騰訊致歉PC版QQ讀取瀏覽記錄：只為判斷是否惡意登錄 侵權(quán)嗎？

近日，有技術(shù)員發(fā)帖表示，QQ 正在嘗試讀取用戶的瀏覽記錄，引發(fā)廣泛關注。

此后，陸續(xù)有程序員進行驗證，發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括：讀取瀏覽器瀏覽歷史，對讀取到的url進行md5，并在本地進行比較，在md5匹配的情況下，上傳相應分組ID。

“我們深表歉意，內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。”1月18日上午，騰訊回應稱，PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風險的情況，讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關數(shù)據(jù)不會上傳至云端，不會儲存。

目前，騰訊表示，已更換了檢測惡意和異常請求的技術(shù)邏輯去解決問題，并發(fā)布全新的PC QQ版本。

有關專家表示，如果騰訊所述屬實，只是軟件本身讀取相關數(shù)據(jù)，不上傳云端也不儲存，不構(gòu)成侵犯個人隱私。侵權(quán)關鍵在于是否存在“上傳騰訊服務器”行為，而并不是在于本地抓取與否。

“QQ 正在嘗試讀取你的瀏覽記錄”

一位名為mengyx的技術(shù)員在V2EX社區(qū)上發(fā)表了一篇名為《QQ 正在嘗試讀取你的瀏覽記錄》的帖子。

圖為網(wǎng)友mengyx發(fā)帖內(nèi)容

mengyx表示，在使用QQ的過程中，為了防止一些“流氓行為”，特地去 MS Store 里面安裝了 QQ 桌面版。由于其使用了火絨的自定義攔截功能，設置了一些重要或敏感數(shù)據(jù)目錄的保護。最后，mengyx得出結(jié)論，QQ正在嘗試讀取Chrome中的瀏覽記錄。

該帖發(fā)出后，引起眾多程序員的關注。網(wǎng)友qwqdanchun對此進行驗證，發(fā)現(xiàn)該讀取行為并非只針對Chrome，而是會試圖讀取電腦里所有谷歌系瀏覽器的歷史記錄并提取鏈接，確認會中招的瀏覽器包括但不限于Chrome、Chromium、360極速、360安全、獵豹、2345等瀏覽器。同時，該網(wǎng)友發(fā)現(xiàn)，騰訊旗下的另一款辦公軟件TIM也存在讀取瀏覽器歷史的行為。

圖為網(wǎng)友qwqdanchun發(fā)帖內(nèi)容

此后，陸續(xù)有程序員對此問題進行了驗證。18日上午，mengyx總結(jié)稱, 涉及讀取瀏覽器歷史的軟件涉及QQ Windows 9.0.4之后的版本和TIM Windows 3.1.0)之后的版本，具體的行為包括：登錄10分鐘之后，讀取瀏覽器瀏覽歷史，對讀取到的url進行md5，并在本地進行比較，在md5匹配的情況下，上傳相應分組ID(主要為電商、股票等關鍵詞)。

與此同時，也有人表示，QQ后臺讀取歷史記錄，或許并不是侵害用戶隱私。操作系統(tǒng)程序員Anhkgg在技術(shù)對比后認為，讀取歷史記錄和刪除臨時文件中間并沒有什么上傳服務器之類的操作，所有都是本地完成的，不能對QQ的行為下結(jié)論，不能因為臨時讀取和計算了一下url，就判定騰訊是對用戶隱私的侵害。

不過，Anhkgg也認同在這件事情中，QQ并不完全是無辜者，讀取用戶瀏覽器歷史記錄是一個非常敏感的行為，應該必須讓用戶清楚得知道，你并沒有用此信息做什么傷害用戶利益的事情。

針對Anhkgg的看法，qwqdanchun向21世紀經(jīng)濟報道記者表示，自己的驗證只進行到了md5的對比，后面部分沒有進行逆向，因此不發(fā)表進一步的意見。如果時間允許，他將進行逆向后再發(fā)表評論。

