手機 App 資安黑洞！讓蝦皮和 YouTube 讀你的簡訊和通訊錄，你也按下「同意」了嗎？[轉載自科技橘報]

按下「接受」，手電筒 App 就知道你跟誰講電話

例如這兩個 Android 手機的「手電筒」App，下載時，只要你點選「同意」或「接受」，就代表日後它有權讀取你的電話號碼、知悉你何時通電話、通話對方的電話號碼、你的手機國際識別碼 IMEI 和網路連線資訊。

不僅如此，它還能讀取你手機裡的相片影片和檔案，掌握你手機裡還安裝使用哪些 App；甚至，它還可能啟動你手機的鏡頭和麥克風，勘查你手機周遭的活動。仔細一看，左邊那支手電筒還可以追蹤你的 GPS 位置，右邊那支則能讀取你手機的連絡人通訊錄。

只要你的手指點一下「同意」或「接受」，上面提到的所有個資，一瞬間就全部授權給這些 App 了。

雖然業者可能反駁：「你授權給我，並不代表我會亂用，別擔心。」但是，若拿到你鑰匙的陌生人也說：「雖然拿到你家鑰匙和住址，但不代表我會隨便開你家門。」你真的放心嗎？誰知道他會不會開、什麼時候開、可能去你家做什麼？

上述 App 取得同意的方式，並非各國個人資料保護法律所普遍要求的「知情同意」（informed consent），它只是形式上虛晃一招的「無意義同意」。

這些資料個別或結合起來，便足以直接或間接識別出我們個人，因此它們應屬「個人資料保護」相關法律的保護範圍。但業者卻完全未依法說明蒐集個資和隱私資訊的「目的」：

手電筒照亮功能，與我們的電話號碼、通話記錄和對象、手機裡的相片、影片和檔案、GPS 位置⋯⋯等，有什麼關聯？

此外，業者也沒有具體說明，我們手機的個資權限將如何被使用、誰能使用、使用多久、資料可能流向何方等等。

換句話說，我們並不清楚點選「同意」所代表的意義及可能的後果，這並不符合法律上所要求的「知情同意」。（可參考我國《個人資料保護法》第 8 條、歐盟《一般資料保護規範》GDPR 第 7 條）

網購 App 為何需要你的行事曆？八成安卓 App「過度授權」

可能有人會說，「還好，我沒有安裝這些手電筒 app。」別放心得太早，根據學者 Mamdouh Alenezi 於 2017 年在電機電子工程師學會（IEEE）的國際研討會上發表的實證研究，高達八成的 Android 系統手機 App，都過度取得授權，要求消費者同意該 App 運作時根本不必要的權限。

其實，許多常見的手機 App 都有類似的問題。例如底下這個「蝦皮購物」（v.2.22.17）：

請問曾使用「蝦皮購物」的讀者，你真的曾經「知情同意」，蝦皮可以取得你手機門戶的這麼多把鑰匙嗎？當我們下載 App 時，它曾告知我們取得這些權限的「目的」嗎？

請問蝦皮，我只是購物，為什麼你需要追蹤我的 GPS 位置？為什麼需要讀取我的連絡人通訊錄？為什麼可以讀取我的行事曆、知道我的每日行蹤、甚至修改我的行事曆？

為什麼，你需要我手機一開機就自動啟動這個 App，讓你可以利用這些權限？為什麼你需要讀取我的簡訊——請注意：這包括我跟親友間的私人通訊，甚至銀行寄給我的一次性密碼！

不久前曾有媒體報導此事，也採訪了蝦皮。蝦皮的回覆，果然就是我們前面提過的那套說詞：
「我雖然拿到你家鑰匙和住址，但這不代表我會隨便開你家門，別擔心。」

既然如此，那請問你拿我家鑰匙做什麼？真是莫名其妙。

搜集個資愈多愈好？小心違反個資法「最小必要原則」

大數據經濟和巨量資料產業蜂起，業者蒐集消費者個資的誘因愈來愈大；加上未來商機無可限量，資料更是愈多愈好，如用來分析消費者使用習慣、優化個人化廣告投放與行銷，甚至將蒐集到的各種資料待價而沽，將來拿去跟其他業者分享交易；或建立資料庫，等待未來開發新的商業（甚至政治）用途。

