扫码打开虎嗅APP
本文来自微信公众号:IT时报(ID:vittimes),作者:孙妍,编辑:挨踢妹,原文标题为《OPPO、vivo手机频现垃圾短信新变种,京东、哈啰、唯品会被“耍”后愤然起诉》
如果你是OPPO、vivo手机用户,有没有遇到过这样的场景:一些官方验证短信像微信公众号一样,可以通过底部菜单直接打开某个网站,或者收到广告?
最近,哈啰出行一纸诉状把北京一家智能通信服务公司——泰迪熊移动科技有限公司(简称泰迪熊移动)告上法庭,起诉书认为,该公司在哈啰单车的验证码短信页面中擅自加挂小广告。
除了哈啰出行,京东、唯品会也以不正当竞争为由状告泰迪熊移动,目前三起案件法院均已受理。这三个案子被定义为全国首次利用技术手段在短信内贴小广告的不正当竞争案件。
然而,《IT时报》记者发现,被泰迪熊移动在官方短信里“搭便车”发广告的品牌远不止这三家,通过与手机厂商合作,在手机底层植入智能短信和智能识别陌生号码等服务,泰迪熊移动一方面“劫持”了大公司的短信流量,另一方面涉嫌“过度”收集个人信息。
泰迪熊移动官网显示,目前与OPPO、vivo、魅族、小米、金立、联想、乐视、酷派、阿里YunOS等大部分国内知名品牌都有深度合作。
近年来,就垃圾短信整治问题,工信部已经三令五申,三大基础运营商和虚拟运营商多次被约谈,集中整治垃圾短信。利用伪基站、群发端口发送垃圾短信屡见不鲜,但如今,官方短信、验证码短信、银行交易提醒短信等都能被植入网贷广告,而且这种“智能垃圾短信”更具隐蔽性。
官方验证短信被“贴”上网贷广告
据《IT时报》记者了解,京东、哈啰出行、唯品会三家被“劫持”的方式是相似的。
泰迪熊移动通过与众多手机厂商合作,将短信应用改造成微信公众号的形式。比如,点开一条哈啰出行的验证码短信,在页面底部能看到了解哈罗、天气预报、查看应用三个菜单,当用户点击“了解哈罗”菜单时,会跳转到一个广告页面,此页面的域名指向bc.teddymobile.cn,即泰迪熊移动的官网地址。页面最上方显示的是哈罗单车的百度百科,接着便出现大量广告,绝大多数为小额贷款或互联网金融广告,如360借条、助贷网、借钱快手等,点击这些广告会跳转到广告业务提供者页面。
对于泰迪熊移动的行为,哈啰出行在起诉书里提出两点:一是泰迪熊移动在没有告知的情况下,擅自利用哈啰出行花费巨大成本建立的2亿用户池,“搭便车”牟取非法利益;二是在“了解哈罗”的菜单突出显示“哈罗单车”的品牌,易引人误认该广告页面是哈啰出行所提供。以上两点都违反了《反不正当竞争法》。
京东起诉书中描述的场景与哈啰出行如出一辙,同样是从京东官方短信入口跳转到泰迪熊移动的网站上,并插入其他网站的“贷款”广告。
吊诡的是,京东是泰迪熊移动的合作商家,后者还在其官网展示了与京东合作巧推智能短信、短信公众号的案例。但仔细分辨可知,泰迪熊移动与京东官方合作的短信下方菜单栏是“京东商城”“京东客户”“打开应用”,与起诉书中提到的并不相同。
在一部OPPO手机的短信箱里,《IT时报》记者发现,百度、东方航空等公司的官方验证码短信都被贴上了“小广告”。比如,在百度验证码短信页面,点击底部菜单栏“了解更多”,跳转至泰迪熊移动域名(teddymobile.cn)的网页,该网页在上方显示百度的简单介绍,下面则插入了点点贷款、熊猫贷款等小贷公司的广告。百度内部人士表示,对此事并不知情。
在一部vivo手机的短信箱里,《IT时报》也发现,中国建设银行、上海农商银行、中国邮政等公司的官方验证码短信都被贴上了“小广告”。比如在中国建设银行的交易信息短信页面,点击底部菜单栏“更多精彩”,跳转至泰迪熊移动域名(teddymobile.cn)的网页,该网页在上方显示中国建设银行的百度百科,下面则插入了点点贷款、借钱快手、秒速贷等小贷公司的广告。
vivo手机上建设银行、中国邮政等官方短信被加挂小广告
官网显示,泰迪熊移动通过与OPPO、vivo、小米、魅族、金立、联想、乐视、酷派、阿里YunOS等手机厂商或系统厂商合作,提供智能短信、智能陌生电话识别、智能助理或智能通信营销效果平台等服务。
另据公开报道,泰迪熊移动的产品以APK形式直接集成到厂商的ROM,所以在合作之后所有机型都会全部覆盖,旧机型也会在后续系统更新里陆续覆盖。泰迪熊移动CTO欧文盛曾表示,合作后不到两年,就可以覆盖厂商的所有机型。
除了OPPO、vivo等,其他与泰迪熊移动合作的手机厂商是否存在相似情况,《IT时报》将继续跟踪报道。
海量用户短信可能被“劫持”
官网显示,泰迪熊移动活跃用户过6亿,日活用户过3亿,每天解析近15亿条短信,日均用户标记量120万,日均电话号请求35亿。
据了解,泰迪熊移动的广告模式以直销为主,还有部分广告来自DSP广告平台。天眼查数据也显示,北京泰迪熊移动科技有限公司的经营范围里包含了设计、制作、代理、发布广告。
泰迪熊移动与手机厂商如何合作?欧文盛曾在接受其他媒体采访时表示,主要产品是免费向手机厂商提供的,但对广告主按CPC、CPD、CPT等模式收费,最终获得的收入与手机厂商分成。这也是泰迪熊移动能够快速与多家手机厂商达成合作的原因所在。
第三方数据安全公司LOCKet技术负责人陈荣告诉《IT时报》记者,手机厂商是按照模板来收费的,比如一套像哈啰出行起诉书中提到的那种模板,收费几十万元不等。
“目前,智能短信的发展野蛮,手机厂商本是为了提升用户体验,将短信进行可视化包装。但却有手机厂商联合智能短信广告投放商,恶意包装别家短信内容,进行流量、用户双劫持。”陈荣认为,“如果手机厂商能对广告投放主进行身份确认,可以规避很大一部分问题。”
是否“过度”收集个人信息?
