詹丹晴

王思聰?shù)拇蟊婞c評賬號居然被盜了。

10月10日，王思聰連發(fā)兩條微博怒斥大眾點評“恰爛錢”，稱自己的大眾點評賬號莫名其妙被別人改綁手機，并質(zhì)疑大眾點評，“這就是上萬億市值公司的安全系統(tǒng)嗎？”

隨后，有網(wǎng)友證實，只要提供原手機號碼和生日日期，就可以順利換綁大眾點評賬號。

大眾點評為美團旗下公司，博主@軒寧軒sir 在微博發(fā)布視頻演示了在美團上更換手機賬號的過程：該博主以“手機無法接收短信”為由，申請換綁手機號，其間只提供了原手機號、生日日期和新手機號碼，就成功換綁了手機。換綁后，原賬號的訂單信息也一覽無遺。

原來，想要偷我們的美團賬號，竟然這么容易？

問題還遠(yuǎn)遠(yuǎn)不止這些。

美團接連被爆信息安全問題

在王思聰爆料后，大眾點評在王思聰微博評論區(qū)回應(yīng)稱，“相關(guān)賬號已在反饋后的第一時間內(nèi)予以保護(hù)性凍結(jié)。相關(guān)問題的核查已有初步信息，我們會在私信中與您同步?！?/p>

南都周刊記者從美團平臺了解到，在@軒寧軒sir發(fā)布視頻后，目前在美團上，“無法接收驗證碼”的手機想要換綁，已經(jīng)修改為只限于6個月內(nèi)曾修改過綁定手機號的用戶操作。

就王思聰?shù)那闆r和用戶對賬號安全的擔(dān)憂，南都周刊記者向美團了解情況，美團方面表示以王思聰評論區(qū)的回應(yīng)為準(zhǔn)，其他的暫無進(jìn)一步回應(yīng)。

記者測試了多個主流應(yīng)用軟件了解到，目前QQ、淘寶在換綁手機時需要接受人臉驗證，微信則需要微信好友交叉認(rèn)證，京東則需要提交本人銀行卡和銀行卡綁定手機進(jìn)行交叉驗證。

一位不愿具名的頭部互聯(lián)網(wǎng)公司軟件開發(fā)人員告訴記者，人臉驗證成本較高，現(xiàn)在很多軟件只要能證明“你是你自己”就可以找回賬號。美團在驗證用戶的個人信息時，確實過于簡單，但這跟廠商收集用戶信息應(yīng)該沒有什么關(guān)系，更有可能是獲得了王思聰個人信息的“熟人”作案。

在王思聰爆料前，10月9日，#“美團App連續(xù)24小時定位”登上微博熱搜榜。前述博主@軒寧軒sir 發(fā)博稱，在升級蘋果手機ios15后，通過安裝某隱私記錄軟件后發(fā)現(xiàn)，美團在后臺連續(xù)24小時進(jìn)行定位。

美團App一位技術(shù)工程師告訴南都周刊記者，這是因為這類隱私記錄軟件在單方面讀取系統(tǒng)操作日志后，進(jìn)行了選擇性展示。經(jīng)測試，在相關(guān)權(quán)限開啟且App后臺仍處于活躍狀態(tài)時，大部分主流App均會被該軟件檢測出頻繁讀取用戶信息，且監(jiān)測結(jié)果高度相似。

上述美團工程師透露，最早發(fā)微博的用戶拒絕提供更多信息，因此也無法確認(rèn)該用戶截取數(shù)據(jù)時的狀態(tài)，不過根據(jù)系統(tǒng)分析來看，美團App定位之中，該用戶應(yīng)該發(fā)生過大范圍移動。

你的相冊，也不安全

除了美團，近日，微信也因為信息安全問題被推上風(fēng)口浪尖。

10月8日，網(wǎng)友@Hackl0us 在微博爆料稱，微信在用戶未主動激活A(yù)pp的情況下，在后臺數(shù)次讀取用戶相冊，每次讀取時間為40秒至1分鐘不等。

當(dāng)天，微信回應(yīng)稱，在用戶授權(quán)微信可以讀取“系統(tǒng)相冊權(quán)限”的前提下，為方便用戶在微信聊天中按“+”時可以快速發(fā)圖，微信使用了IOS系統(tǒng)提供的相冊更新通知標(biāo)準(zhǔn)能力，使用戶發(fā)送圖片體驗更快速流暢。

