头条在偷你的隐私吗?

  借助中国市场红利火起来,每天都喊着「用户中心才是王道」的公司们,在尊重用户上足够花心思吗?

  我一直很想知道这个问题的答案,所以做了这个#隐私权问答 系列。

  在这个系列里,我会按照欧洲最严隐私法案GDPR的维度,去考查近些年崛起的独角兽企业(如今日头条、拼多多、趣头条)以及老牌知名企业(如腾讯,百度,阿里,360),每个企业从几个最关键的维度,观察他们在用户隐私方面的态度和行动。

  隐私法案不需要人人都懂,但人人都应该有知情和捍卫自己的权利。

  #头条隐私权五问五答

  创业七年,头条今年的目标是要完成1000亿的收入,作为创业者绝对是佼佼者。北京市2018年的GDP也就30320亿元,头条这就相当于完成了北京市GDP的1/30。

  那么,对于帮助他们创造如此多收入的用户,他们是一个怎样的态度呢?请耐心阅读,即见分晓。

  1、头条知道我的哪些信息?都是必要的吗?

  关于这个,头条的隐私政策里是这么说的:

  当你使用“今日头条”及相关服务时,为了保障软件与服务的正常运行,我们会收集你的硬件型号、操作系统版本号、国际移动设备识别码(IMEI)、网络设备硬件地址(MAC)、IP地址、软件版本号、网络接入方式及类型、操作日志等信息。请你了解,这些信息是我们提供服务和保障产品正常运行所必须收集的基本信息。

  这里我们需要定义一下,什么叫“产品正常运行必须收集的基本信息”。

  从用户的角度来看,有一些信息是确实需要给出的,比如说:硬件型号、操作系统版本号,软件版本号、网络接入方式及类型。给出了这些,码农们才能帮你“因地制宜”的解决bug。

  那其他的那些看上去是一堆乱码的信息,比如说MAC地址,IMEI号,IP地址,又是干什么用的呢?

  小白助力时间(大拿请自行跳过):

  MAC地址:网卡的身份证,可以精准定位到“设备是谁”,iOS7之后苹果禁止获取,只给到一个不能精准识别到用户的IDFA

  IMEI号:手机的身份证,运营商最爱,伪装成本较低

  IP地址:可以定位设备在哪

  ——有了这三个信息,头条就可以知道看某条信息是“哪个手机/电脑”(MAC地址)在看,这个手机现在在哪里(IP地址)

  这些看上去像是乱码,也没有人关心的信息,其实说到底,主要还是为了能给你精准投放广告,提高头条赚钱效率用的(当然,给出这些信息,也有助于及时发现,是否有别人用不同的IP和不同的设备尝试登录你的账号,但绝对不至于「影响产品正常运行」)。

  所以这里存在一个问题:偷换概念——把一些大部分用户不关心也不懂的名词,统统塞到「正常运行必须收集的基本信息里」。

  乍看之下,好像没什么,但如果我告诉你,知道你MAC地址或IP地址的人,是能直接关联到你的电话,乃至你家的地址,你浏览过的所有淘宝搜索记录,百度搜索记录,你还会觉得无所谓吗?

  国内某公司提供的服务,通过IP地址精准定位用户地址

  315曝光的数据黑产,通过Mac地址获取用户电话号码,之后用电话机器人直接进行营销

  这里的漏洞在于,头条不能直接把你的身份证,电话,地址直接分享给第三方(从法律意义上说,这些都属于能精准定位到个人的信息),但MAC地址,IP地址这些,他们是能分享的。

  在头条的隐私条款,第三方分享原则里是这么写的:

  当软件服务提供商、智能设备提供商或系统服务提供商与我们联合为你提供服务时,例如你需要使用地理位置功能时,为实现这一功能,我们可能会收集你的位置信息及相关设备信息(例如硬件型号、操作系统版本号、国际移动设备身份识别码(IMEI)、网络设备硬件地址(MAC))经过去标识化后并提供给前述提供商。

  当然,你的各种信息被打通,不是头条一方就能促成的事,现在几乎所有的互联网公司都在采集这些信息,而通过数据的共享,所有的用户都成了“透明人”:所有的公司似乎都知道你的住址,电话,阅读喜好,购物喜好,朋友关系链......

  在这里,我们想讨论的问题其实是,如果这些数据采集的目的,是为了方便头条们“更精准的投放广告(提高赚钱效率)”,但另一方面,这些数据又不是普通数据,而是能定位到我们,甚至会对我们生活造成困扰的数据。

  那这些公司还有只是在隐私条款里轻描淡写一说,就静默采集这些信息的权利吗?

  2、不经我的同意,头条有权使用我的信息吗?

  抱歉,客观上,他们是有权使用的。

  其一,作为用户,你的数据在你不知道的情况下,“一定”会被共享给头条的子公司,比如说抖音和多闪;还“可能”被共享给广告代理商,具体哪些数据,没有列出来,简称“薛定谔的共享”:

  这里的问题在哪呢?

