移动互联网和云计算的发展给我们带来便利的同时,也让我们在个人隐私和信息安全上产生一些忧虑:一款手机应用为何要获取我的通讯录和短信权限?一款软件读取了我的联系人信息,会不会外泄?把私密照片、视频等等传到了云服务器上,别人会不会看到?
这些忧虑就像一枚定时炸弹,时时刻刻埋藏在用户心里。也因此,如何做好用户隐私保护,如何用行动取得用户的信任成为每一个现代企业需要思考的问题。
对此,豌豆荚手机精灵创始人王俊煜表示,“我们在豌豆荚还没有正式发布的时候,就树立了三条隐私原则,这三条原则是给我们内部的人看的:第一条是我们只收集真正的,有助于提升用户体验的尽可能少的信息。第二条是我们不收集可能识别出用户唯一身份的信息。第三条,我们希望将个人信息的收集透明化,不得隐瞒、欺骗”。王俊煜称,做为一款互联网产品,豌豆荚必须对用户隐私慎之又慎,避免重蹈行业前辈们的覆辙。“我们认为,唯一能赢得你的信任的途径,即是高度自律。”
(图:王俊煜先请现场记者写下对隐私最担心的部分)
豌豆荚工程师现场抓包测试
3月8日下午,豌豆荚召开媒体深度交流会,介绍豌豆荚的用户隐私原则。在交流会现场,豌豆荚演示了其手机精灵在工作中都收集了哪些与用户有关的数据,并逐一阐释这些数据的用途。
豌豆荚工程师范怀宇在现场使用Http Analyzer V6对豌豆荚2.0上传数据包进行抓取,并解密、解释给现场记者看每一条语句的作用:
51CTO记者看到,将手机链接至电脑并成功启动豌豆荚后,在豌豆荚的通讯录管理功能界面列出了当前手机上的所有联系人信息。数据显示当前手机有一千四百多个联系人。随后范怀宇在通讯录界面进行了刷新操作。在刷新操作之后,Http Analyzer的进程里立即显示有一个数据包正在上传。范怀宇现场下载了这个数据包,并将其解密,详细为现场记者解释了数据包中每一条语句的作用。这些语句中记录的数据包括当前豌豆荚手机精灵的版本号、用户电脑系统版本号、Mac地址等基础信息和用户联系人的总数、联系人分组总数、有头像的联系人数量等数量类信息,其中并不包括具体的联系人信息(如姓名、电话号码等)。此外该数据包中还包括了本次操作响应时间等产品稳定性方面的信息。
(图:豌豆荚现场演示上传数据抓包及解密、分析)
范怀宇随后进行了一次“添加联系人”的操作。抓取的上传数据包显示,上传数据仅记录了用户操作“新建联系人”这一动作,也未包含该联系人的具体信息。范怀宇还演示了使用豌豆荚手机精灵发送手机短信的操作,数据包显示传输的内容是与本次操作有关的用户行为记录,而非短信内容本身。
在与手机应用管理有关的操作中,由于豌豆荚需要知道用户的应用列表以便判断用户哪些应用需要升级进而提供相应服务,抓取数据包显示,上传的是一个读取应用的请求文件。
谈到豌豆荚是否会收集用户SD卡隐私信息,范怀宇表示,豌豆荚SD卡管理功能是通过FTP命令用Windows资源管理器将SD卡作为一个“磁盘”打开,之后的操作基本与豌豆荚软件本身无关,也不存在收集用户信息的功能。
(豌豆荚抓包测试数据解析,点击看大图)
(豌豆荚抓包测试数据解析,点击看大图)
豌豆荚收集这些用户数据做什么?
通过范怀宇的演示,我们已经初步知道了豌豆荚手机精灵在每一次与服务器通信时所进行的动作,那么豌豆荚收集这些诸如用户联系人数量、应用数量、图片数量、操作行为等信息是出于什么目的呢?
豌豆荚创始人王俊煜表示,收集这些信息是为了做产品分析和产品优化之用,比如,最早的时候,豌豆荚的通讯录管理界面是纯文字的、紧密的列表,那是因为他们以为用户手机中会有上千个联系人,需要高效管理,而后来的数据显示,每个用户手机中平均只有不到100个联系人。根据这个数据,豌豆荚改进了联系人管理界面,加上头像等内容,方便用户更好的与朋友沟通,更突出其友好性而非工具性。
在豌豆荚最新发布的关于用户隐私标准的介绍文章中,王俊煜提到“这些信息会发送到豌豆实验室的服务器,在经过程序自动处理后成为汇总的统计数据,展现在我们内部的系统中。由于并不带有任何的个人识别信息,我们无法反过来将这些信息对应到个人,而是只能看到汇总的统计数据——,就像我们对外公布的那样。我们也许可以知道在中国的某个地方有一部小米手机中有 23 张照片,但我们无法知道这是谁的手机,也无法知道照片的内容”。
此外,这篇介绍中还告知用户收集的这些信息具体做什么用了:
“应用升级功能会把你在手机上安装的应用的清单发送到我们的服务器,这样我们才可以告诉你哪些应用可以升级。
如果使用「豌豆荚 Windows 版」时不幸发生崩溃,所发送的崩溃报告可能也会附加少量和你正在操作的数据相关的信息。这对我们进行诊断是必须的。
如果你通过「豌豆荚 Windows 版」打开网页,网页可以获得标准日志信息,包括 IP 地址、cookies 等等。这和你使用普通浏览器是一样的。
如果你在「豌豆荚 Windows 版」的 2.0 版本中选择了「记住手机」,你的手机数据会在你当前使用的电脑上保留一份。这是为什么我们建议只在自己的电脑上使用这个功能。你可以在设置中删掉保存的数据。
通过「豌豆荚 Windows 版」下载的内容会在电脑上存放一份,这样,你下次想重复安装的时候就不必重新下载了”。
豌豆荚在该介绍中声明称“豌豆荚 Windows 版”绝对不会收集用户的电话号码、短信内容、音乐、视频、照片、电子书等内容。豌豆荚同时表示“当然,如果你注册并使用了豌豆荚账户、豌豆荚 alpha 等云端产品,并主动填写或上传以上信息,我们还是会为你保存的”。
