Quantcast

【技术分享】第16期:手机取证之“MFSocket推送失败”解决方案

直播自爆“下面没穿”没人信 女主播当场狂啪?

骚妈妈,贱妈妈

血饮丨香港暴动背后是中国拔掉中情局最大海外据点的中美谍战较量!

韩国小清新污漫画《同居》第23话

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

南京公安官方号与抖音就用户隐私“掐起来了” 究竟谁说得对?

娜迪娅 李玲 隐私护卫队

近日,“南京公安”官方微信公众号(以下简称“南京公安”)一篇名为《抖音,正在偷看你的生活》一文引起了舆论关注。文中点名了短视频应用“抖音”读取用户通讯录、第三方授权与绑定手机、与第三方分享用户信息三个场景中涉及的隐私问题值得关注。

隐私护卫队在10月31日下午2点查看时,“南京公安”官方微信号已经看不到这篇文章,但在其搜狐号上仍可见。

搜狐号上仍然能够看到这篇文章。

31日中午,抖音方面针对这一文章回应称,该文章所述内容存在失实,将保留对“南京公安”追究法律责任的权利,并逐一回应了“南京公安”文章中提出的问题。

抖音方面发文回应。

一时间,双方各执一词,看上去都有道理,但究竟谁说的是对的?已经关注这个领域许久的隐私护卫队今天尝试对相关问题做个解析。


争议一、为什么会刷到认识的人?——抖音的读取通讯录功能

“南京公安”文章观点:当你在刷抖音时,经常能轻易发现好友的视频,这是抖音定制的“特别推荐”。因为抖音在“隐私设置”中默认打开了“允许将我推荐给好友”功能,读取了用户的通讯录。

抖音官方回应:通讯录推荐好友是业界通行做法,不仅抖音,微信等其他应用软件也有此功能。抖音对于用户通讯录信息的获取,是已经明确获得用户授权,并在明确获得该授权的情况下进行好友推荐。

隐私护卫队观点:先说结论:双方官方文章与声明说得都没错,但抖音有一处隐私设计的bug。在读取通讯录问题上,隐私护卫队站南京公安。

首先,抖音的回应确实是实情。在首次安装抖音时,界面会跳出“隐私政策”的同意界面,相关的授权就是在这个页面中获得的,如图:

在这个页面链接到的完整版隐私政策中,抖音明确表示会“在获得你的明示同意后,将通讯录中的信息进行高强度加密算法处理后,用于向你推荐通信(隐私护卫队默默在抖音隐私政策里发现了一个错别字……)录中的好友”。

也就是说,你如果点击了弹窗中的同意,你就已经允许抖音获取你的通讯录信息。

此外,通讯录信息由于包含了大量好友的手机号,一般被认为是敏感个人信息,根据《个人信息安全规范》的要求,需要得到用户的明示同意。因此抖音还按照相关法律法规的要求,用弹窗的形式加强提醒,获取用户的同意。

隐私护卫队尝试初始安装抖音,登录后发现点击“查看通讯录好友”时会出现一个弹窗,提醒想要访问通讯录,需要获得用户同意。直到这里抖音都做得很好很合规:

然而……

但当隐私护卫队明确点击了“不允许”收集通讯录后,再点开“我”——“设置”——“隐私设置”后,发现 “允许将我推荐给好友”键依然是默认开启状态,且抖音仍然在向我推荐好友。难道这个弹窗的选择不管用?还是我的拒绝太温和?见以下视频:

不得不说,抖音在这里的设计出现了一个问题,即用户对于弹窗的拒绝没有起作用,相关功能键仍然处于开启状态,需要手动在设置里关闭才可以。

因此在这个问题上,隐私护卫队站南京公安。

争议二、不授权、不绑定手机号就没法用

“南京公安”文章观点:登录时,选择了第三方,即微信授权登录后,微信客户端上并没有显示,解绑后必须要绑定手机才能使用。

抖音官方回应:通过微信、QQ登录是正常第三方登录状态,是用户自行选择并操作的登录行为,也是业界通用的方式。微信、QQ从未向抖音开放过朋友关系,非腾讯系产品使用微信、QQ登录不会在“授权管理”栏显示,微信、QQ授权管理栏的具体显示范围建议向微信确认。抖音不会强制绑定用户手机、第三方账号。抖音在非登录状态下可以正常使用浏览等主要功能,根据国家相关法律要求,用户在发布信息、留言评论、直播等功能时,需要进行注册或者认证。

隐私护卫队观点:先说结论:登录问题上,抖音的做法合规,隐私护卫队站抖音。

隐私护卫队测试打开抖音,在不登录的状态下,是可以浏览短视频的,而当隐私护卫队点击“关注”、“我”等选项时,才需要注册或登录。这一点上,抖音并没有不合规之处。

在登录时,除了用手机号码(配合密码或动态短信密码)注册或登录外,抖音提供了今日头条、微信、QQ、微博四种第三方登录方式。当用户选择第三方登录时,相关的设计和管理方式则与第三方软件有关。

