我們，手機上的透明人

詹丹晴

王思聰的大眾點評賬號居然被盜了。

10月10日，王思聰連發兩條微博怒斥大眾點評“恰爛錢”，稱自己的大眾點評賬號莫名其妙被別人改綁手機，并質疑大眾點評，“這就是上萬億市值公司的安全系統嗎？”

隨后，有網友證實，只要提供原手機號碼和生日日期，就可以順利換綁大眾點評賬號。

大眾點評為美團旗下公司，博主@軒寧軒sir 在微博發布視頻演示了在美團上更換手機賬號的過程：該博主以“手機無法接收短信”為由，申請換綁手機號，其間只提供了原手機號、生日日期和新手機號碼，就成功換綁了手機。換綁后，原賬號的訂單信息也一覽無遺。

原來，想要偷我們的美團賬號，竟然這么容易？

問題還遠遠不止這些。

美團接連被爆信息安全問題

在王思聰爆料后，大眾點評在王思聰微博評論區回應稱，“相關賬號已在反饋后的第一時間內予以保護性凍結。相關問題的核查已有初步信息，我們會在私信中與您同步。”

南都周刊記者從美團平臺了解到，在@軒寧軒sir發布視頻后，目前在美團上，“無法接收驗證碼”的手機想要換綁，已經修改為只限于6個月內曾修改過綁定手機號的用戶操作。

就王思聰的情況和用戶對賬號安全的擔憂，南都周刊記者向美團了解情況，美團方面表示以王思聰評論區的回應為準，其他的暫無進一步回應。

記者測試了多個主流應用軟件了解到，目前QQ、淘寶在換綁手機時需要接受人臉驗證，微信則需要微信好友交叉認證，京東則需要提交本人銀行卡和銀行卡綁定手機進行交叉驗證。

一位不愿具名的頭部互聯網公司軟件開發人員告訴記者，人臉驗證成本較高，現在很多軟件只要能證明“你是你自己”就可以找回賬號。美團在驗證用戶的個人信息時，確實過于簡單，但這跟廠商收集用戶信息應該沒有什么關系，更有可能是獲得了王思聰個人信息的“熟人”作案。

在王思聰爆料前，10月9日，#“美團App連續24小時定位”登上微博熱搜榜。前述博主@軒寧軒sir 發博稱，在升級蘋果手機ios15后，通過安裝某隱私記錄軟件后發現，美團在后臺連續24小時進行定位。

美團App一位技術工程師告訴南都周刊記者，這是因為這類隱私記錄軟件在單方面讀取系統操作日志后，進行了選擇性展示。經測試，在相關權限開啟且App后臺仍處于活躍狀態時，大部分主流App均會被該軟件檢測出頻繁讀取用戶信息，且監測結果高度相似。

上述美團工程師透露，最早發微博的用戶拒絕提供更多信息，因此也無法確認該用戶截取數據時的狀態，不過根據系統分析來看，美團App定位之中，該用戶應該發生過大范圍移動。

你的相冊，也不安全

除了美團，近日，微信也因為信息安全問題被推上風口浪尖。

10月8日，網友@Hackl0us 在微博爆料稱，微信在用戶未主動激活App的情況下，在后臺數次讀取用戶相冊，每次讀取時間為40秒至1分鐘不等。

當天，微信回應稱，在用戶授權微信可以讀取“系統相冊權限”的前提下，為方便用戶在微信聊天中按“+”時可以快速發圖，微信使用了IOS系統提供的相冊更新通知標準能力，使用戶發送圖片體驗更快速流暢。

目前，微信針對此事作出緊急修復，向蘋果手機用戶推送了8.0.15新版本，新版本安裝之后系統監控不再有微信讀取相冊的記錄。

盡管微信反應迅速，網友們對它偷偷收集“個人相冊”更新信息仍然感到疑惑和擔憂。

對此，中國互聯網協會研究中心副主任、北京師范大學法學院網絡法治國際中心執行主任吳沈括向南都周刊記者解釋說，“相冊更新，它在技術上表示是否有新增圖片的信息，不涉及個人信息的圖片本身。目前來看，這應該不屬于個人信息的范疇，它只是表示是否有新增的情況，不涉及個人身份的識別問題。”

有關個人信息的范疇，11月1日即將實施的《中華人民共和國個人信息保護法》（下稱“個保法”）有了明確規定，根據第一章第四條，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

中國電子技術標準化研究院網安中心測評實驗室副主任何延哲告訴記者，微信沒有把“讀取相冊更新信息”告知用戶，可能它認為不重要，它也不收集，只是在本地使用，可能也不會造成什么傷害，這也是一種用戶體驗。如果事事告知，如何平衡用戶體驗也是個難題，隱私政策變得更長，用戶也不一定會去讀。如果對個人評估沒有什么影響時，是否還需要用非常明顯的方式去提示用戶呢？個人保護法實施后，恐怕App在“同意”這個環節會發生較大的變化，屆時有待進一步觀察告知的過程和用戶體驗之間大家的態度。

