記者調(diào)查:為何手機會有“讀心術(shù)”?
央廣網(wǎng)北京4月11日消息(記者李洪鵬)近日,北京市民黃女士向央廣網(wǎng)反映,她跟朋友聊天中,剛討論購買什么種類口紅,下一秒打開手機上某購物網(wǎng)站,首頁就彈出一些口紅產(chǎn)品推薦。這讓她難以理解,購物網(wǎng)站怎么“聽”到他們對話內(nèi)容。她感覺被人“偷窺”了。
不僅黃女士,山東泰安市王先生也稱,其親屬和同事在家談論某個商品,之后在購物網(wǎng)站就給推送相關(guān)產(chǎn)品廣告。他表示曾聽到過很多類似情況,疑似手機有竊聽功能。在黑貓投訴平臺,記者檢索“手機偷聽”“手機竊聽”“手機監(jiān)聽”等關(guān)鍵詞,投訴量超上百條。
記者近日調(diào)查發(fā)現(xiàn),那些精準廣告可以和自己“心有靈犀”的原因,它們在很大程度上來自于推薦算法,基于用戶以前點擊、瀏覽、搜索和消費等大數(shù)據(jù),被納入到廣告投放的用戶畫像里。
4月8日,記者查詢10款主流App的個人隱私協(xié)議后發(fā)現(xiàn),所有App都會將自有用戶個人信息共享給第三方或合作伙伴。此外,某個服務App開發(fā)者的移動廣告平臺工作人員表示,對于雙方的收益如何計算,要根據(jù)廣告投放位置,以及App日活率,一般開屏廣告按照千次展示來進行收益,大概收益15-30元/千次,然后再按照比例分成,廣告商拿一成,App拿九成。
記者梳理發(fā)現(xiàn),工信部在2023年共通報9批次存在侵害用戶權(quán)益行為的App(SDK)及小程序,累計近300款。其中,強制、頻繁、過度索取權(quán)限問題最嚴重。此外,違規(guī)收集個人信息、欺騙誤導強迫行為和超范圍收集個人信息也是常見侵害用戶權(quán)益行為。
手機真被“監(jiān)聽”了嗎?
對于聊天內(nèi)容被“監(jiān)聽”,河北市民靳先生稱,前段時間,他和朋友在車里聊天,朋友提及洗牙器的功能和功效,并建議購買。當時,他并未在意,也并未搜索相關(guān)產(chǎn)品。次日,他在看一款短視頻App時,一小時內(nèi)竟然接連三次刷到關(guān)于洗牙器的廣告視頻。
他猜測,那款短視頻App“偷聽”了自己與朋友的聊天,并通過抓取“洗牙器”這一關(guān)鍵詞,對他進行精準廣告推送。
實際上,中國電子技術(shù)標準化研究院網(wǎng)安中心測評實驗室副主任何延哲也遭遇類似情況。他說,有一天他運動結(jié)束后膝蓋疼,跟家里人聊天談了膝蓋問題,一會兒打開某短視頻App時,彈出一位主播醫(yī)生說膝蓋疼該怎么辦?!拔耶敃r就有點慌了,我都開始懷疑是否存在‘監(jiān)聽’?!?/p>
何延哲說,他仔細分析了一下這個短視頻App,看到這位醫(yī)生是科普主播,并沒有打商業(yè)廣告,這不排除碰巧刷到的可能,或者此前因為查看運動類視頻,被推薦算法認為可能會關(guān)注運動損傷防護。
何延哲說,如果手機內(nèi)的App監(jiān)聽或偷聽用戶,就需要用戶把手機麥克風一直打開,手機能耗會增加,而且往往監(jiān)聽的場景涉及多個人,或者處于嘈雜環(huán)境中,這就需要通過降噪、方言識別、聲紋辨識等技術(shù)才能獲取到一些有價值的信息,從技術(shù)上可行,但實施起來性價比低,通過這個方法獲取用戶畫像的信息,不如用戶輸入、搜索、瀏覽記錄的價值高。此外,現(xiàn)在手機對于使用麥克風、攝像頭等敏感權(quán)限都有“紅點”提示,當麥克風權(quán)限被App調(diào)用,屏幕上方的角落里就有了提示。