騰訊：為判斷是否惡意登錄

18日上午，已認證為“騰訊QQ”的知乎賬號對此作出回應稱，PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風險的情況，讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關數(shù)據(jù)不會上傳至云端，不會儲存，也不會用于任何其他用途。

具體情況為，該操作為歷史上線的一個對抗惡意登錄的技術(shù)解決方案：因系統(tǒng)識別有不少偽造的QQ客戶端會惡意訪問多個網(wǎng)站作為前期輔助工作，因此在PC QQ客戶端中加入了檢測惡意和異常的訪問邏輯，以此作為輔助手段去判斷惡意客戶端。

“對本次事件，我們深表歉意，內(nèi)部正梳理歷史問題并強化用戶數(shù)據(jù)訪問規(guī)范。”騰訊稱，目前，已經(jīng)更換了檢測惡意和異常請求的技術(shù)邏輯去解決上述安全風險問題，并發(fā)布全新的PC QQ版本。為減少不便，所有受影響的PC QQ歷史版本將自1月18日開始進行熱更新和推送升級包。同時，手機端QQ不存在上述操作，不受影響。

21世紀經(jīng)濟報道記者查閱《騰訊服務協(xié)議》《隱私政策》和《QQ隱私保護指引》等文件，并未發(fā)現(xiàn)有關讀取瀏覽器歷史記錄的介紹。

“騰訊用這種辦法檢測惡意登錄也是說得過去的。不過無論如何，讀取瀏覽記錄的行為還是不恰當?shù)?，希望騰訊能盡快找出更好的辦法解決惡意登錄這個問題。”對于騰訊方面的澄清，qwqdanchun如此回應。

據(jù)mengyx最新更帖，17日晚間發(fā)布的QQ 9.4.2和TIM 3.3.0均移除了相應代碼，暫停了讀取瀏覽器歷史的行為。

是否上傳數(shù)據(jù)成侵權(quán)關鍵

企業(yè)讀取瀏覽器的行為是否侵犯用戶隱私?

“任何公司在未告知用戶的情況下，讀取其瀏覽器歷史記錄的行為都是對用戶隱私的侵犯。”清律律師事務所首席合伙人熊定中向21世紀經(jīng)濟報道記者表示，瀏覽器歷史記錄既記載了個人隱私，又是敏感個人信息，是受到法律保護的。

具體到此次事件，熊定中認為，如果騰訊所述屬實，只是軟件本身讀取相關數(shù)據(jù)，不上傳云端也不儲存，與騰訊相關系統(tǒng)無接觸，則不構(gòu)成侵犯個人隱私，因為軟件安裝在用戶個人電腦上，如果處理均在本地完成，那實際上不是“騰訊讀取瀏覽器歷史記錄”，而是“用戶安裝的一款軟件本地讀取其他瀏覽器歷史記錄”。因此，不構(gòu)成騰訊的不正當行為。

“但據(jù)目前網(wǎng)友的描述，該款瀏覽器有一個‘在md5匹配的情況下，上傳相應分組ID’的行為。如果描述屬實，這意味著，并不是‘本地處理’而是‘上傳騰訊服務器’，這個上傳的數(shù)據(jù)將被騰訊所掌握和控制，不管最終騰訊是否儲存，這個行為在沒有獲得用戶知情同意的情況下都是涉嫌侵權(quán)的。”熊定中表述，問題的核心在于，是否存在“上傳騰訊服務器”行為，而并不是在于本地抓取與否。

同時，熊定中提醒，隱私權(quán)和個人信息權(quán)益都是民法典人格權(quán)編規(guī)定的公民權(quán)利(權(quán)益)，這屬于絕對權(quán)，即只要未經(jīng)用戶同意，則破壞了用戶對自己人格權(quán)益的控制，可以根據(jù)民法典向法院主張自己的權(quán)益。對于大規(guī)模侵犯公民個人權(quán)益的行為，用戶也可以向相關監(jiān)管機構(gòu)例如網(wǎng)信辦或者市場監(jiān)督管理局舉報，或者申請檢察院、消協(xié)發(fā)起公益訴訟的方式維權(quán)。

關鍵詞： 騰訊致歉 PC版QQ 讀取