目前，微信針對此事作出緊急修復(fù)，向蘋果手機用戶推送了8.0.15新版本，新版本安裝之后系統(tǒng)監(jiān)控不再有微信讀取相冊的記錄。

盡管微信反應(yīng)迅速，網(wǎng)友們對它偷偷收集“個人相冊”更新信息仍然感到疑惑和擔(dān)憂。

對此，中國互聯(lián)網(wǎng)協(xié)會研究中心副主任、北京師范大學(xué)法學(xué)院網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括向南都周刊記者解釋說，“相冊更新，它在技術(shù)上表示是否有新增圖片的信息，不涉及個人信息的圖片本身。目前來看，這應(yīng)該不屬于個人信息的范疇，它只是表示是否有新增的情況，不涉及個人身份的識別問題?！?/p>

有關(guān)個人信息的范疇，11月1日即將實施的《中華人民共和國個人信息保護(hù)法》（下稱“個保法”）有了明確規(guī)定，根據(jù)第一章第四條，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實驗室副主任何延哲告訴記者，微信沒有把“讀取相冊更新信息”告知用戶，可能它認(rèn)為不重要，它也不收集，只是在本地使用，可能也不會造成什么傷害，這也是一種用戶體驗。如果事事告知，如何平衡用戶體驗也是個難題，隱私政策變得更長，用戶也不一定會去讀。如果對個人評估沒有什么影響時，是否還需要用非常明顯的方式去提示用戶呢？個人保護(hù)法實施后，恐怕App在“同意”這個環(huán)節(jié)會發(fā)生較大的變化，屆時有待進(jìn)一步觀察告知的過程和用戶體驗之間大家的態(tài)度。

上述某頭部互聯(lián)網(wǎng)公司的軟件開發(fā)人員指出，故意收集個人信息在大平臺屬于嚴(yán)重違規(guī)，如果發(fā)生這種事，公司內(nèi)部從程序員到領(lǐng)導(dǎo)再到上級領(lǐng)導(dǎo)都要被抓出來復(fù)盤，“做了這種事情的程序員今年的績效就完蛋了。”在他看來，這更可能是系統(tǒng)bug，平臺主觀故意的可能性比較低。

為什么我們?nèi)绱撕ε拢?/h3>

盡管微信和美團作出澄清，許多用戶還是第一時間關(guān)閉了微信讀取相冊的權(quán)限，關(guān)閉了美團的定位權(quán)限。

用戶的擔(dān)憂與過去App過度索取權(quán)限、信息遭受泄露不無關(guān)系。以前，手機的手電筒需要獲得通訊錄、照片、錄音、位置、讀取修改文件的權(quán)限;小說軟件需要定位權(quán)限;美顏相機需要通訊錄權(quán)限……許多App索取的權(quán)限遠(yuǎn)超出實際需求，有些App甚至不給權(quán)限就不讓用。

中國消費者協(xié)會在2018年曾發(fā)布過一份測評報告，該報告顯示，在調(diào)查的100款A(yù)pp中，多達(dá)91款A(yù)pp存在過度收集用戶個人信息的問題。在100款A(yù)pp中，59款A(yù)pp涉嫌過度收集了“位置信息”，28款A(yù)pp涉嫌過度收集“通訊錄信息”。

2019年1月，網(wǎng)信辦等四部門在全國成立App違法違規(guī)收集使用個人信息專項治理工作組。今年以來，工信部多次下架多款應(yīng)用軟件。就在8月25日，工信部又下架了67個應(yīng)用軟件，主要涉及違規(guī)收集個人信息。

何延哲告訴記者，以前企業(yè)濫收數(shù)據(jù)的行為確實存在，現(xiàn)在有了監(jiān)管，App強制索取權(quán)限已經(jīng)得到了大幅改善。但還有一些很細(xì)節(jié)的問題沒有徹底解決好，比如，App收集的權(quán)限獲得用戶同意打開，但是它沒有在合適時機、合適場景去采集，或者采集頻率過高。

