怎样发定位地图给朋友(精准推送背后的个人信息共享网络)

本报记者陈志芳实习生邱明哲石秦怡

在移动互联网时代,有一点被反复质疑,那就是App是否在窃听用户。

在很多社交平台上,网友都经历了类似的故事。他们刚和朋友聊完某个产品,就打开手机、购物app或社交软件,相关广告就出现了。

事实上,要实现精准推送,往往会使用大数据和推送算法,而不是窃听。App利用记录、地理位置、好友等个人信息穿梭于App分享网络。企业利用这些信息和特定的算法,构建一个庞大的用户画像系统。中国电子技术标准化研究院网安中心评测实验室副主任何延哲认为,App窃听成本高,法律风险大,企业的精准推送能力实际上来源于App之间共享的用户个人信息。

这些个人信息关系到用户隐私,相关法律法规陆续出台。2022年3月1日,国家网信办等四部门联合发布的《互联网信息服务算法推荐管理规定》正式生效。剑指算法的乱象——“杀死大数据”,诱导用户沉迷网络,操纵列表等等。去年11月1日,《个人信息保护法》正式生效。同日,工信部发布通知,提出39家互联网企业要建立个人信息保护“双清单”,即“收集的个人信息清单”和“与第三方共享的个人信息清单”。后者要求腾讯、阿里巴巴等39家公司的52款app在app的二级菜单中列出与第三方共享的用户个人信息基本信息。

我们梳理了Android上这些app的第三方共享个人信息列表,试图勾勒出这个复杂的共享网络。



个人信息共享网络:39家企业,V.S .超过200家企业

“我怀疑手机在偷看我们的聊天记录。”网民周晓信誓旦旦地说。她刚在社交软件上和朋友聊完某款沐浴露,社交软件就为她推送了相应的广告。但更有可能的精准推送路径是,周晓的好友之前在购物平台搜索过这款沐浴露,他们的搜索记录、好友关系、设备标识符等个人信息在社交软件和购物平台的共享网络中流动匹配。最后,算法告诉企业,周晓也可能对这种沐浴露感兴趣。

在“双单”的推动下,个人信息共享网络逐渐出现在公众面前。大部分测试的app在界面的第二个菜单中都有“与第三方分享个人信息列表”的条目,告诉用户个人信息分享的基本信息,包括与第三方分享的个人信息的类型和使用目的。企业会在隐私政策、注册页面等方面取得用户的同意。一些企业会对共享信息进行加密和去标记,而另一些企业会让第三方自己处理共享信息。

就52 apps公布的第三方共享个人信息列表来看,用户个人信息的流向错综复杂,涉及移动互联网时代现代人生活的方方面面——app、手机厂商、运营商。200多家公司成为52款app的第三方,包括腾讯、阿里巴巴等互联网公司,小米、OPPO等手机厂商,友盟、穿山甲等广告营销、数据统计公司。

需要指出的是,不同app发布的第三方分享列表的细节是不一样的,大部分被测app都没有发布完整的广告主及其代理、关联公司、授权合作伙伴等列表。



怎样发定位

过于精准的广告推送让用户担心个人隐私泄露,“双榜”和算法推荐管理规定等规定的实施,有助于打破“算法黑箱”。何延哲表示,建立“双名单”将使个人信息的收集和共享更加透明。环球律师事务所合伙人梦洁进一步表示,第三方共享名单最直接的作用是保护用户权益,让用户更直接、更方便地了解自己的个人信息被企业如何使用和共享,也便于公众和监管机构对互联网产品进行监督和管理。

ID“设备标识符”是高频共享的个人信息。

在个人信息共享网络中,手机是“定位”用户和量化用户行为的重要媒介。个人点击、搜索、购买、行走轨迹等。全部输入头像数据到算法系统。

如果想利用这些数据进行精准的广告推送,识别用户身份是关键。每个移动电话的唯一设备标识符起着重要的作用。设备标识符家族包括IMEI、Android ID、IDFA、Mac地址等。,代表用户的“数字标识”。在本次测评中,设备标识属于高频共享的个人信息,企业收集和共享设备标识、使用行为等个人信息,算法系统“计算”出用户的生活习惯和消费行为特征,构建用户的个人画像。

这是互联网公司的普遍做法。中国信息通信研究院杨等人在《互联网广告招牌研究与建议》中提到,互联网广告产业链涉及多个主体,从App、智能电视到第三方监测平台、数据平台、自动化交易平台。



目前,上面的列表只是勾勒出一个模糊而庞大的共享系统。事实上,一些企业并没有列出一个完整的与他们共享个人信息的第三方名单。比如,第三方个人信息共享的清单中只提到第三方合作方是上海项燕科技有限公司等100多家第三方服务商,而佳缘列出了其所有的线下直营店和授权的线下联合店。

“企业间有大量的第三方共享个人信息,涉及到很多类型的个人信息。如果前期没有系统的整理,工作量会很大,双方的合作协议往往没有明确规定信息共享的具体规则。”梦洁解释了公布完整的第三方名单的困难。她认为,用户量大、个人信息处理量大的企业,也应该按照工信部规定的要求,尽快实施和建设“双单”,更科学、更科学地思考操作方法。



图为佳缘App第三方分享列表公布的部分加盟店。

隐藏在App背后的SDK

如果说手机是媒介,设备标识符是锚点,那么连接两者的重要“绳索”就是第三方SDK(软件开发工具包)。

不同的第三方SDK可以帮助App调用各种功能,包括消息推送、移动支付、第三方登录、地图定位等等。比如在Aauto购物时想更快的使用支付宝支付,需要调用支付宝SDK;如果要在钉钉上发送或分享位置,并且在打卡考勤时使用高德地图,需要调用高德地图SDK。为了实现这些功能,支付宝SDK会收集用户的设备标识、支付金额等等,高德地图SDK会收集用户的设备标识、位置信息等等。

它们广泛存在于所有app中,只是不为大众所知。以喜马拉雅发布的第三方分享列表为例。喜马拉雅发布的广告SDK共享了30多条用户信息,这意味着用户在使用喜马拉雅App时,会将设备标识符、地理位置等一些个人信息共享给广点通、穿山甲等广告营销平台。



在实施“双列表”的同时,企业的第三方SDK合规之路依然参差不齐:如何根据“最小必要性”原则确定第三方SDK是否收集个人信息?第三方SDK收集个人信息的数量、场景、频率是否与分享列表描述一致?如何厘清App和SDK的关系,落实主体责任?

近日,工信部信息通信管理局通报了侵害用户权益的app(SDK)名单,13家第三方SDK因违规收集个人信息被列入名单。

何延哲认为,如果要界定第三方SDK收集的个人信息是否符合“最低必要”原则,还需要有更清晰明确的相关规定。另外,给用户控制权或者一个解决方案,是指用户在同意将自己的个人信息分享给第三方SDK后,有权选择撤回同意。

“App R&D企业目前只能通过隐私政策了解SDK,企业也没有相应的技术手段、检测思路和动机去检测集成的第三方SDK,以了解SDK的实际个人信息收集行为是否与隐私政策中描述的一致。”北京汉华天妃新安科技有限公司总经理彭根曾写道。

编辑:许

校对:张燕

您可以还会对下面的文章感兴趣

使用微信扫描二维码后

点击右上角发送给好友