在何延哲看來,通過App“監(jiān)聽”獲取信息量價值低,但卻要付出高成本和承擔法律風險,顯然是不明智的,因此App監(jiān)聽可能性幾乎不存在。當然,也可能存在一些惡意App偷聽。比如,從一些不正規(guī)的渠道下載的涉賭涉黃涉詐等存在違法行為的App,在授權(quán)相關(guān)權(quán)限時,很多都是強制索要攝像頭、麥克風、通訊錄等權(quán)限,一旦授權(quán),被隱蔽調(diào)用后上傳信息,就很有可能被偷聽。
清華大學法學院互聯(lián)網(wǎng)法律與政策研究中心秘書長、北京清律律師事務所首席合伙人熊定中表示,未經(jīng)許可而調(diào)用手機的麥克風功能,具體的方式是在獲得麥克風功能調(diào)取權(quán)限之后,未經(jīng)授權(quán)也能啟動和進行分析,但不是普遍情況,對于所謂的“心有靈犀”可能跟輸入法有關(guān)。
如果手機沒有監(jiān)聽,如此精準的推送又如何實現(xiàn)呢?何延哲表示,這背后的邏輯比較復雜,究其根本邏輯,主要是兩個方面:一是需要收集用戶在設(shè)備上的行為數(shù)據(jù)進行畫像,其中應用程序列表就是常見現(xiàn)象,使用哪些應用程序就代表了用戶的生活習慣;二是需要收集用戶設(shè)備的唯一標識信息,比如安卓ID,首先把用戶畫像匹配的精準廣告推送到對應設(shè)備上,并對廣告是否被使用該設(shè)備的用戶點擊、購買等進行關(guān)聯(lián)和統(tǒng)計。因此,要完成互聯(lián)網(wǎng)精準的個性化廣告投放,這兩方面缺一不可,而要完成這個過程,往往需要App、SDK和廣告聯(lián)盟等多方角色參與。
針對上述情況,中國電子技術(shù)標準化研究院網(wǎng)安中心深圳分中心劉丹丹演示了某App獲取信息過程。她打開某桌面壁紙App,該App在打開過程中會主動彈出一個廣告彈窗。此時,監(jiān)測軟件顯示該App獲取安卓ID的次數(shù)為38次,獲取已安裝的應用程序包信息為632次,而當選擇點擊這個廣告彈窗后,此時獲取安卓ID的次數(shù)已變?yōu)?0次,獲取已安裝的應用程序包信息變?yōu)?41次,這些信息之所以被反復收集,就是服務于App內(nèi)投放廣告的功能。
中國電子技術(shù)標準化研究院網(wǎng)安中心深圳分中心工作人員演示某壁紙App獲取的相關(guān)信息(央廣網(wǎng)發(fā) 演示視頻截圖)
記者看到,在監(jiān)測的14項行為里面,包含讀取設(shè)備系統(tǒng)參數(shù)、移動設(shè)備識別碼、Mac地址、獲取已安裝的應用程序包信息、執(zhí)行shell指令、獲取傳感器列表等。當打開App時,這些行為就被觸發(fā),并點擊App的彈窗廣告后,觸發(fā)的次數(shù)都相應增加。
劉丹丹表示,在通常情況下,安卓ID是手機設(shè)備的唯一標識符,一位手機用戶會長期使用一臺手機設(shè)備,那也就意味著,這個手機設(shè)備的唯一標識符標識了特定的一位用戶。另外,獲取到的應用程序包信息將會用于分析此用戶平時使用App的習慣,從而對其進行用戶畫像分析,以便后續(xù)更精準的廣告投放。
何延哲認為,除了消費習慣,很多維度的信息都可以進行用戶畫像。比如,用戶的住址、辦公地點、常去消費的場所等地理位置信息也可以用于判斷用戶的收入水平及消費能力,使得“用戶畫像”更為精準。從概念上來講,用戶畫像是針對某一類符合特定特征的用戶群體進行定義和描述。值得注意的是,用于廣告的用戶畫像往往是對一類群體行為特征使用算法加工后的數(shù)據(jù),不會呈現(xiàn)某一個特定用戶的具體信息,所以不具備唯一性。它是一種用戶的數(shù)字化描繪,通過標簽化的方式,刻畫出具有相同屬性某一個標簽。比如,興趣點、購物偏好等。
