据华尔街日报报道,隐私保护和用户数据共享之间的平衡问题在西方国家引发了一场争论,而发展中国家则不大存在那样的争议。对于数百万在隐私保护普遍不足的发展中国家购买廉价智能手机的人来说,随时随地上网的便利可能会带来一项隐性成本:预装的应用程序会在用户不知情的情况下收集他们的个人数据。
在缅甸和柬埔寨卖出的数千部中国生产的Singtech P10智能手机上,就有一款这样的应用,它会将机主的位置和独特的设备细节发送给台湾的移动广告公司General Mobile(简称GMobi)。安全研究人员说,这款应用也出现于在巴西销售的智能手机以及中国和印度的制造商生产的智能手机。
总部位于台北的GMobi在上海设有子公司,它表示,它利用这些数据在设备上推送定向广告。它有时也会与设备制造商分享数据,以帮助它们更好地了解它们的顾客。
该公司的首席执行官Paul Wu称,智能手机制造商还会获得额外的好处:通过允许GMobi在它们的设备上安装它的应用,它们能够向设备发送被称为“固件”的软件更新,而无需支付任何的费用。这是设备制造商在新兴市场推广低成本手机的一个重要考量。
GMobi的一位发言人说:“如果终端用户想要免费的互联网服务,他或她需要为更好的定向广告付出一点代价。”
在保护隐私和共享用户数据之间的权衡问题,在西方引发了不小的争论。用户数据对于很多在线服务的盈利模式至关重要。社交网络巨头Facebook因在保护用户数据方面做得不够而受到抨击。新的法律赋予加州人禁止出售其个人数据的权利,而欧盟的通用数据保护条例(GDPR)则带来了非常严格的数据隐私保护。
新兴国家缺乏隐私保护
然而,在新兴经济体,几乎没有任何的隐私保护措施,许多渴望上网的人可能也没有意识到,他们所使用的设备将大量有关他们的数据发送出去。这种数据分享通常是通过隐蔽的合作进行的。
缅甸曼德勒的销售员蒂·蒂·莫(Thi Thi Moe)说,要不是华尔街日报告知她,她都不知道GMobi一直从她的Singtech P10手机收集数据。她说,最近几个月,她对其手机屏幕上频繁出现的手游广告感到很恼火。
现年28岁的她说,“我不希望我的手机上有那样的应用。我不了解技术,但它不应该窃取我的私人信息吧。”她补充说,她是在去年以77美元的价格购买了现在的这台手机。
GMobi是数家利用低成本智能手机和监管不足汲取大量用户数据的公司之一。上海的广升公司(Adups)和印度数字广告公司MoMagic也与智能手机制造商合作,提供类似的固件升级服务。
“它们瞄准了发展中国家和那些买不起更好的设备的个人,明目张胆地跟踪他们。”华盛顿特区独立顾问马克·格朗曼(Marc Groman)说。去年以前,他担任白宫管理与预算办公室的高级隐私顾问。
他说,从GMobi对其行为的描述和研究人员的发现来看,“这在欧盟和美国是不合法的。”
还试图让用户注册付费服务
总部位于伦敦的移动商务和安全公司Upstream Systems发现了GMobi应用的活动,并与华尔街日报进行了独家分享。它说,它买了四台新设备,它们在被激活以后,就马上开始发送通过固件升级应用向GMobi发送数据。那些数据包括15位数的国际移动电话设备识别码(IMEI)以及分配给每台硬件连接到网络的MAC地址。Upstream指出,该应用还向GMobi位于新加坡的服务器发送了一些位置数据。
Upstream还表示,最近几个月,它阻止了GMobi的应用进行让用户注册手游等付费服务的可疑尝试。该公司说,如果该应用得逞的话,分布在8个国家的用户将会共计支付超过700万美元的费用。GMobi的Paul Wu指出,该公司不对源自其应用的任何恶意活动负责。
许多流行的智能手机应用都会收集用户数据,比如通讯录甚至是位置,但用户通常是自己选择安装这些应用,主动同意数据收集,并且可以随时删除应用。而GMobi的软件是预先安装在新智能手机上的,只有通过采取详尽的技术步骤才能将其移除。
GMobi为全球100多家智能手机厂商提供固件升级和其他的服务。那些厂商共计生产了2000种不同型号的手机,全球用户总规模超过1.5亿。
该公司以保密协议为由,拒绝透露目前与哪些智能手机公司合作。GMobi网站上列出的数十家设备制造商包括中国的华为和小米以及总部位于迈阿密的BLU Products。
华为发言人表示,公司从未与GMobi合作。小米发言人说,小米与GMobi没有合作,也从未这样做过。小米即将进行今年规模最大的一宗IPO(首次公开招股)之一,将于7月9日在香港挂牌上市。BLU发言人称,公司几年前曾与GMobi进行过“试探性讨论”,但目前没有与它合作。
然而,作为面向美国和拉丁美洲市场的智能手机厂商,BLU在2016年被发现在向美国市场出售的智能手机上使用GMobi竞争对手Adups的固件服务。安全公司Kryptowire当时指出,那些设备将用户的详细信息发送到中国。BLU则称这是失误所致。
BLU发言人说,公司已经不再与Adups合作。后者没有回应有关其合作公司名单的询问。
新加坡公司Singtech的产品总监安迪·吴(Andy Ng)说,他的公司于去年停止使用GMobi的服务。不过他说,公司大约有100万台装有GMobi应用的设备可能仍在缅甸和柬埔寨市场上。
“恶意软件”
他指出,如果Singtech对用户数据收集行为知情,“我不会和GMobi合作,那可是恶意软件。”
然而,生产Singtech设备的深圳市好万年科技公司指出,所有的应用程序都是应该智能手机制造商的要求安装的。
GMobi的应用被几个在线防病毒扫描服务标记为恶意软件。恶意软件是指会暗中收集用户数据的软件,不过它也指代那些只是让人觉得讨厌的软件。GMobi首席执行官Paul Wu说,它的应用不属于恶意软件。
GMobi表示,在用户首次激活手机,点击终端用户许可协议时,系统会请求他们同意数据收集。然而,Upstream的研究发现,在一些情况下,即使没有用户的同意,数据也会被发送到GMobi的新加坡服务器。Paul Wu说,通过该应用进行的手机软件升级“大多数情况下都”需要用户接受协议才能运行。但他补充说,如果设备无法操作,用户无法点击协议,该软件也能够运行。他指出,他的公司没有违反任何的数据收集法律。
印度数字广告公司MoMagic提供类似GMobi的固件升级服务,它列出的手机厂商合作伙伴包括小米、Micromax、Intex、日本的松下和索尼。小米发言人说,公司现在没有与MoMagic合作。Micromax拒绝置评。
Intex发言人表示,MoMagic为公司提供固件升级服务,但没有收集用户的详细信息来用于广告目的。索尼和松下没有立即回复记者的置评请求。
MoMagic的首席执行官阿隆·古普塔(Arun Gupta)拒绝透露公司为特定生产商提供哪些服务,但他说其公司专注于印度和孟加拉国市场。
“我们都知道,到目前为止,印度和孟加拉国的法律都很薄弱,”他谈到私人数据收集法规时说道,“我们所收集的任何东西都是符合当地法律的。”