写点什么

天下没有免费的 App

  • 2021-02-04
  • 本文字数:3823 字

    阅读完需:约 13 分钟

天下没有免费的App

据外媒报道,苹果将在初春公开发布 iOS 下一个测试版本,该版本会要求 App 们提供跟踪透明隐私措施。受该政策影响最大的 Facebook,此前已经联手众多企业与苹果“开撕”,扎克伯格在最近的第四季度财报电话会议上,再次抨击了苹果即将进行的隐私改革。


苹果对这次隐私改革下了很大的决心。1 月 29 日,库克发表讲话称,“如果一家企业建立在误导用户、收集数据、根本不给其他选择的基础上,那它就不值得称赞,而应该进行改革。”


两家巨头因为数据“大打出手”,也使得“隐私保护”话题一时热度空前。



用个人数据交换 App 使用权


根据 QuestMobile 数据,在 2020 年,中国的手机用户平均每天每人使用手机 6 小时。人们的生活已经离不开手机了,准确地说,是离不开手机里有着各种功能的 App 们。


不过,就像天下没有免费的午餐,天下也没有免费的 App。


你以为在免费使用 App,但实际上你是与 App 们做一场交易。使用 App 时,用户虽然大多时候没有付出金钱代价,但在看都不看弹出来的各种条款就点了同意时,就已经与企业签订了“互利合同”:企业承诺提供各种服务、而用户承诺提供自己的个人数据,而且这个“合同”是必须签的,不然用户基本无法正常享受企业提供的“服务”。


以微博为例,近万字的使用协议,几乎没人会认真阅读,大部分会直接选择“同意”,即使协议里明确写了“微博服务使用人(以下称‘用户’)需在认真阅读及独立思考的基础上认可、同意本协议的全部条款”。


用户如果要使用该 App,就需要同意《用户协议》和《微博个人信息保护政策》相关条款,否则就会被强制退出。乍听起来有点问题,但其实企业已经履行了它的告知义务。爱加密副总裁程智力对 InfoQ 表示,据相关法律规定,企业要获得用户数据必须经过用户同意,否则就是违法,会被罚款并对相关 App 进行下架和整改。



使用微博需要同意的条款


对于这些格式条款,用户无法参与修改,只不过未来如果产生纠纷,企业和用户对相关条款产生了不同的理解,法律上会以用户的理解为准。所以,企业也会通过各种方式提示用户去阅读条款,尽量避免相关责任。


注:格式条款又称为标准条款,是指当事人为了重复使用而预先拟定、并在订立合同时未与对方协商的条款。


在用户协议里,大多都是对用户义务和企业权利的规定。比如,“用户同意:微博运营方对微博内容(微博内容即指用户在微博上已发布的信息,例如文字、图片、视频、音频等)享有使用权”、“为提高用户的微博服务使用感受和满意度,用户同意微博运营方可以对用户数据进行调查研究和分析,从而进一步优化微博服务”等。


“这是很多企业的惯常操作,公司不可能在起草合同、格式条款时还要去背负很多责任,更多的当然是对企业有利的内容,因为企业做这件事的目的就是避免麻烦。”法律从业人员肖伊(化名)对 InfoQ 说道。


边界在哪儿?


如果在合理合法、用户也接受的范围内,用户与企业也可以实现双赢,但问题是,现在很多 App 已经“过界”了。


当前,App 数据过度收集已经变得非常普遍。以微博为例,微博在《微博个人信息保护政策》中明确了会收集到的用户信息包括但不止于:账户昵称、密码、邮箱、手机号码、地理位置,关联第三方的相关信息和认证时需要的真实姓名和身份证号码等。同时,还包括设备信息,如 IP 地址、设备型号、唯一设备识别码、浏览器型号、安装的应用信息以及其他的设备技术信息;操作行为日志信息,如访问过的页面或者点击过的链接等。


而在《信息安全技术移动互联网应用(App)收集个人信息基本规范》中,博客论坛类 App 被允许的最少信息为网络日志、手机号码、身份证件号码(仅对公众账号信息发布服务使用者收集)、账号、口令和用户关注记录。此外,微博个人信息保护政策中有一点:您申请认证时还需要收集您的面部识别特征。这即使在要求严格的网络支付类 App 中也不是必要收集信息,支付宝也未将此纳入数据收集范围内。


用户协议、隐私协议等主要是为了告知用户,企业会收集什么样的信息,个别大厂会提供更详细的说明,但多数企业是没有的。


到具体使用时,App 需要再次申请对应的权限,经过用户同意才能进行相关操作。不过肖伊表示,在以前并不是这样。“以前只要你同意了用户协议,App 就可以直接获得权限、读取用户信息,不会进行权限再申请。”


