为何从未用过的APP, 也能知你名给你发短信?

  “××,有人将你设置为暗恋对象;有前同事标注你“有两把刷子”;有好友记录了你的生日,并对你念念不忘……”突然有一天,你收到一款从未注册下载过的App直呼你的名字,并发来这样的消息,你会是什么感觉?

  不少人的反应是诧异,谁泄露了我的信息?一般而言,个人信息泄露的渠道是自己在促销时留下了姓名电话,或是社交媒体上主动公开,也可能是曾经注册过的App里透露的个人偏好,但是,为何从未使用过的APP,也能得知你的真名,甚至给你发来短信呢?

  从未用过的APP发来点名短信

  不久前,杭州的金先生收到“脉脉”App发来的一条短信,开头直呼他的真名,称有北京大学经济系某项目组的前同事标注他为“有两把刷子”,并列出他的7位朋友的真名,其中还有1人向他共享了2619个职业人脉。

  “此前我从没使用过脉脉,但它知道我的真实姓名、手机号码和一些简历信息,太可怕了。”金先生致电短信中提及的一个朋友,这位已经十年没联系的朋友称已经很久没有使用脉脉了,并不知情。

  出于好奇,金先生下载了脉脉,弹出的页面有两排6个头像,全是他各个时期的朋友。页面提示:“由于你未注册脉脉App,系统代他短信邀请你。”在输入手机号注册完成后,页面系统要求金先生开启通讯录权限,只有同意,才可以进入下一步。

  据一名开放了通讯录访问权限的用户称,“没想到(脉脉)竟然将我通讯录里的400多个好友全部一一对应了学校和单位,甚至连头像都对应上了,它是怎么办到的?”

  金先生表示,“这分明是打着朋友、同事的旗号,擅自发短信诱导下载,然后强制读取通讯录。如果保护隐私意识不强,很可能中招把自己通讯录开放给脉脉了。”

  据了解,通过发送短信提示有好友标记的App大多具有较强的社交属性,比如“生日管家”“探探”也有类似功能。“生日管家”发送的短信称:××,有男生/女生在生日管家记录了你的生日,并对你“打了招呼”或“念念不忘”。当打开“生日管家”后,用户可以清楚看到手机通讯录里大部分好友的生日、星座和现居住地,这些信息大多准确无误。

  和生日管家一样,探探发送的短信开头也直接点名称呼:××,有你的一位手机联系人在探探上将你设置为“暗恋对象”。如果你也“暗恋”他,你们将配对成功,并附上了App下载链接。

  生日信息擅自被上传

  据了解,这三款App都需要读取用户的通讯录。当用户开启相应功能后,App会代发短信给被手机联系人里被标记的好友。

  在脉脉的注册页面,首先用户会被要求填写手机号码,点击下一步,系统提示“脉脉”想访问你的通讯录。如果用户点击“不允许”,页面会再次提醒“请允许打开通讯录”,还附上开启步骤,提示“请确保通讯录不为空且手机号码有效”。在这一页面中,用户可选项只有一个:“我已开启权限,继续”。

  不同于上述其他社交类App,生日管家还能获取用户的生日。当用户打开“生日管家”开启通讯录授权后,就App提示的生日信息,向数位好友确认,不少人对于生日就这样被公开,表示惊讶。其中一位很少对外透露生日的好友确认后直言,“这不是泄露个人隐私吗?”

