天下沒(méi)有免費(fèi)的App

編者按：本文來(lái)自微信公眾號(hào)“InfoQ”（ID:infoqchina），作者：褚杏娟，36氪經(jīng)授權(quán)發(fā)布。

據(jù)外媒報(bào)道，蘋(píng)果將在初春公開(kāi)發(fā)布 iOS 下一個(gè)測(cè)試版本，該版本會(huì)要求 App 們提供跟蹤透明隱私措施。受該政策影響最大的 Facebook，此前已經(jīng)聯(lián)手眾多企業(yè)與蘋(píng)果“開(kāi)撕”，扎克伯格在最近的第四季度財(cái)報(bào)電話會(huì)議上，再次抨擊了蘋(píng)果即將進(jìn)行的隱私改革。

蘋(píng)果對(duì)這次隱私改革下了很大的決心。1 月 29 日，庫(kù)克發(fā)表講話稱(chēng)，“如果一家企業(yè)建立在誤導(dǎo)用戶、收集數(shù)據(jù)、根本不給其他選擇的基礎(chǔ)上，那它就不值得稱(chēng)贊，而應(yīng)該進(jìn)行改革?！?/p>

兩家巨頭因?yàn)閿?shù)據(jù)“大打出手”，也使得“隱私保護(hù)”話題一時(shí)熱度空前。

根據(jù) QuestMobile 數(shù)據(jù)，在 2020 年，中國(guó)的手機(jī)用戶平均每天每人使用手機(jī) 6 小時(shí)。人們的生活已經(jīng)離不開(kāi)手機(jī)了，準(zhǔn)確地說(shuō)，是離不開(kāi)手機(jī)里有著各種功能的 App 們。

不過(guò)，就像天下沒(méi)有免費(fèi)的午餐，天下也沒(méi)有免費(fèi)的 App。

你以為在免費(fèi)使用 App，但實(shí)際上你是與 App 們做一場(chǎng)交易。使用 App 時(shí)，用戶雖然大多時(shí)候沒(méi)有付出金錢(qián)代價(jià)，但在看都不看彈出來(lái)的各種條款就點(diǎn)了同意時(shí)，就已經(jīng)與企業(yè)簽訂了“互利合同”：企業(yè)承諾提供各種服務(wù)、而用戶承諾提供自己的個(gè)人數(shù)據(jù)，而且這個(gè)“合同”是必須簽的，不然用戶基本無(wú)法正常享受企業(yè)提供的“服務(wù)”。

以微博為例，近萬(wàn)字的使用協(xié)議，幾乎沒(méi)人會(huì)認(rèn)真閱讀，大部分會(huì)直接選擇“同意”，即使協(xié)議里明確寫(xiě)了“微博服務(wù)使用人（以下稱(chēng)‘用戶’）需在認(rèn)真閱讀及獨(dú)立思考的基礎(chǔ)上認(rèn)可、同意本協(xié)議的全部條款”。

用戶如果要使用該 App，就需要同意《用戶協(xié)議》和《微博個(gè)人信息保護(hù)政策》相關(guān)條款，否則就會(huì)被強(qiáng)制退出。乍聽(tīng)起來(lái)有點(diǎn)問(wèn)題，但其實(shí)企業(yè)已經(jīng)履行了它的告知義務(wù)。愛(ài)加密副總裁程智力對(duì) InfoQ 表示，據(jù)相關(guān)法律規(guī)定，企業(yè)要獲得用戶數(shù)據(jù)必須經(jīng)過(guò)用戶同意，否則就是違法，會(huì)被罰款并對(duì)相關(guān) App 進(jìn)行下架和整改。

使用微博需要同意的條款

對(duì)于這些格式條款，用戶無(wú)法參與修改，只不過(guò)未來(lái)如果產(chǎn)生糾紛，企業(yè)和用戶對(duì)相關(guān)條款產(chǎn)生了不同的理解，法律上會(huì)以用戶的理解為準(zhǔn)。所以，企業(yè)也會(huì)通過(guò)各種方式提示用戶去閱讀條款，盡量避免相關(guān)責(zé)任。

注：格式條款又稱(chēng)為標(biāo)準(zhǔn)條款，是指當(dāng)事人為了重復(fù)使用而預(yù)先擬定、并在訂立合同時(shí)未與對(duì)方協(xié)商的條款。

