V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mytuya
V2EX  ›  程序员

我写了个小而美的 APP,却被喝茶下架,告知侵犯用户隐私,全都因为接入了这款统计 SDK

  •  6
     
  •   mytuya · 2019-11-08 19:57:08 +08:00 · 6164 次点击
    这是一个创建于 1846 天前的主题,其中的信息可能已经有所发展或是发生改变。

    忽然接到一个电话,说让我下午去派出所和警察聊聊 APP 的事情,吓了一跳?

    问号脸

    由于我不在本地,只能和和 JC 叔叔电话聊,这里要表扬下 JC,全程都很 nice,好几次都是他主动打电话给我询问。

    JC 和我说腾讯委托某证计算机司法鉴定所,鉴定本人开发的一款 APP 有侵犯个人隐私。 在调用获取详细位置信息的时候没有询问用户。我立即看了下这款 APP,名字叫做微隐私。 打开项目后发现权限列表里并没有位置权限。

    权限列表

    那为什么会被鉴定收集用户隐私? 是不是上传应用市场的包被换了。 于是,从应用宝下载了这个 APP。反编译。 点开 AndroidManifest.xml 。 震惊了,多了三个权限,获取精准位置的权限果然在权限列表里。

    反编译的列表

    哪来的?

    问号脸

    我一个个查找自己的引用,最后锁定了,腾讯统计

    腾讯统计

    为了怕冤枉好人,特地建了个全新的项目, 重新引入,打包,反编译。 果然 还是有权限

    腾讯统计加入的所有权限

    我震惊,感情是收集用户精准位置的是腾讯自己。但是本人并不急得当时有介绍说这个权限是必须的。

    再去官网看看是不是有介绍会有引入这个权限,很遗憾官网的自动接入说明中并没有说明,腾讯会自动加上这个权限。

    手动说明中,甚至连位置权限都不用!

    腾讯统计官网说明

    这个权限并没有必要,为什么腾讯统计要收集, 为什么不直接在文档中告诉用户,会引入什么权限?

    找到罪魁祸首,想想即使声明了权限,也不代表使用了,好比你声明了自己买了把刀,但是也不会拿刀砍人。

    安卓 4.4 版本以上使用位置权限,一定得弹窗提示用户,在用户允许后才能使用, 哪里存在非法收集用户信息的情况。

    于是本人打电话给某证计算机司法鉴定所询问流程,哪里接电话的小姐姐义正言辞的批评了我(口气略凶),告诉我,我不是委托人,没有资格知道他们的流程。

    这个事情的第二个槽点: 这家所谓的计算机鉴定所我并不知道, 他们可能很高明 = = 没有权限弹窗,说明并没有使用, 并不能说明是在没有通知用户的情况下直接获取了用户的精准位置信息。 大概这家鉴定所有什么高科技能鉴定出腾讯统计有能在用户无感知的情况下获取位置信息。Orz

    最后,请腾讯统计在自动集成的部分去掉精准位置权限,并且证明我的清白。然后 麻烦请个专业的鉴定所。 毕竟,你们的轻飘飘的一个鉴定,会毁掉一个 APP, 也有可能毁掉一个开发人员或者一个公司。

    第 1 条附言  ·  2019-11-08 21:16:38 +08:00
    经过大家的提示,感觉自己并不冤枉,紧急修改线上的所有 APP
    mytuya
        1
    mytuya  
    OP
       2019-11-08 19:57:40 +08:00
    欢迎各位大佬转发。
    xieren58
        2
    xieren58  
       2019-11-08 19:59:46 +08:00   ❤️ 1
    出海是唯一的出路
    mytuya
        3
    mytuya  
    OP
       2019-11-08 20:02:49 +08:00   ❤️ 2
    PS: 本人在接到电话后第一时间就在各大应用市场下架了该 APP,并且朋友还去派出所录了口供,接受了口头警告。部分市场是用朋友的公司资格上传的(国内个人开发者生存恶劣)
    secretman
        4
    secretman  
       2019-11-08 20:04:33 +08:00   ❤️ 1
    主题应该是工单系统,然后标题带 tx 就好了
    mytuya
        5
    mytuya  
    OP
       2019-11-08 20:17:41 +08:00
    @secretman 谢谢说明
    mytuya
        6
    mytuya  
    OP
       2019-11-08 20:18:36 +08:00
    @xieren58 初心是感兴趣做的,并没有想到 会涉及到收集隐私这种屁事。
    Pastsong
        7
    Pastsong  
       2019-11-08 20:24:26 +08:00
    只要用 Access Fine Location 权限就会被喝茶?为什么啊?
    phpc
        8
    phpc  
       2019-11-08 20:25:01 +08:00
    安装了一下,挺好用,谢谢了
    iPhoneXI
        9
    iPhoneXI  
       2019-11-08 20:29:39 +08:00 via Android   ❤️ 1
    国内应用市场都是垃圾,没有例外
    mytuya
        10
    mytuya  
    OP
       2019-11-08 20:31:02 +08:00
    @Pastsong JC 说如果使用权限,没有弹窗会被喝茶。 现在的安卓手机要使用这个权限必须的经过用户允许。 不允许不行的。 不知道这个广东的这个司法鉴定所如何鉴定的。。。我也想知道到底是什么高科技
    mepine
        11
    mepine  
       2019-11-08 20:31:16 +08:00   ❤️ 1
    所以简略说是:腾讯怀疑你的 App 侵犯用户隐私,最后查出来是腾讯自己的 SDK 在侵犯用户隐私?
    那现在告诉 JC 叔叔和这个第三方了吗?
    zsdroid
        12
    zsdroid  
       2019-11-08 20:31:16 +08:00
    你如果有钱有时间就反告他们啊
    zsdroid
        13
    zsdroid  
       2019-11-08 20:32:54 +08:00
    > 我不是委托人,没有资格知道他们的流程。

