为何从未用过的APP,为何也能知你名给你发短信

2017年8月20日17:23:01为何从未用过的APP,为何也能知你名给你发短信已关闭评论 7

XX,有人将你设置为暗恋对象;有前同事标注你“有两把刷子”;有好友记录了你的生日,并对你念念不忘……

突然有一天,收到一款从未注册下载过的APP直呼你的名字,发来这样的消息,你会是什么感觉?

为何从未用过的APP,为何也能知你名给你发短信

不少人的反应是诧异,谁泄露了我的信息?一般而言,个人信息泄露的渠道是自己在促销时留下了姓名电话,或是社交媒体上主动公开,也可能是曾经注册过的APP里透露的个人偏好。

但是,为何从未使用过的APP,也能得知你的真名,甚至给你发来短信呢?

从未用过的APP发来点名短信

不久前,来自杭州的金先生收到“脉脉”APP发来的一条短信,开头直呼他的真名,称有北京大学经济系某项目组的前同事标注他为“有两把刷子”,并列出他的7位朋友的真名,其中还有1人向他共享了2619个职业人脉。

为何从未用过的APP,为何也能知你名给你发短信

脉脉发来的短信。

“此前我从没使用过脉脉,但它却知道我的真实姓名、手机号码和一些简历信息,太可怕了”。金先生致电短信中提及的一个朋友,这位已经十年没联系的朋友称已经很久没有使用脉脉了,并不知情。

出于好奇,金先生下载了脉脉,弹出的页面有两排6个头像,全是他各个时期的朋友。页面提示:“由于你未注册脉脉APP,系统代他(她)短信邀请你。”在输入手机号注册完成后,页面系统要求金先生开启通讯录权限,只有同意,才可以进入下一步。

为何从未用过的APP,为何也能知你名给你发短信

页面显示的六个好友的头像,并有他们就职单位的信息

据一名开放了通讯录访问权限的用户称,“没想到(脉脉)竟然将我通讯录里的400多个好友全部一一对应了学校和单位,甚至连头像都对应上了,它是怎么办到的?”

金先生对隐私护卫队表示,“这分明是打着朋友、同事的旗号,擅自发短信诱导下载,然后强制读取通讯录。如果保护隐私意识不强,很可能中招把自己通讯录开放给脉脉了。”

这件蹊跷事也发生在南京的王先生身上,他向隐私护卫队表达了进一步的担心:“注册APP的时候被强制要求读取通讯录,我有权泄露朋友的号码吗?”

隐私护卫队注意到,通过发送短信提示有好友标记的APP,大多具有较强的社交属性,比如“生日管家”、“探探”也有类似功能。

“生日管家”发送的短信称,XX,有男生/女生在生日管家记录了你的生日,并对你“打了招呼”或“念念不忘”。当打开“生日管家”后,用户可以清楚看到手机通讯录里大部分好友的生日,星座和现居住地,这些信息大多准确无误。

为何从未用过的APP,为何也能知你名给你发短信

生日管家发来的短信。

和生日管家一样,探探发送的短信开头也直接点名称呼,有你的一位手机联系人在探探上将你设置为“暗恋对象”。如果你也“暗恋”Ta,你们将配对成功,并附上了APP下载链接。

亲测:参与测试游戏生日信息也会被上传

隐私护卫队随后下载这三款APP,发现它们都需要读取用户的通讯录。当用户开启相应功能后,APP会代发短信给被手机联系人里被标记的好友。

在脉脉的注册页面,首先用户会被要求填写手机号码,点击下一步,系统提示“脉脉”想访问你的通讯录。当隐私护卫队点击“不允许”时,页面再次提醒“请允许打开通讯录”,还附上开启步骤,提示“请确保通讯录不为空且手机号码有效”。在这一页面中,用户可选项只有一个:“我已开启权限,继续”。

为何从未用过的APP,为何也能知你名给你发短信

当用户注册时,脉脉要求读取通讯录否则无法享受服务。

隐私护卫队下载“探探”APP时,被告知需访问通讯录,并称不会发送垃圾短信给他们或者存储他们的联系方式。注册完成后,隐私护卫队点击“匿名暗恋表白”功能,选取了一名好友进行操作,探探提示对方将收到一条匿名表白,如果其也暗恋你,你们会收到配对通知。不久,该好友果然收到了上述信息。

为何从未用过的APP,为何也能知你名给你发短信

在探探上标注暗恋对象后,出现提示ta将收到一条匿名表白。

为何从未用过的APP,为何也能知你名给你发短信

探探发来的短信。

当打开“生日管家”开启通讯录授权后,隐私护卫队就APP提示的生日信息,向数位好友确认。不少人对于生日就这样被公开,表示惊讶。其中一位很少对外透露生日的好友确认后直言,“这不是泄露个人隐私吗?”

不同于上述两款社交类APP,生日管家还能获取用户的生日。那么,它是如何通过手机号码匹配生日信息的呢?