而对于权限申请,用户并不了解其重要性。


小米软件与体验部系统安全部负责人王乐,以几乎 99% 的 App 都会申请的权限“获取手机信息”为例,对 InfoQ 作了详细的解释:该权限是 App 申请频次最高的,很多 App 不获得该权限授权甚至会禁止用户使用。App 获取这个权限最主要目的是获得手机的 IMEI,作为用户的虚拟身份标识,从而建立用户画像,对用户进行追踪和精准的广告投放。在得到“获取手机信息”授权后,App 还可以读取手机号码、SIM 卡的 IMSI 号码、ICCID 等多项数据。


王乐表示,之前 App 滥用用户隐私的情况很严重。根据小米数据统计系统,截至去年 4 月,每部手机平均每天会被 App 定位 3691 次,相册和个人文件每天被 App 访问 2432 次,App 在后台每天尝试悄悄地启动 783 次,有超过 40 万个 App 可以直接读取用户的剪切板。


以剪切板为例,剪切板里可能会出现用户住址、身份证号、电话号码、银行卡号等极度隐私的数据,App 可以利用这些数据建立起相应的用户画像。


此外,像社交分享图片这样的高频行为,为了给用户更好的数据索引,相机拍摄的图片可能会保存地理位置信息。如果用户直接分享新拍摄的图片,非法 App 在授权访问外置存储后,可以通过读取最新拍摄的图片信息获得用户当前位置信息。


除了过度收集,网上甚至爆出有 App 直接删除了用户手机信息的情况。对此,王乐表示:“如果这种行为存在的话,那肯定是不合理的,这种行为是对用户数据安全和隐私保护的严重侵犯。”


“我都知道,但我能怎么办?”


目前企业利用用户数据和算法推送新闻、广告等行为已经被默许。《数据安全管理办法(征求意见稿)》中指出,企业只需要标明“定推”字样,并为用户提供停止接收定向推送信息的功能即可。


在用户张浩(化名)看来,虽然收到了更准确的推送,但接收到的很大一部分是商业广告。而这只是企业赚钱的其中一种手段,企业将用户数据用于商业的方式不只于此,还有很多像大数据杀熟这样严重伤害用户的行为。


“利用这些数据,有钱、有实力的企业越来越有钱,但普通人不知隐私重要而且还被利用,最后羊毛还是出在羊身上。”张浩说道。


“有人注意不到隐私数据已经泄露,有人不知道数据泄露的重要性,也有人不知道如何保护自己的数据。”在张浩看来,这些认知缺乏的背后是复杂的社会学问题,传统教育和行为习惯等共同造成了人们现在的思维模式。


不幸的是,用户面对 App 背后的企业几乎没有什么谈判能力,而且通过法律维权也是一件性价比极低的事情。


“民法典生效后,隐私权和个人信息权益有部分重叠。个人信息也受法律保护,但个人信息和隐私信息的区别就在于,个人信息有可能是一个公开的东西,而隐私信息却不是,隐私信息受法律明确保护。如果用隐私权去主张,损失证明会比较难,更多可能获得精神赔偿。”肖伊说道。


虽有合法途径可走,但走的人很少。“我的数据在被利用,我当然知道。数据泄露了我也肯定很生气,但我知道、我生气又有什么用?”张浩说,“我去维权、去起诉,我的时间哪来?我还要付出大量精力和诉讼费、律师费,最后可能就赔偿我一点点钱,我图什么?”


张浩的想法代表了大多数人。所以,我们经常看到数据泄露事件,但鲜看到有用户自发维权。


在当前情况下,一次次将“隐私保护”带入公众视野的是用户和 App 之外的第三方,比如手机系统和监管。


如今,手机系统厂商开始承担起第三方“保护者”的角色。除了 IOS 端的苹果,安卓端手机厂商也逐渐在隐私保护上发力。以小米 MIUI 系统为例,针对上面提到的“获取手机信息”权限问题,MIUI12 已通过提供“空白通行证”的方式来解决。根据小米公布的数据,主打隐私保护的 MIUI12 发布半年后,手机每天被定位的次数下降了 98.21%,相册和个人文件等被 App 访问的次数下降了 92.66%,同时 App 在后台尝试悄悄启动的次数下降了 62.85%。


此外,政府也显得比普通公众更关心个人数据安全,这是由多方面原因造成的。


App 收集的个人信息现在已经上升到了国家安全的高度。随着数据体量的慢慢增大,一旦发生泄露就会严重威胁到国家安全。在一个数字化社会中,网络信息已经成为直接威胁国家安全的因素之一。


