APP頻頻「越界」，我的手機究竟誰做主

文/圖 半島全媒體記者 景毅 實習生 范心瑜 羅心儀

如今的智能手機，無論是安卓系統還是蘋果的iOS系統，用戶在下載安裝一款新APP時，系統都會相應彈出一些獲取許可權的提示。為了便於APP施展功能，用戶可以有選擇性地在一些方面「放權」。然而，看似掌握了決定權的用戶，真的能對自己的手機做主嗎？

安裝一個WiFi管理應用，竟要訪問攝像頭，安裝一個閱讀器應用居然要訪問手機相冊……海量的手機APP在方便用戶的同時，也在竭盡所能地攫取手機的各樣許可權，其中涉及隱私的通訊錄、簡訊、地理位置等信息更是APP們的首選目標。

半島記者用蘋果及安卓手機分別測試了各自市面上使用量較多的20款APP，發現僅4款APP不需要位置、通訊錄等敏感許可權，多款APP存在獲取明顯超出其功能許可權的現象。而即便是系統管理更為封閉嚴格的蘋果手機，也存在多款APP默認勾選同意企業制定的用戶協議及隱私政策的情況。

儘管各大APP公司均聲明不會搜集更不會濫用用戶的隱私信息，但手機安全專家表示，獲得許可權就意味著已將這些隱私暴露在軟體開發者面前，僅靠開發者的自覺顯然難以確保信息安全。

「偷偷」獲取的許可權

近日，工信部信息通信管理局約談了百度、支付寶等企業，指出對照《網路安全法》《電信和互聯網用戶個人信息保護規定》等規定，相關企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況，並要求相關企業進行整改。半島記者調查發現，除了上述公司，市面上還有大量APP存在許可權獲取程序不明確、過度獲取許可權、默認同意條款等現象，用戶稍不留神就著了道。

2月6日至8日，半島記者使用華為手機自帶的華為應用市場下載安裝了最熱門的20款APP。結果發現，20款APP在安裝時都需要用戶授權放開許可權，而多達16款APP在安裝時需要用到一些涉及用戶個人隱私的許可權，其中獲取手機位置許可權的APP最多，有百度、火山小視頻、UC瀏覽器等11款；其次是訪問SD卡，有微信、微博等9款；還有使用通話功能、訪問通訊錄、訪問相冊等許可權。

然而，記者查看系統後台許可權管理髮現，除了上述徵求了用戶意見的許可權，20款APP均默認開通了讀取本機識別碼，同時對於調取用戶攝像頭、撥打電話、啟用錄音等更加隱私的功能也均採取了選擇性打開，即APP在使用過程中可以調取這些功能，但需要用戶同意。

知名通訊專家項立剛向半島記者介紹，手機系統對APP授權本身就比較複雜，尤其是更為開放的安卓系統。有些手機製造商會給一些合作APP或者口碑一直較好的APP開放系統白名單，如果用該手機安裝相應的APP，手機可能會自動默認授權一些許可權。

不過手機安全專家朱翼鵬認為，目前安卓平台上廣泛存在許可權被濫用的現象，很多應用經常申請不必要的敏感許可權，使用戶隱私面臨被泄露的風險。

半島記者通過安卓手機安裝的20大熱門APP中，每款都至少調動了7項許可權，最多的調動了19項許可權。而其中很多APP調動的許可權都跟自身的功能不符。比如，WiFi萬能鑰匙這款APP如果用戶在後台選擇信任此應用，其不僅可以發簡訊、打電話，還能調用攝像頭和麥克風進行拍攝和錄音。

市面上的熱門APP都調用了多項手機許可權。

「悄悄」打上的對勾

除了在獲取許可權方面存在提示不明、過度獲取等情況，各大APP在安裝時還存在默認同意用戶協議及隱私協議的情況。

根據我國《信息安全技術個人信息安全規範》要求，收集個人敏感信息時，應取得個人信息主體的明示同意，確保其在完全知情的基礎上自願給出具體、清晰、明確的願望表示，並且允許個人信息主體選擇是否提供或同意自動採集。

為了解決許可權安全問題，谷歌公司曾建議開發者在上傳應用時發布隱私條例，即開發者需要聲明用戶相關的隱私信息如何被使用、收集或分享，其目的是使用戶了解隱私信息如何被使用，從而更好地保護用戶隱私。

