7月7日,工信部通报,31款APP/SDK(第三方软件开发工具包)存在侵害用户权益行为,要求相关主体按照规定进行整改。
随着全社会对互联网用户权益保障的日益重视,公信部的类似通报已成常态。据权威媒体《财经》报道,2019年至今,工信部共通报了超过2000个应用。四年来,阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。
侵犯用户信息的行为中,“强制、频繁、过度索取权限”及“违规收集用户个人信息”是高发行为。
《财经》同时指出,在国内主要的互联网平台公司中,仅有拼多多从未被点名通报。
手握超8亿用户、一直争议不断的拼多多为何能独善其身?是它在保护用户隐私上确实无可指摘,还是另有隐情?
一、未被点名背后真没有侵犯过用户隐私?
实际上,今年以来拼多多涉嫌侵犯用户隐私的事件不断爆出。
今年3月,俄罗斯知名杀毒软件卡巴斯基实验室 (Kaspersky Lab)实验室研究证实,拼多多安装程序携带恶意代码,在一定程度破坏用户手机系统的前提下,大幅增加窃取用户信息的可能性,以达到窥视用户活动、监视APP列表、防止拼多多本软件卸载、诱导欺骗行为等商业用途。
3月21日,多家媒体报道,由于发现拼多多APP存在恶意软件问题,谷歌暂时将该应用从商店下架。
对拼多多涉嫌侵犯用户隐私的质疑,几乎伴随着这家公司的整个成长过程。其动作之神奇也令人咋舌。
2021年1月12日,用户爆料称拼多多APP将其手机相册里的照片删除,被手机系统检测到,随后拼多多APP远程删除照片冲上微博热搜第一。
这位用户称,他在参加拼多多邀请返现的活动中被“套路”,原本活动页面显示“邀请首次使用新用户1人,直接提现100元”,但邀请后发现显示的是随机金额,且未到100元不可提现。自己随后找客服理论,并保存了活动截图,而后手机系统提示照片被拼多多APP删除。
拼多多回应称,图片被删是系统自动清除缓存造成的,表示愿意补偿30元无门槛代金券。但法律界人士认为,拼多多删除图片的行为有毁灭证据的嫌疑。如果拼多多仅删除了与纠纷相关的图片,却没有删除其他的图片,则这种嫌疑更大。”
自己手机上的照片,竟然能被APP远程轻易删掉,这样的操作让人震惊。不仅这一个例,用户对拼多多的投诉在网上大量存在,但对拼多多来说,即便冲上热搜第一,它却安然无恙,从没有被点名整改。
根据国内独立数据安全研究服务机构深蓝DarkNavy发布的《2022最“不可赦”漏洞》显示,有知名互联网产商通过过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机。
颇有意思的是,虽然没有直接点名,但,“通过APP控制手机系统”、“无法卸载”、“隐蔽安装”、“攻击竞争对手APP”等爆料,与用户对拼多多的吐槽颇为吻合。
二、是否真有百人技术团队专门窃取用户信息?
巴斯基实验室 (Kaspersky Lab) 的“实锤”、谷歌的下架,还不是拼多多受质疑的全部。
4月2日,CNN报道披露,拼多多在2020年组建了一个由100名工程师和产品经理构成的团队,专门寻找安卓手机的漏洞,开发利用这些漏洞的途径,并以此牟利。
CNN在报道中表示,记者收到线索后采访了来自美欧和亚洲的六个网络安全团队,并同多名前任和现任拼多多员工进行了交谈,了解到拼多多的隐密操作。
CNN透露,拼多多通过这大概100个工程师和产品经理,利用漏洞窃取用户隐私,包括绕过系统限制给用户弹窗推送通知广告、伪装成其他应用(如手机自带天气应用等)骗取点击、劫持感染其他App(系统应用如短信、浏览器、桌面、设置、HMS等,以及部分竞对App)长期驻留并盗取数据(竞对App使用情况、支付行为等)、篡改系统设置导致无法卸载和关掉拼多多、通过后台远程遥控和环境监控逃避检测等等。
在操作中,这个团队采取了比较“聪明”的运营策略:先避开北上广深等一线城市,只针对农村地区和小城镇的用户,因为这样可以降低暴露的风险。
在资本市场上,大型互联网公司的数据和隐私安全问题,也是投资者关注的重要因素。
拼多多方面,2022年其ESG评级下调至B级,并且在“数据隐私与安全”议题上也处于落后地位。
在法规层面,无论是《网络安全法》、《数据安全法》、《个人信息保护法》、《APP违法违规收集使用个人信息行为认定办法》等法规,都严格规定了APP侵犯用户行为的处罚标准。
根据《网络安全法》,侵犯个人信息的,最高可处100万元罚款,并可责令停业整顿、关闭网站、吊销证照。
面对如此多的质疑,拼多多却一直失声,从未出面回应。
三、轮番被实锤为何罕见报道和调查?
细思极恐的是,无论是谷歌下架拼多多APP,还是卡巴斯基实验室的研究,抑或拼多多“百人技术团队”窃取用户隐私的质疑,面对接二连三的“猛料”,各路媒体却几乎集体失声,相关报道少之又少。此外,也未见有关部门对其进行公开调查和处理,甚至没有换来一次通报。
这样的怪象,不得不让人怀疑,拼多多具有强大的媒体和政府公关能力。
一方面,用户的合法权益依旧有被侵犯的风险,另一方面,公众层面的失声使得问题得不到关注,于是数据安全、用户隐私保护的问题便可能愈演愈烈。
金融欺诈和电信诈骗是当前最严重的网络安全问题之一,数据安全的加固可以有效减少这些问题的发生。
要有效避免这些问题发生,源头就是在个人信息的保护。
如今拼多多已经是国内数一数二的互联网平台企业,一举一动都关乎整个商业生态。如果社会和这家企业自身不能有效处理好数据安全的问题,很可能对行业和社会造成恶劣的影响。