中國幾億人的手機正在被綁架！

記者 | 顏之宏 汪奧娜 《瞭望》新聞周刊

本文轉載自瞭望客戶端2018年1月27日版，原標題為《APP正在「綁架」你的手機》。

用新聞閱讀APP正看著新聞，突然一條廣告闖入視野，裡面推薦的內容正是你之前在某購物APP上搜索過的商品；下載理財APP後，各種推薦股票、基金的電話便絡繹不絕，一些來電甚至能準確叫出你的姓名……《瞭望》新聞周刊記者採訪了解到，近年來這樣的場景正越來越多地在我們身邊真實上演，但絕大多數人想不到正是「你自己」授權給了APP們，「允許」它們在你的手機里瘋狂攫取各種信息乃至隱私。

APP怎樣「偷走」授權

現實社會中，「簽字畫押」是很嚴肅的事，只要在白紙黑字的協議上「簽字畫押」，就意味著自己將對協議中闡明可能發生的後果負責。而在手機互聯時代，使用APP前在用戶協議上「打個勾」，就意味著用戶同意讓渡自己的部分權利。

福建省廈門市劉先生告訴《瞭望》新聞周刊記者，自己在手機里安裝了多款同類APP，「前不久在某購物網站買了一副耳機，結果某新聞閱讀APP連著好幾天給我推送同款耳機的廣告。」除了推送購物信息，他之前點過外賣的小吃店、買過團購券的西餐廳，甚至是搜索過的去哪個目的地的飛機票的廣告都會冷不丁出現在閱讀界面，「確實令人驚悚。」

本刊記者現場實測安裝了劉先生下載的某款新聞類APP後，在登錄界面的中間有一欄小字提示：「我已閱讀並同意用戶協議和隱私條款」，前面的方框內已被默認打勾。點開該協議內容，在11.2.1日誌信息中介紹了該APP對用戶cookies（用戶上網痕迹，包含瀏覽歷史、賬號、密碼等敏感內容）的使用說明，其中明確表示「該公司可能會利用cookies和同類技術收取您的信息用於了解您的偏好……為用戶和合作夥伴提供更好的服務。」

劉先生表示，自己並不了解cookies是指什麼，也不清楚為什麼在別的APP上的搜索、瀏覽、購買痕迹會被該APP截獲。本刊記者在測試中發現，即使不在該新聞閱讀APP中登錄，手機上的其他諸如團購、外賣點餐、購物、旅行訂票的搜索歷史也會被讀取，並最終演變成同類廣告出現在閱讀界面中。

本刊記者在隨後的採訪調查中了解到，「默認授權」並非孤案。據南都個人信息保護研究中心發布的《關於收集個人信息「明示同意」的測評報告與建議》顯示，在實測了100款常用APP後發現，僅有11%的APP做到了合乎法規及規範的「明示同意」。

用戶「被作主」情況泛濫

為了解手機APP的「授權體驗」，根據蘋果和安卓應用商店的暢銷度排名，《瞭望》新聞周刊記者下載了十幾款流行APP，涵蓋外賣點餐、社交、旅行、共享出行、金融理財、網路直播等諸多領域。

在某手機銀行APP註冊界面，頁面下方有一行文字提示「點擊下一步即表示您同意《電子銀行個人客戶服務協議》」，也就是說，新用戶只要點擊下一步，即表示同意了該協議。

在某知名網路直播APP的註冊界面，其下方也有一行小字提示：使用即為同意《××註冊協議及版權聲明》。該《協議》某條款載明「您理解並知曉在使用××平台服務時，所接觸的內容和信息來源廣泛……您可能會接觸到不正確的、令人不快的、不適當的或令人厭惡的內容和信息，您不會以此追究平台的相關責任。」該條款具有很強「撇清關係」的意味，暗示用戶在觀看直播時如遇不合適的播出內容，平台將免於被追責。

在某熱門共享單車APP《用車服務條款》的5.4條中，有這樣一句表述：「用戶理解並同意，『××單車』可能會與第三方合作向用戶提供相關的服務，在此情況下，如該第三方同意承擔與××公司同等的保護用戶隱私的責任，則××公司有權將用戶的註冊資料等提供給第三方，用於向用戶提供服務之目的。」

相關軟體評測人士向本刊記者表示，「該條款近乎『耍流氓』地向用戶說明，你在使用本公司共享單車服務時所填寫的姓名、身份證號、手機號碼等註冊信息，會被提供給第三方，而目的則是向你『提供服務』。」

除用戶在註冊時遭遇的「默認勾選」外，一些APP在使用過程中「主動」為用戶選擇了一些打包產品。在某知名旅行訂票APP中，本刊記者嘗試預訂一張從上海至北京的高鐵票，除票麵價格553元外，該款APP默認為用戶勾選了一個價值30元的「優惠套餐」，而頁面中也並未明示該優惠套餐包含何種內容，如非留意到訂單總價變化，用戶在下單時很難發現其中蹊蹺。

此外，還有某社交APP在註冊時通過剝洋蔥的模式「告知」用戶使用協議，在聊天功能外，還包含支付協議，在支付協議中，又包含了理財協議。

尤其令用戶防不勝防的是，本刊記者在調查中還發現，某團購APP在「我的錢包－借錢」功能中甚至還玩起了「偷梁換柱」的貓膩，讓用戶與第三方金融服務企業「簽」起了協議。

在該《借錢業務用戶協議》中，包含「用戶在使用借錢業務中，本平台對此不承擔任何責任」「用戶點擊確認本協議，即視為用戶同意且不可撤銷地授權本平台將用戶的必要信息，包括但不限於賬號、手機號等，提供給第三方……」業內人士表示，此舉意在借該團購平台的流量營造「品牌效應」，讓用戶誤以為是自己和平台本身產生關係，而這一手段在行業內有大行其道。

