天下沒有免費的App

編者按：本文來自微信公眾號“InfoQ”（ID:infoqchina），作者：褚杏娟，36氪經(jīng)授權(quán)發(fā)布。

據(jù)外媒報道，蘋果將在初春公開發(fā)布 iOS 下一個測試版本，該版本會要求 App 們提供跟蹤透明隱私措施。受該政策影響最大的 Facebook，此前已經(jīng)聯(lián)手眾多企業(yè)與蘋果“開撕”，扎克伯格在最近的第四季度財報電話會議上，再次抨擊了蘋果即將進行的隱私改革。

蘋果對這次隱私改革下了很大的決心。1 月 29 日，庫克發(fā)表講話稱，“如果一家企業(yè)建立在誤導(dǎo)用戶、收集數(shù)據(jù)、根本不給其他選擇的基礎(chǔ)上，那它就不值得稱贊，而應(yīng)該進行改革?！?/p>

兩家巨頭因為數(shù)據(jù)“大打出手”，也使得“隱私保護”話題一時熱度空前。

根據(jù) QuestMobile 數(shù)據(jù)，在 2020 年，中國的手機用戶平均每天每人使用手機 6 小時。人們的生活已經(jīng)離不開手機了，準確地說，是離不開手機里有著各種功能的 App 們。

不過，就像天下沒有免費的午餐，天下也沒有免費的 App。

你以為在免費使用 App，但實際上你是與 App 們做一場交易。使用 App 時，用戶雖然大多時候沒有付出金錢代價，但在看都不看彈出來的各種條款就點了同意時，就已經(jīng)與企業(yè)簽訂了“互利合同”：企業(yè)承諾提供各種服務(wù)、而用戶承諾提供自己的個人數(shù)據(jù)，而且這個“合同”是必須簽的，不然用戶基本無法正常享受企業(yè)提供的“服務(wù)”。

以微博為例，近萬字的使用協(xié)議，幾乎沒人會認真閱讀，大部分會直接選擇“同意”，即使協(xié)議里明確寫了“微博服務(wù)使用人（以下稱‘用戶’）需在認真閱讀及獨立思考的基礎(chǔ)上認可、同意本協(xié)議的全部條款”。

用戶如果要使用該 App，就需要同意《用戶協(xié)議》和《微博個人信息保護政策》相關(guān)條款，否則就會被強制退出。乍聽起來有點問題，但其實企業(yè)已經(jīng)履行了它的告知義務(wù)。愛加密副總裁程智力對 InfoQ 表示，據(jù)相關(guān)法律規(guī)定，企業(yè)要獲得用戶數(shù)據(jù)必須經(jīng)過用戶同意，否則就是違法，會被罰款并對相關(guān) App 進行下架和整改。

使用微博需要同意的條款

對于這些格式條款，用戶無法參與修改，只不過未來如果產(chǎn)生糾紛，企業(yè)和用戶對相關(guān)條款產(chǎn)生了不同的理解，法律上會以用戶的理解為準。所以，企業(yè)也會通過各種方式提示用戶去閱讀條款，盡量避免相關(guān)責(zé)任。

注：格式條款又稱為標準條款，是指當(dāng)事人為了重復(fù)使用而預(yù)先擬定、并在訂立合同時未與對方協(xié)商的條款。

在用戶協(xié)議里，大多都是對用戶義務(wù)和企業(yè)權(quán)利的規(guī)定。比如，“用戶同意：微博運營方對微博內(nèi)容（微博內(nèi)容即指用戶在微博上已發(fā)布的信息，例如文字、圖片、視頻、音頻等）享有使用權(quán)”、“為提高用戶的微博服務(wù)使用感受和滿意度，用戶同意微博運營方可以對用戶數(shù)據(jù)進行調(diào)查研究和分析，從而進一步優(yōu)化微博服務(wù)”等。

“這是很多企業(yè)的慣常操作，公司不可能在起草合同、格式條款時還要去背負很多責(zé)任，更多的當(dāng)然是對企業(yè)有利的內(nèi)容，因為企業(yè)做這件事的目的就是避免麻煩?！狈蓮臉I(yè)人員肖伊（化名）對 InfoQ 說道。

如果在合理合法、用戶也接受的范圍內(nèi)，用戶與企業(yè)也可以實現(xiàn)雙贏，但問題是，現(xiàn)在很多 App 已經(jīng)“過界”了。

當(dāng)前，App 數(shù)據(jù)過度收集已經(jīng)變得非常普遍。以微博為例，微博在《微博個人信息保護政策》中明確了會收集到的用戶信息包括但不止于：賬戶昵稱、密碼、郵箱、手機號碼、地理位置，關(guān)聯(lián)第三方的相關(guān)信息和認證時需要的真實姓名和身份證號碼等。同時，還包括設(shè)備信息，如 IP 地址、設(shè)備型號、唯一設(shè)備識別碼、瀏覽器型號、安裝的應(yīng)用信息以及其他的設(shè)備技術(shù)信息；操作行為日志信息，如訪問過的頁面或者點擊過的鏈接等。

