得物App深陷“删照门”，个人信息安全仍被忽视

文/陈妍

编辑/大风

如果自己的手机，能够不经主人允许、擅自删除里面的内容，是不是感到细思极恐？

近日，网友Damon曝光称，他双十一期间在得物上买的东西出现问题，便拍摄视频上传视频到得物平台反馈，不久，他的华为手机收到提醒：检测到“得物”删除了视频，已成功拦截。

得物对此回应，完全没有任何动力去做删除用户相册，也没有相应技术能力进行批量识别，甚至定向删除。得物还表示，当App对产生的缓存文件进行管理操作时，手机系统有可能将其判定为异常行为，并出现类似的误报。言下之意是，这锅得手机厂商来背。

随后，网友Damon再次正面“刚”得物，他提供了视频的删除路径，且对应的视频也已经被删除至“最近删除”文件夹，证明得物涉嫌擅自调用手机权限。得物则再度发文自证，并上传清理缓存文件的流程图。

简而言之，消费者方咬定得物存在越界调取手机权限的行为，而得物强调流程上并无任何违规之处。

一石激起千层浪，互联网上就此展开激烈讨论。毕竟，得物App涉嫌违规删除用户视频的背后，是长久以来，网友对个人隐私是否被侵犯、个人网络数据是否安全的担忧。市面上的App纷繁复杂，而大部分用户并不清楚这些App掌握了多少权限。就像面前摆着一面单面镜，用户只能看到自己，而后面的App正凝视用户的全部。

得物的“删照门”事件并非孤例，此前拼多多、豆瓣等App都经历过类似的质疑。前不久工信部通报了38款App侵害用户权益，其中包括违规推送弹窗信息、APP过度索取权限等问题。

互联网个人信息安全问题，正刺痛每个人的神经。

用户权限的技术疑云

在得物的回应中，有两个关键词，一是手机系统“误报”，二是删除的是“缓存”。但这种解释合理吗？

不少IT从业者分析道，手机系统误报的可能性不太大。一般来说，缓存文件的目录和视频文件的目录是不一样的。APP申请权限创建的缓存文件目录和用户本地视频目录，并不是同一个系统记录地址。而系统识别App操作时，是根据App上报的信息进行的，这也印证了，APP删除的视频确实来自用户本地视频目录，而不是缓存目录。

不过得物“删除缓存”的解释，在逻辑上也有其合理性。缓存属于APP自己创建的临时文件，的确需要定期删除，否则一堆临时文件只会挤占手机本就不大的存储空间。比较迷惑的点是，得物明明可以设计专门的缓存文件夹，但却选择了原地创建缓存，这就容易落人口实。

得物App删除用户视频一事已成事实，区别在于，如果得物删除的是原视频，情况就比较严重，属于恶意删除用户资料；如果删除的是创建的缓存，那只能说明得物设置存储区域不够规范。除非看到源代码，否则删的不管是视频还是缓存，现象上是一样的。这件事很大程度上变成“罗生门”，真相是什么，每个人都有自己的判断。

从技术层面来说，如果用户同意APP获得手机系统相应的存储和相册权限，是可以远程实现删除相册内容的。据锌财经观察，得物在某款安卓手机的权限一栏，可以获取到麦克风、相机、通讯录、短信、存储空间、日历、健身运动等手机权限，包含了大部分基础权限；iOS系统相对封闭，但也会涉及照片、相机、通知、允许跟踪等重要权限。

安卓手机得物权限

一个悖论是，如果得物用户想要上传视频或者照片，就必须授予得物访问照片的权限，否则就无法正常使用该功能。根据得物的《隐私权政策》第二条，用户在使用其产品或服务时，须授权得物收集、使用必要的信息。如果拒绝提供相应信息，将无法正常使用产品或服务。

得物的《隐私权政策》

但App会怎么使用个人信息，用户又是否知道自己授权，这当中存在很大的灰色地带。

无意中被让渡的权利

得物删除用户视频一事只是导火索，点燃的是广大网友对个人隐私信息安全的担忧。各种App通过大数据计算给用户带来便利的同时，所有用户都有了在互联网上“裸奔”的风险。

最大的问题是，目前APP权限授予管理混乱，一般人常常分不清是否被违规获取了数据。

一般来说，手机用户在下载某个App后首次打开软件时，App会显示“个人信息保护提示”，其中包含《用户协议》和《隐私政策》两部分内容，这些协议动辄上万甚至数万字，长度堪比一篇论文。以豆瓣为例，《豆瓣个人信息保护政策》全文超过14000字，按照普通人每分钟300-500字的阅读速度，看完全篇需要约30-50分钟。

首次打开豆瓣显示页面

假设真的有用户耐心读完了上述内容，就会发现，政策、协议还会“套娃”。比如《豆瓣个人信息保护政策》里还包含《个人信息收集清单》《设备权限说明》《第三方合作清单》等更多需要阅读的内容。

因此，“我已阅读并遵守用户协议和隐私政策”恐怕是用户们说过最多的谎。根据武汉大学网络治理研究院副院长袁康所在的联合调研组去年的一项调查，77.8%的用户在安装App时“很少或从未”阅读过隐私协议，69.69%的用户会忽略App隐私协议的更新提示。

其实不能怪用户，市面上的《用户协议》和《隐私协议》写满了大量冗杂的信息，大概连专业人士都觉得头疼。“少有人读”的协议起不到保障用户知情权的初衷，还在不知不觉中，把用户带到“坑”里。

比如部分APP出于某种目的，会过度索取授权服务，如果用户不授权同意，某一类服务就没办法实现。但这些APP向用户索取的权限与它们提供的服务可能没有任何关联，事实上并不合规。

而用户在点下“同意”的那一刻起，就必然陷入风险中，自身权利也被迫让渡了。

太阳底下无新鲜事

毋庸置疑，许多APP与用户之间的权利是不对等的，这也导致APP们频频做出奇葩操作。

去年，有网友爆料称，拼多多将其手机相册里的照片删除，被手机系统检测到。该网友称其参加了拼多多的邀请返现活动，保存了相关的截图证据，但拼多多疑似将相册里的照片删除。对此，拼多多表示，可能是清除App缓存造成的，建议该网友超前看，并提出30元无门槛代金券的经济补偿措施。

同年10月，类似的事情又发生在豆瓣身上。有用户反映，自己发在豆瓣评论区的照片被无故删除，随后手机系统又检测到豆瓣删除了相册内的照片。

豆瓣将原因归结为网络环境较差，误将用户上传的图片当成缓存文件删除，并表示，豆瓣将在下个版本中修复。豆瓣还强调，在未获用户授予存储权限的情况下，豆瓣任何场景下不会读取用户设备上的文件，且从技术层面上来说也无法实现。

但根据豆瓣个人信息保护政策，基于存储/照片权限的附加功能的相关条例中提到，用户在使用豆瓣的扫一扫、更改图像、拍摄照片或视频功能时，需开启此权限。若不开启，则无法使用相关功能。这次事件中，豆瓣很有可能利用该权限完成删除手机中图片的操作。

几天后，更大的“雷神之锤”来了。工信部通报2021年第11批存在问题的应用软件名单，共有38款App被发现存在问题，豆瓣App赫然在列，原因为“超范围收集个人信息”。

各类App过度索取用户权限，其主要目的可能还是“获客引流”，实现商业价值的更大化，但个人信息泄露的风险却远不止于此。一部分App违规收集来的用户个人信息可能被用于实施电信诈骗上，从而对整个社会造成冲击。

对于任何App而言，用户授予的权限还是该回归服务本身，而不能变成技术、算法，甚至犯罪野蛮生长的温床。