手机APP的后台操作，究竟暴露多少隐私？

文/陈根

从微信到淘宝,从QQ到美团,近日,多款国民级应用在苹果iOS15系统的新增“记录App活动”功能下被曝出“在后台反复读取相册”。消息一出,立时引发网民广泛讨论,并迅速被推至微博热搜榜前列。质疑声浪迭起,尽管部分相关方已经做出声明,但大众对含糊其辞的回应似乎并不满意。

事实上,在全面构建的数字时代里,APP的隐私泄露问题早已成为大众敏感的神经。APP收集使用个人信息的乱象几乎有目共睹——违规收集个人信息,违规使用个人信息,欺骗误导用户下载App,App强制、频繁、过度索取权限,超范围收集个人信息等,人们对这些行为深恶痛绝,却也对这些行为无可奈何。

手机APP的后台操作,究竟暴露多少隐私?面对被曝光的多款国民应用“后台反复读取相册”事件,人们还能做什么?

微信美团接二连三

事情还要从苹果更新iOS15系统开始说起。目前,苹果iOS15系统已经广泛推送,其新增的“记录App活动”功能可以对应用获取存储、通话记录、定位等数据的行为进行监控,详细记录。于是,基于记录App活动的功能,多款国民级应用的后台操作得以曝光。

先是10月8日下午,微博用户“Hackl0us”爆料称,微信APP在用户未主动激活的情况下,于苹果手机后台反复读取系统相册内容。据博主描述,其通过“记录APP活动”,对所有APP的隐私读取行为进行7天监控,并使用App Privacy Insights软件查看了相关记录。同时被曝出的,还有QQ、淘宝等多款国产APP。

记录显示,在iOS 默认开启后台应用数据刷新,上次使用微信后上划返回主屏幕未彻底关闭后台。在用户前台未主动运行的情况下,后台数次读取用户相册,每次读取时间40秒至1分钟不等。且从时间看,读取行为没有特定规律,在用户睡觉时微信也进行了读取,每次调取发生时用户并不知情。

此次事情风头还未过去。10月10日一大早,美团又被曝读取用户数据。与微信等不同,美团被曝的,不是读取用户相册,而是连续 24 小时不间断获取定位。

根据网友上传的录屏视频,美团 App 从 10 月 6 日起便开始获取位置信息,频率高达每 5 分钟一次。这一行为一直持续到 10 月 8 日下午,其间没有间断。美团 App 的功能包括打车、叫外卖、查询商家等,只有在用户使用时才需要进行定位。视频中,美团 App 在凌晨时也在获取位置信息。

接二连三的曝光,让质疑的声浪一波高过一波。微信被被曝出“在后台反复读取相册”的当时,就引发了网民广泛讨论,并迅速被推至微博热搜榜前列;美团也享受了相同的待遇,尤其是在因垄断被罚34．42亿的特殊时间点;大V和博主纷纷出来发声,对于隐私泄露的控诉此起彼伏。

天下苦隐私泄露久矣,个人信息保护是发展数字经济的底线,却在数字经济的发展中一再沦陷。其中,APP则是个人信息泄露的重灾区。APP收集使用个人信息的乱象几乎有目共睹,人们对这些行为深恶痛绝,却也对这些行为无可奈何。

2018年8月,中消协发布《APP个人信息泄露情况调查报告》称,遇到过个人信息泄露情况的人数占比为85．2%,没有遇到过个人信息泄露情况的人数占比为14．8%。2019年仅11、12月12321网络不良与垃圾信息举报受理中心就收到用户APP投诉4900余条,投诉内容涉及个人信息收集使用规则、权限申请、个人信息收集、个人信息使用、个性化服务、账号注销等多个方面。

APP信息泄露的顽疾早已成为大众敏感的神经,这也是为什么面对被曝光的多款国民应用“后台反复读取相册”事件,人们会有这么大的反应的原因。

看不见的开启与读取

当然,事发过后,部分相关方很快就做出来回应。

微信在回复中称,iOS 系统为APP 开发者提供相册更新通知标准能力,相册发生内容更新时会通知到 APP,提醒 APP 可以提前做准备,APP 的该准备行为会被记录成读取系统相册。

当用户授权微信可以读取“系统相册权限”后,为便于用户在微信聊天中按“+”时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。微信还表示,上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。

美团给出的回应更是含糊其辞——建议谨慎下载境外隐私记录软件。可以看到,不论是微信还是美团,其给出的回应都很难让大众买账。究其原因,不论是从征得用户明示同意来看,还是过度索权方面,微信和美团的回应都显得避重就轻,并没有给出一个具体的态度。

