近年,随着互联网的发展日渐成熟,网友对于触网的信息安全性,也越来越重视。而除了一些互联网平台通过“大数据杀熟”的方式,来对用户进行区别对待、花样收割外,互联网平台过度获取用户信息、甚至侵犯用户隐私权的事件也时有发生,并引发关注。
例如,最近在在国内一知名技术论坛稀土掘金上,有程序员网友爆料称,多多买菜门店端App(v1.17.0)在用户协议中获取信息用户过多,特别是未经用户许可获取手机通知栏信息。
在《网络安全法》《个人信息保护法》等信息安全法律法规的重拳监管下,多多买菜的这些行为,也被指涉嫌违反相关法律法规,暗藏企业发展风险。
过度获取用户信息,涉嫌侵犯用户隐私
众所周知,自从国家落实了网络用户实名制相关法律法规以后,各大互联网平台就开始名正言顺地要求用户在登录平台前,签订一些条款繁多的用户协议。这也意味着,互联网平台在这份用户协议里,可以随意写入有利于平台规避法律责任的条款与内容。
以这次的爆料帖为例,该爆料帖还提到了多多买菜门店端App的更多问题,都是关于用户信息收集的,帖子内容提到,多多买菜门店端App会申请10余项手机权限,其中包括远程配置、蓝牙数据、Wi-Fi数据等。
据多多买菜门店端App隐私协议显示,将获取用户设备类型、设备型号、MAC地址及IMEI、设备设置、设备储存空间、移动应用列表等软硬件信息。
这些看起来琳琅满目的用户信息,会给使用多多买菜的用户带来什么影响?这些技术大牛表示:你可能被一款护肤品种草,但还没来得及货比三家,某些百亿补贴大捡漏的推荐,就在商品列表首页第一排,等你下手。而当你和饭搭子怎么讨论都解决不了吃什么的世纪难题,可能某些App马上就能智能推荐一些你们讨论的日料火锅辣白菜,供你选择,让你无法拒绝。
可能有人会说,多多买菜如此懂我,这是好事啊?但是,如果多多买菜通过用户默认同意的用户协议,获取到了更多用户隐私信息,其可能对用户的隐私信息构成窃听、滥用等,这显然是很多网友所不能接受的,更是相关法律法规不能容忍的。
未经允许非法抓取用户手机通知栏信息,隐私暴露无遗
据了解,多多买菜在过度抓取用户信息后,还能将这些信息充分利用,来获取用户更为隐秘的信息。
据爆料帖子显示,在多多买菜门店端App里,有一个名为NotificationUtils的工具,可以实现检查当前应用是否允许通知、获取通知权限状态并记录、获取通知栏中的通知数量并内部调用。
也就是说,当用户手机安装了多多买菜门店端App,其通知栏就相当于开放给多多买菜,包括推送到通知栏的信息的App名称、推送时间,以及推送标题、正文、用户ID等内容。
如图所示,显示在用户通知栏的微信联系人昵称、头像、微信信息的内容,微博、短信推送内容,甚至银行手机客户端所推送的消费记录如时间、银行卡尾号、消费金额、消费渠道,行程提醒中的时间、车次等,都将被多多买菜门店端App后台抓取。
这些数据,也将让多多买菜无论是结合大数据进行精准推送,还是推广促销活动,都将有的放矢,让用户“防不胜防”。
用户使用习惯被监听、设备或被远程控制
除了通过用户协议违规收集用户信息以及抓取通知栏信息外,多多买菜门店端App还被指会监听用户的使用习惯,甚至上网设备可能会被远程控制。
爆料贴显示,当用户访问或使用多多买菜门店端App时,系统将自动接收并记录用户的浏览器、计算机上的信息,包括但不限于IP地址、浏览器类型、搜索记录、浏览记录、浏览习惯等。而这些信息是否允许被采集,也是在用户协议约定的范围内,用户使用前是默认需要同意的。
据一些程序员大咖表示,一旦平台拥有了这些基础技术数据,平台可能会诱导用户安装其他恶意软件包,这可能会导致用户手机被远程控制、安装恶意软件、遭受病毒攻击等后果,由此给用户带来的潜在危害也可想而知。
另外,此前就有业内人士发表专业文章指出,多多买菜在百团大战中大获全胜,实现市场份额第一,也与其通过技术手段,过度采集用户信息有着莫大的关系。
据文章透露,一年前,多多买菜在北方某县城,和其他公司的买菜业务打得难舍难分,拼多多借助App中的神奇代码ppd rocket,识别到该地区用户使用其他公司的社区团购应用,强行消耗其手机的CPU,让手机卡顿,用户难以正常使用其他公司的社区团购,使多多买菜在该地区获得用户的“广泛好评”。只是,这样的操作或涉嫌违反相关法律法规,随时可能会被监管部门处罚。
例如,2021年施行的《网络产品安全漏洞管理规定》第四条明确规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”
与此同时,在《网络安全法》《个人信息保护法》中,对于此类行为也有针对性规定,并明确了相关法律责任。时至2023年2月底 ,工信部也发布了 26 条措施,聚焦 APP 安装卸载、服务体验、个人信息保护、诉求响应等,针对性地提出了改善措施;同时对 APP 开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业细致地划分了责任。
这也意味着,多多买菜的一系列数据采集、应用操作,可能涉嫌违反相关法律法规,风险极大。要知道,近年我国接二连三出台消费者信息保护法律法规,也让一些钻互联网法律漏洞的互联网平台无处遁形。
这几年,因为非法收集用户信息而被监管部门处罚、下架的互联网平台不计其数。例如,2022年2月中旬,国家计算机病毒应急处理中心近期通过互联网监测发现14款移动应用存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息。
无独有偶,随后的2022年11月,针对网友强烈的App以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为,国家网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“超凡清理管家”等135款违法违规App。
其中55款App存在强制索要非必要权限、未经单独同意向第三方共享精确位置信息、无隐私政策、超范围收集上传通讯录等问题,违反《个人信息保护法》等法律法规规定,而被责令下架。
由此可见,在国家重拳政策落地后,越来越多的违规应用、互联网平台难逃监管部门的“法眼”。
结语
无数媒体人的共识是,作为国内头部互联网平台,拼多多及多多买菜一直打着“扶贫助农”的旗号,甚至百亿补贴的噱头圈定了数亿用户,因此也应有着互联网大厂的社会责任感。
水能载舟、也能覆舟,更大的平台规模,也意味着需要更大的社会责任。当时代对合规发展、持续经营的要求越来越高之时,多多买菜也无法在这个并非法外之地,获得任何“优待”。(来源:潮起网 于见专栏)