在用戶協(xié)議里，大多都是對(duì)用戶義務(wù)和企業(yè)權(quán)利的規(guī)定。比如，“用戶同意：微博運(yùn)營(yíng)方對(duì)微博內(nèi)容（微博內(nèi)容即指用戶在微博上已發(fā)布的信息，例如文字、圖片、視頻、音頻等）享有使用權(quán)”、“為提高用戶的微博服務(wù)使用感受和滿意度，用戶同意微博運(yùn)營(yíng)方可以對(duì)用戶數(shù)據(jù)進(jìn)行調(diào)查研究和分析，從而進(jìn)一步優(yōu)化微博服務(wù)”等。

“這是很多企業(yè)的慣常操作，公司不可能在起草合同、格式條款時(shí)還要去背負(fù)很多責(zé)任，更多的當(dāng)然是對(duì)企業(yè)有利的內(nèi)容，因?yàn)槠髽I(yè)做這件事的目的就是避免麻煩?！狈蓮臉I(yè)人員肖伊（化名）對(duì) InfoQ 說(shuō)道。

如果在合理合法、用戶也接受的范圍內(nèi)，用戶與企業(yè)也可以實(shí)現(xiàn)雙贏，但問(wèn)題是，現(xiàn)在很多 App 已經(jīng)“過(guò)界”了。

當(dāng)前，App 數(shù)據(jù)過(guò)度收集已經(jīng)變得非常普遍。以微博為例，微博在《微博個(gè)人信息保護(hù)政策》中明確了會(huì)收集到的用戶信息包括但不止于：賬戶昵稱(chēng)、密碼、郵箱、手機(jī)號(hào)碼、地理位置，關(guān)聯(lián)第三方的相關(guān)信息和認(rèn)證時(shí)需要的真實(shí)姓名和身份證號(hào)碼等。同時(shí)，還包括設(shè)備信息，如 IP 地址、設(shè)備型號(hào)、唯一設(shè)備識(shí)別碼、瀏覽器型號(hào)、安裝的應(yīng)用信息以及其他的設(shè)備技術(shù)信息；操作行為日志信息，如訪問(wèn)過(guò)的頁(yè)面或者點(diǎn)擊過(guò)的鏈接等。

而在《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范》中，博客論壇類(lèi) App 被允許的最少信息為網(wǎng)絡(luò)日志、手機(jī)號(hào)碼、身份證件號(hào)碼（僅對(duì)公眾賬號(hào)信息發(fā)布服務(wù)使用者收集）、賬號(hào)、口令和用戶關(guān)注記錄。此外，微博個(gè)人信息保護(hù)政策中有一點(diǎn)：您申請(qǐng)認(rèn)證時(shí)還需要收集您的面部識(shí)別特征。這即使在要求嚴(yán)格的網(wǎng)絡(luò)支付類(lèi) App 中也不是必要收集信息，支付寶也未將此納入數(shù)據(jù)收集范圍內(nèi)。

用戶協(xié)議、隱私協(xié)議等主要是為了告知用戶，企業(yè)會(huì)收集什么樣的信息，個(gè)別大廠會(huì)提供更詳細(xì)的說(shuō)明，但多數(shù)企業(yè)是沒(méi)有的。

到具體使用時(shí)，App 需要再次申請(qǐng)對(duì)應(yīng)的權(quán)限，經(jīng)過(guò)用戶同意才能進(jìn)行相關(guān)操作。不過(guò)肖伊表示，在以前并不是這樣?！耙郧爸灰阃饬擞脩魠f(xié)議，App 就可以直接獲得權(quán)限、讀取用戶信息，不會(huì)進(jìn)行權(quán)限再申請(qǐng)。”

而對(duì)于權(quán)限申請(qǐng)，用戶并不了解其重要性。

小米軟件與體驗(yàn)部系統(tǒng)安全部負(fù)責(zé)人王樂(lè)，以幾乎 99% 的 App 都會(huì)申請(qǐng)的權(quán)限“獲取手機(jī)信息”為例，對(duì) InfoQ 作了詳細(xì)的解釋?zhuān)涸摍?quán)限是 App 申請(qǐng)頻次最高的，很多 App 不獲得該權(quán)限授權(quán)甚至?xí)褂脩羰褂?。App 獲取這個(gè)權(quán)限最主要目的是獲得手機(jī)的 IMEI，作為用戶的虛擬身份標(biāo)識(shí)，從而建立用戶畫(huà)像，對(duì)用戶進(jìn)行追蹤和精準(zhǔn)的廣告投放。在得到“獲取手機(jī)信息”授權(quán)后，App 還可以讀取手機(jī)號(hào)碼、SIM 卡的 IMSI 號(hào)碼、ICCID 等多項(xiàng)數(shù)據(jù)。