未征得用户明示同意和过度索权几乎是APP泄露隐私问题的顽疾。一方面,APP隐私政策是保证用户知情权的重要手段和约束APP运营者行为的重要机制。然而,从隐私政策设置来看,大量App存在隐私政策未征得用户明示同意的情况。比如,未提示用户阅读隐私政策,又或者默认勾选同意。

此次多款国民级应用之所以会引起众怒,原因也是这里——美团App以5分钟为间隔,从凌晨到深夜持续索取定位信息。从时间上来看,这个时间段中,用户显然不可能一直在开启美团使用,也就是说大概率是在后台偷偷运行。而根据当前的隐私保护政策,凡是未经用户明示同意,或通过各种隐蔽方式骗取用户同意而进行的读取用户信息行为都是违规的。

另一方面,对于过度索权来说,个人信息保护的必要性原则要求网络运营者(网络服务提供者)不得收集与其提供的服务无关的个人信息,否则就属于过度索权。然而,APP过度索权依旧是一个普遍性的问题,不少APP收集个人信息的种类与其提供的服务并无必要关联,有的甚至明显超出了合理范围。

《100款APP个人信息收集与隐私政策测评报告》显示,出行导航、金融理财、拍摄美化、社交通信和影音播放等5类APP过度收集使用用户信息的情况较为严重。360手机卫士收集个人信息相关权限数达23项,用户拒绝开启则APP无法运行的权限则高达11项。而此次曝光的APP的行为中,不间断地获取用户照片和数据显然存有过度之疑。

让隐私保护真正落地

看不见的开启与读取,是此次事件的导火索,手机APP的后台操作,不仅更多地暴露了用户的隐私,还大大增加了隐私泄露的风险。

不可否认,商业的本质是逐利的,正确合理地使用数据本无可厚非。数字经济时代里,隐私已成为以个体为中心的同心圆,在同心圆扩大半径的外围,个体产生交集,也产生了隐私的交换,并以此获得友谊、亲情、理解,甚至经济利益。

可以说,作为隐私的个人信息也是一种资源;而信息主体主要通过交换一定的隐私实现个人利益最大化,这就成为一种资源的再分配过程。从这个意义上来说,个人信息作为一种资源,也和其他的任何资源一样——社会福利最大化是其应有之义,但这并不是平台可未经用户同意后台运行获取照片和定位的理由。

根据中国消费者协会此前发布的《100款APP个人信息收集与隐私政策测评报告》,被测评的100款APP中有34款没有隐私政策,47款隐私政策内容不达标,59款未明确告知收集个人信息类型和用途,96款未明确告知用户如何撤回同意等。

并且,APP在 服务协议与隐私政策,动辄几页甚至十几页且文字密集。一些软件不授权就无法使用,绝大部分用户没有兴趣阅读并直接默认选择同意。

于是,一些看似“正规”的APP往往在条款内埋下陷阱,披着“合法”的外衣,以“本人已经阅读且同意履行”为由搜集用户个人信息。被发现维权时就以“已经在条款中说明要求,用户已经同意”的理由为自己开脱。

其带来的后果是严峻的——信息技术的发展让人们在数字时代都成为“数字人”。个人信息与数据高度关联,牵一发而动全身,这使得立体化的个人数据更容易遭受侵害。

随着移动设备功能越来越强大,包括能够记录包括相册、个人视频、网页浏览历史以及个人通信记录等在内的众多信息,存储了数GB计算的个人数据的智能手机已成为了个人生活中普遍且重要的组成部分。这些个人信息一旦泄露,对立体化的个人造成的伤害都将是过去所不及的。

目前,工信部等部门依据《常见类型移动互联网应用程序必要个人信息范围规定》及相关监管文件已经开展常态化执法。但需要指出的是,行政监管的范围相对有限,而且具有一定滞后性。如若想要根治这些违规现象,还需要依靠良性的行业竞争。

APP开发者还需自觉遵守《APP违法违规收集使用个人信息行为认定方法》等相关法律;遵循个人数据采集的基本原则,包括目的明确、最少够用、公开告知、个人同意等。对信息泄密建立所谓的“问责制”,使所有人能更重视数据问题的解决之道。

个人信息保护是数字经济想要行稳致远的前提,市场作为重要的配置主体,才更应让数据更好地服务消费者和促进社会福利提高。