中國幾億人的手機(jī)正在被綁架！

通過“默認(rèn)勾選”，一些APP軟件獲取了用戶的超范圍授權(quán)，一些則在免責(zé)協(xié)議中“悄悄”讓用戶放棄了追索權(quán)，更甚者將用戶數(shù)據(jù)和個(gè)人隱私轉(zhuǎn)讓給第三方……一些APP的無良行為正在對中國高速發(fā)展的網(wǎng)絡(luò)社會構(gòu)成巨大安全隱患

記者 | 顏之宏 汪奧娜 《瞭望》新聞周刊

本文轉(zhuǎn)載自瞭望客戶端2018年1月27日版，原標(biāo)題為《APP正在“綁架”你的手機(jī)》。

用新聞閱讀APP正看著新聞，突然一條廣告闖入視野，里面推薦的內(nèi)容正是你之前在某購物APP上搜索過的商品；下載理財(cái)APP后，各種推薦股票、基金的電話便絡(luò)繹不絕，一些來電甚至能準(zhǔn)確叫出你的姓名……《瞭望》新聞周刊記者采訪了解到，近年來這樣的場景正越來越多地在我們身邊真實(shí)上演，但絕大多數(shù)人想不到正是“你自己”授權(quán)給了APP們，“允許”它們在你的手機(jī)里瘋狂攫取各種信息乃至隱私。

1

APP怎樣“偷走”授權(quán)

現(xiàn)實(shí)社會中，“簽字畫押”是很嚴(yán)肅的事，只要在白紙黑字的協(xié)議上“簽字畫押”，就意味著自己將對協(xié)議中闡明可能發(fā)生的后果負(fù)責(zé)。而在手機(jī)互聯(lián)時(shí)代，使用APP前在用戶協(xié)議上“打個(gè)勾”，就意味著用戶同意讓渡自己的部分權(quán)利。

福建省廈門市劉先生告訴《瞭望》新聞周刊記者，自己在手機(jī)里安裝了多款同類APP，“前不久在某購物網(wǎng)站買了一副耳機(jī)，結(jié)果某新聞閱讀APP連著好幾天給我推送同款耳機(jī)的廣告?！背送扑唾徫镄畔ⅲ包c(diǎn)過外賣的小吃店、買過團(tuán)購券的西餐廳，甚至是搜索過的去哪個(gè)目的地的飛機(jī)票的廣告都會冷不丁出現(xiàn)在閱讀界面，“確實(shí)令人驚悚。”

本刊記者現(xiàn)場實(shí)測安裝了劉先生下載的某款新聞類APP后，在登錄界面的中間有一欄小字提示：“□我已閱讀并同意用戶協(xié)議和隱私條款”，前面的方框內(nèi)已被默認(rèn)打勾。點(diǎn)開該協(xié)議內(nèi)容，在11.2.1日志信息中介紹了該APP對用戶cookies（用戶上網(wǎng)痕跡，包含瀏覽歷史、賬號、密碼等敏感內(nèi)容）的使用說明，其中明確表示“該公司可能會利用cookies和同類技術(shù)收取您的信息用于了解您的偏好……為用戶和合作伙伴提供更好的服務(wù)?！?br>
劉先生表示，自己并不了解cookies是指什么，也不清楚為什么在別的APP上的搜索、瀏覽、購買痕跡會被該APP截獲。本刊記者在測試中發(fā)現(xiàn)，即使不在該新聞閱讀APP中登錄，手機(jī)上的其他諸如團(tuán)購、外賣點(diǎn)餐、購物、旅行訂票的搜索歷史也會被讀取，并最終演變成同類廣告出現(xiàn)在閱讀界面中。

本刊記者在隨后的采訪調(diào)查中了解到，“默認(rèn)授權(quán)”并非孤案。據(jù)南都個(gè)人信息保護(hù)研究中心發(fā)布的《關(guān)于收集個(gè)人信息“明示同意”的測評報(bào)告與建議》顯示，在實(shí)測了100款常用APP后發(fā)現(xiàn)，僅有11%的APP做到了合乎法規(guī)及規(guī)范的“明示同意”。

2

用戶“被作主”情況泛濫

為了解手機(jī)APP的“授權(quán)體驗(yàn)”，根據(jù)蘋果和安卓應(yīng)用商店的暢銷度排名，《瞭望》新聞周刊記者下載了十幾款流行APP，涵蓋外賣點(diǎn)餐、社交、旅行、共享出行、金融理財(cái)、網(wǎng)絡(luò)直播等諸多領(lǐng)域。

在某手機(jī)銀行APP注冊界面，頁面下方有一行文字提示“點(diǎn)擊下一步即表示您同意《電子銀行個(gè)人客戶服務(wù)協(xié)議》”，也就是說，新用戶只要點(diǎn)擊下一步，即表示同意了該協(xié)議。