多名互聯(lián)網(wǎng)信息安全專家表示,消費者在購物網(wǎng)站、搜索和在網(wǎng)絡(luò)平臺購買某種商品后,App或SDK通過移動端應用后臺收集用戶的消費習慣信息,如用戶常瀏覽的商品類型、價格區(qū)間、購物歷史等,并進一步收集與用戶身份特征。另外,朋友圈關(guān)聯(lián)的其它應用信息,通過銀行賬戶資金往來短信等途徑估算用戶的收入水平,從而進行行為建模,給用戶貼“標簽”,為用戶推送感興趣的商品。
背后的利益鏈
消費者在某購物平臺搜索了商品后,為何其他購物平臺或短視頻平臺會推薦同類產(chǎn)品?何延哲表示,這跟互聯(lián)網(wǎng)精準廣告的機制有關(guān)。互聯(lián)網(wǎng)精準廣告也被稱為“程序化廣告”,程序化廣告是指廣告主通過數(shù)字平臺,從受眾匹配的角度來說,由程序自動化完成展示類廣告的采買和投放,并實時反饋投放分析的一種廣告投放方式,實現(xiàn)了整個數(shù)字廣告的自動化。
何延哲稱,“比如你喜歡一個球星,你換一個球星的壁紙,那么你也暴露了一個喜好:你喜歡足球?!庇锌赡茉谟脩舢嬒窭锩婢投嗔诉@么一個標簽,這個標簽怎么去轉(zhuǎn)化它,就和程序化廣告的運作機制有關(guān)。如果有個廣告主需要把一個足球商品廣告投放出去,這個壁紙的App可能會成為一個推送渠道,然后通過廣告SDK的方式把廣告來推送到設(shè)備上,用戶點擊廣告購買了產(chǎn)品后,對于App運營商來講,它就會拿到應有的分成,這就是程序化廣告的主要邏輯。如果A平臺和B平臺使用了同一個程序化廣告(如廣告SDK)提供的服務,這就出現(xiàn)用戶在A平臺瀏覽或搜索一些關(guān)鍵詞,很快在B平臺看到相關(guān)廣告的原因。
《2023中國互聯(lián)網(wǎng)廣告數(shù)據(jù)報告》顯示,中國互聯(lián)網(wǎng)營銷市場規(guī)模預計為6750億元人民幣,較上年增長9.76%,廣告與營銷市場規(guī)模合計約為12482億元,較上年增長11.07%。對此,在競爭激烈的市場中,提高廣告投放的精準度和轉(zhuǎn)化率,成為了移動聯(lián)網(wǎng)企業(yè)和廣告主關(guān)注的焦點。
4月8日,記者以App開發(fā)者名義,與某一服務App開發(fā)者的移動廣告平臺談合作。該移動廣告平臺工作人員表示,其聚合SDK集成穿山甲、優(yōu)量匯、百度等多個廣告聯(lián)盟平臺。
“如果合作,你需要在App里嵌入我們的SDK,并提供開屏廣告位、激勵視頻、插屏廣告等廣告展示位置?!痹摴ぷ魅藛T表示,嵌入的SDK會通過App需要獲取用戶移動設(shè)備識別碼(IMEI)、匿名設(shè)備標識符(OAID)、位置信息等一些用戶信息,但不用開啟錄音功能,也不需要錄音。
上述工作人員還表示,對于雙方的收益該如何計算,要根據(jù)廣告投放位置,以及App日活率,一般開屏廣告的是按照千次展示來進行收益,大概收益15-30元/千次,然后再按照比例分成,廣告商拿一成,App拿九成。
在何延哲看來,移動互聯(lián)網(wǎng)App的生態(tài)模式,可以簡單歸納為免費換流量、流量推廣告和廣告攤成本,所謂的“羊毛出在豬身上”就是這個商業(yè)邏輯。比如,一些App靠免費的新聞信息、音視頻內(nèi)容、社交功能等,黏住用戶后就有了一定的流量支撐,然后帶動廣告流量轉(zhuǎn)化,獲取商業(yè)利益后,扣除成本就是盈利,所以App們相互之間進行PK,誰做的廣告越精準,轉(zhuǎn)化率越高,盈利就會越高。
何延哲表示,現(xiàn)在移動互聯(lián)網(wǎng)用戶總量增長不大的形勢下,就會造成看誰收集的個人信息更多,誰就更了解用戶,然后畫像更精準,就能把轉(zhuǎn)化率提上去。如果廣告收入下滑,為了維持運營成本,可能對用戶收費,互聯(lián)網(wǎng)普惠服務范圍將可能被壓縮。
是否過度收集個人信息?