  拿315曝光的数据黑产链为例,央视发现的璧合科技“研发“的「探针盒子」能够在附近用户搜集Wi-Fi的时候获取用户的MAC信息,从而匹配到用户的手机号。这家公司背后有科大讯飞持股。

  但事件发生之后,科大讯飞立刻发出声明,说自己仅持股6%,没有任何业务上的决策权。

  一句话总结:虽然我觉得这个公司值得投资,但这个公司的业务是什么,哎呀,我还真是什么都不知道。

  那么这里就出现一个问题了:按照头条的条款,对于关联方,他是有权分享自己的信息的——且在条款里没有定义清楚,何为关联方。那么,类似璧合科技和科大讯飞这种关系,算关联方吗?

  如果算,头条把自己的信息分享给关联方,如果关联方被发现贩卖数据,头条责任为何?它也能用一句“我什么都不知道”“我现在就是非常后悔”推卸所有责任吗?

  请注意,以上都是假设,仅对条款表示质疑,不针对任何公司。

  其二,如果你是一个创作者,你在平台上创作的所有信息,在条款里都明明白白写着:头条都具有使用和传播权。

  1)  当你在头条上发布内容时,头条就默认拥有拿你的内容再创作和改编翻译的权利。

  你知悉、理解并同意......你通过“今日头条”软件及相关服务上传发布、传输或传播的内容(包括但不限于文字、图片、图像、音频、视频和/或音频中的音乐、声音、对话等),授权公司及其关联公司、控制公司、继承公司一项全球范围内、免费、非独家、可再许可(通过多层次)的权利(包括但不限于复制权、信息网络传播权、改编权、汇编权、修改权、翻译权、制作衍生品、表演和展示等权利),使用范围包括但不限于在当前或其他网站、应用程序、产品或终端设备等。

  ——也就是说,你写了一篇爆款小说,如果在头条发布了,头条(甚至头条的关联公司)就有权拿你的小说翻译成德语小说去卖,甚至做成片子传播的权利。

  我在你这生了一个孩子,你就有拿我的孩子赚钱的权利了?

  2) 你不想维权,头条还会主动过帮你维权,并且他们有独立决策,(不告知你)就去维权的权利。

  10.4 你确认并同意授权公司以公司自己的名义或委托专业第三方对侵犯你上传发布的享有知识产权的内容进行代维权,维权形式包括但不限于:监测侵权行为、发送维权函、提起诉讼或仲裁、调解、和解等,公司有权对维权事宜做出决策并独立实施。

  不知为啥,突然想起了视觉中国。

  3、如果在头条出现信息泄漏,影响了我的生活,头条会负责吗?

  在保护用户隐私这方面,头条的态度很鲜明:我们会尽最大的商业努力。

  在你使用“头条认证”等需进行身份认证的功能或服务时,根据中华人民共和国相关法律法规,你可能需要提供你的真实身份信息(真实姓名、身份证号码、电话号码等)以完成实名验证。这些信息属于个人敏感信息,我们将采用行业内通行的方式,尽最大的商业努力来保护你个人敏感信息的安全。如果你不提供这些信息,你将可能无法获得相关服务,但不影响“今日头条”其他功能与服务的正常使用。

  请头条公关团队帮我定义一下:什么叫最大的商业努力?

  再次,如果公司出现数据泄漏问题了,它们将会用“合理”的方式告知你——怎么算合理?头条来定义:

  一旦发生用户信息安全事件(泄露、丢失等)后,我们将按照法律法规的要求,及时向你告知:安全事件的基本情况和可能的影响、我们已经采取或将要采取的处置措施、你可自主防范和降低风险的建议、对你的补救措施等。我们将及时将事件相关情况以推送通知、邮件、信函、短信等形式告知你,难以逐一告知时,我们会采取合理、有效的方式发布公告。

  这里面存在的问题是什么呢:数据泄漏,按照GDPR,应该在72小时之内告知用户,以便用户及时做出预案——万一有人用你的头条账户贷款了呢?

  有两个Case可以说明头条这种处理方式的问题:

  2014年,雅虎公司全球超过5亿用户的个人数据因黑客攻击泄露,而公司在2016年才公开披露了这一消息。被黑客窃取的个人数据包括名字、邮箱地址、电话号码、出生日期、密码、加密或未加密的安全认证问题和答案。

  因雅虎未能及时提醒用户和投资者用户信息被黑客窃取,美国证券交易委员会(SEC)对雅虎开出了3,500万美元的罚单,该处罚是针对上市公司违反交易规则的处罚,而美国其他监管机构还在就此事进行调查,雅虎很有可能再次面临巨额罚款。

  2017年11月,Uber被曝于2016年发生大规模数据泄露事件,两名黑客选择第三方云服务对Uber进行攻击,获取了5700万名用户数据,包括司机的姓名和驾照号码、用户姓名、邮箱和手机号。

  针对此事件,Uber因“未能在网络攻击期间保护客户的个人信息”和“没有在发现数据泄露事件后的72小时内,向荷兰DPA和数据主体报告数据泄露”,被英国和荷兰的数据保护监管机构开出罚单,英国开出38.5万英镑罚单,荷兰则对Uber处以60万欧元罚款。此外,Uber还同意支付1.48亿美元,与美国所有50个州和哥伦比亚特区的检察长就数据泄露问题达成“天价”和解。

  同样的未及时通知的问题如果发生在头条身上呢?按照他们自己规定的条款,他们不需要承担任何责任。

  4、头条隐私法案中有避重就轻、但我应该警惕的问题吗?