在某知名網(wǎng)絡(luò)直播APP的注冊界面，其下方也有一行小字提示：使用即為同意《××注冊協(xié)議及版權(quán)聲明》。該《協(xié)議》某條款載明“您理解并知曉在使用××平臺服務(wù)時(shí)，所接觸的內(nèi)容和信息來源廣泛……您可能會接觸到不正確的、令人不快的、不適當(dāng)?shù)幕蛄钊藚拹旱膬?nèi)容和信息，您不會以此追究平臺的相關(guān)責(zé)任。”該條款具有很強(qiáng)“撇清關(guān)系”的意味，暗示用戶在觀看直播時(shí)如遇不合適的播出內(nèi)容，平臺將免于被追責(zé)。

在某熱門共享單車APP《用車服務(wù)條款》的5.4條中，有這樣一句表述：“用戶理解并同意，‘××單車’可能會與第三方合作向用戶提供相關(guān)的服務(wù)，在此情況下，如該第三方同意承擔(dān)與××公司同等的保護(hù)用戶隱私的責(zé)任，則××公司有權(quán)將用戶的注冊資料等提供給第三方，用于向用戶提供服務(wù)之目的?！?br>
相關(guān)軟件評測人士向本刊記者表示，“該條款近乎‘耍流氓’地向用戶說明，你在使用本公司共享單車服務(wù)時(shí)所填寫的姓名、身份證號、手機(jī)號碼等注冊信息，會被提供給第三方，而目的則是向你‘提供服務(wù)’。”

除用戶在注冊時(shí)遭遇的“默認(rèn)勾選”外，一些APP在使用過程中“主動”為用戶選擇了一些打包產(chǎn)品。在某知名旅行訂票APP中，本刊記者嘗試預(yù)訂一張從上海至北京的高鐵票，除票面價(jià)格553元外，該款A(yù)PP默認(rèn)為用戶勾選了一個(gè)價(jià)值30元的“優(yōu)惠套餐”，而頁面中也并未明示該優(yōu)惠套餐包含何種內(nèi)容，如非留意到訂單總價(jià)變化，用戶在下單時(shí)很難發(fā)現(xiàn)其中蹊蹺。

此外，還有某社交APP在注冊時(shí)通過剝洋蔥的模式“告知”用戶使用協(xié)議，在聊天功能外，還包含支付協(xié)議，在支付協(xié)議中，又包含了理財(cái)協(xié)議。

尤其令用戶防不勝防的是，本刊記者在調(diào)查中還發(fā)現(xiàn)，某團(tuán)購APP在“我的錢包－借錢”功能中甚至還玩起了“偷梁換柱”的貓膩，讓用戶與第三方金融服務(wù)企業(yè)“簽”起了協(xié)議。

在該《借錢業(yè)務(wù)用戶協(xié)議》中，包含“用戶在使用借錢業(yè)務(wù)中，本平臺對此不承擔(dān)任何責(zé)任”“用戶點(diǎn)擊確認(rèn)本協(xié)議，即視為用戶同意且不可撤銷地授權(quán)本平臺將用戶的必要信息，包括但不限于賬號、手機(jī)號等，提供給第三方……”業(yè)內(nèi)人士表示，此舉意在借該團(tuán)購平臺的流量營造“品牌效應(yīng)”，讓用戶誤以為是自己和平臺本身產(chǎn)生關(guān)系，而這一手段在行業(yè)內(nèi)有大行其道。

3

APP究竟想得到什么

在測試過程中《瞭望》新聞周刊記者發(fā)現(xiàn)，通過“默認(rèn)勾選”，一些軟件獲取了用戶的超范圍授權(quán)，一些軟件則在免責(zé)協(xié)議中“悄悄”讓用戶放棄了追索權(quán)。

“不是不在乎個(gè)人隱私和選擇權(quán)，是沒轍??！”廈門市民管先生向本刊記者抱怨道，“用戶協(xié)議篇幅長，專業(yè)術(shù)語還多，作為普通用戶根本不懂它想表達(dá)什么，它到底會拿走我什么?！笔聦?shí)上，和管先生有類似想法的人還有很多，甚至是一些專門從事法律和互聯(lián)網(wǎng)安全工作的受訪者也會對“默認(rèn)勾選”的用戶協(xié)議感到迷茫。

在某知名外賣APP冗長的《隱私政策》中，兩段這樣的表述引起了記者的注意：“我們或我們的第三方合作伙伴，可能通過cookies收集和使用您的信息，并將該等信息儲存為日志信息?！薄斑@些第三方cookies手機(jī)和使用該等信息，不受本《隱私政策》約束，而是受相關(guān)使用者的隱私政策約束，我們不對第三方的cookies承擔(dān)相關(guān)責(zé)任。”

有意思的是，這款外賣APP既向用戶聲索了自己使用cookies的權(quán)利，還“替用戶”將其cookies轉(zhuǎn)讓給第三方合作伙伴使用，同時(shí)“告知”用戶這些信息不受自己的隱私政策保護(hù)。也就是說，用戶在使用該外賣APP時(shí)，無償將自己的搜索記錄、下單記錄、瀏覽記錄等使用偏好轉(zhuǎn)讓給了APP開發(fā)者及其合作方，同時(shí)還要自行承擔(dān)這些內(nèi)容遭到泄露的安全風(fēng)險(xiǎn)。

