时定位我，每5分钟一次”。从该用户提供的录屏视频可以看到，后台记录显示，美团App以5分钟为间隔，从凌晨到深夜持续索取定位信息。

之后，也有多位网友在评论区反映，微信、QQ、知乎、淘宝、拼多多等App都出现在后台进行反复获取定位的情况。

图源：微博号@轩宁轩Sir

无论是美团App的“24小时连续定位”，还是微信在后台“反复读取相册”，该类现象的发现都是基于苹果iOS15系统新增的“记录App活动”功能。苹果手机用户开启“记录App活动”之后，再下载一款名为“隐私洞见”的App，借助该App将隐私报告可视化，即能看到类似上文所展示的监控信息。

10月11日，一位美团工程师进行了公开回应，称上述情况的出现是因为这类软件在单方面读取系统操作日志后，进行了选择性展示。该工程师还表示，经测试，在相关权限开启且App后台仍处于活跃状态时，大部分主流App均会被该软件检测出频繁读取用户信息，且监测结果高度相似。

上述工程师还提示，该款读取iOS15系统日志的软件系境外人员研发，其安全性和保密性还有待专业机构检测，建议大家谨慎下载。但亿欧EqualOcean查询发现，这款名为“隐私洞见”的App，开发者为Inkwire Tech(Hangzhou)Co.,Ltd.。天眼查信息显示，该公司关联企业为映快科技（杭州）有限公司。

图源：App商城

“隐私洞见”版本介绍页面显示，“隐私洞见不是Apple产品，亦与Apple,Inc.无关联”，其中提到该软件作者为“Shibo Lyu”。“Shibo Lyu”的GitHub个人网站介绍显示，其姓名为吕世博，2019年在杭电助手的业务需要下联合创办映快科技，吕世博持有映快科技（杭州）有限公司20%的股份。

图源：“隐私洞见”App

目前涉事的企业中，仅有微信和美团给出回应，两者坚称并不存在侵犯用户隐私行为。由于事件涉及的iOS15系统“记录App活动”功能的准确性尚不能确定，各方争议还没有最后的定论。

但微信、美团等众多App出现此类后台操作现象，无疑让用户再次提高了App隐私保护问题的警惕。

“形同虚设”的条款

App泄露用户个人信息、窃取用户隐私数据并非新鲜事，但此次借由苹果系统这个新功能，App们在后台的一举一动展露无疑，也着实让不少用户大吃一惊。

其实在我国，针对手机App过度搜集个人信息现象，已相继出台了《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》等，对App超范围收集、强制授权、过度索权等个人信息安全问题作了明确规定。

不过，众多App轻视法规、打擦边球等情况仍广泛存在。

无论是条款内容冗长甚至难以理解的《用户协议》和《隐私政策》，还是使用过程中不断出现的权限索取，App们各类看似尊重用户的规定，其实留给用户的选择空间并不多。

通常情况下，用户下载安装完一款软件后，在使用前需要阅读并同意《用户协议》和《隐私政策》。然而，各类App相关的条款内容往往长达十数页甚至数十页，即使标清了其中重点，用户也往往会经不住标红突出的同意按钮“诱惑”而直接选择同意，很少有人会点进去详细阅读各项条款。

正如网络上一个流传的段子：我已阅读并同意用户使用协议——是21世纪最大的谎言。此环节的“形同虚设”，也给了很多App可乘之机。

很多App安装之后会默认开启一些权限，相关说明虽然会呈现在《用户协议》和《隐私政策》中，但正如前文所言，大部分用户可能根本没有意识到有相关规定存在。

比如国内某头部内容分发App上，在使用前的提示中有这样一条描述，“你可随时在‘设置-隐私’中关闭个性化推荐权限，仅使用App的基本功能”。也就是说，个性化推荐功能，一开始是默认开启的，而该功能需要调取的用户信息可能包括网络设备硬件地址、日志信息、位置权限等。

再比如此次引发舆论声讨的微信反复读取相册的情况中，微信会提醒设置了“只能访问相册部分照片”的用户，“建议允许访问所有照片”，但是在隐私协议中并未明确告知，用户的整个相册都会被频繁读取。

App过度索权则是另一个主要顽疾。

按照相关规定，App收集用户信息应该遵循“收所必需、用所必需”的基本准则，所收集的信息应该是完成用户某项业务所必需的信息，而且这些信息应该在合理的时间段、规定的业务范围内被正当使用。

国家互联网应急中心曾发布的《2019年上半年我国互联网网络安全态势》报告指出，通过对下载量较大的千余款移动App的监测分析发现，每款应用平均申请25项权限，其中申请与业务无关的拨打电话权限的App数量占比超过30%。

比如美团App以5分钟为间隔，从凌晨到深夜持续索取定位信息，从时间上来看，这个时间段中用户显然不可能一直在开启美团使用。若是App在后台偷偷运行，就属于违规索权、过度索权的一种。

再比如微信在用户未主动激活应用的情况下，在后台数次读取相册，也存在过度索权。Hackl0us提到，用户授权所有图片给任何一款App的初衷，无非是更新头像、发送几张图片，非常简单，但微信对隐私的使用方式明显大于或违背用户授权相册的初衷。

隐私是底线问题，涉及隐私的事情无小事。正如Hackl0us指出：“很多人会在相册存放身份证、银行卡、个人证件照等重要信息，不管微信的理由是什么，为了方便用户发图还是使用便捷，主动权应该交给用户选择。”