問題是，這可能違法。

根據個人資料保護法律，業者蒐集個人資料，必須符合特定目的範圍的最小必要原則（data minimization）。「順便多蒐集一些」「即使與 App 功能目的無關但也先留著備用」的作法，不但是利用消費者對資安和手機權限用語的不熟悉，取得「同意」的方式違反誠實信用與透明性原則；而且，這些個資蒐集權限與 App 功能目的之間，並無合理關聯和必要性，顯然已經涉嫌違法。（可參考我國《個人資料保護法》第 5 條、歐盟《一般資料保護規範》GDPR 第 5 條）

反正家裡沒什麼錢，鑰匙隨便給陌生人也沒關係？

或許也有讀者說，「好加在，我也沒裝蝦皮。」那麼，請問你裝了 YouTube 與 Instagram 嗎？

以下畫面，分別是它們的 12.37.59 版及 17.0.0.15.91 版本，可能從你的手機取得的權限：

請問，我只是要看個影片和分享照片心情，為什麼它們需要讀取我的「簡訊」的權限？

請注意（因為很重要，所以再說一次）：如果它們想要，也可以讀取我們與親友的私人通訊，及銀行寄給我們的一次性密碼！

或許有讀者採取「阿 Q 精神勝利法」自我安慰：「反正我也不是什麼大人物，應該沒什麼人對我的個資有興趣。」

你錯了。業者為了搜集大數據，從中作資料探勘，你的個資（和千千萬萬民眾的個資），業者確實是有興趣的。更何況，請問你會說，「反正我家裡也沒什麼錢，鑰匙隨便給陌生人沒關係」嗎？

Google 不可靠！子公司 YouTube App 也能讀你的簡訊

細心的讀者可能會說：「我手機安裝的最新版蝦皮、YouTube、Instagram⋯⋯等 APP，已經沒有取得『簡訊』的權限了。」

這是因為，歐盟去年實施 GDPR 法律，加上 Google Play 下載平台屢遭抗議，Google 發現問題實在太過嚴重，從 2019 年起禁止浮濫取得「簡訊」及「電話通訊」權限的 App 上架。

事實上，新版蝦皮、YouTube、Instagram⋯⋯等 APP 不敢再要求消費者授與「簡訊」等權限，但 App 依舊運作正常，恰恰就證明了它們之前取得這些權限，根本就違反了「最小必要性」原則。

但是，能依賴 Google Play 等下載平台替我們把關嗎？當然不行。別忘了，上面提到、原本可能查看我們簡訊的 YouTube，就是 Google 的子公司。

左手保護個資、右手促進數據產業，國發會角色衝突

在保護民眾個資及隱私上，法律和公權力必須扮演更積極的角色；歐盟的 GDPR 及其會員國的個資保護專責機構，任務正是如此。

但在我國，個人資料保護的主管機關是「國家發展委員會」，但該機關的主要業務之一卻是「促進產業發展」，包括大數據產業、法規鬆綁和資料開放。這與民眾與消費者的個人資料保護任務，明顯有角色上的衝突；而且在該機關，只有一間小小的專案辦公室負責個資保護業務。

另一方面，手機內建 App 是歸國家通訊傳播委員會（NCC）管；商業性 App 則交給經濟部工業局。他們對業者均採「自願送檢才做資安／個資保護檢測」的管理方式；由於絕大多數業者根本不會自願送檢，民眾只能自求多福。

讀者若想知道自己是否曾經在「不知情同意」下，授與業者很多進入你手機門戶的權限，Android 6.0 以上的手機請到【設定】→【應用程式】→【某 APP】→【權限】→【右上角三個點】→【所有權限】查詢，每一個個別權限還可以再點下去看細節。

例如在「日曆」權限，Android 會告訴你：蝦皮可以新增、移除、變更你行事曆上的活動；這可能使它能偽裝成日曆擁有者傳送訊息，或私自修改活動。

現階段，民眾必須以上述方式，一一自行檢查、關閉有疑慮的 App 權限。但你可能接著發現：許多 App 即使已關閉多數權限，我們需要使用的功能卻絲毫無損。業者過去要求我們授與這麼多權限，只是讓我們不明就裡地做了許久的個資冤大頭，令人氣結。