而在《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范》中，博客論壇類 App 被允許的最少信息為網(wǎng)絡(luò)日志、手機號碼、身份證件號碼（僅對公眾賬號信息發(fā)布服務(wù)使用者收集）、賬號、口令和用戶關(guān)注記錄。此外，微博個人信息保護政策中有一點：您申請認證時還需要收集您的面部識別特征。這即使在要求嚴格的網(wǎng)絡(luò)支付類 App 中也不是必要收集信息，支付寶也未將此納入數(shù)據(jù)收集范圍內(nèi)。

用戶協(xié)議、隱私協(xié)議等主要是為了告知用戶，企業(yè)會收集什么樣的信息，個別大廠會提供更詳細的說明，但多數(shù)企業(yè)是沒有的。

到具體使用時，App 需要再次申請對應(yīng)的權(quán)限，經(jīng)過用戶同意才能進行相關(guān)操作。不過肖伊表示，在以前并不是這樣?！耙郧爸灰阃饬擞脩魠f(xié)議，App 就可以直接獲得權(quán)限、讀取用戶信息，不會進行權(quán)限再申請。”

而對于權(quán)限申請，用戶并不了解其重要性。

小米軟件與體驗部系統(tǒng)安全部負責(zé)人王樂，以幾乎 99% 的 App 都會申請的權(quán)限“獲取手機信息”為例，對 InfoQ 作了詳細的解釋：該權(quán)限是 App 申請頻次最高的，很多 App 不獲得該權(quán)限授權(quán)甚至?xí)褂脩羰褂?。App 獲取這個權(quán)限最主要目的是獲得手機的 IMEI，作為用戶的虛擬身份標識，從而建立用戶畫像，對用戶進行追蹤和精準的廣告投放。在得到“獲取手機信息”授權(quán)后，App 還可以讀取手機號碼、SIM 卡的 IMSI 號碼、ICCID 等多項數(shù)據(jù)。

王樂表示，之前 App 濫用用戶隱私的情況很嚴重。根據(jù)小米數(shù)據(jù)統(tǒng)計系統(tǒng)，截至去年 4 月，每部手機平均每天會被 App 定位 3691 次，相冊和個人文件每天被 App 訪問 2432 次，App 在后臺每天嘗試悄悄地啟動 783 次，有超過 40 萬個 App 可以直接讀取用戶的剪切板。

以剪切板為例，剪切板里可能會出現(xiàn)用戶住址、身份證號、電話號碼、銀行卡號等極度隱私的數(shù)據(jù)，App 可以利用這些數(shù)據(jù)建立起相應(yīng)的用戶畫像。

此外，像社交分享圖片這樣的高頻行為，為了給用戶更好的數(shù)據(jù)索引，相機拍攝的圖片可能會保存地理位置信息。如果用戶直接分享新拍攝的圖片，非法 App 在授權(quán)訪問外置存儲后，可以通過讀取最新拍攝的圖片信息獲得用戶當(dāng)前位置信息。

除了過度收集，網(wǎng)上甚至爆出有 App 直接刪除了用戶手機信息的情況。對此，王樂表示：“如果這種行為存在的話，那肯定是不合理的，這種行為是對用戶數(shù)據(jù)安全和隱私保護的嚴重侵犯?！?/p> 3 “我都知道，但我能怎么辦？”

目前企業(yè)利用用戶數(shù)據(jù)和算法推送新聞、廣告等行為已經(jīng)被默許?！稊?shù)據(jù)安全管理辦法（征求意見稿）》中指出，企業(yè)只需要標明“定推”字樣，并為用戶提供停止接收定向推送信息的功能即可。

在用戶張浩（化名）看來，雖然收到了更準確的推送，但接收到的很大一部分是商業(yè)廣告。而這只是企業(yè)賺錢的其中一種手段，企業(yè)將用戶數(shù)據(jù)用于商業(yè)的方式不只于此，還有很多像大數(shù)據(jù)殺熟這樣嚴重傷害用戶的行為。

