香港股市 已收市

【沒有免費午餐】研究發現 新興市場平價手機預裝收集數據程式

緬甸仰光Kaba Aye Pagoda的一位婦女正在檢查她的手機。 圖片來源:ANN WANG/REUTERS

在私隱保護較弱的發展中國家,對於購買平價智能手機的大量消費者來說,使用手機上網的便利性可能附帶一個隱藏的代價:手機上的預裝應用程式在人們不知情的情況下收集數據。

在中國生產、在緬甸和柬埔寨賣出的數以千計的Singtech P10手機就預裝了這樣一款應用程式,該應用程式會把手機用戶的位置和設備資訊發送給台灣一間名為通用移動科技(General Mobile Corp., 簡稱GMobi)的移動廣告公司。安全研究人員表示,該應用程式還出現於在巴西銷售的智能手機上,以及那些由中國和印度廠商生產的智能手機上。

總部位於台北的GMobi表示,該公司利用這類數據在智能手機上投放針對性廣告。該公司有時還與智能手機廠商共享數據,幫助後者更好地了解客戶。GMobi在上海設有一間子公司。

GMobi行政總裁Paul Wu表示,智能手機廠商可獲得一個額外好處:在手機上預裝GMobi的應用程式後,手機廠商可以向設備發送「韌體」更新,GMobi不向手機廠商收取費用。對於正在新興市場推廣低價手機的智能手機廠商來說,這是一個重要考量因素。GMobi的一名發言人透露,如果終端用戶希望享受免費互聯網服務,他們需要為更好地投放定向廣告作點犧牲。

在保護私隱與分享用戶數據之間如何取捨在西方引發了一場論戰。用戶數據推動了很多互聯網服務業務的發展。Facebook Inc.(FB)因未採取足夠措施保護用戶數據而受到猛烈抨擊。加州的新法律賦予該州居民禁止其個人數據被出售的權利,歐盟的通用數據保護條例(General Data Protection Regulation,簡稱GDPR)則提供了嚴格程度位居世界前列的數據隱私保護措施。不過,在新興經濟體中,幾乎沒有針對隱私的保護措施,很多渴望上網的人可能沒有意識到他們使用的設備正在將大量個人數據傳輸出去,而這經常是通過模糊的合作關係進行的。

緬甸曼德勒的一位銷售員Thi Thi Moe表示,在《華爾街日報》(The Wall Street Journal)告知她GMobi正從她的Singtech P10手機中收集數據之前,她對此毫不知情。Thi Thi Moe表示,她對近幾個月自己手機屏幕上經常出現移動遊戲廣告很是惱火。現年28歲的Thi Thi Moe說:「我不希望我的手機上出現此類應用程式。我不熟悉這項技術,但它似乎不該竊取我的個人資訊。」她去年以77美元的價格購買了自己的手機。

GMobi是數間利用低成本智能手機和監管不力的缺口竊取大量用戶數據的公司之一。上海廣升資訊技術股份有限公司(Shanghai Adups Technology)和印度數碼廣告公司MoMagic與智能手機製造商合作,提供類似的韌體升級服務。

現在華盛頓特區擔任獨立顧問的Marc Groman表示,這些企業正從發展中經濟體及買不起更好設備的個人身上挖掘市場,並且明顯在對其進行追蹤。Groman在去年之前一直還在白宮管理及預算辦公室(OMB)擔任高級私隱顧問。Groman基於GMobi對自身行為的描述和研究人員的發現指出,這些行為在歐盟和美國是不合法的。

總部位於倫敦的移動商務和安全公司Upstream Systems發現了GMobi應用程式的活動,並與《華爾街日報》獨家分享了這一資訊。Upstream表示,該公司購買了四台新設備,一旦激活,這些設備就開始透過韌體更新應用程式向GMobi發送數據,其中包括15位國際移動設備識別碼(International Mobile Equipment Identification, 簡稱IMEI)以及分配給每部聯網硬件的名為MAC地址的獨特代碼。據Upstream透露,這些應用程式還會向位於新加坡的GMobi服務器發送一些位置數據。

Upstream還透露,該公司在近幾個月阻止了GMobi應用程式企圖為用戶注冊手遊等付費服務的可疑活動。Upstream表示,如果該應用程式的企圖得逞,那麼八個國家的用戶將面臨總計超過700萬美元的賬單。GMobi的Wu表示,該公司不對源自於其應用程式的任何惡意活動負責。

