腾讯致歉PC版QQ读取浏览记录:只为判断是否恶意登录,数据不上传不储存

新经济合规观察张雅婷,实习生闫智婷 2021-01-18 21:39

“正强化用户数据访问规范。”

近日,有技术员发帖表示,QQ 正在尝试读取用户的浏览记录,引发广泛关注。

此后,陆续有程序员进行验证,发现QQ读取浏览器历史的行为包括:读取浏览器浏览历史,对读取到的url进行md5,并在本地进行比较,在md5匹配的情况下,上传相应分组ID。

“我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。”1月18日上午,腾讯回应称,PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存。

目前,腾讯表示,已更换了检测恶意和异常请求的技术逻辑去解决问题,并发布全新的PC QQ版本。

有关专家表示,如果腾讯所述属实,只是软件本身读取相关数据,不上传云端也不储存,不构成侵犯个人隐私。侵权关键在于是否存在“上传腾讯服务器”行为,而并不是在于本地抓取与否。

“QQ 正在尝试读取你的浏览记录”

一位名为mengyx的技术员在V2EX社区上发表了一篇名为《QQ 正在尝试读取你的浏览记录》的帖子。

图为网友mengyx发帖内容

mengyx表示,在使用QQ的过程中,为了防止一些“流氓行为”,特地去 MS Store 里面安装了 QQ 桌面版。由于其使用了火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。最后,mengyx得出结论,QQ正在尝试读取Chrome中的浏览记录。

该帖发出后,引起众多程序员的关注。网友qwqdanchun对此进行验证,发现该读取行为并非只针对Chrome,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。同时,该网友发现,腾讯旗下的另一款办公软件TIM也存在读取浏览器历史的行为。

图为网友qwqdanchun发帖内容

此后,陆续有程序员对此问题进行了验证。18日上午,mengyx总结称, 涉及读取浏览器历史的软件涉及QQ Windows 9.0.4之后的版本和TIM Windows 3.1.0)之后的版本,具体的行为包括:登录10分钟之后,读取浏览器浏览历史,对读取到的url进行md5,并在本地进行比较,在md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词)。

与此同时,也有人表示,QQ后台读取历史记录,或许并不是侵害用户隐私。操作系统程序员Anhkgg在技术对比后认为,读取历史记录和删除临时文件中间并没有什么上传服务器之类的操作,所有都是本地完成的,不能对QQ的行为下结论,不能因为临时读取和计算了一下url,就判定腾讯是对用户隐私的侵害。

不过,Anhkgg也认同在这件事情中,QQ并不完全是无辜者,读取用户浏览器历史记录是一个非常敏感的行为,应该必须让用户清楚得知道,你并没有用此信息做什么伤害用户利益的事情。

针对Anhkgg的看法,qwqdanchun向21世纪经济报道记者表示,自己的验证只进行到了md5的对比,后面部分没有进行逆向,因此不发表进一步的意见。如果时间允许,他将进行逆向后再发表评论。

腾讯:为判断是否恶意登录

18日上午,已认证为“腾讯QQ”的知乎账号对此作出回应称,PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。

具体情况为,该操作为历史上线的一个对抗恶意登录的技术解决方案:因系统识别有不少伪造的QQ客户端会恶意访问多个网站作为前期辅助工作,因此在PC QQ客户端中加入了检测恶意和异常的访问逻辑,以此作为辅助手段去判断恶意客户端。

“对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。”腾讯称,目前,已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。为减少不便,所有受影响的PC QQ历史版本将自1月18日开始进行热更新和推送升级包。同时,手机端QQ不存在上述操作,不受影响。

21世纪经济报道记者查阅《腾讯服务协议》《隐私政策》和《QQ隐私保护指引》等文件,并未发现有关读取浏览器历史记录的介绍。

 “腾讯用这种办法检测恶意登录也是说得过去的。不过无论如何,读取浏览记录的行为还是不恰当的,希望腾讯能尽快找出更好的办法解决恶意登录这个问题。”对于腾讯方面的澄清,qwqdanchun如此回应。

据mengyx最新更帖,17日晚间发布的QQ 9.4.2和TIM 3.3.0均移除了相应代码,暂停了读取浏览器历史的行为。

是否上传数据成侵权关键

企业读取浏览器的行为是否侵犯用户隐私?

“任何公司在未告知用户的情况下,读取其浏览器历史记录的行为都是对用户隐私的侵犯。”清律律师事务所首席合伙人熊定中向21世纪经济报道记者表示,浏览器历史记录既记载了个人隐私,又是敏感个人信息,是受到法律保护的。

具体到此次事件,熊定中认为,如果腾讯所述属实,只是软件本身读取相关数据,不上传云端也不储存,与腾讯相关系统无接触,则不构成侵犯个人隐私,因为软件安装在用户个人电脑上,如果处理均在本地完成,那实际上不是“腾讯读取浏览器历史记录”,而是“用户安装的一款软件本地读取其他浏览器历史记录”。因此,不构成腾讯的不正当行为。

“但据目前网友的描述,该款浏览器有一个‘在md5匹配的情况下,上传相应分组ID’的行为。如果描述属实,这意味着,并不是‘本地处理’而是‘上传腾讯服务器’,这个上传的数据将被腾讯所掌握和控制,不管最终腾讯是否储存,这个行为在没有获得用户知情同意的情况下都是涉嫌侵权的。”熊定中表述,问题的核心在于,是否存在“上传腾讯服务器”行为,而并不是在于本地抓取与否。

同时,熊定中提醒,隐私权和个人信息权益都是民法典人格权编规定的公民权利(权益),这属于绝对权,即只要未经用户同意,则破坏了用户对自己人格权益的控制,可以根据民法典向法院主张自己的权益。对于大规模侵犯公民个人权益的行为,用户也可以向相关监管机构例如网信办或者市场监督管理局举报,或者申请检察院、消协发起公益诉讼的方式维权。

(作者:张雅婷,实习生闫智婷 编辑:曹金良)

张雅婷

记者

21世纪经济报道记者