去年,斯诺登爆出的美国“棱镜计划”引发了全球对网络安全的重视。
上周五,央视对苹果搜集用户位置隐私问题提出质疑,称苹果详细记录了用户位置和移动轨迹,并记录在未加密数据库中。实际上,关于苹果公司收集用户位置信息,甚至导致用户隐私泄露的报道在国内外均有出现,不过苹果公司对产品安全做出详细回应的情况尚属罕见。
在对央视报道的回应中,苹果称给予了用户清晰而透明的提示和选择,让用户得以控制自己的信息,通过“安全可靠”的众包数据库为用户提供定位服务,并且从未与任何国家的任何政府机构就任何产品或服务建立过“后门”。
移动互联网时代,许多服务基于位置服务,用户提供自己位置信息获得更优质服务的同时,也承担着位置信息泄露的风险。一位业内人士接受记者采访时指出,国家应健全相关隐私安全保护法律,对个人信息的使用做出明确规定。
再次陷入“隐私门”
央视报道指出,在iPhone手机“设置-隐私-定位服务-系统服务”下面,有一项默认开启的“常去地点”功能,不仅记录了用户常去的地点名称,还详细记录了用户在这个地点停留的时刻及次数。
中国信息安全测评中心工程师王嘉捷现场演示并指出,苹果iOS系统中有一个隐藏较深的目录,该目录有一个英文名称为“加密”的数据库文件,详细记录了用户位置信息、移动的时空轨迹。让人感到吃惊的是,该文件记录的位置信息精确到了小数点后8位,同时还对位置数据的可信度进行了评估。该文件也并未加密,而是以明文形式放置在一个隐藏较深的位置。
由于每一个位置数据都对应了现实世界真实的地点信息,并且即使用户关闭了“常去地点”功能,后台数据库文件依旧会记录这些信息,苹果手机中内置的这一文件被认为危害到了用户隐私。
实际上,苹果公司曾多次因记录用户位置信息受到质疑。
英国两名安全研究人员研究发现,iPhone、3G版iPad中都隐藏着这样一个文件,在未得到用户允许的情况下追踪用户位置信息,由于这些信息并非GPS记录,即使用户关闭定位服务也无济于事。同时,储存的信息并未被加密。
2011年,韩国2.76万用户也曾对苹果总部、苹果韩国分公司发起诉讼,称其通过手机周边的无线网络等方式收集用户位置信息。后来,因违反韩国《位置信息保护法》,苹果公司被处以300万韩元行政罚款。
苹果公司回应
央视报道后,苹果公司迅速回应。
动机上,苹果公司称自身业务并不依赖于收集大量用户个人信息。
为何要使用众包数据库,苹果公司称,“如果仅使用GPS卫星数据进行手机定位,可能需要花费几分钟的时间。而通过预先储存的无线局域网热点位置和信号发射塔位置数据,并结合当前正在被iPhone接收的无线局域网热点和信号发射塔信息,iPhone可以将这个时间缩至短短几秒钟。”
苹果公司否认“定位服务”属于默认设置,“Apple绝对不允许任何应用,在未曾预先弹出让用户一目了然的提示并得到用户明确同意的情况下,就擅自接收设备的定位信息。这样的提示是强制性的,并且不能被隐藏或覆盖。”“当用户将某个应用或服务的定位数据切换成‘关’时,它就会停止收集数据。”
至于苹果设备为何设置“常去地点”,苹果公司回应称,“当使用 iPhone了解交通状况时,iOS可搜集
‘常去地点’,在‘通知中心’的‘今天’视图中提供通勤信息,并在CarPlay中为你展示iOS自动规划的路线。”
苹果公司称,“常去地点”仅通过“加密”后存储于用户个人iOS设备上,“它并不备份于iTunes或iCloud中。Apple从不获取或了解某个用户的‘常去地点’信息。我们通过用户密码对缓存进行了加密,并且谨防任何应用对其进行访问。”
至于协助情报机构收集信息的指控,苹果公司称,“正如我们前文所述,Apple从未与任何国家的任何政府机构就任何产品或服务建立过所谓的‘后门’。”
位置服务是双刃剑
对于苹果“隐私门”,业内也有不同的观点。
“并不能说用户信息被获取就一定是侵犯隐私权行为。在很多情况下,包括百度地图、大众点评,或者很多类似软件都会有抓取、利用用户地理位置和其他信息的行为,在这些软件功能中,需要利用用户信息,用户上传信息后也有利于自己利用这款软件。是否构成隐私泄露,关键要看用户是否知道并同意上传这些信息。同时,进一步利用用户信息还需要得到用户专门的许可。”沪江网法务总监林华接受记者采访时表示。
实际上,移动互联网时代的许多服务都是基于位置服务,在这些APP软件用户使用协议中,通常的做法都是询问用户是否同意提供地理位置。
不过,现实存在的一大问题是,需要授权使用用户地理位置或其他信息的APP太多,用户经常不能有效管理自己的隐私。而一旦被某些APP诱导提供这些信息,往往可能导致隐私泄露,而用户也往往不能第一时间发现和中止这种危害。
“未来很多应用都基于云服务,被非法获取后用于非法目的的概率是有的。对于某些特定岗位,如何使用手机国家应该做一些限制,或者提供一些特殊手机,否则风险肯定会越来越高。”手机中国联盟秘书长王英辉告诉记者。
林华表示,我国个人信息安全的立法也亟待完善,“民法通则有些原则性规定,不过还是比较抽象、宽泛的,中国还没有美国、欧盟那样对互联网情况下用户个人信息、隐私大量专门立法。”