手机未受用户同意而收集个人数据,怎么办?
刚开启手机,系统就已塞满了各种预装的应用程式,导致手机桌面杂乱无章,而且还占用宝贵的存储空间。有些应用程序可能是有用的,但是其中大多数你根本不需要。只不过大多数用户会安于现状。
有些手机上的预装应用可以被卸载,但是非常困难,而有些却只能被禁用,以便它们不在后台永久运行。此外,卸载系统预装应用程序,如内置时钟、电话或拨号软件,对手机可能会有负面影响,比如,会导致你新买的手机变成一块砖。
可以说,让制造商决定你应该拥有哪些应用程序剥夺了一些乐趣,但也不是最坏的情况,在某种程度上是方便的。毕竟,一个信息传递应用程序能有多坏呢?但问题在于,内置应用程序不仅会未经邀请地出现在你的手机上,而且还会收集和传输敏感的个人信息给供应商或供应商认为适合的人。而且因为它们是系统应用程序,所以它们比你自己下载的应用程序更有可能在未经你的允许下这样做。
泄漏数据的手机
爱丁堡大学和都柏林圣三一大学的研究人员曾经发现了,中国有三家最受欢迎 Android 手机的供应商,手机上预装应用泄露用户的隐私敏感数据,如位置信息、电话号码、应用程序使用情况、通话记录等等。收集的信息未经用户同意,有时甚至连通知也没有。
在一篇研究报告名为《Android OS Privacy Under the Loupe — A Tale from the East》(中文:百叶窗下的 Android 操作系统,东方故事),研究人员研究了中国三家供应商的流行智能手机,即小米红米 Note 11、OPPO Realme Q3 Pro 和一加 9R。在研究的过程中,研究人员在使用手机时,假装他们是“有隐私意识但没耐心的用户”。他们选择不使用分析和个性化服务,不使用云端存储或其他可选的第三方服务,也没有在操作系统开发者管理的平台上创建账户。
研究院拒绝使用许多服务,并非每个用户都会费尽心思保护自己隐私安全,但是,事实证明,上述的“预防泄漏数据的措施”没有任何效果。研究人员声称,手机仍在发送“令人担忧的个人验证信息(PII)”,不仅发送给设备供应商,而且还发送给移动通信服务商,包括中国移动和中国联通。问题在于,即使手机里没有SIM卡,或者有一张来自不同移动网络运营商的SIM卡,例如位于英国的移动网络运营商,个人数据也会被发送到移动通信服务商。除此之外,在某些情况下,这些数据还被输送到中国的搜索引擎巨头,即百度。
研究人员发现,中国出口的手机,默认收集的数据量大幅减少。
上述表格显示被测试的中国和全球固件的智能手机上传的个人数据(PII)的类型。
来源:《Android OS Privacy Under the Loupe — A Tale from the East》,Liu et al
没有选择的选择
研究人员只研究了预装软件所传输的数据,而不是用户自己安装的。分享的数据包括 Android 源代码、供应商代码,以及第三方代码。平均而言,测试的手机预装了“30多个第三方软件包”,一个应用程序可以用多个软件包运作。
预装的软件包括导航、新闻、流媒体、购物和输入法应用程序。有些应用默认被授予访问权限,被允许传输敏感信息,而用户无法禁用权限。在某些情况下,应用程序请求访问特定数据,如位置,而用户没有选择:要么不使用,要么同意。研究人员将这种“选择”描述为“无选择余地”。
上述图中显示,装有中国固件的手机所收集的个人身份信息(PII)的类型及其发送的终点。
当用户同意系统应用自由访问个人数据后,这些个人数据有多大可能超乎用户的想象,应用可能分享了比用户知道的关于自己的更多信息。例如,研究人员曾经发现,OnePlus 和 Realmi 的伙伴应用程序,包括电话和短信 App 不仅将用户的电话号码发送到制造商的服务器上,发送的数据还包括通话和铃声时间、最后联系时间以及与用户通话或发短信的人的号码。此外,他们还发现,在设备闲置时 Realme 和 Oneplus 上的阿里巴巴「高德地图」导航软件,“定期传输 GPS 坐标”。
信息宝库与用户的身份直接相关,可以揭示你个人生活的日常。研究人员指出,例如,具有通话数据的访问权限可以让供应商“推断出没有明显关联的用户之间的社会关系。”换句话说,供应商可以推断出你的伴侣很可能在欺骗你,而你本身连一点线索都没有。
长途跋涉
