MIUI是一款月活跃人数超过3亿的国产手机操作系统。4月27日,MIUI将其版本升级到MIU12,增加了多个新功能,其中含有一项名为“照明弹”的隐私记录功能。
据媒体报道,网友使用这项隐私记录功能后惊讶地发现,开机不过10分钟左右的时间,机内安装的交友APP探探就获取地理位置108次,读写储存空间的次数更是达到13804次。
安卓系统在保护隐私方面向来较弱,很多用户对此早有心理预期。即便如此,被“照明弹”显现出来的APP 隐私偷窥行为,其频繁程度依旧令人惊讶。
不只是偷窥,“照明弹”下,还有很多被观察到的APP行为令人不解,如“虎扑”本是一款虚拟论坛应用,却一直在尝试暗中启动手机里的打车软件;某社交媒体APP从桌面被开启以后,短短1分钟内多次试图唤醒其他APP;还有些APP频繁尝试偷偷自启动。
某种程度上,“照明弹”的出现,不但“照”出了用户手机隐私被严重侵犯的现实,也“照”出了当下国内移动互联网普遍的隐私保护现状。
自从移动时代到来后,APP窃取用户隐私一直是网络安全的重灾区,对此舆论已多有关注,监管部门也出台了相关法规。
标志性事件是《信息安全技术个人信息安全规范》(简称“规范”)在2018年5月1日正式生效,加上去年发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,两个文件填补了国内个人信息保护在具体实践标准上的空白。
规范对APP超范围收集、强制授权、过度索权等个人信息安全问题提出了较明确的意见,针对16类常用的基本业务功能界定了必要信息的范围。按理说,界限已经划明了。
可规范出台转眼已两年,从“照明弹”反映出的实际情况看,国内APP隐私保护现状仍有太多不足之处——而这,也不啻为对规范的轻易突破。
规范设定的界线,简单讲可以用三条原则概括:其一,除安全目的外,不得强制收集设备信息;其二,收集隐私需告知用户并获同意;其三,信息收集应坚持“最少够用”原则。可从“照明弹”记录的案例看,这些原则都遭到严重践踏。尤为值得注意的是,这些被曝光的APP并非少数非法软件,而多是用户量庞大的通用APP。
为什么APP偷窥隐私行为难以遏制?可从三方面理解:即收集隐私所获利益太大,违规代价太小,无论是用户还是行业,对隐私问题没做到足够重视。
很多APP过度收集隐私,是为了商业目的。隐私就是数据,数据就是财富,中国目前也已明确将数据纳入生产要素。还有些APP是出于提升用户体验,本身没有恶意动机,却也无视了边界的存在。这种行为也有其商业目的,即获取市场竞争上的优势。
而无论是“隐私换便利”的行业隐性共识,还是很多用户对出让隐私的无所谓态度,都无形中助长了隐私过度收集之风。
鉴于此,显然有必要加强对隐私过度收集的“硬约束”。虽然目前已有《规范》划定了界限,但这仍是一份技术性文件,虽能用于说明对错,可强制性仍不够。换言之,就算“照明弹”曝光了部分APP,能否受到监管处罚,也存在不确定性。
去年9月15日,在“2019年网络安全专题发布会”上,曾有多款APP因侵犯用户隐私而被点名,但也就仅止于点名而已。这种局面亟待改变。
而在此现状下,作为正面技术力量,“照明弹”的推出也不乏启示:至少可以通过技术手段增加信息透明度,让用户直觉感受到,水面之下个人隐私正被“触目惊心”地收集,也以此对厂商形成必要的约束,令他们因担心曝光而有所收敛。
可以预见,当类似的隐私记录功能成为手机“标配”,能将那些偷窥用户隐私的APP“挖”出来,那些视用户隐私如无物的APP,也能在用户力量的倒逼下守住底线。