  那么,它是如何通过手机号码匹配生日信息的呢?根据生日管家方介绍, 所有手机号关联的生日均为用户自行手动添加,这包括但不限于公开自己的生日、手动添加手机号和生日、QQ和微信询问中添加等,并将生日服务分享给使用本软件的其他用户。打个比方,当你用生日管家记录了某人的生日,那么在生日管家上,存储了这个人联系方式的用户,都可以知道他的生日。就这样,在没有下载过该软件的情况下,有些人的生日信息莫名被收集了。

  企业称点名只是为了引起注意

  据了解,在收到这些App发来的点名短信后,不少人基于猎奇心理,想要了解究竟被哪位匿名好友惦记,但要解开谜团并不容易,用户要点击下载App,还要标注猜测对象,发送短信验证,直到两人同时配对成功后才能知晓。与此同时,新一波被新标注的未注册用户又会收到相同的信息。

  基于此,有人认为这是企业病毒式营销的方法,更有人质疑企业未经同意发送短信属于侵权行为。对此,上述三款App的相关负责人均回复称是使用App的用户自主操作,从而触发短信推送。

  探探相关负责人表示,“去年上线‘匿名暗恋表白’功能,旨在让用户知道彼此心意,可以理解未注册用户收到短信的心情,但是不带真名的话,可能引起不了对方的注意,对于发送者来说,表白成功的机会也不高。”

  脉脉方面表示,“脉脉是职场社交APP,社交是最核心的业务,脉脉要求上传通讯录目的,是提供人脉统计和标注人脉等服务,否则用户无法享受脉脉添加好友的功能,那么用户使用脉脉将失去意义。”

  生日管家方面表示,在收集生日信息的过程中,采用了不可逆的加密算法,提取通讯的手机号特征与云端数据进行匹配。通过玩“今日运势”游戏收集生日信息,是为了避免直面询问好友生日的尴尬,让用户悄悄做一个有心人,更好地关心朋友,“开发这个功能的出发点是善意的。”

  上述3款APP同时提到,如果被记录者介意自己的信息被分享,平台提供了相关的操作来避免“骚扰”,并强调注重用户的隐私保护。

  专家:你无权分享他人的个人信息

  据了解,目前多数互联网公司的产品在新用户注册使用时,都会请求读取、上传通讯录信息,尤其是在P2P产品、征信和社交类产品。

  然而,“不管所提供的服务需不需要,很多App都会习惯性地向用户申请通讯录权限,连金山词霸这种工具App也不例外。”一名业内人士表示。

  对此,中国信息安全研究院副院长左晓栋表示,App读取通讯录,或将此当作注册步骤,这要看功能需要。“比如名片整理的App,它本来就是处理名片的,读取通讯录很正常。”左晓栋说,仅从这几款APP的定位来看,不好判断读取通讯录是否必需,但它们至少违反了国家关于“主动说明收集的个人信息最小元素集,并说明与其基本功能的关系”之规定。

  左晓栋指出,国家标准规定,企业应该明确标注收集的个人信息最小元素集。如果是在最小元素集之内收集的信息,用户不同意,企业可以不提供服务;但如果是在范围之外的话,企业无权拒绝提供服务,也不能降低服务质量。

  针对App向未下载过的用户发送短信的问题,有专家表示,类似的功能应当限于两个使用者之间。左晓栋认为,在非注册用户不知情的情况下发送短信,这首先是非法获取用户信息,然后是非法广告推广。

  据了解,依据国家《关于加强网络信息保护的决定》,任何组织和个人未经电子信息接收者同意或请求,或电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

  中国政法大学知识产权研究中心特约研究员赵占领也表示,“个人信息的收集需要用户知情同意。现在用户同意提供信息,但是用户并不知道企业收集后,如何使用这些信息,也不知道将如何提供给他人。”

  据了解,今年10月将正式实施的《民法总则》首次将个人信息保护作为个人权利纳入其中,对非法收集个人信息也做出明确规定:自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

  南京大学法学院教授邱鹭风表示,即便是App注册用户也无权泄露好友的联系方式。个人信息拥有“绝对权”,即除本人外,其他人未经授权无权支配其个人信息。

  “通讯录表面上看,是我和朋友的个人关系,但实际上是朋友的个人信息,一旦随意授权给第三方,我和第三方就共同对朋友构成了侵权,也未尽到保护他人信息的法定义务。” 李 玲 蒋 琳