點擊上方“中國信息安全” 可訂閱●中國電子技術標準化研究院 李海東
最近蘋果iOS 14新增的隱私功能中,加入了對App讀取剪切板內容的提示,有人在試用iOS 14發現,、瀏覽器、CNN、 News和星巴克都有讀取用戶的剪貼板的行為,引發了對隱私保護問題的熱議。當然,這并不是iOS系統中才出現的現象,在安卓手機中,有安卓操作系統也支持對App的剪切板使用進行提示和用戶授權,網友也因此發現很多App存在類似的讀取行為。
有網友說,在日常使用手機的過程中,剪貼板難免會存下一些重要的信息,比如快遞的收貨信息、電話、身份證號碼、郵箱、短信驗證碼、照片、視頻,甚至是賬號及密碼信息,如果剪切板被讀取,那豈不是“隱私盡失”,非常危險。到底App讀取剪切板,意味著什么,有什么樣的風險?本文將一一答疑解惑。
01
一、App為什么會讀取剪切板?
眾所周知,“剪切”“復制”“粘貼”等操作是最普通不過的用戶需求,是操作系統誕生以來一直存在的基本功能,而剪切板便是為支持這樣基本功能的一種通行機制。如今,“剪切板”不光可以為用戶省去反復打字等繁瑣的操作,節約時間提高效率,App也在頻繁使用其機制以提升功能機制的智能化,大家熟知的便有一些對分享鏈接、口令碼的自動識別。
如今,出于商業競爭等原因,事實上部分App之間并無法真正意義上支持用戶的跨平臺互操作,因此,剪切板反而成為了跨App操作中承載數據互通的橋梁,用戶將其需要查找、轉載、發布的文字、鏈接、圖片、音視頻剪切、復制后,打開另一個App后即可使用,這種最原始的方式反而最后達成了跨平臺操作的目的。
由此可見,App讀取剪切板,其實很多時候源于用戶的自身需求,但是,剪切板的設計機制,又不排除該機制被“濫用”的可能。
02
二、剪切板基本原理
剪切板實際是IOS系統或者系統中一個對開發者開放的API接口,在系統中以接口的形式展示,在IOS系統中以接口的形式展示。
01
系統
剪切板框架主要涉及到、、.Item、這四個類。如下圖所示。
是系統全局的剪切板對象,通過.獲取。
無法訪問系統剪貼板,即clip對象,在系統剪切板里只存在一個,當另一個clip對象進來時,前一個clip對象會消失。所以剪切板每次只能保存最新的數據。
.Item,即data item,它包含了文本、Uri或者數據,一個clip對象可以包含一個或多個 Item 對象。通過(.Item tem)可以實現往clip對象中添加Item。
,即clip ,它包含了 對象的 信息。具體原理如下圖:
從以上分析可以看出,想要在不告知用戶的前提下獲取系統剪切板內容,只需要監聽并獲取clip對象即可。
02
IOS系統
IOS系統的剪切板分為系統級和應用程序級兩種類型。系統級剪貼板,當應用程序關閉,或者卸載時,數據都不會丟失,使用 和接口方法創建;應用程序級剪切板,可以讓數據在應用程序關閉之后仍然保存在剪貼板中,但是應用程序卸載之后數據就會失去。一般使用來創建,下面以系統級剪切板為例進行介紹。
在IOS前端界面中存在、、三個控件可以復制信息,通過這三個控件復制信息后會觸發剪切板接口,調用鍵值對方法存儲新數據,同時將原始數據刪除。流程如下圖所示。
因此,系統級剪切板為達到跨App交互設計目的,事實上允許其他App通過監聽或調用接口等方式獲取剪切板內容。
03
三、剪切板的使用方式分析
剪切板使用方式可簡單區分為以下兩種:
①本地監測
該方式是指App只在客戶端本地監聽或讀取剪切板中的信息。也就是App為了用戶體驗,需要獲取剪切板內容,但并不上傳服務器,僅本地化使用。當然,本地化使用的方式不僅限于粘貼內容等基本操作,還可能可以通過下發至App客戶端的代碼、知識庫等自動識別剪切板內容,給用戶提供更好的體驗。常見的就有自動識別剪切文本中的電話、郵件地址提示用戶撥打、發送無法訪問系統剪貼板,智能填寫郵寄地址等信息,一些口令碼的識別過程也采用了類似的原理。
可見,上述過程事實上并未造成個人信息的上傳,在讀取剪切板的這個過程中,事實上App不關心用戶是誰,只是單純為了協助用戶提升效率和體驗。
②與后臺服務器互動