  在Cookie这块,头条说的内容是最少的——本不应该如此简略:

  头条关于自己怎么用cookie的完整介绍

  什么是Cookie?当你浏览某网站时,服务器会在你的硬盘上放一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。

  比如在淘宝中,如果你喜欢在头条上看育儿信息,那么多次登录头条看相关的信息之后,淘宝的“猜你喜欢的”功能就会推断出你的爱好,从而推送相应的广告,这就是通过阅读你的Cookie从而获取了你的使用习惯。

  这里可能会存在什么问题呢?

  首先,你在任何一个网页看到的广告,都可能是头条根据存在你电脑里的“cookie“推荐的个性化广告。

  那我们可以假设这样一个场景:一个钓鱼网站伪装成头条的广告主,给你投放广告,当你点击进去的时候,问题就来了。

  他们是否有权限拿到头条的cookie呢?他们拿到的cookie又包含哪些内容呢?如果你在某个页面曾经提供你的年龄,电话,身份证甚至地址,钓鱼网站能不能拿到呢?最终这些信息又会流向哪里呢?

  头条什么都没说。在隐私条款里,它只轻描淡写的讲了,这个cookie对你有什么好处,至于他们怎么用这个cookie,会将哪些用户数据存储在它的cookie里,会将哪些数据分享给第三方,一句没提。

  是不是想起了药品说明书关于药物副作用禁忌那一栏常见的四个字:尚不明确。

  5 、按照欧洲隐私法案GDPR,我本应该享有哪些权利?头条都尊重它们了吗?

  知情权

  一句话总结:平台有义务告诉你,采集了你什么信息,他们为什么要采集你这些信息。

  头条的用户没有知情权。如前文所说,用户不知道自己究竟被采集了什么信息,什么叫「必要的基本信息」全由头条定义;用户不知道自己的信息曾经被分享给哪些第三方,什么叫「关联方」全由头条定义。

  访问权

  一句话总结:头条记录了你哪些信息,你可以要求要一个副本。

  头条的用户没有访问权。

  不说浏览记录,以搜索记录为例,头条在隐私政策里写着:

  你使用“今日头条”的搜索服务时,我们会收集你的搜索关键字信息、日志记录等。

  你只知道他们会收集你的搜索信息,但究竟他们记录了什么,怎么记录,其实你根本不知道。

  对比微软必应:

  纠正权

  一句话总结:你不小心搜了一个东西,你不想留下记录,就有权删除

  头条的用户没有纠正权。

  假如你出于好奇,不小心搜索了“充气娃娃“,你的个性化推荐可能会变得惨不忍睹。

  那么是否有纠正的权利呢?——没有,如上所述,你连搜索的历史记录都看不到。

  被遗忘权

  一句话总结: 你对某个平台没有爱了,想让他觉得彻底忘了你,删去所有你的记录,完全可以(只要你没有在这里违法乱纪过)。

  头条用户没有被遗忘权。如果你想注销头条账户,头条在《注销须知》是这么说的:

  我们对你注销今日头条账号的决定深表遗憾。如果你仍执意注销账号,你的账号需同时满足以下条件:......

  1.3 账号权限解除:账号已解除与其他产品、网站授权登录或绑定关系。

  看到了吗?你需要一个个解除和其他网站的绑定才可以注销——你说你忘记在哪里绑定过?对不起,注销不了。

  注销还有门槛?当初不是说好的自由恋爱吗?

  你说大家都这样?抱歉,可不是。

  随便举个例子:如果要求知乎注销账号,它会直接相应注销,甚至还会同时帮你“要求第三方及时删除“。也就是说,在知乎这只是个附赠品的「解除第三方绑定」服务,在头条这里则成了注销的门槛。原因为何,大家可以自行发挥想象力。

  即使你废了半天劲,成功注销,头条会遗忘你吗?

  不一定。隐私条款里是这么说的:

  我们将删除你的个人信息,或对其进行匿名化处理。请你知悉并理解,根据相关法律法规规定相关日志记录今日头条将保留不少于6个月的时间。

  不少于6个月,那么究竟多长之后才会被遗忘?——不知道。

  什么都不知道,正是当代互联网用户之殇。我们才是任人打扮的小姑娘。

  任何免费的东西,都已经在暗地里标注了它的价码。

  在下一篇,我会选择另一家广为人知的互联网公司进行分析,欢迎继续关注。