道歉声明漏洞百出，小米国际化道路漫漫

2014-08-14 14:25

人红是非多，小米既虚报抢购数据后，又在台湾栽了跟头。这一次，涉及到最为敏感的个人隐私问题。在F-Secure发出这份测试报告前，小米一直对偷传用户资料一事否认。当终于纸包不住火了，小米的一份紧急声明又打了自己一大嘴巴。本文对这一看似甄嬛体打着官腔的声明逐段解读，发现其根本就是跑题了。那么，小米到底是否承认了F-Secure的安全测试结果?以前被回传到北京的用户数据怎么处理?拥有最广大用户群体的中国大陆怎么办?

不久前，作为国产手机焦点的小米公司又一次被推到了风口浪尖之上，首先是据媒体报道，最新发布的小米4配备了高通骁龙801处理器，将有望于2014年年底之前登陆印度市场，支持FDD-LTE 4G网络的小米4的售价可能在17000卢比至20000卢比之间，折合人民币1709元至2011元。小米4的发售时间将和iphone6保持一致，小米公司寄希望于超高的性价比成为苹果公司在印度市场的强力竞争者。
然而在国际化之路最关键时刻，小米却遭遇到了发展史上的最大危机。据台湾科技网站iThome近日引用资安公司芬安全(F-Secure)的一份测试报告，曝光了小米手机会偷偷传送用户资料到位于北京的服务器，并指出这一行为或涉嫌盗取用户信息。
尽管小米此前一直对此事进行否认，但小米通过Facebook发表的声明，却承认小米手机内确实有一个“网路简讯”服务，在未经使用者同意的情况下，就会自动启动，将使用者的电话号码、IMSI(国际移动用户识别码)及IMEI码(国际移动装置识别码)，回传到小米服务器上。
另外，小米也证实了通过这个网路简讯服务回传北京的使用者电话号码没有加密，而是采用明码传递。小米就此事向海外用户进行了道歉，并紧急发布了升级包。
其实早在此前，已经有台湾用户以及台湾媒体多次质疑小米手机产品搜集用户信息并回传至位于北京的服务器，同时小米公司也一直在极力否认，双方一度唇枪舌剑。随后由F-Secure出面证实确有其事，小米初期亦承诺“所传输的资料都不涉及使用者隐私”。但随后形式逆转，小米公司已经不得不面对证据做出回应。《关于“网路简讯”的紧急声明》就是在这样的背景下发布的。

由于用户的个人信息存在泄露风险，小米公司遭遇到了前所未有的信任危机，而且是在大陆以外，所以可以理解小米公司紧急升级系统和发布声明的行为。不过这声明也太春秋笔法了，看的糊里糊涂。对这么一份看似甄嬛体打着官腔的声明，最简单的理解办法就是用非官腔重新讲一遍。
第一段的意思是：小米是做移动互联网的公司，但是小米承诺绝对重视用户隐私，没经用户允许我们是不会搜集用户资料的。只是刚刚被F-Secure马来西亚亚洲实验室证实了我们确实是在搜集用户数据。
第二段的意思是：我们对用户的担忧非常重视，今天我们紧急更新系统，关闭了这个功能。但请注意我们的措辞!我们可没承认F-Secure在测试中发现的数据搜集行为哦，仅仅是因为你们担忧隐私泄露，我们才紧急升级关闭了一个功能。
第三段的意思是：对不起让你们精神紧张了，给我一个机会吧，以后不会这样了。
这么看来的话，小米公司的这个《声明》似乎根本就跑题了。最起码有三个关键问题根本就没回答：
一、小米公司到底是否承认F-Secure的安全测试结果?
小米的声明中强调系统的紧急修改以及声明发布是源于用户担忧。但用户担忧源于F-Secure通过测试将红米1s向北京服务器传输数据的事情证实。此前双方因此展开辩论，小米公司认为这并不涉及隐私问题，但F-Secure指出正常情况根本无需传输这些数据。并且从跟进的新闻报道来看，由于小米传输数据又引发了额外的明文传输等更多安全问题。
小米公司的处理方式等于承认了用户的担忧，但是是否代表着F-Secure指出的搜集用户数据的行为也被小米公司官方承认?总之形成了这样一个局面：尽管做出了声明，但是小米公司语焉不详。尽管语焉不详，但做出了紧急修复。尽管声称修复是针对用户的担忧，但事实是紧急修复关闭了F-Secure所发现的搜集用户数据的途径。小米公司是否承认其实在我看来已经不再重要，这一系列的动作已经证明了一切，小米手机确实存在这些安全漏洞。
二、以前数据被回传到了北京的用户怎么办?数据又怎么处理?
通过系统升级的形式，关闭了用户信息上传到北京服务器的通道，但在关闭之前，已经有大量数据被采集，小米没有说明自己将如何面对这部分用户。同样，小米公司也没说明用户是否有途径了解自己是否有信息被上传、有多少信息被上传，以及用户是否有权要求合理处置这些信息、小米又会如何处置这些信息。
个人隐私在大数据时代一直是个敏感话题，通过采集数据提供更优质服务以及采集数据侵犯用户隐私两者之间的区别可能比一张纸还薄，更何况很难证明小米公司这种采集数据的方式是合法的。即使合法，也有谷歌的先例：欧洲法院裁定用户被遗忘的权利，有权要求谷歌删除关于自己的全部数据。小米手机的用户是否有权要求自己被遗忘呢?
三、中国大陆用户怎么办?
其实智能手机存在安全隐患绝不是小米一家，华为等手机厂商均存在未经用户同意上传数据的现象。此前摩托罗拉多款手机也被曝出向摩托罗拉控制的服务器上传大量私人敏感数据。而不少互联网公司如苹果、谷歌等也因搜集用户的位置信息而惹上麻烦，甚至做出赔偿。面对这种侵犯隐私的行为，安全行业分析师瑞奇·摩格尔(Rich Mogull)指出，“改变这一状况的唯一方法，就是提升设备的安全性能。”
这次事件爆发在台湾，并且用户寻求安全的主张获得了F-Secure马来西亚亚洲实验室的支持，他们为用户维护隐私权提供了重要证据。在台湾销售的小米手机向服务器传输用户资料，那么在大陆销售的小米手机呢?大陆的手机用户是否被采集数据、如何裁定以及如何维权，成了一个更复杂的问题。小米手机在中国大陆有数量庞大的用户群以及极高的知名度，如果隐私问题处置不当，极有可能变成小米公司与大陆用户“双输”的局面。当然，出现这种局面的前提是有类似F-Secure这样的企业或者机构站出来支持用户维权，有敢于说真话的媒体站出来代表无数用户发出声音。
目前诸多境外媒体指责大陆的企业和组织存在窃取保密信息等行为，小米手机这次“栽跟头”无疑成了他们的口实，受此影响的企业恐怕绝非小米一家。总之，其实是一个不小的事件。再回过头来看看，小米的声明真的让人放心了吗?恐怕远远没有。
有网民在科技论坛IMA Mobile上发帖，并附多张截图，指自己将红米1S升级到最新的版本后，再进行重新设定，并将小米服务预设关闭，发现仍有很多服务自动连线北京。该网民称，之后他再进行Root刷机，并卸载所有小米服务及内置程序，同时加装防火墙后，系统仍能连线北京;甚至关闭了网络短信功能后，还在连线至北京。对此，小编只想说，做人要厚道，发声明要负责啊!
作者俊世太保，一个草根的TMT科技自媒体。微信公众号：太保乱谈;个人微信号：lijunhust

共有评论0条