APP們“失控”了。

從拼多多刪除用戶緩存照片，到QQ讀取用戶瀏覽器歷史訪問記錄，人們發(fā)現(xiàn)，自己的隱私的獲取方式會(huì)是如此簡(jiǎn)單、隱蔽，數(shù)字時(shí)代，個(gè)人隱私的保護(hù)會(huì)如此艱巨。

從點(diǎn)進(jìn)小小的圖標(biāo)起，香港免備案主機(jī)，姓名、電話、相冊(cè)、位置、通訊錄，各類手機(jī)權(quán)限被APP一一拿到，點(diǎn)擊記錄、瀏覽時(shí)長(zhǎng)，各類信息化作養(yǎng)料，滋養(yǎng)著算法的演進(jìn)，維系A(chǔ)PP的正常運(yùn)轉(zhuǎn)，沒有人能比APP更懂我們。

萬(wàn)字長(zhǎng)文，全篇閱讀大約需要25分鐘。如果沒時(shí)間閱讀全文，可拉至最下方，閱讀千字提要版。

搜狐科技《遠(yuǎn)光》出品——看見更深、更遠(yuǎn)的科技時(shí)代。

一、我們的隱私是如何泄露的？

獲取權(quán)限，是APP拿到我們隱私數(shù)據(jù)的第一步。

不過，通過查閱常用APP的隱私政策，我們可以發(fā)現(xiàn)，APP收集的大部分用戶信息是不需要調(diào)取用戶權(quán)限的。

以拼多多為例，可以“輕易”獲取的信息包括手機(jī)號(hào)等注冊(cè)信息，設(shè)備型號(hào)、瀏覽記錄、搜索記錄等設(shè)備信息和日志信息，以及身份證、收貨地址、訂單號(hào)、下單時(shí)間等交易信息。

不過，拼多多強(qiáng)調(diào)，單獨(dú)的設(shè)備信息、日志信息、搜索關(guān)鍵詞信息等無(wú)法與特定個(gè)人直接建立聯(lián)系，所以不屬于個(gè)人信息或個(gè)人敏感信息。

除了APP可以輕易獲取的信息，還有用戶可以自主選擇是否授權(quán)的信息，一般包括位置、攝像頭、相冊(cè)、麥克風(fēng)、通訊錄，用戶可以根據(jù)需求開啟或關(guān)閉相關(guān)權(quán)限。當(dāng)然，隱私政策、隱私權(quán)限設(shè)置“躺”在APP的“犄角旮旯”里，“鮮為人知”。

在上述兩種收集方式之外，還有大量的個(gè)人信息以更為隱蔽的方式流轉(zhuǎn)著，比如SDK和輸入法。

SDK是APP里的第三方工具，可以幫助APP高效率、低成本地實(shí)現(xiàn)地圖、支付、統(tǒng)計(jì)、廣告等功能。與此同時(shí)，SDK可以對(duì)WiFi熱點(diǎn)、位置、手機(jī)號(hào)、通話記錄等個(gè)人信息進(jìn)行收集。

《常用第三方SDK收集使用個(gè)人信息測(cè)評(píng)報(bào)告》中指出，有少數(shù)SDK會(huì)向自己的服務(wù)器回傳未經(jīng)加密的個(gè)人敏感信息，這些信息在APP開發(fā)者、單個(gè)或多個(gè)第三方之間流動(dòng)，增加了個(gè)人信息泄露、濫用的風(fēng)險(xiǎn)。

有行業(yè)人士向搜狐科技透露，做推送服務(wù)SDK的公司可以實(shí)現(xiàn)互相拉活、互相調(diào)起，這證明個(gè)人信息會(huì)通過SDK流動(dòng)。“如果你做了一個(gè)APP，去SDK服務(wù)商這里買量，只要用戶手機(jī)中有安裝同一SDK的APP，該公司就能通過該APP你的應(yīng)用調(diào)起（后臺(tái)自啟動(dòng)），或者是能跳轉(zhuǎn)到你的APP上。”

SDK收集信息較為隱蔽，用戶很難感知。與之相似的則是輸入法，用戶對(duì)輸入法往往“燈下黑”。

在2021微信公開課Pro版的微信之夜上，張小龍的講話似乎暗示了第三方輸入法有過度使用個(gè)人信息的嫌疑。他表示，接下來(lái)微信將灰度測(cè)試輸入法，目的不是搶奪這個(gè)市場(chǎng)，而是保護(hù)用戶隱私。

“微信收到了很多用戶投訴，稱自己聊天輸入什么就會(huì)看到相應(yīng)的廣告。出于保護(hù)用戶隱私的目的，微信要自己做一個(gè)輸入法。”

除了文字輸入，APP對(duì)于聲音的收集，也常常讓用戶恐懼，許多用戶經(jīng)常反應(yīng)遇到“監(jiān)聽現(xiàn)象”。

“剛和朋友聊天提到嬰兒車，購(gòu)物軟件立馬進(jìn)行了精準(zhǔn)推薦”、“剛和女兒聊到紙飛機(jī)，抖音就進(jìn)行了相關(guān)視頻推薦“——過于精準(zhǔn)的廣告推送讓用戶不由得產(chǎn)生疑問：APP會(huì)通過偷聽、偷窺的方式收集個(gè)人信息嗎？

《APP安全意識(shí)公眾調(diào)查問卷報(bào)告》顯示，在近32萬(wàn)名受訪者中，近三分之一的人表示很反感精準(zhǔn)推送和個(gè)性化廣告，感覺自己被窺探或偷聽。

一位小米安全開發(fā)工程師告訴搜狐科技，現(xiàn)在大部分APP都向用戶索取讀取文件的權(quán)限，從技術(shù)上來(lái)說(shuō)，凡是讀取文件，比如竊聽、偷拍、遠(yuǎn)程刪除照片、收集用戶瀏覽記錄等等操作都可以完成。

雖然理論上可行，但多位行業(yè)人士向搜狐科技表示，偷聽、偷拍的行為在成本與收入上不成正比，有較大的法律風(fēng)險(xiǎn)。并且，現(xiàn)在底層的操作系統(tǒng)會(huì)對(duì)應(yīng)用調(diào)取敏感權(quán)限進(jìn)行限制，告知用戶。

有資深安卓開發(fā)工程師告訴搜狐科技，在新的安卓系統(tǒng)中，竊聽、偷拍等現(xiàn)在在技術(shù)上也不是很容易實(shí)現(xiàn)，如果應(yīng)用在后臺(tái)，一般是打不開麥克風(fēng)、攝像頭這種敏感權(quán)限。

“安卓6.0之前沒有‘動(dòng)態(tài)權(quán)限’，開發(fā)者可以隨便用敏感權(quán)限。但是現(xiàn)在，你真正需要用的時(shí)候，需要彈框提示用戶，如果用戶點(diǎn)拒絕，你是沒辦法用的。”

“我們現(xiàn)在有畫像和追蹤的技術(shù)，完全可以做到知道你想買什么或猜你想買什么，偷聽是沒有必要的。”APP專項(xiàng)治理工作組專家何延哲表示，一旦發(fā)現(xiàn)APP偷聽，就是絕對(duì)意義上的未經(jīng)用戶允許收集個(gè)人敏感信息，這是典型的違法行為，“應(yīng)該是非常少甚至不存在的”。