工信部發(fā)布2023年一季度互聯(lián)網(wǎng)和相關(guān)服務業(yè)運行情況,根據(jù)全國App技術(shù)檢測平臺統(tǒng)計,截至3月底,我國國內(nèi)市場上監(jiān)測到活躍的APP數(shù)量2為261萬款(包括安卓和蘋果商店)。移動應用開發(fā)者數(shù)量為82萬,其中安卓開發(fā)者為24萬,蘋果開發(fā)者為58萬。3月份,安卓應用商店在架應用累計下載量542億次。
北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括表示,正常情況下,手機不存在竊聽的狀態(tài)。從用戶體驗的角度上來說,有些情況值得給予關(guān)注,就是不同的App之間它有一個數(shù)據(jù)的交互,也就是SDK廣告商聯(lián)盟,通過App或SDK給用戶畫像形成標簽后,通過數(shù)據(jù)交換被另一個App所使用。
SDK是Software Development Kit的縮寫,即"軟件開發(fā)工具包",一般來說,SDK可以實現(xiàn)安卓開發(fā)工具、廣告推送、圖像識別或移動支付等功能。通過SDK插件,App開發(fā)者不再需要針對每項功能進行開發(fā),極大縮短了產(chǎn)品的開發(fā)周期。為了完成相應的功能,SDK也成為收集個人信息的一個重要角色。
4月8日,記者查詢10款主流App的個人隱私協(xié)議后發(fā)現(xiàn),幾乎所有的App都會將自有用戶個人信息共享給第三方或合作伙伴。其中,某短視頻App在其隱私政策里載明:我們可能與廣告的服務商、供應商和其他合作伙伴以及與我們達成推廣合作的合作伙伴(合稱“合作方”)共享分析去標識化的設(shè)備信息(Android如AndroidID、OAID、GAID,iOS如IDFV、IDFA。不同的標識符在有效期、是否可由用戶重置以及獲取方式方面會有所不同)或統(tǒng)計信息,這些信息難以或無法與您的真實身份相關(guān)聯(lián)。這些信息將幫助我們分析、衡量廣告、推廣和相關(guān)服務的有效性。
記者還發(fā)現(xiàn),另一個某購物網(wǎng)站隱私權(quán)政策中提到,“為便于我們基于平臺賬戶向您提供產(chǎn)品和服務,推薦您可能感興趣的信息,識別會員賬號異常,保護關(guān)聯(lián)公司或其他用戶或公眾的人身財產(chǎn)安全免遭侵害,您的個人信息可能會與我們的關(guān)聯(lián)公司和/或其指定的服務提供商共享?!?/p>
某購物平臺基本功能隱私政策顯示,搜集瀏覽、搜索等相關(guān)信息(央廣網(wǎng)發(fā) 某購物網(wǎng)站截圖)
記者注意到,自2019年1月以來,網(wǎng)信辦、工信部等四部門聯(lián)合開展App違法違規(guī)收集使用個人信息專項治理行動,對個人金融數(shù)據(jù)安全的監(jiān)管日益趨嚴。隨著整治行動的深入,已有一大批違法違規(guī)收集用戶數(shù)據(jù)的金融類App已被網(wǎng)信辦、警方點名,重點針對違規(guī)收集個人信息、違規(guī)使用個人信息、不合理索取用戶權(quán)限、為用戶注銷賬號設(shè)置障礙四個方面的八類問題進行規(guī)范整改。
記者梳理發(fā)現(xiàn),工信部在2023年共通報9批次存在侵害用戶權(quán)益行為的App(SDK)及小程序,累計近300款。其中,四類問題占比較高,分別是App強制、頻繁、過度索取權(quán)限、違規(guī)收集個人信息和欺騙誤導強迫行為,以及因超范圍收集個人信息。
中國法學會知識產(chǎn)權(quán)法學研究會理事、中央民族大學法學院副教授熊文聰認為,根據(jù)個人信息保護法的規(guī)定,原則上處理用戶個人信息必須事先征得用戶同意,未經(jīng)用戶同意將用戶信息(特別是個人敏感信息)用于各類商業(yè)用途的,可以認定為是侵犯用戶個人信息權(quán)益的行為,需承擔相應的法律責任。
他表示,移動聯(lián)網(wǎng)和大模型產(chǎn)業(yè)的發(fā)展緊緊依賴于對各類信息和大數(shù)據(jù)的獲取、分析和商業(yè)化,法律應該很好地平衡好個人信息保護與產(chǎn)業(yè)經(jīng)濟發(fā)展之間的關(guān)系。
