拼多多因“惡意軟體”被谷歌下架，是意外嗎？

出品｜虎嗅ESG組

作者｜張小予

頭圖｜視覺中國

本文是#ESG進步觀察#系列第020篇文章

本次觀察關鍵詞：資料隐私與安全

3月21日，路透社報道，由于發現拼多多APP存在惡意軟體問題，谷歌已暫時将該應用從商店下架。

谷歌公司發言人埃德·費爾南德斯在一份聲明中表示，将拼多多APP下架是一種安全預防措施。這名發言人還稱，谷歌的軟體防護服務Google Play Protect将會阻止使用者從谷歌商店中下載下傳拼多多的APP，并且已經下載下傳了該APP的使用者也會收到警告，提示他們進行解除安裝。

費爾南德斯補充說， “出于安全考慮，我們将繼續調查”，也表示，由拼多多營運的美國購物應用Temu沒有受到影響，仍然可以下載下傳。

據《華爾街日報》報道，拼多多方有發言人确認稱，因目前版本拼多多的應用程式不符合谷歌政策，已被暫時下架，也同時說到“我們正在與谷歌溝通，以擷取更多資訊”。

那麼，此次拼多多的下架是意外嗎？

被指控的“惡意軟體”

據CNN新聞，此次事件中的惡意軟體就是指為竊取資料或損壞計算機系統和移動裝置而開發的任何軟體。

3月20日晚，拼多多釋出2022年第四季度及全年财報，業績不及預期引發股價下跌，但也有網友分析：“不止是業績問題，還有APP被谷歌市場下架的原因，可能竊取使用者資料隐私的證據确立了”。

說起使用者資料隐私，拼多多“砍一刀”機制及一些APP内的功能設定，的确有竊取使用者資料的先例。

3月初，國内獨立資料安全研究服務機構深藍DarkNavy釋出了《2022最“不可赦”漏洞》，還指出有知名網際網路廠商通過挖掘安卓廠商OEM代碼中的反序列化漏洞攻擊使用者手機。雖然未直接公布APP的名字，但從随後的爆料來看，“通過APP控制手機系統”、“無法解除安裝”、“隐蔽安裝”、“攻擊競争對手APP”、“竊取使用者隐私資料”等等特征，都與拼多多使用者在社交平台中的吐槽大緻吻合。

拼多多的MSCI ESG評級也在逐年下降，2022年，其ESG評級下調至B級，并且在“資料隐私與安全”議題上也處于落後地位。

拼多多MSCI ESG評級變化，圖檔來源：MSCI

網際網路公司的資料隐私和安全性是投資者做投資決策時需考慮的最重要的因素之一，也是不同公司在ESG評級結果中差距較大的一項。拼多多一類的企業，由于掌握着大量的真實資料，在資料安全問題上，不僅受到商業道德層面的關注與拷問，也遭受着各國政府更加嚴格的監管。

此前美國政府就針對黑客攻擊和數字犯罪不斷增加的問題，為加強網絡防禦提出了更多舉措。3月2日，白宮宣布了一項新的《國家網絡安全戰略》，旨在指導未來的政策，以加強對各行業現有網絡安全做法的監管，并改善政府和私營部門之間的合作。

對拼多多來說，不僅需要在資料安全上要積極政策響應變化，以獲得長期合規的健康發展，并且擴大範圍來看，仍在初期擴張階段的Temu也面臨着相同的考驗。

影響Temu生存？

每個國家和地方的合規性政策不同，要想全球化，Temu也需要進行本地化運作，進行合規性處理。

在Temu的網站上，“支付安全、資料安全、知識産權保護”就被打在一個顯眼的位置。

支付安全、安全保護被放在Temu網站首頁，圖檔來源：Temu

具體來看，據多家外媒報道，Temu可能會收集包括運輸詳情、電話和位址等使用者資訊，但本質上講這些資訊僅用于改善平台開發和使用者服務，并且這些資料将存儲在位于其美國總部的安全線上分類賬中。

Temu收集的使用者資訊符合合規标準，也符合APP的行業标準，在其隐私和Cookie政策中都有對嚴格遵守資料隐私保護的較長的描述。并且Temu還将出于安全目的對使用者資料進行加密，線上購物應用程式還限制對使用者個人資訊的通路，隻有少數授權人員可以通路與其工作、職責和責任相關的使用者資料。

但由于該應用程式由中國企業開發，而當它在美國的普及，還是引發了人們對自己隐私安全越來越多的擔心。在海外市場的Temu，仍面臨着如“它們的營運商如何處理使用者資料”、“以及這些資訊是否會移交給中國政府”這樣的質疑。

範德比爾特大學專門研究安全和隐私的施密特（Schmidt）就表示，Temu的資料和隐私實踐并不突出，該公司很可能收集了大量有關使用者的個人資料，然後将這些資料用于銷售廣告。

比如，為獲得更多的積分或折扣，不少年輕人正在自己社交媒體上向他們的朋友分享、推薦Temu應用程式或商品連結，但對于連結的安全性或是否會收集資訊仍未明确。Temu評論區還有人反映，“這個APP把我的個人資料賣給了騙子，我接到了幾個來自中國的電話，他們自稱是警察，太可怕了”。

針對這種現象，南加州大學的維亞斯教授也希望消費者能夠在低廉的價格面前保持清醒。他提到，“生活在數字時代，消費者需要更加注意保護自己的資料和隐私”。

更值得注意的是，3月，由12位美國參議員提出的RESTRICT（限制資訊和通信技術領域安全威脅的出現）法案，裡面提到要求美國商務部部長調查來自中國等國家的App等産品。除了Tik Tok之外，此次Temu也在重點審查的名單内。谷歌前首席執行官埃裡克 · 施密特創立的新智囊團特别競争研究項目，在2月15日的一篇文章中更明确指出，Shein、 Temu 和 CapCut (以及微信)作為應用程式“可能構成與 TikTok 類似的挑戰”。

對于Temu更進一步的合規，拼多多也在采取行動，據雷鋒網報道，拼多多的組織架構正在發生調整，除廣州與商品、商家有關的B端團隊，其餘團隊都在做IM區隔；其中也包括Temu的部分團隊。更有誇張的說法是，上海各團隊要在幾天内完成與拼多多的資料隔離。

簡單來說，拼多多正在與Temu進行拆分，防止海外政策等因素影響Temu業務的正常進行。對此，還有分析指出，由于資料隐私與安全上的不确定，拼多多或将加快與Temu的拆分速度。拆分後的Temu如果還延續拼多多在國内的産品擴張方式，恐怕不太容易。

3月21日晚間，财聯社報道，拼多多已對“惡意軟體”消息進行駁斥，針對有關“谷歌因拼多多存在惡意軟體問題已将其下架”的報道，拼多多在電子郵件聲明中表示谷歌的聲明不具有決定性，不過仍未進行詳細說明。

但就目前情況看，不論海内還是海外，拼多多都要對保護使用者資料安全付出更多行動了。