王樂(lè)表示，之前 App 濫用用戶隱私的情況很?chē)?yán)重。根據(jù)小米數(shù)據(jù)統(tǒng)計(jì)系統(tǒng)，截至去年 4 月，每部手機(jī)平均每天會(huì)被 App 定位 3691 次，相冊(cè)和個(gè)人文件每天被 App 訪問(wèn) 2432 次，App 在后臺(tái)每天嘗試悄悄地啟動(dòng) 783 次，有超過(guò) 40 萬(wàn)個(gè) App 可以直接讀取用戶的剪切板。

以剪切板為例，剪切板里可能會(huì)出現(xiàn)用戶住址、身份證號(hào)、電話號(hào)碼、銀行卡號(hào)等極度隱私的數(shù)據(jù)，App 可以利用這些數(shù)據(jù)建立起相應(yīng)的用戶畫(huà)像。

此外，像社交分享圖片這樣的高頻行為，為了給用戶更好的數(shù)據(jù)索引，相機(jī)拍攝的圖片可能會(huì)保存地理位置信息。如果用戶直接分享新拍攝的圖片，非法 App 在授權(quán)訪問(wèn)外置存儲(chǔ)后，可以通過(guò)讀取最新拍攝的圖片信息獲得用戶當(dāng)前位置信息。

除了過(guò)度收集，網(wǎng)上甚至爆出有 App 直接刪除了用戶手機(jī)信息的情況。對(duì)此，王樂(lè)表示：“如果這種行為存在的話，那肯定是不合理的，這種行為是對(duì)用戶數(shù)據(jù)安全和隱私保護(hù)的嚴(yán)重侵犯?！?/p> 3 “我都知道，但我能怎么辦？”

目前企業(yè)利用用戶數(shù)據(jù)和算法推送新聞、廣告等行為已經(jīng)被默許?！稊?shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》中指出，企業(yè)只需要標(biāo)明“定推”字樣，并為用戶提供停止接收定向推送信息的功能即可。

在用戶張浩（化名）看來(lái)，雖然收到了更準(zhǔn)確的推送，但接收到的很大一部分是商業(yè)廣告。而這只是企業(yè)賺錢(qián)的其中一種手段，企業(yè)將用戶數(shù)據(jù)用于商業(yè)的方式不只于此，還有很多像大數(shù)據(jù)殺熟這樣嚴(yán)重傷害用戶的行為。

“利用這些數(shù)據(jù)，有錢(qián)、有實(shí)力的企業(yè)越來(lái)越有錢(qián)，但普通人不知隱私重要而且還被利用，最后羊毛還是出在羊身上?！睆埡普f(shuō)道。

“有人注意不到隱私數(shù)據(jù)已經(jīng)泄露，有人不知道數(shù)據(jù)泄露的重要性，也有人不知道如何保護(hù)自己的數(shù)據(jù)?！痹趶埡瓶磥?lái)，這些認(rèn)知缺乏的背后是復(fù)雜的社會(huì)學(xué)問(wèn)題，傳統(tǒng)教育和行為習(xí)慣等共同造成了人們現(xiàn)在的思維模式。

不幸的是，用戶面對(duì) App 背后的企業(yè)幾乎沒(méi)有什么談判能力，而且通過(guò)法律維權(quán)也是一件性價(jià)比極低的事情。

“民法典生效后，隱私權(quán)和個(gè)人信息權(quán)益有部分重疊。個(gè)人信息也受法律保護(hù)，但個(gè)人信息和隱私信息的區(qū)別就在于，個(gè)人信息有可能是一個(gè)公開(kāi)的東西，而隱私信息卻不是，隱私信息受法律明確保護(hù)。如果用隱私權(quán)去主張，損失證明會(huì)比較難，更多可能獲得精神賠償?！毙ひ琳f(shuō)道。

