APP“偷看”短信还上传 “老板给我涨工资了”明文可见
来源:南方都市报 | 2019-03-15 08:33:46

“没有人知道,此刻我有多害怕第二天的到来……”

2月20日凌晨一点多,小媛在微博写下了这样一段话。天亮后,等待她的将是一场由网贷平台发起的“狂风骤雨”。

果然,8点53分,一个被多人标记为“骚扰电话”的号码打进来催债;9点31分,另一个显示是老家江西赣州的座机号也来问候;9点54分后,小媛的手机开始响个不停,威胁、谩骂、诋毁接踵而来。

更让小媛焦虑的是,这样的手机轰炸不止是针对她本人,她通讯录里的亲友也陆续收到了催债电话与短信,她觉得自己在他人眼中的形象已经破产,尊严全无。

其实,从小媛下载网贷App,并允许它读取自己的通讯录开始,这样的结局似乎就已经注定。只是在使用包括网贷在内的App前,人们鲜少考虑交出这项手机权限可能带来的影响,等到催收的骚扰范围扩展到整个通讯录,波及到无辜的第三方,才追悔莫及。

借贷类App在获取权限后会做什么是显而易见的,对通讯录内家人朋友进行轰炸型的催债能够切实地感知到。除了这些,我们授权出去的权限还会被App怎么用?那些非借贷类的App又会怎么处理我们的个人信息?

近日,南都记者尝试使用技术实测了143款App,尝试研究在我们把收集权限交给App之后,会发生什么?结果我们在App行为测试的结果中明文看到了App调取了用户的短信内容并上送;此外,还有App向多个第三方服务器发送用户信息,可谓触目惊心。

逾期通讯录被爆,名誉毁于一旦

27岁的小媛从未想过生活会这样失控。回想最初,债务从一两万元滚到近三十万元,只是短短28天。

三年前,她和丈夫离婚,带着9个月大的女儿回到娘家。孩子一天天长大,生活的细碎开销让这个每月工资仅有3600元的单亲妈妈不堪负重。

最难的时候,小媛想到了信用卡,却担心入不敷出影响个人征信记录。于是,她用了一种最笨的方法,通过借网贷来偿还信用卡债。二十多天里,她下了90多个借贷App,一些钱是到手了,可是网贷的口子一旦打开,随即而来的是意想不到的“无底洞”。

“网贷借款基本以7天为周期,借款金额4250元,实际到账只有2921元。”小媛告诉南都记者,还款期一到,当天催收电话就来了。随后开始爆通讯录,家人朋友相继接到电话威胁恐吓,这意味逾期者通讯录里的所有人,包括家人朋友甚至是并不熟悉的联系人都可能成为被催收的对象。

打爆小媛手机的催收电话。受访者供图。

更让她感到惊恐的是,一些带有侮辱性的短信和不雅P图也被群发到各处。当个人通讯等隐私信息曝光在网贷平台和催收公司面前,小媛此刻不如意的生活人尽皆知,名誉毁于一旦,隐私和尊严更是无从谈起。

催收者发送的侮辱短信。受访者供图。

和小媛一样,最近三个月,来自河北石家庄的王先生也正在经历这样的生活。苹果手机里安装的250个借贷App时刻提醒他,身上背负的55万元欠款。最多的时候,他一天接到了400个催收电话。

每个深陷网贷泥潭者的故事背后,大抵都有相似的遭遇:以贷养贷,让人喘不过气的2000%年利率。一旦逾期被爆通讯录,频繁遭到催收骚扰,日子不得安宁但却无计可施。

权限授权页面“一闪而过”

聚投诉平台发布的一份年度报告显示,2018年,在聚投诉平台上的第一大被投诉行业是互联网消费金融,有效投诉量共计20.9万件,占投诉总量的66.4%。消费者投诉的两大突出问题,仍然是恶性催收与利率超标。

那么,依托爆通讯录,曝光借款者个人隐私的催收怪圈是如何形成的呢?其实,早在下载现金贷App点击同意授权“读取通讯录权限”、“同意交出通话记录”开始,小媛、王先生及通讯录里所有人的信息已成透明。而这样的同意授权,往往始于借款人的无意识与疏忽。

“当打开App时,一个允许读取联系人,允许读取定位等信息的页面一闪而过,随后才进入贷款申请环节。”小媛说。

王先生使用过的250个网贷App中,有些并非从应用商店下载来的,而是通过扫描指定的二维码,绕过苹果手机的App审核机制安装到他手机上的。在扫码下载借贷App后,用户需在手机里选择“可信任”设置才能打开。

他告诉南都记者,进入借贷App之后,还需经过信用评估才能结款。信用评估即填写自己的个人信息,大都包括个人信息如姓名、身份证、学历、婚姻状况、紧急联系人、手机运营商网上营业厅的账号信息、银行卡、芝麻分授权等。

数据一旦交出,意味着王先生的个人隐私尽被网贷平台掌握,而且有可能分享给催债公司或是其它第三方。

一揽子协议,App过度收集信息严重

需要关注的是,即便用户足够重视信息安全,或许也难逃App收集个人信息的套路。

近日,南都个人信息保护研究中心实测143个App ,从有无隐私政策、内文是否存在霸王条款、收集个人信息前是否公示收集使用规则、有无强制同意非必要权限、收集个人敏感信息时是否再次获取明示同意、有无注销功能等方面,实际考察App获取个人信息的情况。

测评发现,App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。

一款名为“贝壳钱包”的App在用户协议中提及,“您授权贝壳钱包在业务运营中获悉您的手机通话详单、手机服务密码、第三方网络平台的账户和密码信息。”也就是说,用户同意这份个人信息收集的协议后,即代表允许平台获取你的通话记录,你常用联系人,通话时长等信息可能都被知晓。

贝壳钱包服务协议。

另一款名为“盈盈有钱”的借贷App在《隐私权保护声明》中提到, 会收集来自第三方的信息,其中包括认证芝麻分和运营商。上述声明提及,“一旦开始使用该 APP 的服务并提交本隐私保护声明所示信息材料,我们即有权根据您提供的运营商信息,获取您最近6个月的信息记录,包括但不限于通话、短信、流量记录、运营商报告等。

盈盈有钱隐私权保护声明。

单从隐私政策或用户协议看,这些App需要获取的用户信息范围广泛,但与哪些核心功能相关,适用于何种场景,并未作过多说明,更有App甚至要求用户确认位置信息并非个人隐私。

一个名为“在外”的旅游交通类App在明确条款中写道:“用户确认其地理位置信息为非个人隐私信息,用户成功注册"在外"账号视为确认授权公司提取、公开及适用地理位置信息。”

在外用户协议。

而根据两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,行踪轨迹信息、通讯内容、征信信息、财产信息均属于个人敏感信息,非法获取、出售或者提供50条以上即算“情节严重”。

精彩推荐