「您的驗證碼是 315716,該驗證碼僅用于身份驗證,請勿洩露給他人使用。」
作為一個記不住密碼的人,很多人每天都會受到幾條這樣的短信。
這條短信,應該隻有你、發你短信的機器以及你的手機有機會看見,其他人看就要經過你的授權。
但周四晚上的 315 晚會告訴我們,事情沒有那麼簡單:有一些手機 app 使用到的插件,未經允許就會将你的這些資訊偷偷傳出去,還是不加密那種。
這些插件主要來自兩家公司:上海的氪信和北京的招彩旺旺。插件的使用範圍非常廣泛,存在于國美易卡、遙控器、天天回收、秒貸錢包等 50 多個 APP 中。
這些插件收集并發回伺服器的資訊包括你的通訊錄、電話号碼、短信記錄、安裝清單、傳感器資訊等。此外,收集資訊隻是第一步,收集完成後,他們還會将資訊傳回指定伺服器存儲起來,而且是明文傳輸。這些資訊很容易被其他人利用,危及使用者财産安全。
無處不在的 SDK
SDK 的全稱是 Software Development Kit,即軟體開發工具包,可以為手機 APP 提供某種服務,比如地圖、支付、社交等。
舉個例子,A 公司開發了一款網貸 APP,除了提供注冊、申請、放款等功能外,還需要能夠核對使用者的征信資訊,評估使用者還款風險等。如果所有功能都自己開發,A 公司将付出巨大的人力、物力,造成不必要的成本浪費;而且由于缺乏長期積累,開發出的東西可能會很難用。
但幸運的是,B 公司很早就開發出了這個功能,而且已經封裝成了一個包(SDK),付錢就能直接拿來用。這種情況下,為了節省開發成本,A 公司就會選擇直接付錢給 B 公司,調用一個 SDK 放到自己的 APP 裡。
上面被曝光的那些 APP 就是這麼做的,但這麼做的遠不止他們。
2019 年 7 月,南都個人資訊保護研究中心和中國金融認證中聯合釋出了一份《常用第三方 SDK 收集使用個人資訊測評報告》。評測涉及社交交友、生活服務、休閑娛樂、購物導購、旅遊交通、移動金融六大行業的 60 款 APP。報告顯示,這 60 款 APP 共使用了至少 966 個 SDK,平均每款 APP 使 用 19.3 個(移動金融類未計在内,因為該行業普遍對 APP 進行加強,難以确切檢測出使用的 SDK)。
由此可見,使用第三方 SDK 完善自家 APP 功能其實是非常常見的一種操作,畢竟對于大部分中小公司來說,為了一個定位功能去開發一款手機地圖怎麼看都是劃不來的。
但問題在于,這些 SDK 在實作某個功能的過程中往往需要擷取使用者的一些隐私資訊,比如地圖應用需要擷取使用者位置資訊,社交應用需要通路使用者相冊、開啟麥克風等。《常用第三方 SDK 收集使用個人資訊測評報告》将這些資訊分成了五類,分别是:
- 手機裝置資訊 (如 IMEI、IMSI 等裝置唯一識别碼);
- 網絡資訊(如 IP 位址、MAC 位址、Wi-Fi 熱點等);
- 手機狀态資訊 (如已安裝 / 運作中的應用資訊);
- 使用者行為資訊(如鎖屏、安裝、更新、解除安裝應用軟體);
- 使用者個人資訊 (如電話号碼、地理位置、 通話記錄)。
在這個環節,遵守規則的企業會在隐私條款中告知使用者自己将收集哪些資訊,并在首次開啟權限時以彈窗告知形式征詢使用者的同意。
但很多 APP 都沒有做到這一點。比如,報告中提到,中國銀行手機銀行 APP 的訊飛 SDK 可以「對環境或通話錄音」,卻沒有提供任何隐私政策;宜人财富 APP 和宜人貸借款 APP 使用的 TalkingData SDK 擷取了使用者的地理位置,但兩款 APP 的隐私政策都沒有提及會收集位置資訊。
此外,雖然有些 APP 在隐私政策中已經告知使用者将收集哪些資訊,但并未明示收集使用個人資訊的目的、方式和範圍,這就提高了資訊濫用的風險。
如何應對 SDK 資訊收集亂象?
在 315 晚會之前,SDK 資訊收集亂象就已經引起了有關部門注意。2019 年 12 月 31 日,國家網際網路資訊辦公室印發了《APP 違法違規收集使用個人資訊行為認定方法》。
該檔案針對六種 APP 資訊收集違規行為進行了認定,分别是:
- 未公開收集使用規則。如在 APP 首次運作時未通過彈窗等明顯方式提示使用者閱讀隐私政策等收集使用規則;隐私政策等收集使用規則難以閱讀等。
- 未明示收集使用個人資訊的目的、方式和範圍。如未逐一列出 APP(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人資訊的目的、方式、範圍;在申請打開可收集個人資訊的權限,或申請收集使用者身份證号、銀行賬号、行蹤軌迹等個人敏感資訊時,未同步告知使用者其目的,或者目的不明确、難以了解等。
- 未經使用者同意收集使用個人資訊。如實際收集的個人資訊或打開的可收集個人資訊權限超出使用者授權範圍;以預設選擇同意隐私政策等非明示方式征求使用者同意等。
- 違反必要原則,收集與其提供的服務無關的個人資訊。如收集的個人資訊類型或打開的可收集個人資訊權限與現有業務功能無關;因使用者不同意收集非必要個人資訊或打開非必要權限,拒絕提供業務功能等。
- 未經同意向他人提供個人資訊。如既未經使用者同意,也未做匿名化處理,APP 用戶端直接向第三方提供個人資訊,包括通過用戶端嵌入的第三方代碼、插件等方式向第三方提供個人資訊;既未經使用者同意,也未做匿名化處理,資料傳輸至 APP 背景伺服器後,向第三方提供其收集的個人資訊等。
- 未按法律規定提供删除或更正個人資訊功能未公布投訴、舉報方式等資訊。如未提供有效的更正、删除個人資訊及登出使用者賬号功能;為更正、删除個人資訊或登出使用者賬号設定不必要或不合理條件等。
針對 315 晚會指出的侵犯消費者隐私行為,氪信科技回應稱,此前在評估之後認為該技術有被濫用的風險,已經在 2019 年年底前完全停用該技術。
使用氪信技術的一些公司也針對此事發出了回應:國美金融在 7 月 17 日表示,315 報道中提到的「氪信 SDK 插件」已于 2020 年 1 月 14 日從國美易卡 APP 下線,目前該公司也已停止與氪信的合作。
除了法律層面外,有技術人士指出,近幾年興起的「聯邦學習」技術或許可以為這一問題提供新的解決思路。
聯邦學習也叫聯邦機器學習,由谷歌和微衆銀行等提出。借助這種技術,我們在使用者的手機等用戶端完成資料采集、加工等過程,最後上傳的是一個加密結果,而不是原始資料。該技術對于緩解資料孤島和隐私安全問題具有很大的推動作用。有興趣的同學可以參考機器之心的相關介紹文章:
參考連結:
http://www.cfca.com.cn/upload/cpbg.pdf本文為機器之心報道,轉載請聯系本公衆号獲得授權。