但是,在很多場景下,僅靠本地監測方式能實現的功能有限,有些App也可能會采用上傳剪切板內容與后臺服務器互動的方式。如果上傳的內容沒有個人信息,就不涉及到個人信息的收集,如果上傳的內容涉及到個人信息則可能構成了個人信息的收集過程。以某些促銷活動的口令紅包為例,如果說本地完成不了對剪切板中的口令紅包真實性的驗證,而是采用了上傳至云端的方式核驗后再向客戶端App推送真實性驗證結果,同時,剪切板中的口令紅包還包含了可被云端識別出用戶身份的唯一性ID(包括設備唯一ID或App提供的唯一ID),則可能構成了個人信息收集行為。從原理來分析,雖然該情形通過了上傳方式進行驗證,但其實并沒有持續留存上傳信息的必要性,可以說“上傳但不留存”的方式也是一種最小化的體現。
但是,還有一種情況需要嚴格區分,比如剪切板中本來就是可訪問的網絡鏈接,當內容被識別出后,用戶訪問了鏈接導致個人信息被上傳,事實上屬于后續操作,與讀取剪切板這個過程無關。當然,以上情形,是建立在App希望對剪切板功能進行合理使用的前提下,如果App并無明確的業務目的為前提,只是通過“濫用”監聽剪切板方式獲取個人信息,則顯然無合理性可言。
04
四、從個人信息保護角度的分析和建議
基于上一節對剪切板的使用方式的分析,從個人信息保護角度來看:
首先,本地監測使用剪切板的方式,剪切板內容并未做任何形式的上傳,GB/T 35273-2020《個人信息安全規范》對“收集”定義是“獲得個人信息的控制權的行為”,而本地化處理的過程則不構成收集。但是,如果App在本地化處理時伴有一些“小動作”或用戶自行選擇把相關信息進一步處理,比如拷貝后使用在其他目的,轉化為畫像標簽,形成常用聯系人清單等時,則有可能又構成個人信息處理行為。如果構成,則需要在收集使用個人信息的規則中予以明確。
其次,與后臺服務器進行互動的方式,如果涉及到個人信息的收集過程,向用戶告知收集使用規則和征得同意的過程不可避免(比如用戶明確獲知目的后直接進行下一步操作也屬于同意的范疇)。即使使用“僅上傳處理但不留存”的方式,建議還是在相應規則中予以明確,避免用戶產生誤解。而如果App完全拋棄了為用戶提供服務的目的,而是通過“鉆空子”方式,在用戶未使用該App或其在后臺運行中,便監聽剪切板并上傳了包含個人信息的內容,則顯然與設置該功能的初衷背道而馳,屬于典型的違法違規收集使用個人信息行為。
《App違法違規收集使用個人信息行為認定方法》第三條第1點指出,征得用戶同意前就開始收集個人信息,可認定為“未經用戶同意收集使用個人信息”;第四條第1和3點指出,收集的個人信息類型與現有業務功能無關,收集個人信息的頻度等超出業務功能實際需要,可認定為“違反必要原則,收集與其提供的服務無關的個人信息”;GB/T 35273-2020《信息安全技術 個人信息安全規范》標準中指出,不應隱瞞產品或服務所具有的收集個人信息的功能,收集個人信息需滿足最小必要原則,收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯,自動收集個人信息的頻率應是實現產品或服務的業務功能所必須的最低頻率。
05
五、對手機操作系統提供提示功能的思考
剪切板濫用的問題,確實并非現在才出現,只是因為操作系統將App行為透明度的提升,讓其浮現于眾人眼前。對于手機操作系統的更新升級,讓大家對隱私保護更加有了信心,也會對一些存在不規范行為的App產生震懾,這點顯而易見,值得點贊。但是,也伴隨著一些新的問題還有待討論,之前“”已經有所分析,可供參考,在此再結合本案例進行討論。
第一,對于掌握專業知識尚不足的用戶來講,讀取剪切板的提示可能很大程度上會被誤以為個人信息已經被違規收集,造成用戶對App此種行為產生過多疑惑而“因噎廢食”,放棄使用一些便捷化的功能,導致個人信息保護與創新發展平衡的理念未能達成。
第二,個別“別有用心”的人,未做詳細論證和技術驗證,直接將“讀取剪切板”這個表象與違法違規行為劃等號,夸大事實,營造話題,以博得眼球,甚至抨擊對手,恐怕更與操作系統設置透明化的機制和增強隱私保護的初衷背道而馳,會對全社會科學認識個人信息保護問題造成負面影響。因此,對于操作系統設置“剪切板”提醒和用戶授權的功能,有待業界進一步探討、觀察、優化。比如,是否可僅對后臺運行App的讀取剪切板行為進行提醒,如何對該功能的解釋更加詳盡以便用戶充分理解,便于做出選擇等。
結 語
不得不承認,有些時候,便捷和隱私成為系統設計、開發人員始終無法準確把握的命題。而之所以這樣,是因為有人會破壞規則,加劇用戶的不信任感,最終,便捷的空間會被擠壓,隱私也很難讓人寬心。如今,當彈窗越來越多,選擇越來越頻繁時,實際也是在反復拷問我們對于隱私保護的理解和期待。而只有大力擠壓違法違規行為的空間,才能促進增進用戶的信任感,讓便捷和隱私成為雙贏的選擇。