iOS 应用上传地址簿数据引来国会关注，苹果承诺加强限制

2010 年年底，一款名为 Kik Messenger 的应用推出不到半个月就获得百万用户。Kik 的爆发式增长很大程度上归功于新颖的好友推荐模式，它在安装后会请求将用户手机地址簿上传至服务器，并与其它用户的地址簿进行对比，一旦发现两人存在联系就会自动推荐。用户可以非常方便地与相识的好友进行交流。

匹配地址簿模式彻底颠覆 QQ、MSN 等老一代即时通信工具繁琐的加好友过程、便于新生应用推广，很快就成为社交应用的标准模式——国内的米聊、国外的 Instagram 乃至苹果自己的 Facetime 和 iMessage 都采用相似匹配方法。

这种模式固然改善了用户体验，并且可以帮开发者快速积攒用户群。但地址簿毕竟是用户私人信息，安全隐忧随之到来。在各平台厂商的纵容下，不少开发者变本加厉，不加提示直接收集、上传地址簿数据、并且没有提供任何删除选择。

上周，新加坡 iOS 开发者 Arun Thampi 在准备 hackathon 比赛的时候发现热门社交分享应用 Path 不给任何提示就把 iPhone 地址簿里的所有信息全部上传至公司的服务器上。此事让 Thampi 感到震惊，他随后撰文置疑 Path 的做法，并给出详细证据。

Thampi 的文章成了导火索，《纽约时报》、《洛杉矶时报》等大众媒体都对此进行了报道并进行更深入的挖掘。此轮风波中受到牵连的还有 Hipster、Foursquare、Instagram 和 Twitter 等等. 其中 Twitter 虽然需要用户手动启用寻找好友功能，但上传后的地址簿数据会在服务器上存储 18 个月。

Path CEO Dave Morin 很快就在官方博客公开道歉，并且重新提交 Path 应用，现在 Path 只会在取得用户授权后扫描地址簿。绝大多数曝出隐私问题的应用也各自推出新版修正隐私问题。

不过指望商业公司自律显然不切实际，正如《纽约时报》所指出的，扎克伯格已经就 Facebook 隐私问题先后道歉不下十次。只有苹果、Google、微软这些智能设备平台的所有者才能约束开发者。

苹果公司在沉默一周后对此事作出回应。该公司发言人 Tom Neumayr 今天对 AllThingsD 表示：

“未经用户明确许可就收集或传输用户地址簿数据的应用违反了我们的方针。我们正努力让情况对用户来说变得更好。未来软件更新后，所有希望访问联系人数据的应用都必须取得用户的明确授权。”

苹果公司应该是打算通过系统软件更新为 iOS 设备的地址簿数据加上与位置和推送信息同样严格的授权管理模式。

就在苹果公司表态后不久，美国国会众议院能源与商业委员会主席 Henry Waxman 和商业制造与交易小组委员会主席 G.K. Butterfield 联名致信苹果公司 CEO Tim Cook，要求他在本月 29 日之前就 iOS 应用隐私方面的九个问题作出回答。这些问题包括苹果公司对应用访问、传输用户隐私数据的判断；有多少美国 iTunes 商店的 iOS 应用传输用户个人数据；苹果公司为何不为地址簿数据提供与位置数据同样严格的管理机制等等。

目前看来，iOS 地址簿数据风波应该会以苹果收紧控制而告终。那么其它平台呢？Android 平台在安装应用时会给出调用权限提示。但这些权限颜色一致、不够醒目。或许 Google 可以为联系人数据、位置信息等重要隐私内容加上更醒目的标注，引起普通用户注意。当然，更好的解决办法是像 CyanogenMod 那样直接允许用户管理每个应用所能访问的权限。

题图来自 chrisphoto