郵箱工具：對消費者數據隱私和安​​全的威脅。

最近， 《紐約時報》的一篇文章批評了 Slice、電子郵件訂閱管理應用程序 Unroll.me 和 Uber 的所有者所使用的商業實踐，日益引起爭議的消費者數據隱私和安​​全話題成為焦點。 文章透露，Slice 將來自 Unroll.me 的消費者數據出售給了流行的拼車公司。

“優步將團隊投入到所謂的競爭情報中，從名為 Slice Intelligence 的分析服務中購買數據。 使用其擁有的名為 Unroll.me 的電子郵件摘要服務，Slice 從客戶的收件箱中收集了通過電子郵件發送的 Lyft 收據，並將匿名數據出售給了優步。”

Unroll.me CEO Jojo Hedaya在道歉的同時，也未能讓部分客戶滿意，部分客戶要求銷毀數據，各大網站評論區升溫。

但是有一個問題。

Unroll.me 和其他類似的工具可以保留無限期保留您的電子郵件數據的權利，而擁有此類數據正是讓 Unroll.me (Slice) 這樣的公司變得如此有價值的原因。

例如，在回應 Y Combinator 上的 Unroll.me 故事時，一位撰稿人聲稱，“Slice 購買 Unroll.me 的很大一部分是為了訪問這些電子郵件檔案。 具體來說，他們想尋找關鍵字趨勢和在線購買的收據。”

而大多數消費者沒有意識到的是，其他郵箱工具公司也正在發生這種類型的數據收集和銷售（例如，eDataSource 的 Boxbe，以及 Return Path 的 OtherInbox 和 Organizer）。 我們之前在博客“關於電子郵件面板數據的真相”中介紹了其中的一些工具。

為什麼消費者會自願交出他們的電子郵件數據？

您是否閱讀了您使用的每項在線服務的條款和隱私政策？

根據最近的研究互聯網上最大的謊言：忽略社交網絡服務的隱私政策和服務條款政策，研究人員發現 86% 的測試對象閱讀服務條款的時間不到一分鐘，驚人的 97% 花費更少超過五分鐘。 此外，不到 2% 的人注意到，通過同意服務條款，他們實際上是在“提供第一個孩子”作為訪問測試應用程序的費用。

與大多數消費者一樣，我們假設免費郵箱工具用戶很少閱讀他們同意的政策。 但古老的格言仍然正確：如果您不花錢購買產品——快訊——您（和您的數據）就是產品。

免費郵箱工具用戶：您（和您的數據）就是產品。

電子郵件行業資深人士 Laura Atkins 最近將郵箱工具和電子郵件面板數據行業用於處理用戶安全風險的任務。 為了回應阿特金的擔憂，Return Path 的首席隱私官丹尼斯·戴曼 (Dennis Dayman) 發表了以下評論：

“我們的註冊流程清楚地表明，我們將用戶數據用於市場研究目的，但是以匿名和匯總的方式。 我們在註冊時以簡潔、通俗的英語做出該聲明——而不是隱藏在用戶永遠不會看到的點擊服務條款中。 ”

但這就是 Return Path 擁有的 Organizer 註冊頁面的內容：

“在提供這項服務時，我們會收集和共享有關非個人電子郵件（例如商業電子郵件）的某些信息。 這些數據有助於我們深入了解消費者行為，還有助於我們通過更好地了解人們如何與他們收到的非個人電子郵件進行交互來改進電子郵件生態系統。”

雖然我們同意 Return Path 的 Dayman 的觀點，即應該向用戶提供關於他們的工具將如何處理客戶數據的“通俗易懂”的解釋，而無需閱讀冗長的隱私政策，但我們認為組織者網站副本無法滿足這一需求。

因此，我們做了大多數郵箱工具用戶可能從未做過的事情：閱讀大約 4,653 字的返迴路徑數據隱私政策。

注意：我們不是律師，因此如果您想就本博客中討論的任何信息獲得法律意見，請諮詢律師。

隱藏在隱私政策中，我們發現該工具正在收集“商業、交易和關係消息”（服務使用信息）——不，不僅僅是商業郵件。 “關係信息”是個人電子郵件嗎？ 據該網站稱，該工具專注於非個人電子郵件。 不幸的是，在多次閱讀政策中的這一部分後，我們未能找到對該術語的明確解釋。