上述某頭部互聯網公司的軟件開發人員指出，故意收集個人信息在大平臺屬于嚴重違規，如果發生這種事，公司內部從程序員到領導再到上級領導都要被抓出來復盤，“做了這種事情的程序員今年的績效就完蛋了。”在他看來，這更可能是系統bug，平臺主觀故意的可能性比較低。

為什么我們如此害怕？

盡管微信和美團作出澄清，許多用戶還是第一時間關閉了微信讀取相冊的權限，關閉了美團的定位權限。

用戶的擔憂與過去App過度索取權限、信息遭受泄露不無關系。以前，手機的手電筒需要獲得通訊錄、照片、錄音、位置、讀取修改文件的權限;小說軟件需要定位權限;美顏相機需要通訊錄權限……許多App索取的權限遠超出實際需求，有些App甚至不給權限就不讓用。

中國消費者協會在2018年曾發布過一份測評報告，該報告顯示，在調查的100款App中，多達91款App存在過度收集用戶個人信息的問題。在100款App中，59款App涉嫌過度收集了“位置信息”，28款App涉嫌過度收集“通訊錄信息”。

2019年1月，網信辦等四部門在全國成立App違法違規收集使用個人信息專項治理工作組。今年以來，工信部多次下架多款應用軟件。就在8月25日，工信部又下架了67個應用軟件，主要涉及違規收集個人信息。

何延哲告訴記者，以前企業濫收數據的行為確實存在，現在有了監管，App強制索取權限已經得到了大幅改善。但還有一些很細節的問題沒有徹底解決好，比如，App收集的權限獲得用戶同意打開，但是它沒有在合適時機、合適場景去采集，或者采集頻率過高。

盡管情況得到改善，但是，經歷過被手機App過度索權的用戶，看著手機上各個App過于精準的推送，接到一個又一個的騷擾短信、電話，始終難以對App真正放心。特別是這兩年，還有不少用戶懷疑手機App在進行竊聽。

有豆瓣網友發帖稱，在跟同事討論了蘋果手機后，打開某電商平臺，立馬看到相關產品的推送;還有網友發帖稱，跟朋友閑聊時提起整形醫生建議她做耳軟骨隆鼻，結果就在微博上看到隆鼻的相關微博……在這些帖子下方，許多網友分享被疑似竊聽的經歷。

對此，何延哲指出，理論上說，竊聽從技術角度是可能的。但是，手機也不允許App24小時偷聽，只要鎖了屏、退出之后，錄音錄像的權限就不能調用了，本身24小時偷聽不具備條件。

在何延哲看來，“竊聽”更有可能是大數據下廣告的精準定位。他指出，互聯網公司為了追求廣告更加的高效、更加個性化，讓用戶畫像變得越來越精準，精準到無所不知。企業的數據積累越多，確確實實真的可能做到很了解你的程度。

何延哲進一步指出，“企業也要自律，一味追求精準，效率如何難說，但是對用戶安全感的破壞也會對產業發展不利。‘解鈴還須系鈴人，沒有人愿意生活在這種焦慮中，除了持續科普以外，企業恐怕要用更大的誠意、更多的付出來贏回用戶。”

11月起個人信息保護法開始實施

值得期待的是，下個月開始，App的過度索取權限現象有望得到進一步改善。11月1日，《中華人民共和國個人信息保護法》將開始施行，這是我國首部完整規定個人信息處理規則的法律。

根據個保法，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

除了個保法中規定的特殊情形，手機App要處理個人信息需要取得個人同意。用戶同意App處理個人信息，今后也有權撤回其同意，而App不得以撤回同意為由，拒絕提供產品或者服務。

過去，手機App獲得用戶同意的方式，通常會以一攬子的用戶協議條款告知。吳沈括指出，從個保法規定來看，告知是以一種清晰易懂的方式來予以告知的，目前監管機關公開的一些表示當中，這種特別冗長的個人信息協議告知方式肯定是要改的，有一些App已經在改變過程當中。

此外，App處理個人敏感信息還需要獲得個人單獨同意。個人敏感信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。

新規實施后，手機App違反個保法規定處理個人信息，拒不改正的，將被并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。

何延哲透露，現在很多企業在加班加點改造產品的形態以迎合法律要求。“個保法實施后，大家都把個人信息保護放在第一位。態度擺正后，隱私保護工作就有了更多實質性的動作。雖然不能依靠一部法律就能立馬徹底解決問題，但是一定會有一個變化，這個變化是大家都希望能夠通過法律約束企業的行為來重建對隱私保護的信任。只有重建信任，互聯網產品才能用得更舒心、省心。”

而在用戶層面，針對維權難問題，個保法明確了用戶維權的路徑。吳沈括表示，個人信息泄露之后，將主要有三種維權方式：通過消費者保護組織等權益保護類協會和機構進行維權;通過舉報、投訴等行政監管的方式，通過行政執法機關來獲得維權;通過司法訴訟的方式向法院提起侵權訴訟，取得司法保護。

未來，也許我們不用再擔心自己是手機上的透明人了。