雖有合法途徑可走，但走的人很少?！拔业臄?shù)據(jù)在被利用，我當(dāng)然知道。數(shù)據(jù)泄露了我也肯定很生氣，但我知道、我生氣又有什么用？”張浩說(shuō)，“我去維權(quán)、去起訴，我的時(shí)間哪來(lái)？我還要付出大量精力和訴訟費(fèi)、律師費(fèi)，最后可能就賠償我一點(diǎn)點(diǎn)錢(qián)，我圖什么？”

張浩的想法代表了大多數(shù)人。所以，我們經(jīng)常看到數(shù)據(jù)泄露事件，但鮮看到有用戶自發(fā)維權(quán)。

在當(dāng)前情況下，一次次將“隱私保護(hù)”帶入公眾視野的是用戶和 App 之外的第三方，比如手機(jī)系統(tǒng)和監(jiān)管。

如今，手機(jī)系統(tǒng)廠商開(kāi)始承擔(dān)起第三方“保護(hù)者”的角色。除了 IOS 端的蘋(píng)果，安卓端手機(jī)廠商也逐漸在隱私保護(hù)上發(fā)力。以小米 MIUI 系統(tǒng)為例，針對(duì)上面提到的“獲取手機(jī)信息”權(quán)限問(wèn)題，MIUI12已通過(guò)提供“空白通行證”的方式來(lái)解決。根據(jù)小米公布的數(shù)據(jù)，主打隱私保護(hù)的 MIUI12 發(fā)布半年后，手機(jī)每天被定位的次數(shù)下降了 98.21%，相冊(cè)和個(gè)人文件等被 App 訪問(wèn)的次數(shù)下降了 92.66%，同時(shí) App 在后臺(tái)嘗試悄悄啟動(dòng)的次數(shù)下降了 62.85%。

此外，政府也顯得比普通公眾更關(guān)心個(gè)人數(shù)據(jù)安全，這是由多方面原因造成的。

App 收集的個(gè)人信息現(xiàn)在已經(jīng)上升到了國(guó)家安全的高度。隨著數(shù)據(jù)體量的慢慢增大，一旦發(fā)生泄露就會(huì)嚴(yán)重威脅到國(guó)家安全。在一個(gè)數(shù)字化社會(huì)中，網(wǎng)絡(luò)信息已經(jīng)成為直接威脅國(guó)家安全的因素之一。

“去年，我們看到很多關(guān)于數(shù)據(jù)保護(hù)的法律法規(guī)出臺(tái)。今年，國(guó)家在信息安全方面仍然會(huì)非常重視，監(jiān)管力度還會(huì)繼續(xù)加大?！背讨橇Ρ硎?。

同時(shí)，無(wú)論歐盟、美國(guó)還是東南亞的國(guó)家，都陸續(xù)出臺(tái)了數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn)，雖然嚴(yán)苛程度不同，但都在推進(jìn)相關(guān)工作。比如，歐盟國(guó)家出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》規(guī)定非常詳細(xì)，甚至可以說(shuō)達(dá)到了嚴(yán)苛的水平，如果中國(guó)沒(méi)有跟上國(guó)際節(jié)奏，在對(duì)外合作中就容易出現(xiàn)問(wèn)題。

但無(wú)論國(guó)內(nèi)外，在整個(gè)生態(tài)里，用戶先天的弱勢(shì)地位使其難以很好地保護(hù)自己的數(shù)據(jù)，但他們生活在 App 們創(chuàng)造的世界里，已經(jīng)很難離開(kāi)。

為此，王樂(lè)也給用戶提了一些建議。比如，要從正式渠道下載 App，“未知來(lái)源”安裝 App 會(huì)進(jìn)一步提升安全和隱私風(fēng)險(xiǎn)。同時(shí)，要謹(jǐn)慎授予權(quán)限，對(duì)于不法行為進(jìn)行投訴。如果想徹底消除自己在某應(yīng)用上留下的信息，要在相關(guān) App 上注銷(xiāo)賬戶，或者在相關(guān)的用戶權(quán)利網(wǎng)站提交自己的數(shù)據(jù)刪除申請(qǐng)，僅僅卸載是沒(méi)有用的。

不過(guò)，即使用戶再謹(jǐn)慎，也做不到完全不對(duì)外輸出信息?！翱梢杂梦业臄?shù)據(jù)，但不要用我的數(shù)據(jù)來(lái)傷害我?！边@是以張浩為代表的一批用戶在面對(duì)這些問(wèn)題時(shí)做出的最大妥協(xié)。