政策中的其他地方列出了關於收集和出售給第三方的非個人身份信息（服務使用信息）、電子郵件可能會無限期存儲（個人信息的保留）、應用程序可能會在使用移動設備時跟踪用戶位置的部分設備（匯總信息），並且您的數據可能隨時出售給另一家公司（控制權變更/資產轉移）。 如果另一家公司收購 Return Path，您的數據會怎樣？ 我們不清楚。

您是否在此處看到以“簡單英語”傳達的信息：

來源：Return Path 的組織者

我們也不行。

出售 Lyft 收據只是冰山一角

將 Unroll.me 數據出售給優步讓許多人感到不安，但它甚至沒有觸及在其他地方出售的更廣泛數據集合的表面。

例如，Return Path 為消費者提供多種免費郵箱工具，並“從各種來源收集詳細的消費者收據數據”，以顯示“項目級別的收據數據可以顯示消費者實際在做什麼”，據報導收集付款數據，銀行、零售商、電子商務等：

資料來源：Return Path Consumer Insights

在 Return Path 網站上，就在這張圖片的正上方，在撰寫本博客時，它寫著“Return Path 提供了您以前從未見過的消費者數據。” 如果上圖準確表示了 Return Path 正在收集和銷售的數據，那麼他們的“消費者洞察”收集遠遠超出 Lyft 收據。 保險報價、在線報表、購買歷史、Netflix 觀看習慣、更換電話提供商……這是消費者在註冊免費郵箱工具時所期望分享的信息類型嗎？

具有諷刺意味的是，似乎聲稱可以提高用戶工作效率並幫助您避免垃圾郵件的郵箱工具實際上可能會購買和分析其數據，以根據從用戶電子郵件帳戶收集的信息提供更多、更好的垃圾郵件（或更好的垃圾郵件）。

請記住，如果您使用的是免費郵箱工具，那麼您（和您的數據）就是產品。

第三方郵箱工具可能構成重大安全風險

Y Combinator 的帖子還聲稱之前 Unroll.me 存在安全問題：

“我在一家幾乎收購 Unroll.me 的公司工作。 當時，也就是三年多前，他們保留了您在服務期間發送或接收的每封電子郵件的副本。 這些電子郵件保存在一系列安全性較差的 S3 存儲桶中。”

S3 存儲桶安全性差？ 保留每封電子郵件的副本？ 不管是發送還是接收？ 如果這是真的，這可能意味著 Unroll.me 的 S3 存儲充滿了購買收據、密碼重置以及誰知道什麼樣的個人信息。 甚至可以存儲與該工具的使用完全無關的發送消息。

那麼登錄憑據呢？ 儘管某些提供商（Gmail、Yahoo、Outlook）提供 OAuth 身份驗證，但 AOL 和 Apple (icloud.com) 不提供，並且這些郵箱應用程序要求您提供登錄憑據（包括密碼）以使用該服務。 儘管所有公司都聲稱他們遵循標準的最佳安全實踐，但數據洩露已成為許多軟件公司的普遍現象。

多個消息來源指出，其中一些工具要求對您的帳戶進行完全讀寫訪問。 這意味著應用程序或任何可能違反它的人都可以自由地管理他們認為合適的收件箱。

如何阻止郵箱工具收集您的電子郵件數據

如果您是 Unroll.me、Boxbe、Organizer 或其他郵箱工具的用戶，並且想要撤銷他們收集、存儲和出售您的數據的能力，以下是有關如何關閉其訪問權限的說明：

• Gmail：訪問安全頁面，然後轉到左側菜單“登錄和安全”下的“關聯的應用和網站”。 單擊您要刪除的服務，它將顯示藍色的“刪除”按鈕。 當詢問“您確定要刪除訪問權限嗎？”時，請回答“是”。
• Outlook：在 Outlook.com 或 Outlook 網頁版中使用加載項
• Yahoo!：刪除對第三方應用程序的權限

對於使用郵箱工具共享電子郵件登錄憑據的用戶，您應立即更改電子郵件帳戶的密碼。

我們還鼓勵用戶聯繫工具所有者並要求澄清是否以及如何存儲您的個人信息（例如，交易消息、個人消息、登錄憑據），以及指向其隱私政策中允許他們的部分的鏈接這樣做。