“一個(gè)做外賣的APP，不但收集我的cookies，還要把cookies分享給第三方合作伙伴，我能相信你只是要給我推送廣告嗎？”一位不愿具名的互聯(lián)網(wǎng)安全行業(yè)人士表示，很多用戶連cookies都不知道是什么，還把這部分內(nèi)容藏在幾千字的用戶協(xié)議中，不得不讓人對其目的產(chǎn)生懷疑。

據(jù)業(yè)內(nèi)人士透露，“默認(rèn)勾選”早在大家使用PC端的BBS（論壇）功能時(shí)就已經(jīng)以行業(yè)潛規(guī)則的形式出現(xiàn)，當(dāng)時(shí)的初衷是為了減少用戶在網(wǎng)站的點(diǎn)擊次數(shù)，提升用戶上網(wǎng)體驗(yàn)。而現(xiàn)在很多APP開發(fā)者既想盡可能獲得更多用戶授權(quán)，又意圖符合監(jiān)管規(guī)定，所以就衍生出了五花八門的替用戶作主的方式。

“去年出臺的網(wǎng)絡(luò)安全法對于用戶授權(quán)和隱私條款有了明確的規(guī)定，許多APP為了迎合監(jiān)管，草草上線更改后的用戶協(xié)議，利用大量專業(yè)詞匯和免責(zé)表述‘繞暈’用戶，既不合法，也不合規(guī)。”上海信息安全行業(yè)協(xié)會專委會副主任張威向《瞭望》新聞周刊記者表示。

4

依法重拳打擊APP侵權(quán)

互聯(lián)網(wǎng)行業(yè)專家普遍認(rèn)為，“默認(rèn)勾選”不能成為潛規(guī)則，監(jiān)管部門應(yīng)加強(qiáng)執(zhí)法監(jiān)督，保護(hù)用戶合法權(quán)益，保障行業(yè)持續(xù)向好發(fā)展。

張威指出，“默認(rèn)勾選”的做法不僅在大企業(yè)中盛行，小企業(yè)的問題同樣值得關(guān)注。他建議，約談證明互聯(lián)網(wǎng)企業(yè)在替用戶做決定的這一行為，確實(shí)觸及法律底線，接下來執(zhí)法部門應(yīng)根據(jù)相關(guān)法律法規(guī)嚴(yán)格執(zhí)法，倒逼全行業(yè)尊重用戶的知情權(quán)和選擇權(quán)。此外，國家有關(guān)部門應(yīng)完善用戶對此類行為的舉報(bào)機(jī)制，便于用戶在發(fā)現(xiàn)違法線索時(shí)能第一時(shí)間上報(bào)給執(zhí)法部門。

“數(shù)字時(shí)代，信息成為了重要資源?！敝袊畔踩芯吭焊痹洪L左曉棟向《瞭望》新聞周刊記者表示，網(wǎng)絡(luò)安全法與《個(gè)人信息安全規(guī)范》等法律法規(guī)都對個(gè)人信息的保護(hù)提出了明確的要求。但目前，在公眾接觸最多的信息收集環(huán)節(jié)，絕大部分互聯(lián)網(wǎng)企業(yè)遠(yuǎn)未達(dá)到法律法規(guī)與國家標(biāo)準(zhǔn)的要求。企業(yè)主動遵守規(guī)范的動力不足，卻有充分的動力誘導(dǎo)用戶提供個(gè)人信息，因此會用模棱兩可或晦澀難懂的條款來取得用戶的授權(quán)。

他認(rèn)為，僅靠企業(yè)自律不是辦法，最關(guān)鍵的還是嚴(yán)格的執(zhí)法。歐盟不久前發(fā)布的《通用數(shù)據(jù)保護(hù)條例（GDPR）》中，處罰力度可謂非常大，違規(guī)企業(yè)面臨高達(dá)全部營業(yè)額2%～4%的罰款，能直接推動企業(yè)自我規(guī)范。目前，與雖有約談機(jī)制，但缺乏強(qiáng)制力。他建議國家明確個(gè)人信息保護(hù)的主管單位，可效仿歐洲設(shè)置獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)。

采訪中，廈門大學(xué)法學(xué)院助理教授汪東升認(rèn)為，互聯(lián)網(wǎng)企業(yè)的用戶協(xié)議采取了過去金融部門普遍使用的“格式合同”，即用戶要么同意用戶協(xié)議的全部條款，要么就不要使用該款軟件，“這對用戶而言是不公平的。”根據(jù)合同法的有關(guān)規(guī)定，在雙方同意的情況下，用戶和企業(yè)是可以就協(xié)議的部分條款進(jìn)行修改的。他建議，企業(yè)在未來應(yīng)更多照顧不同用戶之間的差別化需求，嘗試推出“需求定制”的用戶協(xié)議。

總監(jiān)制：吳亮

監(jiān)制：夏宇

責(zé)編：戴麗麗 李逸博

編務(wù)：謝芳