去年,斯諾登爆出的美國“棱鏡計劃”引發了全球對網絡安全的重視。
上周五,央視對蘋果搜集用戶位置隱私問題提出質疑,稱蘋果詳細記錄了用戶位置和移動軌跡,并記錄在未加密數據庫中。實際上,關于蘋果公司收集用戶位置信息,甚至導致用戶隱私泄露的報道在國內外均有出現,不過蘋果公司對產品安全做出詳細回應的情況尚屬罕見。
在對央視報道的回應中,蘋果稱給予了用戶清晰而透明的提示和選擇,讓用戶得以控制自己的信息,通過“安全可靠”的眾包數據庫為用戶提供定位服務,并且從未與任何國家的任何政府機構就任何產品或服務建立過“后門”。
移動互聯網時代,許多服務基于位置服務,用戶提供自己位置信息獲得更優質服務的同時,也承擔著位置信息泄露的風險。一位業內人士接受記者采訪時指出,國家應健全相關隱私安全保護法律,對個人信息的使用做出明確規定。
再次陷入“隱私門”
央視報道指出,在iPhone手機“設置-隱私-定位服務-系統服務”下面,有一項默認開啟的“常去地點”功能,不僅記錄了用戶常去的地點名稱,還詳細記錄了用戶在這個地點停留的時刻及次數。
中國信息安全測評中心工程師王嘉捷現場演示并指出,蘋果iOS系統中有一個隱藏較深的目錄,該目錄有一個英文名稱為“加密”的數據庫文件,詳細記錄了用戶位置信息、移動的時空軌跡。讓人感到吃驚的是,該文件記錄的位置信息精確到了小數點后8位,同時還對位置數據的可信度進行了評估。該文件也并未加密,而是以明文形式放置在一個隱藏較深的位置。
由于每一個位置數據都對應了現實世界真實的地點信息,并且即使用戶關閉了“常去地點”功能,后臺數據庫文件依舊會記錄這些信息,蘋果手機中內置的這一文件被認為危害到了用戶隱私。
實際上,蘋果公司曾多次因記錄用戶位置信息受到質疑。
英國兩名安全研究人員研究發現,iPhone、3G版iPad中都隱藏著這樣一個文件,在未得到用戶允許的情況下追蹤用戶位置信息,由于這些信息并非GPS記錄,即使用戶關閉定位服務也無濟于事。同時,儲存的信息并未被加密。
2011年,韓國2.76萬用戶也曾對蘋果總部、蘋果韓國分公司發起訴訟,稱其通過手機周邊的無線網絡等方式收集用戶位置信息。后來,因違反韓國《位置信息保護法》,蘋果公司被處以300萬韓元行政罰款。
蘋果公司回應
央視報道后,蘋果公司迅速回應。
動機上,蘋果公司稱自身業務并不依賴于收集大量用戶個人信息。
為何要使用眾包數據庫,蘋果公司稱,“如果僅使用GPS衛星數據進行手機定位,可能需要花費幾分鐘的時間。而通過預先儲存的無線局域網熱點位置和信號發射塔位置數據,并結合當前正在被iPhone接收的無線局域網熱點和信號發射塔信息,iPhone可以將這個時間縮至短短幾秒鐘。”
蘋果公司否認“定位服務”屬于默認設置,“Apple絕對不允許任何應用,在未曾預先彈出讓用戶一目了然的提示并得到用戶明確同意的情況下,就擅自接收設備的定位信息。這樣的提示是強制性的,并且不能被隱藏或覆蓋。”“當用戶將某個應用或服務的定位數據切換成‘關’時,它就會停止收集數據。”
至于蘋果設備為何設置“常去地點”,蘋果公司回應稱,“當使用 iPhone了解交通狀況時,iOS可搜集
‘常去地點’,在‘通知中心’的‘今天’視圖中提供通勤信息,并在CarPlay中為你展示iOS自動規劃的路線。”
蘋果公司稱,“常去地點”僅通過“加密”后存儲于用戶個人iOS設備上,“它并不備份于iTunes或iCloud中。Apple從不獲取或了解某個用戶的‘常去地點’信息。我們通過用戶密碼對緩存進行了加密,并且謹防任何應用對其進行訪問。”
至于協助情報機構收集信息的指控,蘋果公司稱,“正如我們前文所述,Apple從未與任何國家的任何政府機構就任何產品或服務建立過所謂的‘后門’。”
位置服務是雙刃劍
對于蘋果“隱私門”,業內也有不同的觀點。
“并不能說用戶信息被獲取就一定是侵犯隱私權行為。在很多情況下,包括百度地圖、大眾點評,或者很多類似軟件都會有抓取、利用用戶地理位置和其他信息的行為,在這些軟件功能中,需要利用用戶信息,用戶上傳信息后也有利于自己利用這款軟件。是否構成隱私泄露,關鍵要看用戶是否知道并同意上傳這些信息。同時,進一步利用用戶信息還需要得到用戶專門的許可。”滬江網法務總監林華接受記者采訪時表示。
實際上,移動互聯網時代的許多服務都是基于位置服務,在這些APP軟件用戶使用協議中,通常的做法都是詢問用戶是否同意提供地理位置。
不過,現實存在的一大問題是,需要授權使用用戶地理位置或其他信息的APP太多,用戶經常不能有效管理自己的隱私。而一旦被某些APP誘導提供這些信息,往往可能導致隱私泄露,而用戶也往往不能第一時間發現和中止這種危害。
“未來很多應用都基于云服務,被非法獲取后用于非法目的的概率是有的。對于某些特定崗位,如何使用手機國家應該做一些限制,或者提供一些特殊手機,否則風險肯定會越來越高。”手機中國聯盟秘書長王英輝告訴記者。
林華表示,我國個人信息安全的立法也亟待完善,“民法通則有些原則性規定,不過還是比較抽象、寬泛的,中國還沒有美國、歐盟那樣對互聯網情況下用戶個人信息、隱私大量專門立法。”
