4

侵犯个人信息,不止“远程删图”这一种方法

 3 years ago
source link: https://mp.weixin.qq.com/s?__biz=MTg1MjI3MzY2MQ%3D%3D&%3Bmid=2651779041&%3Bidx=1&%3Bsn=21fa57b264e6d33808e32ae9e30028e9
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

最近,有网友爆料说,拼多多远程删除他手机里的照片。

爆料视频显示,事件起因是用户看到拼多多“邀请1人,立即提现100元”的活动,按要求操作却只获得了一个随机红包,且因为没到100元而不能提现。

用户觉得实际活动和宣传不符,便找客服理论,还发送了相关页面的截图和照片为证。可没过多久,用户的vivo手机消息栏出现了提示: 检测到“拼多多”已删除照片或视频

ZV3aYzi.png!mobile

vivo手机提醒丨ChinaNASA

爆料者说,还好相册有回收站,他看到拼多多删除了很多张和这件事相关的图片。他怀疑,拼多多除了欺诈消费者,还试图删掉证据。

事后拼多多解释说,用户在客服界面选择添加图片并拍摄后,可能对照片进行编辑再发送,而App会保存编辑前的图片作为“缓存”,当编辑过的图片发出后,App便会删除编辑前的“缓存”版本。

6vUzyiZ.jpg!mobile

事件回应丨拼多多

我们并不知道,用户被删的图片是不是在进入客服界面后拍摄的,也不知道,用户在上传那些图片前有没有做过编辑。

但当一个软件获得了存取图片的权限,它的确有能力远程删除设备上的图片。拼多多的解释,可能并不足以打消更多用户的疑虑。

而在各类手机应用疯狂索取权限的年代,我们每按下一个“允许”,都可能暴露大量信息。这些信息都有被滥用的风险,图片也只是其中一部分。

软件要那么多权限做什么?

地图软件需要位置权限,来实现更精确的导航,这不难理解。但假如一个输入法也说要读取位置,甚至读取通讯录,在普通人眼里未免有些过度。

而手机应用索要的权限超出本职功能的情况并不少见。2018年,中国消费者协会发布了100款手机应用的个人信息收集情况,发现它们普遍涉嫌过度收集:

59款涉嫌过度收位置信息,28款涉嫌过度收集通讯录信息,23款涉嫌过度收集身份信息,22款涉嫌过度收集手机号码。

MfemiiF.jpg!mobile

图丨参考资料1

至于收集来的信息用在了哪里,消协2018年发布的《App个人信息泄露情况调查报告》显示, 近8成受访者认为App采集个人信息的原因是推销广告

RfM36nf.png!mobile

调查问卷丨参考文献2

拿位置信息来说,软件可以根据用户的位置来推送附近商家的广告。不止如此,仔细分析用户的行踪,还可以得到背后隐藏的信息,比如:

每天去理发店的是托尼老师,隔段时间去一次的是客人。偶尔去街边小理发店的用户,购买力不如偶尔去连锁理发店的用户等等。这样,就可以有针对性地推送不同价位的洗发水广告,提升效率。

用户开放的权限越多,展现出的“用户画像”就越清晰,广告推送也可能越发精准。

不用权限也能被利用的信息

上文提到的那些权限,至少还需要用户手动开启。

而手机里的运动传感器,就是用来感知用户拿起手机、横屏竖屏、走路步数等等的那些元件,如加速度计和陀螺仪,并不受访问许可的保护。 也就是说,一个安装好的应用,不需要得到手机使用者的授权,就能访问这些传感器,得到丰富的信息。

QbmARbR.jpg!mobile

图丨Medium

比如,触碰手机屏幕的不同区域,会让手机倾斜并产生些许位移,传感器会收集位移数据 而AI算法可能从中总结出规律,用位移数据来推测输入位置。这样,我们在手机上输入密码时的触摸位置,也有机会被捕捉到。

有个名叫TouchLogger的软件,它就是用运动传感器的数据来推测用户按了手机上哪些数字键。在2011年的USENIX安全会议上,这个软件用HTC手机进行了一次测试,它对的推测正确率超过了70%。

n2EbMjn.png!mobile

HTC数字键盘丨usenix

自那以后,科学家们又做了许多相关的探索。2017年12月发布的一份报告显示:

有个新的程序利用一整套手机传感器来猜PIN码,除了陀螺仪和加速度计,还有光传感器和测量磁性的磁强计。它能分析手机的移动轨迹,以及触屏时手指如何遮住光传感器。在50个PIN码库的测试中,程序通过按键推测出的答案有99.5%正确。

个人信息被滥用的隐患,几乎无处不在。

个人信息被过度索取/滥用怎么办?

2019年2月,抖音用户凌先生发现,自己用手机号注册抖音之后,“可能认识的人”一栏出现了自己现实中的好友,但那时他的手机通讯录里并没有联系人。

凌先生认为抖音App非法获取个人信息,侵害个人信息权与隐私权,因此起诉了抖音运营者北京微播视界科技有限公司。

2020年7月30日北京互联网法院一审裁定,被告对凌先生的个人信息权构成侵害,判决被告删除2019年2月之前收集的凌先生的个人信息与手机号,并赔偿凌先生4231元。另外,法庭也判决被告删除未经允许收集的凌先生位置信息。

这就是说,假如手机应用从其他用户的通讯录里获得张三的个人信息,并了解张三的社会关系,而未经张三本人同意,也可能对张三构成侵权。张三可以通过法律程序维护自己的权益。

VzYbe27.jpg!mobile

图丨央视新闻客户端

而在凌先生胜诉的当天,还有一起案件迎来了相似的判决。

用户黄女士发现,微信读书未经同意获取了自己的微信好友关系,并为她自动关注微信好友,还向微信好友开放了她的读书信息。于是,黄女士起诉腾讯。北京互联网法院一审判决,认定腾讯对黄女士的个人信息权益构成侵害。

法庭认定,微信与微信读书为两款独立的应用。微信读书从微信获取用户好友关系,需要经过用户同意。

也就是说,一款软件合法获取了张三的好友关系,也不能在未经张三同意的情况下交给同公司的另一款软件使用。一旦遇到类似情况,张三也可以通过法律途径要求对方停止侵权。

在法律上,用户对手机应用收集个人信息的知情权,不止包含对收集内容的知情权,还包含对收集使用目的、方式、范围的知情权。

了解自己的合法权益,才有机会对抗不法侵害。

参考文献

[1]中国消费者协会. (2018, Nov 28). 100款App个人信息收集与隐私政策测评报告. 中国消费者协会. http://cca.cn/jmxf/detail/28310.html

[2]中国消费者协会. (2018, Aug 29). 100款App个人信息收集与隐私政策测评报告. 中国消费者协会. http://cca.cn/jmxf/detail/28310.html

[3]Temming, M. (2018, Jan 23). Your phone is like a spy in your pocket. Science News. https://www.sciencenews.org/article/smartphones-data-collection-security-privacy

[4] 孝金波 & 杨绒. (2020, Jul 31). 北京互联网法院:微信读书、抖音侵犯个人信息权. 人民网. http://legal.people.com.cn/n1/2020/0731/c42510-31805538.html

[5] 中华人民共和国网络安全法 (2016, Nov 07). http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

作者:呜喵王·文和、锦衣Reload、栗子

本文来自果壳,未经授权不得转载.

如有需要请联系[email protected]

EFFfiai.jpg!mobile


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK