科创

APP“悄悄”推新版本 用户的数据隐私稳了?

来源:懂懂笔记

撰文 |神乐

编辑 | 秦言

互联网时代下,大数据分析、人工智能等技术为广大用户的生活创了造便利,但由此而产生的个人信息泄露现象也令人关注。各类应用超范围收集个人信息,个人信息被泄露甚至买卖时有发生,而营销短信、电话满天飞,更是令用户苦不堪言。

今年8月,中国互联网信息中心(CNNIC)发布了《中国互联网络发展状况统计报告(第48次)》显示,有22.8%的网民曾遭遇过个人信息泄露,是占比最高、最为严重的一种网络安全问题。

有不少网友认为,互联网时代是“信息裸奔”的时代,任何用户信息、消费行为都是大数据的“网中之鱼”。不过,利用个人信息疯狂敛财的时代有望得到终结,11月1日备受网友关注的“个人信息保护法”已经正式施行。

在个人信息保护法施行之后,一些互联网企业和APP运营者是否趋于规范?普通用户又是否能感受到法规落地后隐私保护的变化?

不少企业“踩线”整改

10月31日晚,在深圳南山一家互联网创企担任开发经理的张楚(化名),仍在和团队挑灯夜战,只为了赶在11月1日零时(个人信息保护法)正式施行之前,推送最新一版的APP更新。

张楚坦言,从今年开始,有关部门针对企业、APP违规收集、滥用个人信息行为打击相当严厉,约谈的违规企业当中不乏互联网巨头。他甚至已经记不清公司旗下的社交APP是第几次因为个信相关规则调整,又为此推送了多少更新的版本。

“最新一次推送没有修复漏洞,只是取消了几项手机权限的获取,避免产生违法风险。”他表示,此前大部分的APP都会向用户索要手机权限,且用户一旦同意授权,APP都会“悄咪咪”地采集手机信息,用户不一定能觉察。

但在个人信息保护法正式施行后,企业一旦超范围获取用户个人信息有可能面临严厉的处罚,而不仅仅是应用下架、责令整改。因此 APP 要向用户索要用户权限,只能遵循合理必要原则,“社交APP索要相机权限、话筒权限、网络权限的问题不大,但短信、通讯录绝对不能采集了。”

早在今年8月个人信息保护法获表决通过时,他所在公司曾讨论过旗下APP是否应该“缩手”。但最终,高层仍决定在相关法规正式施行之前,让“子弹”再飞一会,暂时不作太大改动。之后,公司只根据陆续遭约谈企业所踩中的“红线”做了一些调整。

“例如一键全面授权、频繁索要用户权限、不同意授权强制退出APP等,都是有了罚例再改。”至于原因,张楚三缄其口。

而另一位不具名开发工程师则对懂懂笔记道出了其中奥秘。该人士解释,企业之所以在个信保护上“踢一脚”才会“走一步”,只因其中存在着巨大利益价值,“说白了就是钱来的快,而且还很容易。”

首先,采集用户的行为数据,可以为团队开发新功能、完善漏洞等方面提供指引和参考;其次,通过诸如年龄、性别、学历以及职业等个人敏感信息,可以看出用户的消费力、消费意向;最后,加上用户手机号、常驻地点的信息,便可以对外打包出售、谋取暴利。

据这位工程师透露,早在2016年,一套有年龄、性别、地区、职业、手机号的用户信息,售价可以高达二三十元。也正因为个信背后蕴含巨大利益价值,有的企业甚至在相关法律法规正式施行后仍然铤而走险。

11 月4日,工信部发布的通报称,有38款违规APP涉及超范围索取权限、过度收集用户个人信息等问题,要求上述APP在11月9日前完成整改,逾期不整改或整改不到位的,工信部将依法、依规进行处置并予以行政处罚。

懂懂笔记也发现,有不少手机应用在11月9日(含当天)之前,都陆续发布了最新一版的应用,多少有些“有则改正无则加勉”的意味。由此可见,在个人信息保护法正式施行的大背景下,曾经胆大妄为的企业都也不得不正视违规带来的严重后果。

用户感受喜忧参半

“看到个信保护法正式施行的新闻后,我立马看了一下手机里的APP有那些变化。”

广州天河区的网友Chris告诉懂懂笔记,看到新闻中的时间结点之后,好奇的她在1号点开了手机一款职场学习APP(公司指定下载),想看看是否有明显变化。

之前,她每次打开该APP都会不停出现“获取相关权限”的提示,只要用户拒绝,APP便会自动闪退。由于是公司指定的业务指标,即便不想使用APP,她也只能留着备查,不敢轻易卸载掉。但当天她开打APP时却发现,即便拒绝APP获取相关权限,也能正常地运行,只会在用户界面的下方提示——“拒绝授予相关权限,可能会导致部分功能不可用”。

“而且在一次闪退、应用更新之后,界面下方功能不可用的提示也消失了,这让我感觉很意外。”惊喜之下,Chris一连打开了好几款主流的资讯APP,以往频繁索取权限、利用特定功能诱导用户授权的情况也没有再出现过。

另外,刚刚施行的个人信息保护法,除了遏制一部分APP超范围、强制获取手机权限乱象之外,也从法律上禁止“大数据杀熟”的存在。为此有网友反复验了多款电商、出行APP,想看看“大数据杀熟”是否真的成了历史。

“最近刚好双十一嘛,我们几个同事经常会拿出手机,看看在同样的电商APP上,同样的商品、同样的服务价格是否一样。在一连试了好几次之后,我发现APP在执行(整改)上呈两极分化。”豆瓣上一位昵称为“数数”的网友表示,自己感觉主流电商APP“大数据杀熟”似乎有所减少了。

即便在不久前流传甚广的“电饭煲价格测试”中曾被判定为“穷鬼”的用户,如今在电商平台上搜索“电饭煲”,也能搜出价格高低有别的产品,可见搜索的规则有了一定优化。

“但是出行APP有点惨,包括网约车、酒店预定平台,还是存在价格杀熟问题。”数数表示,在她与同事的测试中,在部分主流预订平台搜索相同酒店、景区套票,以及动车票和机票,不同用户仍出现价格差异问题,“区区几百元的同一航班机票,不同用户竟然相差几十元。”

当然,也有一些网友关心个人信息保护法施行前,已泄露的个人信息能否得到保障。就在双十一期间,也是个人信息保护法实施后,仍有不少网友反映遭到电商平台的商家频繁用短信、电话轰炸,令很多人头痛不已。

个人信息保护法正式施行给个人信息安全加上了一道锁,明确了企业在个人信息安全中需要承担的义务及责任,也让消费者拒绝不合理的授权行为有了法律依据。尽管仍有违规企业心存“侥幸”,但更多的则开始考量如何合理规避风险,在合法获得用户的信息同时,做出有针对性的营销举措。

钻漏洞、找对策的伎俩

“频繁要权限、暗地采集数据、大数据杀熟……如今都不能做了。”

在个人信息保护法正式施行之后,李飞(化名)立刻召集了公司所有同事开了一场对策会。作为一家海淘电商机构的负责人,他很清楚新规对行业的影响有多大。为了找寻解决的方法,他甚至一遍一遍、不厌其烦地阅读法规的细则,仔仔细细地钻进字眼里找对策。

他认为,个人信息保护法的核心为“告知-同意”:即通过显著方式、清晰易懂的语言,真实、准确、完整的要求,让用户充分知情。同时,用户需自愿明确地对个人信息收集和处理活动表示同意,企业方能在必要的特定范围内采集、处理用户个人信息数据。

“换句话说,只要清晰告知了用户,同时用户明确同意采集就行了,也不是完全无法采集。”李飞分析,倘若企业通过APP优惠发放、功能解锁等方式,与用户“交换”个信、相关权限,就属于“你情我愿”的买卖了,这样就可以绕开个人信息保护法相关要求。

这种例子在业内并不少见。例如部分聚合充电、聚合加油APP,会通过发放优惠券、折扣券的方式鼓励车主提供认证信息,很多车主为了省钱,会“心甘情愿”地给企业提供身份证、驾驶证等资料,甚至还有更敏感的个人信息。

“在类似行为里,没有强迫、没有诱导,的确是在用户充分知情、同意下产生的等价交换嘛。”至于这种猜想是否能实现,李飞表示后续还要视权威机构对相关法案的进一步解读,才能下最终结论,“若可行的话,我们是能够绕开数据杀熟禁令的。”

深圳创业者Eric也表示,公司开发、运营的是一款健身APP,今年年中APP上推出了商城功能,商品会根据用户行为数据信息(如位置信息)进行差异化推送。也就是说,即便用户同在深圳但是身处不同区域,看到的推送内容也会有差异。

“现在明确说不能大数据杀熟,但如果是用户同意、要求提供有针对性的内容、商品推送呢?”他告诉懂懂笔记,团队正在APP中尝试加入“差异化推荐”的相关选项,一旦用户选择该选项,就意味着用户知情、同意,甚至是要求APP针对其个人信息、行为数据推荐差异化的内容、商品了。

早在个人信息保护法正式施行之后,曾有法律界人士公开表示,平台“差异化销售”与“大数据杀熟”的界定就在“是否同意”上面,如果是用户同意差异化推送,也就不涉及违法违规。“至于如何说服用户同意这些选项,可选方式有很多,只是企业需要付出些成本罢了,”Eric说道。

【结束语】

对于互联网企业、创业者而言,个人信息数据确实具备十足的商业价值,但是要想获得首先要合法。相比以往一些企业肆无忌惮、低成本获取个人信息疯狂掘金的状态,此次监管的一步到位恰逢其时。

如今,APP应用提供方若要合法、合规收集用户信息、采集用户数据,只能遵循“告知-同意”原则,这无疑会让一些原来无视个人信息隐私的企业开始“正视问题”。同时,这种门槛的抬高也让用户拍手称快,因为此举提升了人们保护个人信息的意识,更维护了良好的互联网环境。