至于解绑第三方账号后,“南京公安”文章中提及的“必须绑定手机”的弹窗,更确切地说,应该是让用户重新回到用手机号配合密码或短信动态密码的注册状态下。抖音的提示并没有不合规的问题,至多也只能说弹窗语言的表达中,“必须”一词可能对用户形成了压力,操作方式在当时的场景下并无不妥。

因此在这个问题上,隐私护卫队站抖音。

争议三、分享给第三方的隐私不受保护

“南京公安”文章观点:购物、游戏、装修……各种广告夹杂在各类博主的视频之间。这些广告很可能会收集用户信息以便进一步推销。第三方在抖音上收集的信息并不适用于隐私政策,一旦用户点击这类广告,那就需要自行研究到底适用于什么政策。具体第三方是什么政策,抖音也没有说明。

抖音官方回应:(1)抖音的用户协议中明确表明“不会向广告商提供姓名、身份证号码”。抖音是将用户的兴趣标签进行去标识化或匿名化的处理后,在用户协议明确范围内与广告主共享,并不涉及提供用户的隐私信息。广告主无法通过这些无法识别的信息去还原用户个人。这也是业界通用的广告推荐手段,大家常见的电商、微信朋友圈、微博广告也都是同样方式。

(2)隐私政策不适用于第三方平台是常识。用户从抖音平台转跳到第三方平台,抖音无权将自己的隐私政策适用到其他平台。例如,当用户由抖音跳转到App Store时,抖音用户在App Store的行为适用于App Store的隐私政策而不是抖音的。

隐私护卫队观点:先说结论:双方的表达均有值得质疑之处,与第三方分享用户信息这个问题上,隐私护卫队谁也不站。

首先,隐私护卫队查看了抖音的隐私政策,关于与第三方共享用户个人信息,特别是与广告相关的共享政策,见下图:

这些条款可以通俗地理解为,抖音会与广告合作方共享信息,但是这些信息是经过处理的,无法识别出你的个人身份。

首先,抖音的这一做法符合相关法律法规标准对用户信息共享的要求。至于抖音是否真的能做到这一承诺,对用户个人信息做无法重新识别的匿名化或去标识化处理,这是所有企业都会面临的问题,是互联网技术与立法需要解决的问题,用户有普遍的担心也属正常,不是本文讨论的重点。

“南京公安”文章中提出的,第三方在抖音上收集的信息并不适用于隐私政策,值得好好分析一番。

通俗地说,按照相关法律法规的要求,如果用户的个人信息是由抖音平台收集,再由抖音分享给第三方,那么抖音不但要保证自己保护好用户信息,还要审核第三方是否具备和抖音相当的能力保护好用户的信息。

比如,抖音在给服务与设备提供商分享用户信息前,就需要与这些提供商签订保密协议,并审核他们的保护能力。这一点抖音在隐私协议中已经写到:

但如果个人信息不是从抖音平台上收集和分享的,而是由其他平台收集的,根据目前的法律法规,抖音的隐私政策则很难管到其他平台,即使这个平台是从抖音的链接里点击并打开的。

举个例子,抖音小姐姐推荐了一款眼影,你点击直播里的链接,打开了一个购物网站,接着你在这里买了东西,那么你买东西的详细信息是由购物网站收集的,此时你还需要查看购物网站的隐私政策,确定它能够对你的个人信息采取有效的保护。

就这一点来说,抖音的回应是合理的。但这并不代表隐私护卫队要站抖音。

一直以来,用户的个人信息第三方分享都是一个很敏感的问题。FACEBOOK的隐私丑闻也正是栽在了第三方分享上。

对于用户来说,我们常常对于自己的信息将被平台交给哪些第三方毫无所知,平台的隐私政策也常常含糊其辞,用简单的“供应商”、“合作方”、“利益共担方”几个词语概括。但根据《个人信息安全规范》的要求,共享信息需要告知共享、转让的目的和数据接收方的类型,如果是敏感个人信息,还需要告知共享敏感个人信息的类型,数据接收方的身份(这与上文的数据接收方的类型不同)与数据安全能力,并事先征得用户的明示同意。

因此,抖音的隐私政策中虽然对于第三方的类型进行了分类,但具体身份与数据安全能力并没有提及,这也是“南京公安”文章观点中产生疑问的缘由之一——究竟哪些第三方获得了我的个人信息?获得了我哪些个人信息?

综上所述,在这场关于用户隐私的争论中,双方的观点都很难说无可指摘,但如果能因此对用户隐私进行一场认真的讨论,倒也是好事一桩。

报料请点击E隐私投诉小程序 

推荐阅读:
未经同意私查用户征信信息 最近4个月至少8家银行被罚
报名深圳马拉松,竟要填写婚否和月收入!承办公司称想做用户画像
数据从“资产”变为“生产资料”,企业应平衡生产效率和风险控制


    Read more

    文章有问题?点此查看未经处理的缓存