App過度索取權限的邏輯與風險

葉健++周琳

很多App都違背了“必要”原則，獲取了很多不必要的權限以搜集用戶個人信息

聊天App必須開放位置信息，云筆記App默認讀取用戶通訊錄，就連孩子做個培訓、寫個作業的App，也要讀取位置……在給用戶提供便利的同時，App也在大肆索取一些“并不必要”的用戶信息。在個人信息保護愈加重要的時代，該如何為這些App的權限劃界？

位置、聯系人等權限受關注

安裝App時，都會被要求象征性地同意一則用戶協議后，才能安裝成功，但是這個協議中有多少“坑”，恐怕很多人并不知曉。

在本刊記者安卓手機上安裝的61款軟件中，所有App都有“讀取已安裝應用列表”權限，由此可以了解用戶的行為習慣及分析同行情況；第二受關注的權限就是“讀取本機識別碼”，這用于確定用戶，因為每個手機的識別碼都是獨一無二的；第三則是“讀取位置信息”權限，以此可搜集用戶的活動范圍。

是否申請某種權限，似乎并無可循之規。

一是同類App，共同“越界”。本刊記者在一款安卓手機的應用商店中搜索了“手電筒”App，排名靠前的10個App，除相機等基本權限外，有8個都請求發送和查看短信、撥打電話和管理通話以及位置信息等三大權限。

二是同一App，不同系統中需要不同權限。以微信為例，如果在安卓手機中關掉其位置權限，則無法使用這一App；但如果是在蘋果手機上關掉這一權限，使用仍然是正常的。

三是同類App，不同權限。以最近火熱的共享單車為例，本刊記者調閱安卓手機應用權限發現，摩拜單車、優拜單車、永安行等App，就比OFO共享單車多要求了通訊錄的權限。

沒人知道哪些數據會成為重點，

足夠多的數據才是重點

北京志霖律師事務所副主任趙占領表示，《全國人民代表大會常務委員會關于加強網絡信息保護的決定》明確規定，收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則。但現在很多App都違背了“必要”原則，獲取了很多不必要的權限以搜集用戶個人信息。

例如，“調用攝像頭”和“啟用錄音”是很多App熱衷獲取的權限。“百度新聞”客戶端就默認獲取了相機、電話等7項權限，但是本刊記者反復查閱“百度新聞”客戶端，卻沒有發現有用得著相機或電話的地方。

實際上，監管部門對此也有所關注。2016年5月，安徽省工商局曾對市面上20款左右的手機進行質量抽檢。其中，6款來自金立、Vivo、斐訊等品牌手機預置的應用軟件存在未經消費者允許通過wifi網絡、GPS和基站等定位技術收集消費者位置信息的行為，侵犯了消費者個人隱私。

DCCI互聯網數據中心的《2016年中國Android手機隱私安全報告》顯示，非游戲類App獲取隱私權限普遍增多，越界行為增長明顯。例如，高達13%的非游戲類App越界獲取“位置信息”權限，9.1%的非游戲類App越界獲取“訪問聯系人”權限；高達26%的App越界獲取“位置信息”權限。

越界獲取權限的背后，涉及當前互聯網企業的商業邏輯。一位資深業內人士告訴本刊記者，互聯網企業通過免費模式吸引用戶后，后續的變現模式就是精準營銷，要想做到精準就必須盡可能多地掌握用戶的數據。“搜集的數據多一點，營銷價值就會提升很多。大數據時代，沒人知道哪些數據會成為重點，足夠多的數據才是重點。”

法規雖有，知名判例鮮見

第三方數據機構TalkingData提供的數據顯示，2016年，我國App數量超過1700萬個。數量如此龐大的App，如果越界索取了用戶權限，將大大增加用戶信息泄露的風險。

對于App索取用戶權限的現象，有關部門早已明文禁止。2016年8月起生效的《移動互聯網應用程序信息服務管理規定》中就明確規定，未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序。

但是在操作中，很多企業都無視這條規則。對此，資深互聯網法律研究者劉春泉告訴本刊記者，“很多互聯網企業都是盡可能多地搜集信息，我對這個問題也抗議了很久，但由于既得利益非常大，不僅大企業不聞不問，連很多小企業都無所畏懼。”

一方面是企業利益驅使，另一方面則是鮮有處罰案例。劉春泉告訴本刊記者，對于個人信息保護，雖然目前已有的法律法規早有明確規定，但是對于不守法者的懲罰缺乏明確規定，至今仍缺少知名判例或罰則。

同時，多位業內人士表示，相關部門還要加大監管和執法力度。趙占領認為，雖然管理諸多App不太現實，但是監管部門還是可以從應用商店入手，通過管理平臺間接管理App，加強應用商店的審核標準，以不斷改善App過度索取用戶信息的局面。

面對App系統性的過度索取權限，用戶能夠做的不多，但是也可以有所作為。對此，多位技術人員告訴本刊記者，“現在無論是安卓還是iOS的安全管理都在提升。通過設置，用戶可以禁止App調取不必要的權限，并且仍能正常使用應用。”