    那你当一回委托人不就好了,前提还是有钱有时间
    mytuya
        14
    mytuya  
    OP
       2019-11-08 20:33:28 +08:00
    @mepine 告诉了 JC 叔叔没有用啊, 毕竟他们是经过鉴定所鉴定的。JC 叔叔以他们为主。
    mytuya
        15
    mytuya  
    OP
       2019-11-08 20:34:06 +08:00
    @zsdroid 前提就是要有钱有闲 。
    TimePPT
        16
    TimePPT  
       2019-11-08 20:35:55 +08:00
    先不说腾讯 SDK 的事哈

    给你讲,在当前,系统级的权限索取弹窗并不能替代个人隐私数据获取声明。
    相关条款可以自己去查。

    顺手甩个公安部的公告学习下:
    「一、App 运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导 App 运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。」
    http://www.mps.gov.cn/n6557558/c6382210/content.html

    今年全年,多少家公司的 App 都在这块翻船了,而且我知道的有几家也根本没想收集啥啥权限,就是少个告知就被下架整治了
    mytuya
        17
    mytuya  
    OP
       2019-11-08 20:38:53 +08:00
    @TimePPT 请问有合规范例吗? 发一个学习下
    heihav2
        18
    heihav2  
       2019-11-08 20:39:19 +08:00
    为啥要引入 tx 统计啊?
    mepine
        19
    mepine  
       2019-11-08 20:40:06 +08:00   ❤️ 1
    @mytuya 咨询 JC 叔叔,如果想举报腾讯低成本的方式可以怎么做。然后给腾讯发邮件,让他们撤销鉴定并赔偿,给他们时间节点,不照办就举报他们,反正 SDK 已经在手里。
    mytuya
        20
    mytuya  
    OP
       2019-11-08 20:43:35 +08:00
    @mepine 好哒,谢谢。
    eason1874
        21
    eason1874  
       2019-11-08 20:48:24 +08:00
    @Pastsong #7 不是用这个权限有问题,问题出在没有事先提示用户,只要一开始就提示用户就没问题了。
    eason1874
        22
    eason1874  
       2019-11-08 20:51:40 +08:00
    现在法律要求 APP 使用各种权限必须要获取用户同意,并且告知用户使用这些权限是为了干什么。

    安卓本身弹窗提示授权不能代替 APP 的告知,因为这个弹窗也没有告诉用户你要这些权限做什么用啊。

    虽然说你随便写点什么都不影响使用,因为大多用户都是闭着眼睛点同意的,但还是要写的。
    janus77
        23
    janus77  
       2019-11-08 20:55:22 +08:00 via iPhone
    这让我想到了一件事 前一阵子我们公司的 APP 在上架市场的时候 被后台发送一条短信 说让我们进行自查 因为他们需要让我们加上隐私协议 而且不止一家市场 是多家。短信里还写到,这个是上头要求的,期限内如果不加上就会直接下架。
    mytuya
        24
    mytuya  
    OP
       2019-11-08 20:58:06 +08:00
    @eason1874 原来如此,谢谢了。 也就是说不管自己有没有用到什么权限,先弹窗提示用户协议准没错。
    janus77
        25
    janus77  
       2019-11-08 20:58:11 +08:00 via iPhone
    @janus77 然后我们问了 ios 开发 他们的所有 app 都是必须加这个的。有现成的链接。
    所以这个事就是这样的:1.上头对隐私信息获取加强了管控。2.楼主好像并没有这个意识(因为如果做 ios 上架肯定知道这个流程,哪怕是做样子,重点是要有意识)。
    就这么简单而已
    ebony0319
        26
    ebony0319  
       2019-11-08 21:01:28 +08:00
    标记,待会儿看。
    semperidem
        27
    semperidem  
       2019-11-08 21:02:29 +08:00
    楼上几位说的没错,这就是为啥很多应用第一次打开会让你同意某某使用协议,不同意就直接关闭,一个道理
    optional
        28
    optional  
       2019-11-08 21:03:57 +08:00 via iPhone
    @xieren58 看到警察就出海? 实际上整个故事看起来像是好事啊
    TimePPT
        29
    TimePPT  
       2019-11-08 21:05:04 +08:00
    @mytuya 各大厂的 App 基本都有了,有些是新装时候首屏直接弹出要求用户同意的一个模板条款协议页,有些是挂在登录页上的。有些会常驻在设置页某些位置。
    基本上就是会说明会索要哪些权限,用来干啥。
    这玩意没辙,必须有。