记者从OPPO的用户隐私政策上看到,其与泰迪熊移动合作的内容不仅包括智能短信服务,还包括智能陌生电话识别。
这两项服务的隐私政策均显示,泰迪熊移动是这两项服务的服务商,收集的信息包括用户的IMEI码、本机号码、经纬度(地理位置)、对端号码等以及来去电状态、短信签名信息、陌生号码标记与纠错等信息。这些信息的用途除了身份验证、客户服务、安全防范、诈骗监测等提升用户体验的领域,还包括广告服务。
OPPO两项服务的隐私条款
《IT时报》记者查看了多位用户的OPPO手机,其智能信息服务和智能识别陌生号码功能都是打开状态,但何时打开?亦或是系统默认开启?用户并无印象。
vivo手机也同样提供智慧信息服务和在线识别陌生号码服务,其中智慧信息服务功能并无隐私条款,在线识别陌生号码的隐私条款也是与泰迪熊移动签署。
vivo智慧信息服务并无隐私条款
OPPO回应《IT时报》称,短信应用没有默认开启智能信息服务,在用户第一次进入短信应用时弹窗显示“信息”声明,经用户同意后才能使用。
中央网信办发布的《App违法违规收集使用个人信息行为认定方法(征求意见稿)》中,涉嫌“违法违规收集使用个人信息行为”的第一条便指出,没有隐私政策、用户协议,或者隐私政策、用户协议中没有相关收集使用规则的内容。
此外,第二种情形指出的,收集使用信息的目的违反合法、正当、必要原则,如仅仅以改善程序功能、提高用户体验、定向推送为目的收集用户个人信息;没有逐一列出收集个人信息的类型、频率,特别是针对个人敏感信息;第五种情形中指出的,未经同意,且未做匿名化处理,从客户端直接向第三方提供个人信息,包括App客户端嵌入第三方代码、插件(如sdk)等方式向第三方提供;数据传输至App服务器后,未经同意,且未经匿名化处理,向第三方提供其收集的个人信息……这几种行为都被认定为App违法违规收集使用个人信息。
中央网信办强调,《征求意见稿》的起草也是为了明确界定App收集使用个人信息方面的违法违规行为,为App运营者自查自纠提供指引,为App评估和处置提供参考。
知名IT与知识产权律师赵占领认为,虽然上述《征求意见稿》并没有正式实施,但其比《网络安全法》和《全国人大常委会关于加强网络信息保护的决定》规定得更细致。因为OPPO等手机硬件厂商收集用户信息有技术优势,如果不经处理直接向第三方提供IMEI码、本机号码、经纬度等用户数据,显然有违上述法律法规。
对此,OPPO回应称,与泰迪熊移动共享数据非常有限,符合合法、正当和必要的原则。
《IT时报》记者发现,OPPO手机关闭智能信息服务后,短信页面的菜单栏广告就会消失。如果担心个人信息被过度收集,相关手机用户可以在“设置-系统应用-短信/电话”或短信/电话应用界面右上角的设置选项中关闭智能信息服务与智能识别陌生号码。vivo的关闭路径则可通过“设置—系统应用设置—电话/信息”找到。
《IT时报》记者就是否被哈啰、京东等公司起诉,是否将品牌商的官方短信“搭便车”放广告等问题采访泰迪熊移动,对方并没有给予正面回答并称,本报记者的采访问题,“已经涉嫌套取我司商业秘密及恶意损害我司声誉”。
本文来自微信公众号:IT时报(ID:vittimes),作者:孙妍,编辑:挨踢妹