這份報告的內容是什麼?我們又從中學到了什麼?
這份報告檢視熱門應用程式 WeChat 在其各種功能的正常運作過程中所蒐集並傳送至 WeChat 伺服器的資料,以此分析該應用程式存在的隱私問題。我們發現,WeChat 蒐集的使用資料比在隱私權政策中公布的還要多。
具體而言,我們發現當用戶執行小程序(Mini Program)的時候,WeChat 會蒐集活動和使用紀錄。WeChat 的隱私權政策雖暗示僅由第三方機構蒐集此類資料,然而事實上,不只是小程序的第三方開發人員,WeChat 也蒐集了大量的資料。對於一般用戶來說,這表示在未經知情且明確選擇拒絕此類資料蒐集的情況下,將您在小程序上的身份與活動紀錄提供給 WeChat。這不僅危害隱私,同時我們也無法得知 WeChat 如何使用這些資訊。
此外,我們還發現各種作業系統的保護措施可以限制 WeChat 應用程式所能蒐集的資料量,並鼓勵用戶對於位置等敏感權限保持謹慎。較新版本的 Android 系統引入了許多新的安全功能,旨在強制執行權限界限,並限制應用程式可使用的識別碼類型。
WeChat 是什麼?它的用途為何?
WeChat 是中國最受歡迎的即時通訊及社交媒體平台,在全球排名第三,擁有超過 12 億的月活躍用戶。根據一些市場研究報告,2018 年 WeChat 產生的網路流量佔中國行動流量的 34%。
許多中國境內與海外的人士出於必要而使用 WeChat。除了中國境內的個人用戶之外,海外華人、家人、記者、國際行動主義人士、外交官、在中國從商的人士,以及幾乎任何與中國有關的人士均出於必要而使用 WeChat。
微信(Weixin)是什麼?它與 WeChat 的關係為何?
根據 WeChat 的服務條款,如果用戶使用中國的手機號碼(國際撥號代碼 +86)註冊 WeChat 帳號,他們會被視為「微信用戶」。根據騰訊(Tencent)的表述,基於 WeChat 與微信政策中的用語,WeChat 與微信被視為是同一個「應用程式」中的兩種「服務」。這兩個「服務」由兩個獨立的子公司營運(新加坡 WeChat International Pte. Ltd. 和深圳市騰訊計算機系統有限公司負責微信)。
在應用程式中,這兩個「服務」之間的界限並不明確。微信營運的功能也可供 WeChat 用戶使用。根據我們的觀察,這兩個服務大多使用相同的伺服器,而且兩個服務的用戶間可以直接互相通訊。
什麼是小程序(Mini Programs)?
小程序是一種輕量級應用程式,可在 WeChat 應用程式內下載及啟動,還可以與用戶的 WeChat 帳戶同步和連結。基本上,小程序的廣度與多元性與其他應用程式生態系統相同,例如 Google Play Store 或 Apple App Store。小程序涵蓋電子商務、健康、公共服務、遊戲以及任一應用程式可能提供的其他服務。如此也表示許多熱門的小程序應用程式掌控著敏感資料。某些應用程式用於管理健康資料、政府服務或代表用戶執行金融交易。
你們如何進行這項研究?
在進行這項研究之前,我們首先開發了一些工具來研究 WeChat 的網路請求。然後,我們利用這些工具來辨識並分析在使用各種 WeChat 功能期間從客戶端流向伺服器的資料。
在小程序執行期間,會將什麼類型的資料傳送至 WeChat 伺服器?
在小程序上觀察到的資料蒐集可能是為了啟動 WeChat 提供的應用程式之監控與分析功能,即「We分析」或「WeAnalyze」。然而,根據我們的分析,所有的小程序都會自動加入 WeAnalyze 計畫及資料蒐集,而且沒有合理的方式可以選擇退出。從資料蒐集的角度來看,WeChat 的作為將會如同 Google Play Store 自動將 Google Analytics 追蹤碼置入平台上所有應用程式,這等同於一種隱私權侵犯行為(實際上 Google 並未這麼做)。
還有哪些類型的資料被傳送至 WeChat 伺服器?
一般情況下,WeChat 除了蒐集裝置與網路的詮釋資料(metadata)之外,還會蒐集其他執行應用程式功能所需的資料。
如果您授予 WeChat 定位權限,WeChat 會啟動「People Nearby」的功能,在您使用應用程式時蒐集您的位置資料。
WeChat 的某些功能比其他功能傳送更多使用與追蹤資料。舉例來說,使用小程序或視頻號(Channels)時會蒐集點擊/頁面資料並追蹤應用程式的使用情形。
欲知更詳盡的內容,請查閱完整報告。
WeChat 伺服器位在哪裡?
我們觀察到 WeChat 向名義上位於新加坡及香港的伺服器報告。該應用程式也能向中國大陸的伺服器聯繫。如果您是登出狀態,WeChat 會根據您的 IP 地址位置來選用不同的伺服器;如果您是登入狀態,則是根據您的註冊電話號碼來決定。
WeChat/騰訊如何使用這些蒐集到的資訊?
按照我們的研究方法,我們是研究客戶端程式的行為,所以無法確定 WeChat 或騰訊在資料收集到伺服器端之後會如何使用這些資料。WeChat 的隱私權政策中明確規定某些類型資料(如位置資料、軌跡資料與訊息資料)的保存期限。該隱私權政策還提供了與中國深圳營運的微信分享使用者資料的條件,例如與擁有中國大陸帳戶的用戶進行溝通時。但是,我們注意到微信的隱私權政策中並未明確規定資料的保存期限。不僅如此,我們從先前的研究觀察到,即使所有通訊僅在北美帳戶之間進行,這些資訊仍被用來秘密訓練微信的中國政治審查系統。
本研究有什麼限制?
這份報告僅研究了 Android 手機應用程式 WeChat 最新版本的行為。儘管我們觀察了哪些類型的資料被傳送到 WeChat 伺服器,但是我們不一定能夠確定 WeChat 伺服器如何利用這些資料。
此外,我們僅使用美國電話號碼調查該應用程式,因此限制了結果的範疇,只能瞭解應用程式對於非中國大陸帳戶之用戶的行為。我們也無法測試某些功能,例如 WeChat Pay。
最後,WeChat 是一個涵蓋範圍寬廣的應用程式,具有許多功能。儘管我們盡力囊括各種面向,但是我們的研究仍存在一些盲點,以致未能引發某些資料傳輸所需的應用程式條件。
隱私權政策是否涵蓋應用程式蒐集的所有資料?
不盡然。WeChat 的隱私權政策涵蓋了從某些核心功能(如訊息及朋友圈)蒐集的資料。然而,根據 WeChat 的隱私權政策,如搜尋和視頻號等最具侵入性追蹤行為的功能則被一個在中國深圳營運,名為微信的「第三方實體」所執行。
雖然 WeChat 在隱私權政策中明確劃分「WeChat」和「微信」的服務,但在應用程式本身上並沒有明顯的區別。所有由「WeChat 功能」及「微信功能」蒐集的資料都被傳送至同一個伺服器。
而且,WeChat 的隱私權政策還聲稱僅在必要時才會與微信分享資訊。但是,用於分析的應用程式使用情況追蹤對於平台的營運來說並非必需。除此之外,我們從先前的研究注意到,非中國大陸用戶的資料被用來訓練針對中國大陸用戶的言論審查演算法。
而且,WeChat 的隱私權政策暗示只有第三方的隱私權措施及政策適用於小程序,但是實際上,WeChat/微信也蒐集了大量資料。事實上,小程序並未列入微信的隱私權政策,而是列於「微信開放平台」之下,受第三方隱私權政策的約束。
給予騰訊的建議是什麼?
由於 WeChat 或微信之間在應用程式的功能營運上沒有實質區別,WeChat 的隱私權政策應該涵蓋「微信功能」,以便讓用戶更瞭解他們的資料與深圳營運的服務機構分享時,會受到何種處置。
此外,WeChat 也應該允許用戶在使用「微信」服務時選擇退出無關的追蹤。特別是,WeChat 應該取消對小程序分析與追蹤功能的強制執行,改為選擇性加入的設計。 目前,無論是開發人員還是用戶都在幾乎未獲通知的情況下,自動加入 WeAnalyze(We分析)資料蒐集計畫。而且目前開發人員與用戶都無法退出該計畫。
欲知更多建議,請查閱我們報告中的 WeChat 建議段落。
給予用戶的建議是什麼?
對於一般 WeChat 用戶,我們可以提供一些建議:
- 盡可能避免使用標記為「微信服務」的功能。許多「微信」的核心服務(如搜尋和視頻號)比「WeChat」的核心服務具有更多追蹤行為,而且使用「微信」服務會將您的資料分享給在中國深圳營運的實體。
- 使用更嚴格的權限設定。在 Android 的較新版本中,可以限制某些權限(如位置存取)僅於應用程式在螢幕上打開時執行,或者可以完全拒絕這些權限。
- 定期更新安全及作業系統。較新版本的 Android 系統引入了許多新的安全功能,旨在確保執行權限界限,並限制應用程式可使用的部分裝置識別碼類型。我們建議定期更新以獲取更多的安全功能。
如果我屬於高風險的用戶,該如何保護自己?
在此提醒您,任何一項調整都無法讓暴露在某些高風險威脅模型下的應用程式完全「安全」。我們可以推薦您使用其他加密或匿名訊息系統,但我們也知道大多數 WeChat 用戶是出於必要而使用 WeChat。對於高風險用戶,我們建議與安全專業人員討論您的具體擔憂,瞭解在使用應用程式時如何限制、管理或降低暴露風險。
翻譯備註:以上為英文原始報告的非正式翻譯。非正式翻譯可能包含不準確之處,僅作為對我們研究的基本理解之用。如果出現不一致或模糊之處,以本報告的英文版本為準。