“去年,我们看到很多关于数据保护的法律法规出台。今年,国家在信息安全方面仍然会非常重视,监管力度还会继续加大。”程智力表示。


同时,无论欧盟、美国还是东南亚的国家,都陆续出台了数据隐私保护标准,虽然严苛程度不同,但都在推进相关工作。比如,欧盟国家出台的《通用数据保护条例》规定非常详细,甚至可以说达到了严苛的水平,如果中国没有跟上国际节奏,在对外合作中就容易出现问题。


但无论国内外,在整个生态里,用户先天的弱势地位使其难以很好地保护自己的数据,但他们生活在 App 们创造的世界里,已经很难离开。


为此,王乐也给用户提了一些建议。比如,要从正式渠道下载 App,“未知来源”安装 App 会进一步提升安全和隐私风险。同时,要谨慎授予权限,对于不法行为进行投诉。如果想彻底消除自己在某应用上留下的信息,要在相关 App 上注销账户,或者在相关的用户权利网站提交自己的数据删除申请,仅仅卸载是没有用的。


不过,即使用户再谨慎,也做不到完全不对外输出信息。“可以用我的数据,但不要用我的数据来伤害我。”这是以张浩为代表的一批用户在面对这些问题时做出的最大妥协。

2021-02-04 14:211910

评论

发布
暂无评论
发现更多内容

第 9 章 -《Linux 一学就会》-文件的归档和压缩 tar---zip

学神来啦

Linux 运维 linux学习

如何让文件共享 SDK 支持使用 Uri 上传文件

ZEGO即构

文件存储 分区存储 文件共享

通俗易懂!306页图解计算机网络,涵盖所有基础知识

Java 架构 面试 程序人生 编程语言

手把手教学基于深度学习的遥感影像倾斜框算法训练与分析

cv君

AI 引航计划

【LeetCode】 旅行终点站Java题解

Albert

算法 LeetCode 10月月更

FunTester框架Redis性能测试之map & INCR

FunTester

redis 性能测试 测试框架 测试开发 FunTester

在线GIF图片帧修改工具

入门小站

工具

音视频终端引擎优化实践

百度开发者中心

最佳实践 音视频 实践案例 智能视频 行业深度

打造“大国重器”高性能计算,联想与英特尔如何携手点亮数字经济加速度?

脑极体

[27]智慧金融--AI目前最被看好的落地领域

Databri_AI

人工智能

互斥锁、自旋锁、读写锁...理清它们的区别和应用

行云创新

云计算 编程 开发 应用

行云创新:云原生技术助力企业数字化转型

行云创新

技术 云原生 转型 数字化 平台

CTF压轴题解题思路和过程

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

一文了解「模块化」 区块链的当前形势:执行、安全性及数据可用性

CECBC

谈 C++17 里的 State 模式之二

hedzr

c++ 算法 设计模式 Design Patterns 有限状态机

5G三年成厦,泛在千兆为应用造榫卯

脑极体

华为大牛总结的超全Linux学习笔记,看这一篇就够了!

Java 架构 面试 程序人生 编程语言

强烈推荐!88页《Redis学习文档》完整版,PDF开放下载

Java 架构 面试 程序人生 编程语言

【实战】基于TensorRT 加速YOLO系列以及其他加速算法实战与对比

cv君

AI 引航计划

如何应对员工犯错?

石云升

项目管理 管理 引航计划 内容合集 10月月更

以匠心正道,以决心致远:毫末智行的自动驾驶之路

脑极体

自动驾驶混战,剑气二宗谁能笑傲江湖?

白洞计划

JVM g1 gc 学习笔记二

风翱

GC 9月日更

002云原生之架构定义

穿过生命散发芬芳

云原生 9月日更

北鲲云超算平台如何将云计算与高性能计算结合

北鲲云

Docker OOM Killer

AiDaddy

Docker JVM trouble shooting

【Flutter 专题】138 图解自定义国旗渐变头像

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 10月月更

linux线上CPU100%排查

入门小站

Linux

翻译积累 - Java正则表达式Pattern类

小马哥

翻译 日更

003云原生之架构原则

穿过生命散发芬芳

云原生 10月月更

独一无二的「MySQL调优金字塔」相信也许你拥有了它,你就很可能拥有了全世界。

洛神灬殇

性能优化 后端 MySQL 数据库 引航计划 10月月更

天下没有免费的App_文化 & 方法_褚杏娟_InfoQ精选文章