不足为奇的是,尽管违反当地的隐私法,特别是欧盟的数据保护法,装有中国固件的手机出了国门,仍不会停止监视“主人”。研究人员警告说,这意味着“手机供应商和一些第三方仍然能够跟踪商务旅行者和在国外学习的学生,包括他们在国外的联系人。”当然,非中国公民碰巧购买了为本地销售而生产的手机,也一样被监视。
不仅是中国
然而,这并不意味着如果你没有在中国购买手机或使用中国的固件,就没有什么可担心的。虽然在中国流行的 Android 手机收集数据的范围令人震惊,但这种做法并不是中国的特有现象。窃取用户数据也不是只针对 Android 操作系统或上述提到供应商的特点。以前的研究表明,使用 iOS 和 Android 操作系统的手机都会给供应商收集和传输个人数据,即使用户已经选择禁用数据访问或没有登录 App。
2021年这项研究的合著者,Douglas J. Leith,还研究了 Google Pixel 手机和 Apple 的 iPhone 分别与 Google 和 Apple 共享的数据量。研究过程中,他发现这两款手机平均每4.5分钟就会连接到公司的后台服务器,即使在用户进行“最小配置”的情况下。在启动的前10分钟内,Google 手机向其母机发送了1MB的数据,而 iPhone 向库比蒂诺发送了42KB的数据。虽然 iOS 和Google Android 都被发现与制造商分享个人用户数据,但 Android 的规模更大。根据研究,Google 收集的数据比 Apple 多20倍左右。
尽管用户未开启或使用, iPhone 和 Google Pixel 上预装的软件还是与公司的服务器连接。在 iPhone 上传输数据的服务包括,Siri 语音助手、Safari 浏览器和 iCloud。在 Google 这些服务包括,YouTube 应用、Chrome 浏览器、Google Docs、Safetyhub、Google Messaging、Google Clock 和 Google 搜索栏。
iOS 隐私的子虚乌有
Apple 公司一直将自己定位为隐私捍卫者,虽然上述研究也许会加深这样一种印象,事实上,问题要细致得多。如你有一个 Android 手机,你可以(至少在理论上)禁用 Google 服务和应用程序,如 Google 商店和 YouTube,并防止个人数据被共享。这是因为在 Android 系统上,用户可以侧载应用程序。换句话说,除了 Google 游戏商店以外用户还可以从其他来源安装应用程序。
Apple则不同,用户无法一边使用 iPhone,而一边不使用 Apple App Store 和其他自带软件。有传言说 Apple 在下一代操作系统版本上会允许用户在欧洲地区侧载应用程序。不过,现在这只是传言而已。这意味着,目前 iPhone 用户无法禁用这类的个人数据分享。
而且,正如软件公司 Mysk 的研究人员去年发现的那样,Apple 并没有放弃利用现状。Mysk 发现,即使用户关闭所有的个性化选项,包括 iPhone 分析,Apple 仍然能从 iPhone 的自带软件中收集详细的实时使用数据。应用程序发送给 Apple 的信息包括一个与用户的姓名、电子邮件和电话号码相关的 ID 号码。这似乎与 Apple 公司自己的隐私政策相抵触:隐私政策说所收集的信息不识别用户的个人身份。
怎么才能减少被收集的数据量
操作系统驱动的追踪如此棘手的原因是,用户本身甚至可能不知道正在发生什么。更重要的是,供应商往往强迫或暗示用户同意数据权限访问,而不提供一个可行的替代方案。完全避免是不可能的,但有一些方法可以大大减少你在线上活动的足迹。
你可以安装在系统范围内运行的广告拦截程序,软件包括一长串域名的过滤器列表,可以在浏览器和第三方应用程序里拦截广告和跟踪器。不幸的是,即使是在全系统内运作的广告拦截程序也不能阻止所有的跟踪器,特别在供应商推出的设备上(如 Apple 和 Google),他们从自带应用程序中收集信息。然而,使用广告拦截程序将保护用户免受大多数第三方跟踪器的侵扰,使用户的浏览体验在整体上更加安全和纯洁清洁。
实际上,有不少在全系统访问内运作的广告拦截程序,它们可以用于不同平台上。其中之一是,AdGuard。AdGuard 可以用于 Android 和 iOS。