美團隱私協議解讀:深度解析我們的資料和隱私
大家可能發現,我們在註冊美團時,通常需要同意兩個協議:一個是《使用者服務協議》,另一個是《使用者隱私協議》。只有同意了這兩項,我們才被授權使用。隱私洩露會造成嚴重的危害,那麼我們在註冊的過程中是否真正關注過自己的隱私到底是如何被採集的,又被用到了哪裡呢?那麼平臺又是如何保護我們的隱私的呢?相信很大一部分使用者並不完全瞭解。本篇以美團為例,試著對以上問題做出解讀。
一、隱私資料洩露危害多2017年3月26日,百度創始人李彥巨集在中國發展高層論壇上說了這麼一句話: “中國人更加開放或者說對隱私問題沒那麼敏感,如果願意用隱私來交換便捷性或者效率的話,很多中國人是願意這麼做的。”
不知道大家如何看待這樣的觀點,反正我是拒絕的。
目前全球約21億人註冊了社交媒體賬號(張正怡,2016),我們的資訊源源不斷地流入網際網路,大量隱私資料儲存在“雲端”,但並非真正的“安全”。隱私資料的洩露已經成為了現代諸多網際網路使用者的一大困擾:
《中國個人資訊保安隱私保護報告》中顯示,70%的受訪者認為目前個人洩漏問題嚴重
,見圖1:
圖1:資訊洩露調查 資料來源:中國資訊科技期刊
事實上,隱私洩露不僅對我們的生活會造成影響,亦會對企業生產經營造成嚴重的威脅。對使用者而言,隱私資料的洩露可能會造成賬號被盜、金融詐騙、騷擾電話,垃圾簡訊等困擾。而對於企業而言,不僅有損企業的聲望,還可能對企業的生產經營以至生存發展造成毀滅性的打擊。
(一)隱私洩露導致使用者遭到騷擾最明顯最直觀的一點可能大家都遇到過,我們經常在網上購買了什麼東西或者諮詢過什麼服務,很多相關的公司,類似的簡訊和電話就鋪天蓋接連不斷。甚至於我們僅僅通過網站搜尋,我們的搜尋記錄都會被第三方獲取,在我們並未主動提供過任何聯絡方式的情況下聯絡到我們。更有甚者,利用我們的語音資料、聊天記錄、個人資訊及登陸密碼等進行違法行為:比如登陸我們的社交軟體。
(二)引發網際網路詐騙我們熱衷在網際網路上共享資訊,從工作到事無鉅細,其中甚至包含了我們的身份資訊、姓名、銀行卡等資訊,知這些資訊一旦洩露,就會為不法分子提供可乘之機。犯罪分子通過偽造我們的身份資訊進行網際網路詐騙,不僅有可能危害我們自身及親友的的財產安全,我們的人身安全也將遭受威脅。
(三)公眾信任感缺失,造成企業客戶流失,損害企業發展一旦使用者隱私發生洩露,公眾會對企業產生不信任,信任感的缺失可能造成現有客戶的流失,以及影響潛在客戶的選擇。
另一方面,資料本就是企業財產中的一部分,資料的流失便是資產的流失,資料流到競爭對手手中,會間接削減企業的競爭水平,間接增加了邊際成本,從而威脅到企業的發展。另外,客戶隱私洩露會造成社會輿論壓力,給企業發展造成進一步的阻礙,聲望受損的情況下,可能引發投資者信心缺失,導致上市企業股價下跌,從而損害股東權益。
(四)可能觸犯法律,面臨指控一旦隱私資料發生洩露,必定會出現受害群眾,一方面來源於使用者本身,也有可能是企業的下游客戶或其他合作者,當利益受到損害,洩露資料的企業可能面臨訴訟,而這方面的賠償金額往往很高。
世界500強公司之一的英國超市Morrisons曾發生一起洩漏事故——10萬名員工的工資細節、住址、銀行賬戶等被內部審計員盜取並洩露販賣,不僅審計員入獄,Morrisons也因此被5千多名員工集體告上法庭,要求企業為此負責並賠償。
在“網際網路+”的大潮流之下,資訊和隱私之間的界線越發模糊,而隱私洩露的危害涉及面也越來越廣,危害程度也越來越深。網際網路平臺如何保護我們隱私已成為亟待解決的社會性問題。那麼美團是如何獲得我們的隱私並儲存並保護的呢?