根据生日管家介绍, 所有手机号关联的生日均为用户自行手动添加,这包括但不限于公开自己的生日、手动添加它们手机号和生日、QQ和微信询问中添加等,并将生日服务分享给使用本软件的其他用户。

打个比方,当你用生日管家记录了某人的生日。在生日管家上,存储了这个人联系方式的用户,都可以知道他的生日。

值得一提的是,隐私护卫队发现,在生日管家上,通过绑定微信,分享一款名为“今日运势”的测试游戏可收集到这些信息。参与测试时,用户需输入出生年月日才能知道获取运势情况。而整个运势测试的过程中,并无相关提示告知用户的生日信息被收集到哪里。

为何从未用过的APP,为何也能知你名给你发短信

生日管家可以通过分享今日运势给好友测试获取生日信息。

就这样,在没有下载过该软件的情况下,有些人的生日信息莫名被收集了。

企业:用户自主操作 点名为了引起注意

隐私护卫队发现,在收到这些APP发来的点名短信后,不少人基于猎奇心理,想要了解究竟被哪位匿名好友惦记。但要解开谜团并不容易,用户要点击下载APP,还要标注猜测对象,发送短信验证,直到两人同时配对成功后才能知晓。与此同时,新一波被新标注的未注册用户又会收到相同的信息。

基于此,有人认为这是企业病毒式营销的方法,更有人质疑企业未经同意发送短信属于侵权行为。隐私护卫队就此咨询三款APP的有关负责人,均得到回复称是使用APP的用户自主操作,从而触发短信推送。

探探相关负责人告诉隐私护卫队, “去年上线‘匿名暗恋表白’功能,旨在让用户知道彼此心意,可以理解未注册用户收到短信的心情。但是不带真名的话,可能引起不了对方的注意,对于发送者来说,表白成功的机会也不高。”

该负责人介绍,为了不使用户感到莫名其妙,在短信文案上已注明,“由于你未下载使用探探,你的联系人发送了短信通知”。姓名电话由该手机联系人提供。

脉脉方面回应隐私护卫队称,“脉脉是职场社交APP,社交是最核心的业务,脉脉要求上传通讯录目的,是提供人脉统计和标注人脉等服务,否则用户无法享受脉脉添加好友的功能,那么用户使用脉脉将失去意义。”

隐私护卫队查阅脉脉“用户信息条款”发现, “用户一旦注册、登陆、使用脉脉服务,将视为用户完全了解、同意并接受淘友公司通过包括但不限于收集、统计、分析、使用等方式合理使用用户信息。”脉脉相关负责人表示,在用户同意本协议的基础上,平台发送短信,无需向用户另行取得授权。

生日管家方面表示,在收集生日信息的过程中,采用了不可逆的加密算法,提取通讯的手机号特征与云端数据进行匹配。通过玩“今日运势”游戏收集生日信息,是为了避免直面询问好友生日的尴尬,让用户悄悄做一个有心人,更好地关心朋友,“开发这个功能的出发点是善意的。”

上述3款APP同时提到,如果被记录者介意自己的信息被分享,平台提供了相关的操作来避免“骚扰”,并强调注重用户的隐私保护。

专家:你无权分享他人的任何个人信息

隐私护卫队了解到,目前多数互联网公司的产品在新用户注册使用时,都会请求读取、上传通讯录信息,尤其是在P2P产品、征信和社交类产品。

然而,“不管所提供的服务需不需要,很多APP都会习惯性地向用户申请通讯录权限,连金山词霸这种工具APP也不例外。”一名业内人士告诉隐私护卫队。

隐私护卫队使用的一款安卓手机,在应用授权管理中,可以看到所下载的41款APP中,需要读取联系人的共有32个。除上述APP外,还有今日头条、百度地图、豌豆荚、搜狗输入法等。

对此,中国信息安全研究院副院长左晓栋向隐私护卫队表示,APP读取通讯录,或将此当作注册步骤,这要看功能需要。“比如名片整理的APP,它本来就是处理名片的,读取通讯录很正常”,左晓栋说,仅从这几款APP的定位来看,不好判断读取通讯录是否必需,但它们至少违反了国家关于“主动说明收集的个人信息最小元素集,并说明与其基本功能的关系”之规定。

左晓栋指出,国家标准规定,企业应该明确标注收集的个人信息最小元素集。如果是在最小元素集之内收集的信息,用户不同意,企业可以不提供服务;但如果是在范围之外的话,企业无权拒绝提供服务,也不能降低服务质量。

针对APP向未下载过的用户发送短信的问题,有专家表示,类似的功能应当限于两个使用者之间。左晓栋告诉隐私护卫队,在非注册用户不知情的情况下发送短信,这首先是非法获取用户信息,然后是非法广告推广。

隐私护卫队了解到,依据《关于加强网络信息保护的决定》,任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领也表示, “个人信息的收集需要用户知情同意。现在用户同意提供信息,但是用户并不知道企业收集后,如何使用这些信息,也不知道将如何提供给他人。”

据隐私护卫队了解,今年10月正式实施的《民法总则》首次将个人信息保护作为个人权利纳入其中,对非法收集个人信息也做出明确规定:自然人的个人信息受法律保护。任何组织和个人……不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

南京大学法学院教授邱鹭风向隐私护卫队表示,即便是APP注册用户也无权泄露好友的联系方式。个人信息拥有“绝对权”,即除本人外,其他人未经授权无权支配其个人信息。

“通讯录表面上看,是我和朋友的个人关系,但实际上是朋友的个人信息,一旦随意授权给第三方,我和第三方就共同对朋友构成了侵权,也未尽到保护他人信息的法定义务。”

文杰
「emie」 头套式口罩
「FINO」多功能单肩斜挎包
《运营实战指南》(平装)
《故事营销有多重要》(平装)