最近,有网友爆料说,拼多多远程删除他手机里的照片。

爆料视频显示,事件起因是用户看到拼多多“邀请1人,立即提现100元”的活动,按要求操作却只获得了一个随机红包,且因为没到100元而不能提现。

用户觉得实际活动和宣传不符,便找客服理论,还发送了相关页面的截图和照片为证。可没过多久,用户的vivo手机消息栏出现了提示:检测到“拼多多”已删除照片或视频。

vivo手机提醒丨ChinaNASA

爆料者说,还好相册有回收站,他看到拼多多删除了很多张和这件事相关的图片。他怀疑,拼多多除了欺诈消费者,还试图删掉证据。

事后拼多多解释说,用户在客服界面选择添加图片并拍摄后,可能对照片进行编辑再发送,而App会保存编辑前的图片作为“缓存”,当编辑过的图片发出后,App便会删除编辑前的“缓存”版本。

事件回应丨拼多多

我们并不知道,用户被删的图片是不是在进入客服界面后拍摄的,也不知道,用户在上传那些图片前有没有做过编辑。

但当一个软件获得了存取图片的权限,它的确有能力远程删除设备上的图片。拼多多的解释,可能并不足以打消更多用户的疑虑。

而在各类手机应用疯狂索取权限的年代,我们每按下一个“允许”,都可能暴露大量信息。这些信息都有被滥用的风险,图片也只是其中一部分。

软件要那么多权限做什么?

地图软件需要位置权限,来实现更精确的导航,这不难理解。但假如一个输入法也说要读取位置,甚至读取通讯录,在普通人眼里未免有些过度。

而手机应用索要的权限超出本职功能的情况并不少见。2018年,中国消费者协会发布了100款手机应用的个人信息收集情况,发现它们普遍涉嫌过度收集:

59款涉嫌过度收位置信息,28款涉嫌过度收集通讯录信息,23款涉嫌过度收集身份信息,22款涉嫌过度收集手机号码。

图丨参考资料1

至于收集来的信息用在了哪里,消协2018年发布的《App个人信息泄露情况调查报告》显示,近8成受访者认为App采集个人信息的原因是推销广告。

调查问卷丨参考文献2

拿位置信息来说,软件可以根据用户的位置来推送附近商家的广告。不止如此,仔细分析用户的行踪,还可以得到背后隐藏的信息,比如:

每天去理发店的是托尼老师,隔段时间去一次的是客人。偶尔去街边小理发店的用户,购买力不如偶尔去连锁理发店的用户等等。这样,就可以有针对性地推送不同价位的洗发水广告,提升效率。

用户开放的权限越多,展现出的“用户画像”就越清晰,广告推送也可能越发精准。

不用权限也能被利用的信息

上文提到的那些权限,至少还需要用户手动开启。

而手机里的运动传感器,就是用来感知用户拿起手机、横屏竖屏、走路步数等等的那些元件,如加速度计和陀螺仪,并不受访问许可的保护。也就是说,一个安装好的应用,不需要得到手机使用者的授权,就能访问这些传感器,得到丰富的信息。

比如,触碰手机屏幕的不同区域,会让手机倾斜并产生些许位移,传感器会收集位移数据。而AI算法可能从中总结出规律,用位移数据来推测输入位置。这样,我们在手机上输入密码时的触摸位置,也有机会被捕捉到。

有个名叫TouchLogger的软件,它就是用运动传感器的数据来推测用户按了手机上哪些数字键。在2011年的USENIX安全会议上,这个软件用HTC手机进行了一次测试,它对的推测正确率超过了70%。

HTC数字键盘丨usenix

自那以后,科学家们又做了许多相关的探索。2017年12月发布的一份报告显示:

有个新的程序利用一整套手机传感器来猜PIN码,除了陀螺仪和加速度计,还有光传感器和测量磁性的磁强计。它能分析手机的移动轨迹,以及触屏时手指如何遮住光传感器。在50个PIN码库的测试中,程序通过按键推测出的答案有99.5%正确。

个人信息被滥用的隐患,几乎无处不在。

个人信息被过度索取/滥用怎么办?

2019年2月,抖音用户凌先生发现,自己用手机号注册抖音之后,“可能认识的人”一栏出现了自己现实中的好友,但那时他的手机通讯录里并没有联系人。

凌先生认为抖音App非法获取个人信息,侵害个人信息权与隐私权,因此起诉了抖音运营者北京微播视界科技有限公司。

2020年7月30日北京互联网法院一审裁定,被告对凌先生的个人信息权构成侵害,判决被告删除2019年2月之前收集的凌先生的个人信息与手机号,并赔偿凌先生4231元。另外,法庭也判决被告删除未经允许收集的凌先生位置信息。

这就是说,假如手机应用从其他用户的通讯录里获得张三的个人信息,并了解张三的社会关系,而未经张三本人同意,也可能对张三构成侵权。张三可以通过法律程序维护自己的权益。

图丨央视新闻客户端

而在凌先生胜诉的当天,还有一起案件迎来了相似的判决。

用户黄女士发现,微信读书未经同意获取了自己的微信好友关系,并为她自动关注微信好友,还向微信好友开放了她的读书信息。于是,黄女士起诉腾讯。北京互联网法院一审判决,认定腾讯对黄女士的个人信息权益构成侵害。

法庭认定,微信与微信读书为两款独立的应用。微信读书从微信获取用户好友关系,需要经过用户同意。

也就是说,一款软件合法获取了张三的好友关系,也不能在未经张三同意的情况下交给同公司的另一款软件使用。一旦遇到类似情况,张三也可以通过法律途径要求对方停止侵权。

在法律上,用户对手机应用收集个人信息的知情权,不止包含对收集内容的知情权,还包含对收集使用目的、方式、范围的知情权。

了解自己的合法权益,才有机会对抗不法侵害。

参考文献

[1]中国消费者协会. (2018, Nov 28). 100款App个人信息收集与隐私政策测评报告. 中国消费者协会. http://cca.cn/jmxf/detail/28310.html

[2]中国消费者协会. (2018, Aug 29). 100款App个人信息收集与隐私政策测评报告. 中国消费者协会. http://cca.cn/jmxf/detail/28310.html

[3]Temming, M. (2018, Jan 23). Your phone is like a spy in your pocket. Science News. https://www.sciencenews.org/article/smartphones-data-collection-security-privacy

[4] 孝金波 & 杨绒. (2020, Jul 31). 北京互联网法院:微信读书、抖音侵犯个人信息权. 人民网. http://legal.people.com.cn/n1/2020/0731/c42510-31805538.html

[5] 中华人民共和国网络安全法 (2016, Nov 07). http://www.cac.gov.cn/2016-11/07/c_1119867116.htm