二、美團收集使用者資訊的兩種方式美團獲取使用者資訊一般通過兩種方式:
1、客戶主動提供:使用者在註冊、訂餐、購物、預定機票及酒店等過程中在美團主動錄入的資訊。
2、美團自主收取:非使用者自己錄入,而是在使用軟體及服務的過程中被美團及關聯機構收集的資訊。
圖2:美團獲取的資訊 資料來源:零壹智庫
(一)我們主動向美團提供的資訊
1、我們的基本資訊
我們註冊時向美團提供的基本資訊,包括我們的姓名、性別、生日、實名身份資訊(身份證、軍官證、駕駛證、護照)、註冊時需錄入頭像、暱稱、登陸密碼、常居地、家鄉、喜好等。
2、我們的聯絡方式及家庭住址除基本資訊外,我們在訂餐及其他服務時還需要向美團主動提供我們的聯絡方式:手機號碼、電子郵件地址、公司或家庭住址(甚至需要精確到門牌號)等。
3、我們的手機相簿、麥克風我們在美團上釋出評價時,有時需要上傳圖片,那麼此時就會授權美團訪問我們的相機、相簿及麥克風等。此時我們的相簿資訊也會被美團採集。
4、我們關聯人的資訊在美團購買票務或預定酒店有需要時還需錄入同行人資訊、緊急聯絡人資訊等相關聯的其他人的資訊;
以上是我們主動提供給美團的隱私資訊,但美團獲取的資訊並非僅僅只有這些。 (二)非使用者自主提供,美團主動收取的資訊美團自主收取的資訊包含我們使用的裝置資訊,產生的訂單及相關資訊,第三方平臺通訊資訊等。
在使用手機或網路時,美團會通過在終端及系統植入cookie資料軟體來採集資訊,這些資訊包括手機資訊、地理位置資訊及所使用的網路資訊。 其中:
1、手機資訊在手機上使用軟體,美團會採集手機的型號、唯一裝置識別符號、作業系統、解析度、運營商情況等等軟硬體資訊。
圖3:裝置資訊收集 資料來源:零壹智庫
2、網路資訊假如是用電腦使用美團提供的服務,我們的瀏覽器資訊會自動被美團收集,包括:IP地址、瀏覽器型別、作業系統、語言、網頁訪問記錄(日期、時間、網址)等。
同時,在我們在使用同一個賬戶登陸兩種不同裝置時,美團會自動將兩個裝置進行關聯。但關聯時需要重新獲得我們裝置的授權。
3、位置資訊我們現在絕大部分手機系統中都會有GPS定位系統,手機中的GPS時常是處於開啟的狀態的,美團通過使用者協議要求我們授權手機定位許可權,從而獲取我們的位置資訊,所以我們此時此刻在什麼地方美團其實都是知道的。除此之外, 假如我們手機中有美團軟體,當我們連入了可供美團接入的WIFI,或者打開了藍芽,我們也可以被輕易定位。
4、瀏覽及搜尋資訊、訂單資訊及通訊記錄我們在美團上購物或購買服務時先會進行一系列的瀏覽和搜尋,此時瀏覽痕跡會被記錄。我們搜尋完畢下單時的訂單資訊也會被記錄。假如我們使用第三方支付功能,那麼美團會與第三方機構共享對賬資訊及訂單資訊。最後我們收到貨物,假設物品或服務出現問題需要和客服聯絡時,我們與客服聯絡的聊天記錄及通訊資訊也會被記錄。如圖4:
圖4:購物資訊流 資料來源:零壹智庫
5、第三方平臺資訊假如我們同時授權了《資訊授權使用協議》,美團點評就可以獲取手機或其他第三方社交平臺中的通訊錄資訊和公開資訊。 比如我們假如授權美團關聯到我們的微博,那麼我們微博中發的博文,微博通訊錄好友等統統會被美團收集。而通過你釋出的照片,去過哪裡旅遊,平時愛吃什麼、大致就能推斷出你的年齡、職業、興趣愛好甚至生活方式等等。
三、美團是如何儲存及保護我們的資訊的?據《2016年網路洩露個人資訊形式分析報告》,在個人資訊洩露的各種因素中,網站洩露是最主要的一種。 2016年,可洩露個人資訊數增至60.5億條,而到2018年更是呈爆發式增長。那麼美團是如何保護我們的資訊的呢?