APP究竟想得到什麼

在測試過程中《瞭望》新聞周刊記者發現，通過「默認勾選」，一些軟體獲取了用戶的超範圍授權，一些軟體則在免責協議中「悄悄」讓用戶放棄了追索權。

「不是不在乎個人隱私和選擇權，是沒轍啊！」廈門市民管先生向本刊記者抱怨道，「用戶協議篇幅長，專業術語還多，作為普通用戶根本不懂它想表達什麼，它到底會拿走我什麼。」事實上，和管先生有類似想法的人還有很多，甚至是一些專門從事法律和互聯網安全工作的受訪者也會對「默認勾選」的用戶協議感到迷茫。

在某知名外賣APP冗長的《隱私政策》中，兩段這樣的表述引起了記者的注意：「我們或我們的第三方合作夥伴，可能通過cookies收集和使用您的信息，並將該等信息儲存為日誌信息。」「這些第三方cookies手機和使用該等信息，不受本《隱私政策》約束，而是受相關使用者的隱私政策約束，我們不對第三方的cookies承擔相關責任。」

有意思的是，這款外賣APP既向用戶聲索了自己使用cookies的權利，還「替用戶」將其cookies轉讓給第三方合作夥伴使用，同時「告知」用戶這些信息不受自己的隱私政策保護。也就是說，用戶在使用該外賣APP時，無償將自己的搜索記錄、下單記錄、瀏覽記錄等使用偏好轉讓給了APP開發者及其合作方，同時還要自行承擔這些內容遭到泄露的安全風險。

「一個做外賣的APP，不但收集我的cookies，還要把cookies分享給第三方合作夥伴，我能相信你只是要給我推送廣告嗎？」一位不願具名的互聯網安全行業人士表示，很多用戶連cookies都不知道是什麼，還把這部分內容藏在幾千字的用戶協議中，不得不讓人對其目的產生懷疑。

據業內人士透露，「默認勾選」早在大家使用PC端的BBS（論壇）功能時就已經以行業潛規則的形式出現，當時的初衷是為了減少用戶在網站的點擊次數，提升用戶上網體驗。而現在很多APP開發者既想儘可能獲得更多用戶授權，又意圖符合監管規定，所以就衍生出了五花八門的替用戶作主的方式。

「去年出台的網路安全法對於用戶授權和隱私條款有了明確的規定，許多APP為了迎合監管，草草上線更改後的用戶協議，利用大量專業辭彙和免責表述『繞暈』用戶，既不合法，也不合規。」上海信息安全行業協會專委會副主任張威向《瞭望》新聞周刊記者表示。

依法重拳打擊APP侵權

互聯網行業專家普遍認為，「默認勾選」不能成為潛規則，監管部門應加強執法監督，保護用戶合法權益，保障行業持續向好發展。

張威指出，「默認勾選」的做法不僅在大企業中盛行，小企業的問題同樣值得關注。他建議，約談證明互聯網企業在替用戶做決定的這一行為，確實觸及法律底線，接下來執法部門應根據相關法律法規嚴格執法，倒逼全行業尊重用戶的知情權和選擇權。此外，國家有關部門應完善用戶對此類行為的舉報機制，便於用戶在發現違法線索時能第一時間上報給執法部門。

「數字時代，信息成為了重要資源。」中國信息安全研究院副院長左曉棟向《瞭望》新聞周刊記者表示，網路安全法與《個人信息安全規範》等法律法規都對個人信息的保護提出了明確的要求。但目前，在公眾接觸最多的信息收集環節，絕大部分互聯網企業遠未達到法律法規與國家標準的要求。企業主動遵守規範的動力不足，卻有充分的動力誘導用戶提供個人信息，因此會用模稜兩可或晦澀難懂的條款來取得用戶的授權。

他認為，僅靠企業自律不是辦法，最關鍵的還是嚴格的執法。歐盟不久前發布的《通用數據保護條例（GDPR）》中，處罰力度可謂非常大，違規企業面臨高達全部營業額2%～4%的罰款，能直接推動企業自我規範。目前，工信部與中央網信辦雖有約談機制，但缺乏強制力。他建議國家明確個人信息保護的主管單位，可效仿歐洲設置獨立的個人信息保護機構。

採訪中，廈門大學法學院助理教授汪東升認為，互聯網企業的用戶協議採取了過去金融部門普遍使用的「格式合同」，即用戶要麼同意用戶協議的全部條款，要麼就不要使用該款軟體，「這對用戶而言是不公平的。」根據合同法的有關規定，在雙方同意的情況下，用戶和企業是可以就協議的部分條款進行修改的。他建議，企業在未來應更多照顧不同用戶之間的差別化需求，嘗試推出「需求定製」的用戶協議。

來源：瞭望智庫

- END -

華 語 智 庫

更 多 專 家 解 讀 可 按 國 家 查 看 文 章

長 按 下 方 二 維 碼 ， 關 注 本 公 眾 號

專家 | 深度 | 權威 | 原創

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！