佔據世界領先位置的科技巨頭們正在紛紛押注印度這個擁有13億人口的新興市場國家,儘管在這裏挑戰與機遇並存。 圖片來源:RUPAK DE CHOWDHURI/REUTERS

許多熱門智能手機應用程式都會收集用戶數據,如聯繫人資訊,甚至地理位置,但用戶通常會在主動同意這些數據被收集的前提下安裝這類應用程式,亦可以隨時卸載這些程式。然而,GMobi的軟件出廠時就預先安裝在新的智能手機上,只能透過複雜的專業技術步驟才能卸載。GMobi向100多個智能手機生產商提供韌體升級等服務,這些廠商生產的不同型號的手機約2,000款,在全球擁有逾1.5億用戶。

該公司以協議內容保密為由,未透露目前有哪些智能手機廠商正與其合作。華為技術有限公司(Huawei Technologies Co.)、小米(Xiaomi Corp.)和總部位於邁阿密的BLU Products等數十間設備生產商都出現在GMobi網站列出的公司名單中。華為發言人表示,該公司從未與GMobi合作過,小米發言人表示該公司未與GMobi合作,而且亦沒有過合作經歷。BLU發言人透露,該公司幾年前與GMobi進行過「探索性磋商」,但未與後者合作。小米已進行了今年以來最大規模IPO之一,即將於7月9日在香港上市。

不過,以美國和拉美為目標市場的BLU曾於2016年被發現在美國市場銷售的智能手機上使用了GMobi競爭對手上海廣升的韌體服務。安全公司Kryptowire當時報告指出,這些設備將用戶的詳細資訊發送至中國。BLU表示這是失誤之舉。BLU的這位發言人表示,該公司不再與廣升合作。總部位於上海的廣升未回應有關其合作公司的查詢。

總部位於新加坡的Singtech公司產品總監Andy Ng表示,他的公司已在去年停止使用GMobi的服務,但他表示,該公司約100萬部安裝有該應用的設備可能仍在緬甸和柬埔寨的市場上銷售。他表示,如果Singtech知道用戶數據被收集,他是不會跟GMobi合作的。他說:「這是惡意軟件。」

但深圳市圖高智能有限公司(Shenzhen Hotwav Science and Technology Co., Ltd.)表示,所有應用程式都是應智能手機生產商的要求安裝的。該公司總部位於中國,為Singtech生產設備。GMobi的應用被幾家網上殺毒掃描服務公司稱為惡意軟件。惡意軟件是一個術語,指的是偷偷收集用戶數據的軟件,但往往也指只令人討厭的軟件。GMobi行政總裁Wu表示,該應用程式並不算是惡意軟件。

GMobi表示,用戶在首次激活手機時被要求透過點擊一項終端用戶許可協議來表示對數據收集行為的認可。不過,Upstream發現,在有些情況下,數據未經用戶同意就被傳輸至了GMobi在新加坡的伺服器上。Wu表示,多數情況下,透過該應用程式進行的手機軟件升級都需要用戶接受協議才能進行,但他也透露,如果設備無法運行,用戶不能點擊協議,該軟件亦能夠正常工作。他表示,GMobi沒有違反數據收集法律。

印度數碼廣告公司MoMagic提供一種與GMobi的服務類似的韌體更新服務。MoMagic表示該公司的手機合作夥伴包括小米(Xiaomi)、Micromax、Intex、日本的松下電器產業公司(Panasonic Co., 6752.TO)和索尼公司(Sony co., J.SNY, 又名:新力公司)等。小米的一名發言人指出該公司現在已經不與MoMagic合作。Micromax則不予置評。

Intex一名發言人說,MoMagic向該公司提供了韌體升級服務,但沒有為廣告目的收集用戶詳細資訊。索尼和松下沒有就與MoMagic合作的問題作出回應。MoMagic行政總裁Arun Gupta未有說明該公司向具體製造商提供了何種服務,但表示他的公司的業務主要集中在印度和孟加拉國。

他在提到私人數據收集監管規定時說:「我們都知道,目前印度和孟加拉的此類法律很薄弱。我們不管收集什麼,都是遵守當地法律的。」

撰文:Newley Purnell

(本文版權歸道瓊斯公司所有,未經許可不得翻譯或轉載。)

更多精彩文章:

中美貿易戰打響第一槍

中國央行馬駿:500億美元貿易戰的影響已被基本消化

華為力求保住在美國市場的最後一個立足點

瑞信因在亞洲聘用中國「太子黨」被罰7,700萬美元

默克爾支持取消汽車進口關稅以緩解貿易僵局