多維度、多層次的App監(jiān)管體系
近日,記者登錄工信部網(wǎng)站檢索相關(guān)信息發(fā)現(xiàn),從2019年開始,我國就逐步形成了多維度、多層次的App監(jiān)管體系。
2019年,國家互聯(lián)網(wǎng)信息辦公室秘書局等部門印發(fā)的《App違法違規(guī)收集使用個人信息行為認定方法》明確規(guī)定,如果在App中未列出SDK收集使用個人信息的目的、方式、范圍則被認定為未明示收集使用個人信息的目的、方式和范圍。
2020年11月,全國信息安全標準化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標準實踐指南——移動互聯(lián)網(wǎng)應用程序(App)使用軟件開發(fā)工具包(SDK)安全指引》,對APP使用SDK的相關(guān)方和責任進行了明確。從App個人信息安全的角度來看,《安全指引》規(guī)定原則上App提供者是App個人信息控制者及保護用戶個人信息安全的首要責任人,SDK提供者按照App使用SDK的不同方式承擔相應的個人信息安全責任。
2023年2月,工業(yè)和信息化部印發(fā)的《關(guān)于進一步提升移動互聯(lián)網(wǎng)應用服務能力的通知》明確提出,加強SDK使用管理、規(guī)范SDK應用服務以及落實SDK主體責任。上述通知稱,遵循最小必要原則,根據(jù)不同應用場景或用途,明確SDK功能和對應的個人信息收集范圍,并向APP開發(fā)運營者提供功能模塊及個人信息收集的配置選項,不得一攬子過度收集個人信息。
工信部發(fā)布關(guān)于侵害用戶權(quán)益行為的App(SDK)通報(央廣網(wǎng)發(fā) 工信部截圖)
熊文聰表示,首先,可以采取加大事后處罰力度的方法,一旦用戶發(fā)現(xiàn)特定信息的處理嚴重損害了其個人合法權(quán)益,比如名譽權(quán)、隱私權(quán)和一般人格權(quán)等,在行政和司法救濟力度上加大對涉案信息處理者的懲處,倒逼其在處理用戶個人信息時,通過各種手段保護好用戶的合法權(quán)益。另外,個人信息處理者應當提供“選擇退出”機制,即當用戶看到自己的個人信息被處理而感到不舒適時,用戶有途徑和方法便捷地要求信息處理者刪除自己的個人信息,當然信息處理者可以提示用戶,如果不允許處理其信息,則相應的網(wǎng)絡(luò)服務(比如商品推薦功能)將被終止的后果,由用戶自行判斷要不要選擇退出。此外,個人信息處理者應當向用戶明示投訴通道和方式,當用戶進行投訴時,接到投訴的個人信息處理者應當盡快回應投訴,并告知用戶其是通過什么方式從哪里獲取的該用戶個人信息。
吳沈括認為,在SDK收集數(shù)據(jù)的過程當中,按照現(xiàn)在合規(guī)的要求,對于收集的范圍、收集者就是SDK的主體以及數(shù)據(jù)的流向都要有一個明確的說明。包括獲得相關(guān)主體,也就是從普通用戶的同意等等針對App或SDK這些監(jiān)管和監(jiān)督,需要從主體的準入、業(yè)務的流程、非正常狀態(tài)的響應處置,可以從事前、事中、事后三個層面要強化。
吳沈括表示,首先,在數(shù)據(jù)的收集處理時,交互共享的過程當中,要遵循包括雙清單在內(nèi)的各項合規(guī)要求,特別是尊重用戶的知情同意權(quán)利。其次,滿足用戶合法的權(quán)利要求、權(quán)利期待,同時建立有效的投訴舉報機制,及時的響應用戶的投訴和舉報。另外。建立實時監(jiān)測的機制,對于非法和其他非正常情形做出一個有效、及時的響應和處置機制。
此外,北京市京都律師事務所高級合伙人、中國計算機協(xié)會數(shù)據(jù)安全產(chǎn)業(yè)專家委員會專家委員王菲提醒,用戶下載App在勾選相關(guān)隱私政策協(xié)議,還是需要仔細閱讀。比如,App或SDK獲取哪些權(quán)限,權(quán)限中哪些是開啟狀態(tài),不相關(guān)的、涉及隱私的要手動關(guān)閉,把所有不影響正常使用的授權(quán)全部關(guān)閉,避免在不知情的情況下被收集個人信息。
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關(guān)法律責任。