《隱私政策》中,美團對我們資料的儲存主要從期限和地域做出區分,隱私保護方面主要從資料安全措施、安全認證及安全事故發生後的處理三個方面實施。
(一)資料匿名留存或刪除,但儲存期限未作明確說明美團隱私協議中表示:“除非依據法律法規或雙方約定,我們僅會在實現目的所必需的最短時間內留存您的相關個人資訊。在您主動登出賬號時,我們將根據法律法規的要求儘快刪除您的個人資訊或作匿名化處理”
2008年,雅虎公開宣告:將把儲存訪問該網站使用者個人資訊的期限縮短至3個月,Google宣佈縮短其儲存使用者資料的時限,由18個月減半至9個月。同年,歐盟已建議網際網路公司儲存資料不要超過6個月,並且敦促儘快制定針對全行業的標準。
2010年,微軟表示將必應搜尋資料儲存時間縮短至6個月。
而美團並未給出資料保留的明確期限,只是籠統的表示:“最短時間”、“儘快”及“或去標識化處理”。
(二)中國境內資料在中國儲存,跨境交易除外據美團隱私政策,中華人民共和國境內收集和產生的個人資訊,將儲存在中國境內, 但有除非徵得使用者同意或使用者主動發起的跨境交易行為(比如購買國際機票、預訂國際酒店等)會由資料接收方處理個人資訊 ,但美團會要求資料接收方照其隱私政策以及其他相關的安全保密措施來處理個人資訊
(三)保密協議、監控、安全認證及員工保密培訓美團隱私政策中說明,已通過諸多物理手段進行了資料安全防護,這裡我們不做贅述。另外僅有授權人員才可訪問個人資訊,同時舉辦安全和隱私保護培訓課程等。證書方面“已先後通過了公安部資訊保安等級保護三級認證、第三方支付行業(支付卡行業PCIDSS)資料安全標準國際認證、ISO27001資訊保安管理體系國際認證等認證資質”
(四)美團若終止運營,資料將刪除或匿名處理另外,美團也給出了假設終止運營,其使用者資料的處理方式:如果發生終止運營等情形,美團將會至少提前30天通知到使用者,並在終止運營後對使用者的個人資訊進行刪除或匿名化處理。
所有對於資料保護的措施不僅從技術上,更要從源頭上解決。例如不公開售賣,不主動洩露我們的資料才是最重要的。保證使用者的利益不受侵犯,同時也是保證平臺良性發展的重要因素。
目前這些針對使用者隱私的舉措,隨著資料深度及廣度的增加,在我們看來還遠遠不夠。
四、小結隨著網際網路的發展,各種各樣的軟體給我們提供了極大的便利,但同時也帶來了極大的隱患。對於我們自身來講,應當認識到移動及社交媒體中資訊的上傳,儲存及分享都有可能帶來隱私的洩露,需要引起自身的高度注意,形成自我保護意識。同時隨著技術及管理的的不斷進步和完善,各網際網路平臺也應更投入更多關注到使用者資料的保護中來。