盡管情況得到改善，但是，經(jīng)歷過被手機App過度索權(quán)的用戶，看著手機上各個App過于精準(zhǔn)的推送，接到一個又一個的騷擾短信、電話，始終難以對App真正放心。特別是這兩年，還有不少用戶懷疑手機App在進(jìn)行竊聽。

有豆瓣網(wǎng)友發(fā)帖稱，在跟同事討論了蘋果手機后，打開某電商平臺，立馬看到相關(guān)產(chǎn)品的推送;還有網(wǎng)友發(fā)帖稱，跟朋友閑聊時提起整形醫(yī)生建議她做耳軟骨隆鼻，結(jié)果就在微博上看到隆鼻的相關(guān)微博……在這些帖子下方，許多網(wǎng)友分享被疑似竊聽的經(jīng)歷。

對此，何延哲指出，理論上說，竊聽從技術(shù)角度是可能的。但是，手機也不允許App24小時偷聽，只要鎖了屏、退出之后，錄音錄像的權(quán)限就不能調(diào)用了，本身24小時偷聽不具備條件。

在何延哲看來，“竊聽”更有可能是大數(shù)據(jù)下廣告的精準(zhǔn)定位。他指出，互聯(lián)網(wǎng)公司為了追求廣告更加的高效、更加個性化，讓用戶畫像變得越來越精準(zhǔn)，精準(zhǔn)到無所不知。企業(yè)的數(shù)據(jù)積累越多，確確實實真的可能做到很了解你的程度。

何延哲進(jìn)一步指出，“企業(yè)也要自律，一味追求精準(zhǔn)，效率如何難說，但是對用戶安全感的破壞也會對產(chǎn)業(yè)發(fā)展不利?！忖忂€須系鈴人，沒有人愿意生活在這種焦慮中，除了持續(xù)科普以外，企業(yè)恐怕要用更大的誠意、更多的付出來贏回用戶?！?h3>11月起個人信息保護(hù)法開始實施

值得期待的是，下個月開始，App的過度索取權(quán)限現(xiàn)象有望得到進(jìn)一步改善。11月1日，《中華人民共和國個人信息保護(hù)法》將開始施行，這是我國首部完整規(guī)定個人信息處理規(guī)則的法律。

根據(jù)個保法，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

除了個保法中規(guī)定的特殊情形，手機App要處理個人信息需要取得個人同意。用戶同意App處理個人信息，今后也有權(quán)撤回其同意，而App不得以撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

過去，手機App獲得用戶同意的方式，通常會以一攬子的用戶協(xié)議條款告知。吳沈括指出，從個保法規(guī)定來看，告知是以一種清晰易懂的方式來予以告知的，目前監(jiān)管機關(guān)公開的一些表示當(dāng)中，這種特別冗長的個人信息協(xié)議告知方式肯定是要改的，有一些App已經(jīng)在改變過程當(dāng)中。

此外，App處理個人敏感信息還需要獲得個人單獨同意。個人敏感信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。

新規(guī)實施后，手機App違反個保法規(guī)定處理個人信息，拒不改正的，將被并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

情節(jié)嚴(yán)重的，由省級以上履行個人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照。

何延哲透露，現(xiàn)在很多企業(yè)在加班加點改造產(chǎn)品的形態(tài)以迎合法律要求?！皞€保法實施后，大家都把個人信息保護(hù)放在第一位。態(tài)度擺正后，隱私保護(hù)工作就有了更多實質(zhì)性的動作。雖然不能依靠一部法律就能立馬徹底解決問題，但是一定會有一個變化，這個變化是大家都希望能夠通過法律約束企業(yè)的行為來重建對隱私保護(hù)的信任。只有重建信任，互聯(lián)網(wǎng)產(chǎn)品才能用得更舒心、省心。”

而在用戶層面，針對維權(quán)難問題，個保法明確了用戶維權(quán)的路徑。吳沈括表示，個人信息泄露之后，將主要有三種維權(quán)方式：通過消費者保護(hù)組織等權(quán)益保護(hù)類協(xié)會和機構(gòu)進(jìn)行維權(quán);通過舉報、投訴等行政監(jiān)管的方式，通過行政執(zhí)法機關(guān)來獲得維權(quán);通過司法訴訟的方式向法院提起侵權(quán)訴訟，取得司法保護(hù)。

未來，也許我們不用再擔(dān)心自己是手機上的透明人了。