    知道某厂也是用某大厂广告 SDK 惹了事,被上海消保委点名,惹了一脑门官司。找大厂 BD 法务也没用,两边扯皮。
    应用商店的逻辑是,你是 App 的开发主体,你就有义务完成合规工作,即使使用了三方 SDK,代码的引入也是开发者自己的事情。
    只要是有隐私权限索要的,理论上必须按照现有规定做合规处理。

    另,刚查了下小米商店有个公告,感觉最近跟这个有关……

    《应用收集及使用用户信息合规性自查的重要通知》
    针对目前 APP 违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等突出问题,工信部日前下发《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》文件。具体文件内容见链接 http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757020/c7506353/content.html
    依据文件要求,小米应用商店现通知所有开发者对名下应用进行用户个人信息收集及使用情况的合规性自查。自查截止时间为 11 月 9 日零点。
    对于逾期未整改完成的应用,小米应用商店将采取下架或拉黑等处置措施。
    如果有任何问题,可以通过邮箱 [email protected] 或工单系统 https://dev.mi.com/mipush/feedback/app/与我们取得联系。

    小米应用商店
    2019/11/6
    eason1874
        30
    eason1874  
       2019-11-08 21:07:25 +08:00
    @mytuya #24 我这评论本来是想打算发给路人看的,没想到你被找上门了都还不知道。。。

    总之,你 APP 申请了什么权限就必须告知用户你要申请什么权限,并且写明你要这些权限干什么用。如果不懂怎么写就安装大厂 APP 抄一下,现在几乎所有 APP 都加上了。

    喝茶还是小事,你 APP 要是没有提前告知用户就读取了通讯录或者通话记录,分分钟吃牢饭,近几个月查得特别紧,抓好多人了。

    值得注意的是,电脑软件、浏览器扩展、网站也在管制范围,也得这样做。
    HongJay
        31
    HongJay  
       2019-11-08 21:07:36 +08:00
    很气愤。建议反诉腾讯。插眼等结果
    mytuya
        32
    mytuya  
    OP
       2019-11-08 21:08:04 +08:00
    @janus77 谢谢说明
    hhacker
        33
    hhacker  
       2019-11-08 21:08:09 +08:00
    不是很懂 腾讯委托司法鉴定所针对你的 app 侵犯隐私?腾讯为什么要这么做?结果又是腾讯统计的锅吗
    stillyu
        34
    stillyu  
       2019-11-08 21:12:41 +08:00 via iPhone
    今年 8 月份,好像很多 APP 都更新了用户协议,就是打开的时候,要重新同意一下协议,应该就是这个事吧
    ohmyzsh
        35
    ohmyzsh  
       2019-11-08 21:19:56 +08:00
    @hhacker 他开发的 APP 是给微信、QQ 打辅助用的,腾讯当然关心啦
    Nathanzheng
        36
    Nathanzheng  
       2019-11-08 21:20:43 +08:00
    腾讯日常操作了吧。。。下流
    ik
        37
    ik  
       2019-11-08 21:37:18 +08:00 via iPhone
    是因为上架 腾讯的那个什么应用商店了吗?
    CYKun
        38
    CYKun  
       2019-11-08 21:38:50 +08:00 via Android
    我猜是楼主 app 上架了腾讯应用宝,应用宝发现楼主 app 权限问题要求楼主整改无果(可能是楼主没有及时查收信息?),腾讯为了甩锅就举报了楼主?否则实在是无法解释腾讯这波操作
    default7
        39
    default7  
       2019-11-08 22:55:10 +08:00
    @eason1874 网站可以读取通讯录记录?
    eason1874
        40
    eason1874  
       2019-11-09 00:45:42 +08:00
    @default7 #39 网站不能读通讯录,但是也会涉及很多用户隐私信息,比如用户邮箱地址、手机号、IP 地址、位置信息等等。
    expy
        41
    expy  
       2019-11-09 18:12:29 +08:00
    这……要不把保活跟推送也管管。
    HongJay
        42
    HongJay  
       2019-11-09 18:34:45 +08:00
    @expy #41 统一推送联盟了解一下
    xuanbg
        43
    xuanbg  
       2019-11-09 19:24:51 +08:00
    @mytuya 淘宝的隐私政策是合规的,抄就是了
    efaun
        44
    efaun  
       2019-11-10 04:26:48 +08:00
    @zsdroid #12 你告的过 tx ?南山法院他们家的
    GoRoad
        45
    GoRoad  
       2019-11-10 09:13:11 +08:00
    所以楼主开发的 app 叫什么名字
    mytuya
        46
    mytuya  
    OP
       2019-11-11 10:42:38 +08:00
    @CYKun 没有通知,邮件通知短信都没有 应用宝都没有被下架 问过应用宝客服他们表示不知情, 而且自查是 10 号才结束的。JC 通知我的时候是 7 号,直接要求下架 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3165 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:15 · PVG 21:15 · LAX 05:15 · JFK 08:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.