隐私窃取为何屡禁不止？

大数据时代，个人隐私被不少数据科学家视为一件“在算法上不成立”的事情。

在互联网上，总有人比你更了解自己。人们面对手机的时候总是异常诚实，看到喜欢的网页、图片、视频等，总是会不由自主点进去，相应的App就拥有了最真实的用户群体画像。

2019年以来，国家相关部门加强了对App的监管整治力度。其中，工信部自2019年11月至今，已连续两年开展了针对App侵害用户权益的专项整治工作，重点整治App违规收集和使用个人信息、过度索权、频繁骚扰、侵害用户权益等突出问题。

截至2021年10月15日，工信部已先后通报共19批侵害用户权益行为的App名单，目前相关的整治行动仍在持续推进中。

然而，用户个人信息作为互联网企业赖以生存的基石，其带来的商业收益让企业们欲罢不能，App们的利益与用户个人信息保护之间的拉锯战从未停止。在工信部推进的App整治行动过程中，反复出现App不配合整改，或是整改后又出现违规问题的情况。

2021年7月8日，工信部发文指出，已针对近期用户反映强烈投诉较多的App存在“弹窗信息标识近于无形、关闭按钮小如蝼蚁、页面伪装瞒天过海、诱导点击暗度陈仓”等问题进行集中整治，百度、阿里、腾讯、字节跳动、新浪微博、爱奇艺等68家头部互联网企业已按要求完成整改。

但之后不久，在工信部部长信箱里，又出现了大量关于弹窗广告死灰复燃的投诉信息。

8月18日，工信部信息通信管理局发布《关于App违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报（2021年第8批，总第17批）》指出：共发现43款App仍存在问题整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的情况。

10月15日，工信部再公布了96款未按时限要求完成整改的App，包括喜茶GO、驴妈妈旅游、图吧导航等。

App们屡屡“顶风作案”背后是着巨大的利益诱惑，收集到的用户个人信息可以用于实现广告精准投放。

10月15日工信部消息称，检测中发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多。其中穿山甲是字节跳动的多平台广告投放系统，而优量汇则属于腾讯的广告投放系统，本质上扮演的是广告中介的角色，即由商家向系统提出广告需求，系统为商家匹配合适的广告平台，帮商家获客、引流。

公开数据显示，截至2021年5月，穿山甲已拥有55%的广告中介市场份额，全球日活用户超8亿，合作垂直应用10万余款，每日广告请求630亿次；腾讯旗下优量汇至今服务的App数量已超过10万。

海量的个人隐私数据信息背后，已经形成了完整的产业链条。

在今年4月，苹果公司发布了一份旨在帮助用户了解各款App如何处理用户数据的文档《个人数据的一天》。其中提到，过去十年来，由各类网站、App、社交媒体平台、数据代理商和广告技术公司等组成的复杂生态系统，通过线上线下的方式跟踪收集用户信息并加以拼凑、分享、汇总后用于广告实时竞拍等业务，已经形成一个年产值高达2270亿美元的产业。

写在最后

李彦宏曾说：“我想中国人更加开放，对隐私问题没有那么敏感，很多情况下他们愿意用隐私交换便利性，那我们就可以用数据做一些事情。”

对于互联网企业来说，为了正常经营，合理合规地收集用户部分信息，有一定必要性；对于主要依靠广告带来收入的企业，更多维、更大量的数据，往往意味着更真实的用户画像、更精准的营销。

然而，情况已经发生改变。将于11月1日正式施行的《个人信息保护法》，对个人信息处理原则做了详细规定，包括法律基础、个人信息处理原则、个人信息存储期限、以及对敏感个人信息范围、敏感个人信息处理要求等。

比如其中提到，处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示；个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

那么，个人信息保护的加强，对企业来说会是致命的打击吗？

在亿欧EqualOcean联合北拓资本发起的“MarTech月高能分享”系列活动上，美数科技CEO范昂表示，以前精准营销在灰色地带下，能够完全定位到个人，在隐私保护上有很大问题。但实际上的精准营销和数据应用，并不依赖这样的技术。所以数据安全法对于精准营销的技术没有太大影响，但如果法条规定推荐、搜索特征不能再用，会影响到数据的使用效率。

在全新的市场和监管环境之下，只有真正做到尊重用户的平台才能赢得商业竞争。App平台们要切实按照相关规定收集和使用用户信息，确保每次都经过用户的确切同意，并且要明确告诉用户，将会怎样使用他们的数据。

针对上述未按时限要求完成整改的App，工信部表示，依据《网络安全法》等法律，将组织对96款App进行下架；相关应用商店应在通报发布后，立即组织对名单中应用软件进行下架处理。

在日常使用App时，用户也应树立保护个人信息的意识，对个人隐私保护时刻提高警惕。

比如拒绝下载来历不明的软件，要在官方手机应用市场下载；在App下载之后的安装环节，要注意看相关的用户协议和隐私条款，谨慎授予读取信息、查看通讯录、读取相机图片、读取定位信息等权限；在网络购物时要谨慎填写个人信息，尤其是涉及个人身份、工作、地址等地敏感信息；退出手机应用程序时，一定要确保彻底退出，以防软件在后台偷偷运行；不要把各类App设置为“自动登录”，并且要定期更换密码……