我写了个小而美的 APP,却被喝茶下架,告知侵犯用户隐私,全都因为接入了这款统计 SDK

2019-11-08 19:57:08 +08:00
 mytuya

忽然接到一个电话,说让我下午去派出所和警察聊聊 APP 的事情,吓了一跳?

由于我不在本地,只能和和 JC 叔叔电话聊,这里要表扬下 JC,全程都很 nice,好几次都是他主动打电话给我询问。

JC 和我说腾讯委托某证计算机司法鉴定所,鉴定本人开发的一款 APP 有侵犯个人隐私。 在调用获取详细位置信息的时候没有询问用户。我立即看了下这款 APP,名字叫做微隐私。 打开项目后发现权限列表里并没有位置权限。

那为什么会被鉴定收集用户隐私? 是不是上传应用市场的包被换了。 于是,从应用宝下载了这个 APP。反编译。 点开 AndroidManifest.xml 。 震惊了,多了三个权限,获取精准位置的权限果然在权限列表里。

哪来的?

我一个个查找自己的引用,最后锁定了,腾讯统计

为了怕冤枉好人,特地建了个全新的项目, 重新引入,打包,反编译。 果然 还是有权限

我震惊,感情是收集用户精准位置的是腾讯自己。但是本人并不急得当时有介绍说这个权限是必须的。

再去官网看看是不是有介绍会有引入这个权限,很遗憾官网的自动接入说明中并没有说明,腾讯会自动加上这个权限。

手动说明中,甚至连位置权限都不用!

这个权限并没有必要,为什么腾讯统计要收集, 为什么不直接在文档中告诉用户,会引入什么权限?

找到罪魁祸首,想想即使声明了权限,也不代表使用了,好比你声明了自己买了把刀,但是也不会拿刀砍人。

安卓 4.4 版本以上使用位置权限,一定得弹窗提示用户,在用户允许后才能使用, 哪里存在非法收集用户信息的情况。

于是本人打电话给某证计算机司法鉴定所询问流程,哪里接电话的小姐姐义正言辞的批评了我(口气略凶),告诉我,我不是委托人,没有资格知道他们的流程。

这个事情的第二个槽点: 这家所谓的计算机鉴定所我并不知道, 他们可能很高明 = = 没有权限弹窗,说明并没有使用, 并不能说明是在没有通知用户的情况下直接获取了用户的精准位置信息。 大概这家鉴定所有什么高科技能鉴定出腾讯统计有能在用户无感知的情况下获取位置信息。Orz

最后,请腾讯统计在自动集成的部分去掉精准位置权限,并且证明我的清白。然后 麻烦请个专业的鉴定所。 毕竟,你们的轻飘飘的一个鉴定,会毁掉一个 APP, 也有可能毁掉一个开发人员或者一个公司。

6168 次点击
所在节点    程序员
46 条回复
mytuya
2019-11-08 19:57:40 +08:00
欢迎各位大佬转发。
xieren58
2019-11-08 19:59:46 +08:00
出海是唯一的出路
mytuya
2019-11-08 20:02:49 +08:00
PS: 本人在接到电话后第一时间就在各大应用市场下架了该 APP,并且朋友还去派出所录了口供,接受了口头警告。部分市场是用朋友的公司资格上传的(国内个人开发者生存恶劣)
secretman
2019-11-08 20:04:33 +08:00
主题应该是工单系统,然后标题带 tx 就好了
mytuya
2019-11-08 20:17:41 +08:00
@secretman 谢谢说明
mytuya
2019-11-08 20:18:36 +08:00
@xieren58 初心是感兴趣做的,并没有想到 会涉及到收集隐私这种屁事。
Pastsong
2019-11-08 20:24:26 +08:00
只要用 Access Fine Location 权限就会被喝茶?为什么啊?
phpc
2019-11-08 20:25:01 +08:00
安装了一下,挺好用,谢谢了
iPhoneXI
2019-11-08 20:29:39 +08:00
国内应用市场都是垃圾,没有例外
mytuya
2019-11-08 20:31:02 +08:00
@Pastsong JC 说如果使用权限,没有弹窗会被喝茶。 现在的安卓手机要使用这个权限必须的经过用户允许。 不允许不行的。 不知道这个广东的这个司法鉴定所如何鉴定的。。。我也想知道到底是什么高科技
mepine
2019-11-08 20:31:16 +08:00
所以简略说是:腾讯怀疑你的 App 侵犯用户隐私,最后查出来是腾讯自己的 SDK 在侵犯用户隐私?
那现在告诉 JC 叔叔和这个第三方了吗?
zsdroid
2019-11-08 20:31:16 +08:00
你如果有钱有时间就反告他们啊
zsdroid
2019-11-08 20:32:54 +08:00
> 我不是委托人,没有资格知道他们的流程。

那你当一回委托人不就好了,前提还是有钱有时间
mytuya
2019-11-08 20:33:28 +08:00
@mepine 告诉了 JC 叔叔没有用啊, 毕竟他们是经过鉴定所鉴定的。JC 叔叔以他们为主。
mytuya
2019-11-08 20:34:06 +08:00
@zsdroid 前提就是要有钱有闲 。
TimePPT
2019-11-08 20:35:55 +08:00
先不说腾讯 SDK 的事哈

给你讲,在当前,系统级的权限索取弹窗并不能替代个人隐私数据获取声明。
相关条款可以自己去查。

顺手甩个公安部的公告学习下:
「一、App 运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导 App 运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。」
http://www.mps.gov.cn/n6557558/c6382210/content.html

今年全年,多少家公司的 App 都在这块翻船了,而且我知道的有几家也根本没想收集啥啥权限,就是少个告知就被下架整治了
mytuya
2019-11-08 20:38:53 +08:00
@TimePPT 请问有合规范例吗? 发一个学习下
heihav2
2019-11-08 20:39:19 +08:00
为啥要引入 tx 统计啊?
mepine
2019-11-08 20:40:06 +08:00
@mytuya 咨询 JC 叔叔,如果想举报腾讯低成本的方式可以怎么做。然后给腾讯发邮件,让他们撤销鉴定并赔偿,给他们时间节点,不照办就举报他们,反正 SDK 已经在手里。
mytuya
2019-11-08 20:43:35 +08:00
@mepine 好哒,谢谢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/617740

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX