图源:新浪微博@创维电视
如果说,数据是信息时代的“石油”,是一种“宝藏”,那么“勾正数据”所做的,就是直接盗取了“藏宝图”。
接着,被“抓去、上传的”还有hostname(主机名)。主机名,就是每台电脑拥有的名字,比如“某某的pc”,它和域名有一定关系,但是不能等同。
同样地,没有经过特意伪装的hostname,会暴露出很多信息,比如设备的大概类型,其中运行的何种系统,以及类似的种种信息。
前文还提到一个专业名词,即,勾正数据服务可探测到周围wifi的“ssid”,在目前常用协议层面,ssid与mac地址可以等同,也可视之为一个定位信息。
此前,勾正数据官网发布其用户使用大致数据,声称其智能电视终端超过1.4亿台(图源:勾正数据官网截图)
我们知道,当手机靠近一个区域时,wifi列表会更新当前网络。这就是说,wifi本身是在向外广播(但区域不算大)。所以,它就被“有心人”探测、抓去、上传公司。
这意味着,你或许不知道你的邻居是谁,但数据公司却可以通过大数据分析知道,而且比你更清楚。
03
岂可“自查”了事
事件的从前到后,细思极恐的是,它的曝光完全是一次意外。
如果说,用户“v64500”习惯了卡顿,又或者,发现卡顿的人并不是一个技术人员,那么,勾正数据的“伎俩”还将继续。千家万户的智能电视像个监控,隐私悄悄流失。
在线索曝光了4天后,4月27日,创维电视在官网作出回应,“锅”全甩给了勾正数据。
创维电视于4月27日在其官网发布声明
创维电视于4月27日在其官网发布声明据创维的回应,在了解到消息后,“公司第一时间全面禁用了所有创维电视上的勾正服务”,并且展开了相关调查。
勾正数据的回应中,首先,“第一时间禁用勾正数据服务APK(APK即程序开发包)”,经过自查,勾正数据强调,此APK用户可以自行禁用。
能够自行禁用,不代表这就合理。
“在我们国家现行的法律体系当中,对于数据的收集应用的原则是opt-in(选择进入),而不是opt-out(选择退出)”,北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任吴沈括表示。
勾正数据承认,“公司用户隐私政策提示不够清晰”,并对此致歉。
事实上,勾正数据的行为,已经涉嫌违法。
毫无疑问,hostname、Mac、ip信息,属于能够直接或者间接识别特定自然人身份的信息,属于个人信息的范畴。
“收集个人信息应当遵循正当合法必要原则,应当在收集前将收集信息的范围收集的目的使用的方式等等告知用户,并且经过用户的同意,那么这个是网络安全法民法典等相关法律法规中所规定的收集个人信息最基本的规则。”北京云嘉律师事务所资深律师赵占领表示。
从目前的情况来看的话,创维默认勾选这个数据服务,在未经用户同意的情况下收集用户的这些个人信息,显然是一种违法行为。
岂可一句“自查”了事?
创维强调说,其与勾正数据等的合作,“仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为,均未得到创维电视的许可及授权。”
此外,创维表示,此事件严重违背创维用户至上的核心价值观,因此,创维“已发函与勾正数据解除合作关系,并责令其删除非法获取的创维用户相关数据。”
可以看出,创维的重点在于,“及时”和勾正数据作出切割。然而,事件真正的重点,如究竟采集了哪些数据、对数据是如何使用的,以及,一个技术员就能发现的代码问题,作为合作方的创维为什么没有发现?又或者是“视而不见”?
事实上,勾正数据的程序优化并不高明。据了解,安卓系统中后台运行的“程序开发包”并不少,但优化差到影响了用户体验的,还是不多见。
这不是一个很难发现的BUG。
创维回应的当天,27日晚,勾正数据也作出回应,其中的“看点”颇多。
勾正数据于4月27日在其官网作出回应