騰訊致歉PC版QQ讀取瀏覽記錄:只爲判斷是否惡意登錄 數據不儲存
原標題:騰訊致歉PC版QQ讀取瀏覽記錄:只爲判斷是否惡意登錄,數據不上傳不儲存
作者:張雅婷,實習生閆智婷
“正強化用戶數據訪問規範。”
近日,有技術員發帖表示,QQ 正在嘗試讀取用戶的瀏覽記錄,引發廣泛關注。
此後,陸續有程序員進行驗證,發現QQ讀取瀏覽器歷史的行爲包括:讀取瀏覽器瀏覽歷史,對讀取到的url進行md5,並在本地進行比較,在md5匹配的情況下,上傳相應分組ID。
“我們深表歉意,內部正梳理歷史問題並強化用戶數據訪問規範。”1月18日上午,騰訊回應稱,PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風險的情況,讀取的數據用於在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關數據不會上傳至雲端,不會儲存。
目前,騰訊表示,已更換了檢測惡意和異常請求的技術邏輯去解決問題,併發布全新的PC QQ版本。
有關專家表示,如果騰訊所述屬實,只是軟件本身讀取相關數據,不上傳雲端也不儲存,不構成侵犯個人隱私。侵權關鍵在於是否存在“上傳騰訊服務器”行爲,而並不是在於本地抓取與否。
“QQ 正在嘗試讀取你的瀏覽記錄”
一位名爲mengyx的技術員在V2EX社區上發表了一篇名爲《QQ 正在嘗試讀取你的瀏覽記錄》的帖子。
圖爲網友mengyx發帖內容
mengyx表示,在使用QQ的過程中,爲了防止一些“流氓行爲”,特地去 MS Store 裏面安裝了 QQ 桌面版。由於其使用了火絨的自定義攔截功能,設置了一些重要或敏感數據目錄的保護。最後,mengyx得出結論,QQ正在嘗試讀取Chrome中的瀏覽記錄。
該帖發出後,引起衆多程序員的關注。網友qwqdanchun對此進行驗證,發現該讀取行爲並非只針對Chrome,而是會試圖讀取電腦裏所有谷歌系瀏覽器的歷史記錄並提取鏈接,確認會中招的瀏覽器包括但不限於Chrome、Chromium、360極速、360安全、獵豹、2345等瀏覽器。同時,該網友發現,騰訊旗下的另一款辦公軟件TIM也存在讀取瀏覽器歷史的行爲。
圖爲網友qwqdanchun發帖內容
此後,陸續有程序員對此問題進行了驗證。18日上午,mengyx總結稱, 涉及讀取瀏覽器歷史的軟件涉及QQ Windows 9.0.4之後的版本和TIM Windows 3.1.0)之後的版本,具體的行爲包括:登錄10分鐘之後,讀取瀏覽器瀏覽歷史,對讀取到的url進行md5,並在本地進行比較,在md5匹配的情況下,上傳相應分組ID(主要爲電商、股票等關鍵詞)。
與此同時,也有人表示,QQ後臺讀取歷史記錄,或許並不是侵害用戶隱私。操作系統程序員Anhkgg在技術對比後認爲,讀取歷史記錄和刪除臨時文件中間並沒有什麼上傳服務器之類的操作,所有都是本地完成的,不能對QQ的行爲下結論,不能因爲臨時讀取和計算了一下url,就判定騰訊是對用戶隱私的侵害。
不過,Anhkgg也認同在這件事情中,QQ並不完全是無辜者,讀取用戶瀏覽器歷史記錄是一個非常敏感的行爲,應該必須讓用戶清楚得知道,你並沒有用此信息做什麼傷害用戶利益的事情。
針對Anhkgg的看法,qwqdanchun向21世紀經濟報道記者表示,自己的驗證只進行到了md5的對比,後面部分沒有進行逆向,因此不發表進一步的意見。如果時間允許,他將進行逆向後再發表評論。
騰訊:爲判斷是否惡意登錄
18日上午,已認證爲“騰訊QQ”的知乎賬號對此作出回應稱,PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風險的情況,讀取的數據用於在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關數據不會上傳至雲端,不會儲存,也不會用於任何其他用途。
具體情況爲,該操作爲歷史上線的一個對抗惡意登錄的技術解決方案:因系統識別有不少僞造的QQ客戶端會惡意訪問多個網站作爲前期輔助工作,因此在PC QQ客戶端中加入了檢測惡意和異常的訪問邏輯,以此作爲輔助手段去判斷惡意客戶端。
“對本次事件,我們深表歉意,內部正梳理歷史問題並強化用戶數據訪問規範。”騰訊稱,目前,已經更換了檢測惡意和異常請求的技術邏輯去解決上述安全風險問題,併發布全新的PC QQ版本。爲減少不便,所有受影響的PC QQ歷史版本將自1月18日開始進行熱更新和推送升級包。同時,手機端QQ不存在上述操作,不受影響。
21世紀經濟報道記者查閱《騰訊服務協議》《隱私政策》和《QQ隱私保護指引》等文件,並未發現有關讀取瀏覽器歷史記錄的介紹。
“騰訊用這種辦法檢測惡意登錄也是說得過去的。不過無論如何,讀取瀏覽記錄的行爲還是不恰當的,希望騰訊能儘快找出更好的辦法解決惡意登錄這個問題。”對於騰訊方面的澄清,qwqdanchun如此回應。
據mengyx最新更帖,17日晚間發佈的QQ 9.4.2和TIM 3.3.0均移除了相應代碼,暫停了讀取瀏覽器歷史的行爲。
是否上傳數據成侵權關鍵
企業讀取瀏覽器的行爲是否侵犯用戶隱私?
“任何公司在未告知用戶的情況下,讀取其瀏覽器歷史記錄的行爲都是對用戶隱私的侵犯。”清律律師事務所首席合夥人熊定中向21世紀經濟報道記者表示,瀏覽器歷史記錄既記載了個人隱私,又是敏感個人信息,是受到法律保護的。
具體到此次事件,熊定中認爲,如果騰訊所述屬實,只是軟件本身讀取相關數據,不上傳雲端也不儲存,與騰訊相關係統無接觸,則不構成侵犯個人隱私,因爲軟件安裝在用戶個人電腦上,如果處理均在本地完成,那實際上不是“騰訊讀取瀏覽器歷史記錄”,而是“用戶安裝的一款軟件本地讀取其他瀏覽器歷史記錄”。因此,不構成騰訊的不正當行爲。
“但據目前網友的描述,該款瀏覽器有一個‘在md5匹配的情況下,上傳相應分組ID’的行爲。如果描述屬實,這意味着,並不是‘本地處理’而是‘上傳騰訊服務器’,這個上傳的數據將被騰訊所掌握和控制,不管最終騰訊是否儲存,這個行爲在沒有獲得用戶知情同意的情況下都是涉嫌侵權的。”熊定中表述,問題的核心在於,是否存在“上傳騰訊服務器”行爲,而並不是在於本地抓取與否。
同時,熊定中提醒,隱私權和個人信息權益都是民法典人格權編規定的公民權利(權益),這屬於絕對權,即只要未經用戶同意,則破壞了用戶對自己人格權益的控制,可以根據民法典向法院主張自己的權益。對於大規模侵犯公民個人權益的行爲,用戶也可以向相關監管機構例如網信辦或者市場監督管理局舉報,或者申請檢察院、消協發起公益訴訟的方式維權。