“利用這些數(shù)據(jù)，有錢、有實力的企業(yè)越來越有錢，但普通人不知隱私重要而且還被利用，最后羊毛還是出在羊身上?！睆埡普f道。

“有人注意不到隱私數(shù)據(jù)已經(jīng)泄露，有人不知道數(shù)據(jù)泄露的重要性，也有人不知道如何保護自己的數(shù)據(jù)。”在張浩看來，這些認知缺乏的背后是復(fù)雜的社會學(xué)問題，傳統(tǒng)教育和行為習(xí)慣等共同造成了人們現(xiàn)在的思維模式。

不幸的是，用戶面對 App 背后的企業(yè)幾乎沒有什么談判能力，而且通過法律維權(quán)也是一件性價比極低的事情。

“民法典生效后，隱私權(quán)和個人信息權(quán)益有部分重疊。個人信息也受法律保護，但個人信息和隱私信息的區(qū)別就在于，個人信息有可能是一個公開的東西，而隱私信息卻不是，隱私信息受法律明確保護。如果用隱私權(quán)去主張，損失證明會比較難，更多可能獲得精神賠償?！毙ひ琳f道。

雖有合法途徑可走，但走的人很少?！拔业臄?shù)據(jù)在被利用，我當(dāng)然知道。數(shù)據(jù)泄露了我也肯定很生氣，但我知道、我生氣又有什么用？”張浩說，“我去維權(quán)、去起訴，我的時間哪來？我還要付出大量精力和訴訟費、律師費，最后可能就賠償我一點點錢，我圖什么？”

張浩的想法代表了大多數(shù)人。所以，我們經(jīng)常看到數(shù)據(jù)泄露事件，但鮮看到有用戶自發(fā)維權(quán)。

在當(dāng)前情況下，一次次將“隱私保護”帶入公眾視野的是用戶和 App 之外的第三方，比如手機系統(tǒng)和監(jiān)管。

如今，手機系統(tǒng)廠商開始承擔(dān)起第三方“保護者”的角色。除了 IOS 端的蘋果，安卓端手機廠商也逐漸在隱私保護上發(fā)力。以小米 MIUI 系統(tǒng)為例，針對上面提到的“獲取手機信息”權(quán)限問題，MIUI12已通過提供“空白通行證”的方式來解決。根據(jù)小米公布的數(shù)據(jù)，主打隱私保護的 MIUI12 發(fā)布半年后，手機每天被定位的次數(shù)下降了 98.21%，相冊和個人文件等被 App 訪問的次數(shù)下降了 92.66%，同時 App 在后臺嘗試悄悄啟動的次數(shù)下降了 62.85%。

此外，政府也顯得比普通公眾更關(guān)心個人數(shù)據(jù)安全，這是由多方面原因造成的。

App 收集的個人信息現(xiàn)在已經(jīng)上升到了國家安全的高度。隨著數(shù)據(jù)體量的慢慢增大，一旦發(fā)生泄露就會嚴重威脅到國家安全。在一個數(shù)字化社會中，網(wǎng)絡(luò)信息已經(jīng)成為直接威脅國家安全的因素之一。

“去年，我們看到很多關(guān)于數(shù)據(jù)保護的法律法規(guī)出臺。今年，國家在信息安全方面仍然會非常重視，監(jiān)管力度還會繼續(xù)加大?！背讨橇Ρ硎?。

同時，無論歐盟、美國還是東南亞的國家，都陸續(xù)出臺了數(shù)據(jù)隱私保護標準，雖然嚴苛程度不同，但都在推進相關(guān)工作。比如，歐盟國家出臺的《通用數(shù)據(jù)保護條例》規(guī)定非常詳細，甚至可以說達到了嚴苛的水平，如果中國沒有跟上國際節(jié)奏，在對外合作中就容易出現(xiàn)問題。

但無論國內(nèi)外，在整個生態(tài)里，用戶先天的弱勢地位使其難以很好地保護自己的數(shù)據(jù)，但他們生活在 App 們創(chuàng)造的世界里，已經(jīng)很難離開。

為此，王樂也給用戶提了一些建議。比如，要從正式渠道下載 App，“未知來源”安裝 App 會進一步提升安全和隱私風(fēng)險。同時，要謹慎授予權(quán)限，對于不法行為進行投訴。如果想徹底消除自己在某應(yīng)用上留下的信息，要在相關(guān) App 上注銷賬戶，或者在相關(guān)的用戶權(quán)利網(wǎng)站提交自己的數(shù)據(jù)刪除申請，僅僅卸載是沒有用的。

不過，即使用戶再謹慎，也做不到完全不對外輸出信息?！翱梢杂梦业臄?shù)據(jù)，但不要用我的數(shù)據(jù)來傷害我?！边@是以張浩為代表的一批用戶在面對這些問題時做出的最大妥協(xié)。