果壳 01-14
侵犯个人信息,不止“远程删图”这一种方法
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

最近,有网友爆料说,拼多多远程删除他手机里的照片。

爆料视频显示,事件起因是用户看到拼多多 " 邀请 1 人,立即提现 100 元 " 的活动,按要求操作却只获得了一个随机红包,且因为没到 100 元而不能提现。

用户觉得实际活动和宣传不符,便找客服理论,还发送了相关页面的截图和照片为证。可没过多久,用户的 vivo 手机消息栏出现了提示:检测到 " 拼多多 " 已删除照片或视频

vivo 手机提醒丨 ChinaNASA

爆料者说,还好相册有回收站,他看到拼多多删除了很多张和这件事相关的图片。他怀疑,拼多多除了欺诈消费者,还试图删掉证据。

事后拼多多解释说,用户在客服界面选择添加图片并拍摄后,可能对照片进行编辑再发送,而 App 会保存编辑前的图片作为 " 缓存 ",当编辑过的图片发出后,App 便会删除编辑前的 " 缓存 " 版本。

事件回应丨拼多多

我们并不知道,用户被删的图片是不是在进入客服界面后拍摄的,也不知道,用户在上传那些图片前有没有做过编辑。

但当一个软件获得了存取图片的权限,它的确有能力远程删除设备上的图片。拼多多的解释,可能并不足以打消更多用户的疑虑。

而在各类手机应用疯狂索取权限的年代,我们每按下一个 " 允许 ",都可能暴露大量信息。这些信息都有被滥用的风险,图片也只是其中一部分。

软件要那么多权限做什么?

地图软件需要位置权限,来实现更精确的导航,这不难理解。但假如一个输入法也说要读取位置,甚至读取通讯录,在普通人眼里未免有些过度。

而手机应用索要的权限超出本职功能的情况并不少见。2018 年,中国消费者协会发布了 100 款手机应用的个人信息收集情况,发现它们普遍涉嫌过度收集:

59 款涉嫌过度收位置信息,28 款涉嫌过度收集通讯录信息,23 款涉嫌过度收集身份信息,22 款涉嫌过度收集手机号码。

图丨参考资料 1

至于收集来的信息用在了哪里,消协 2018 年发布的《App 个人信息泄露情况调查报告》显示,近 8 成受访者认为 App 采集个人信息的原因是推销广告

调查问卷丨参考文献 2

拿位置信息来说,软件可以根据用户的位置来推送附近商家的广告。不止如此,仔细分析用户的行踪,还可以得到背后隐藏的信息,比如:

每天去理发店的是托尼老师,隔段时间去一次的是客人。偶尔去街边小理发店的用户,购买力不如偶尔去连锁理发店的用户等等。这样,就可以有针对性地推送不同价位的洗发水广告,提升效率。

用户开放的权限越多,展现出的 " 用户画像 " 就越清晰,广告推送也可能越发精准。

不用权限也能被利用的信息

上文提到的那些权限,至少还需要用户手动开启。

而手机里的运动传感器,就是用来感知用户拿起手机、横屏竖屏、走路步数等等的那些元件,如加速度计和陀螺仪,并不受访问许可的保护。也就是说,一个安装好的应用,不需要得到手机使用者的授权,就能访问这些传感器,得到丰富的信息。

图丨 Medium

比如,触碰手机屏幕的不同区域,会让手机倾斜并产生些许位移,传感器会收集位移数据而 AI 算法可能从中总结出规律,用位移数据来推测输入位置。这样,我们在手机上输入密码时的触摸位置,也有机会被捕捉到。

有个名叫 TouchLogger 的软件,它就是用运动传感器的数据来推测用户按了手机上哪些数字键。在 2011 年的 USENIX 安全会议上,这个软件用 HTC 手机进行了一次测试,它对的推测正确率超过了 70%。

HTC 数字键盘丨 usenix

自那以后,科学家们又做了许多相关的探索。2017 年 12 月发布的一份报告显示:

有个新的程序利用一整套手机传感器来猜 PIN 码,除了陀螺仪和加速度计,还有光传感器和测量磁性的磁强计。它能分析手机的移动轨迹,以及触屏时手指如何遮住光传感器。在 50 个 PIN 码库的测试中,程序通过按键推测出的答案有 99.5%正确。

个人信息被滥用的隐患,几乎无处不在。

个人信息被过度索取 / 滥用怎么办?

2019 年 2 月,抖音用户凌先生发现,自己用手机号注册抖音之后," 可能认识的人 " 一栏出现了自己现实中的好友,但那时他的手机通讯录里并没有联系人。

凌先生认为抖音 App 非法获取个人信息,侵害个人信息权与隐私权,因此起诉了抖音运营者北京微播视界科技有限公司。

2020 年 7 月 30 日北京互联网法院一审裁定,被告对凌先生的个人信息权构成侵害,判决被告删除 2019 年 2 月之前收集的凌先生的个人信息与手机号,并赔偿凌先生 4231 元。另外,法庭也判决被告删除未经允许收集的凌先生位置信息。

这就是说,假如手机应用从其他用户的通讯录里获得张三的个人信息,并了解张三的社会关系,而未经张三本人同意,也可能对张三构成侵权。张三可以通过法律程序维护自己的权益。

图丨央视新闻客户端

而在凌先生胜诉的当天,还有一起案件迎来了相似的判决。

用户黄女士发现,微信读书未经同意获取了自己的微信好友关系,并为她自动关注微信好友,还向微信好友开放了她的读书信息。于是,黄女士起诉腾讯。北京互联网法院一审判决,认定腾讯对黄女士的个人信息权益构成侵害。

法庭认定,微信与微信读书为两款独立的应用。微信读书从微信获取用户好友关系,需要经过用户同意。

也就是说,一款软件合法获取了张三的好友关系,也不能在未经张三同意的情况下交给同公司的另一款软件使用。一旦遇到类似情况,张三也可以通过法律途径要求对方停止侵权。

在法律上,用户对手机应用收集个人信息的知情权,不止包含对收集内容的知情权,还包含对收集使用目的、方式、范围的知情权。

了解自己的合法权益,才有机会对抗不法侵害。

参考文献

[ 1 ] 中国消费者协会 . ( 2018, Nov 28 ) . 100 款 App 个人信息收集与隐私政策测评报告 . 中国消费者协会 . http://cca.cn/jmxf/detail/28310.html

[ 2 ] 中国消费者协会 . ( 2018, Aug 29 ) . 100 款 App 个人信息收集与隐私政策测评报告 . 中国消费者协会 . http://cca.cn/jmxf/detail/28310.html

[ 3 ] Temming, M. ( 2018, Jan 23 ) . Your phone is like a spy in your pocket. Science News. https://www.sciencenews.org/article/smartphones-data-collection-security-privacy

[ 4 ]   孝金波 & 杨绒 . ( 2020, Jul 31 ) . 北京互联网法院:微信读书、抖音侵犯个人信息权 . 人民网 . http://legal.people.com.cn/n1/2020/0731/c42510-31805538.html

[ 5 ] 中华人民共和国网络安全法 ( 2016, Nov 07 ) . http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

作者:呜喵王 · 文和、锦衣 Reload、栗子

相关标签

个人信息
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论