数据收集边界不明   技术日益隐蔽   处罚威慑力低

去年，猎豹浏览器默认开通监听用户外拨电话;华住旗下5亿条酒店用户个人信息疑似泄露……今年，“抖音”因涉嫌私自调取用户隐私数据，被其他互联网平台取消第三方登录授权;央视“3·15”晚会曝光“社保掌上通”App通过获取用户授权，肆意收集用户隐私信息……在智能化、大数据方便人们生活的同时，个人隐私保护问题也日益凸显。

企业侵权 用户隐私泄露

根据用户反馈的情况，第三方研究机构IDF实验室检测发现，与“抖音”同属北京字节跳动科技有限公司(以下简称“字节跳动”)的资讯类APP“今日头条”，在技术上采取了至少两个“非正常”操作，使其获取了微信用户的好友信息。

近日，一篇名为《法学博士生维权：我为什么起诉抖音、多闪侵犯我的隐私权?》的文章出现在微博、知乎等社交平台，引发广泛关注。该博主经过比对发现，在通讯录未包含任何信息、他个人也没有明确同意它们收集使用通讯录的情况下，“字节跳动”旗下产品“抖音”和“多闪”两款APP仍然向他推荐很多微信好友。而且，在未经明确同意下，“抖音”就向“多闪”提供了博主在抖音上的个人信息。

博主凌先生在文章中写到，抖音用户规模多达上亿，收集和使用的用户信息量巨大，为牟取自身产品利益，擅自泄露和使用用户的个人信息，让人不寒而栗。

对此，“字节跳动”回应称，“抖音”“多闪”产品在运营过程中，合规合法，一直在法律允许范围内收集、使用、共享个人信息。

“字节跳动”还表示，“推荐好友”功能是“抖音”的基本功能之一，“抖音”相关页面上出现的被推荐人，是基于用户明确授权上传的通讯录信息、粉丝、关注、共同好友等信息而向用户推荐的好友或可能认识的人，与微信好友毫无关系。

然而，记者采访了多位“抖音”用户，他们均表示遇到过凌先生所反映的情况。北京市民刘先生告诉记者，当用户使用微信号授权登录“抖音”后，其微信好友会陆续出现在“抖音”推荐的“可能认识的人”里，随后用户手机通讯录中的好友也陆续出现在“抖音”的产品推荐中。“抖音”甚至会将用户微信的“二度好友”，即好友的好友，也推荐给用户。

今年1月，白帽黑客专家、IDF实验室联合创始人万涛指出，通过模拟用户分享环境运用抓包工具监测发现，如果用户甲在微信朋友圈分享了一条来自“今日头条”的新闻，当甲的微信好友乙和丙都打开看过这条新闻后，“今日头条”就悄悄记录下乙和丙都是甲的好友，进而将这组社交关系分享给本公司的“抖音”等APP平台，使乙和丙出现在“抖音”推荐的“可能认识的人”里。

与此类似，此前两款社交软件“陌陌”“脉脉”也曾因侵犯用户隐私数据而被告上法庭，尽管法院最终判决两家企业侵权。然而，技术与监管漏洞并没有因此得到“根治”。

权责不明 维权举报难

去年8月，中国消费者协会发布的《APP个人信息泄露情况调查报告》显示，超八成受访者曾遭遇个人信息泄露问题，其中常见情形为推销电话、短信骚扰、诈骗电话、垃圾邮件。而根据全国消协组织受理消费者投诉情况统计，去年上半年，电商、社交软件等平台非法收集消费者个人信息的现象已成投诉新热点。

不仅是“抖音”“陌陌”等APP有涉嫌爬取用户隐私的行为。近日，多家媒体报道，一种以“WiFi探针”为主要技术手段的广告营销设备“悄然兴起”。不少手机用户喜欢使用各种免费WiFi，常常开着WiFi搜索附近可用的网络，而此类设备会搜寻附近设备的Mac地址盗窃用户信息，并通过大数据生成用户图像，为随后的电话推广、骚扰作铺垫。有些设备甚至可以强制用户手机弹窗，并冒充已连接WiFi在微信置顶界面投放无法消除的“狗皮膏药式”广告。

记者调查发现，当前，不明确的边界、日益隐蔽的技术和低威慑力的罚单，正成为互联网用户隐私“攻防战”的三大新型难题。

“数据是互联网公司的重要资产，平台有责任维护自己的数据安全，也有权利保障用户的个人隐私不受侵犯。”中国社会科学院信息化研究中心秘书长姜奇平指出，保护的权利和责任非常明确，而相应的法理边界又十分模糊，这在一定程度上会成为侵权者模糊事实的“保护伞”。

今年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发声，要求APP运营者收集使用个人信息应遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息，对于违法违规情节严重的，需依法暂停相关业务、停业整顿等。

在重拳整治的同时，部分业内人士仍对侵权技术手段日趋隐蔽的问题表示担忧。万涛认为，虽然大多数资深代码工程师都可以通过抓包软件发现上述违规侵权的参数，然而类似的修改可能藏在数以万计的程序代码中，正常的监测流程很难发现。而这一类明显违规的窃取行为，即使发现也难以直接定性为“违法违规”，仅仅能被认为“非常规”。因为大多数违法行为实际运用逻辑和判定参数都只存在于侵权方的内部系统中，外部工程师无法全部获取相关侵权证据的线索，因此维权和举报都十分困难。

高投入维护与低成本侵权矛盾日趋激化。业内人士表示，一方面，用户隐私保护需要耗费大量的人力及物力，同时相关技术需要不断对抗升级，法律风险日趋扩大;而另一方面，侵权方在快速获取数据后可以产生无法计算的经济和社会效益，同等条件下的违法成本又微乎其微。