但目前，很多APP並沒有做到明示隱私協議以及給予用戶選擇是否同意的權利。半島記者用安卓手機測試的20款APP中，有14款在安裝時沒有任何條款及隱私協議提示，而另外的Wifi萬能鑰匙、百度、QQ瀏覽器、騰訊新聞4款APP，儘管會彈出提醒用戶隱私協議的對話框，但相關條款都放在最下方，字體很小，且對話框都是「默認勾選」的。也就是說，用戶只要點擊下一步就意味著同意了APP的各種條款。只有騰訊視頻和京東在首次安裝時就將其隱私協議進行了彈窗提示，用戶可以選擇是否同意。即便是擁有相對封閉系統的蘋果手機，半島記者在測試時也發現，熱門的20款APP中，百度、WiFi萬能鑰匙兩款在安裝時存在默認勾選同意用戶協議和隱私政策的情況。

此前，國內一家個人信息保護研究中心發布的《關於收集個人信息「明示同意」的測評報告與建議》顯示，在100款常用APP中，在用戶註冊前，「默認勾選」同意企業用戶協議和隱私政策的情況並不少見，有的甚至存在用戶不可自主選擇同意與否的問題。僅有11%的APP做到了合乎法規及規範的「明示同意」。在前不久的支付寶「年度賬單」事件中，也出現了默認勾選隱私協議的事件。

半島記者測試發現，多數APP的隱私協議藏在「設置」選項中，相關隱私條款中，多數均有「使用APP就視為同意條款」等類似表述。

對此，華東政法大學教授、大數據政策法律研究中心主任高富平曾公開發表文章認為有效同意的要件需要明確。

高富平認為，我國現行法律將同意視為個人信息收集和使用的一般規則，但在實踐中，「同意」被大量地使用，很難起到保護個人權利的作用。這主要是因為，在實踐中的同意大多數是與服務捆綁的，用戶協議的同意是接受服務的前提，因而要接受服務就必須同意，否則無法享受服務。而用戶協議又是涵蓋經營者可能列舉的各種情形，包括向所有關聯方、業務合作方等提供信息。這也就是大家通常講到的「概括式同意」。在這種概括式的協議中不乏各種不合理條款。

高富平認為，法律尚沒有明確否定概括式同意，實踐中的做法並不違反法律。但涉及具體的個案糾紛，法院有權對不合理條款進行實質審查，否定其效力。何為有效的同意，需要今後法律予以明確。

「默默」收集的信息

隨著用戶對個人隱私的注重，有關APP獲取許可權的問題也早已不局限在技術探討層面。

近日，江蘇省消保委就以手機應用侵犯消費者個人信息，兩次約談無整改為由，向百度公司提起民事訴訟。

根據江蘇省消保委的說法，在百度公司最終提交的整改方案中，對手機百度、百度瀏覽器兩款APP中「監聽電話」、「讀取短彩信」、「讀取聯繫人」等涉及消費者個人信息安全的相關許可權，並未進行整改，也未明確提示消費者軟體申請獲取許可權的目的、方式和範圍並供消費者選擇。

百度方面則表示，會繼續與江蘇省消保委積極溝通，與消保委一起讓個人信息安全得到更廣泛的重視、在互聯網及其他行業得到更充分的保護。

騰訊社會研究中心和DCCI互聯網數據中心近日發布《2017年度網路隱私安全及欺詐行為研究分析報告》（《報告》），《報告》顯示，98.5%安卓手機APP存在獲取用戶隱私許可權問題，iOS應用獲取用戶隱私許可權也達到81.9%。

值得注意的是，與2017年一季度測評結果相比，安卓手機APP對核心隱私許可權的獲取情況有所降低。特別是讀取手機號碼、讀取彩信兩個許可權大幅度下降，下半年測評中所佔比例分別為10.9%和0.8%。此外，Android應用在下半年越界獲取用戶隱私許可權的比例也有明顯下降，從25.3%降至9%。

《報告》顯示，對隱私許可權管理相對完善的iOS系統，同樣也存在隱私泄露問題。2017下半年iOS應用獲取的用戶手機隱私許可權比例相較於第一季度有所上升，達到81.9%，提高了12.6%個百分點。其中，通訊社區、影音娛樂類APP為100%獲取手機隱私許可權，此外，常用工具、圖像美化、投資理財類的軟體獲取比例也有所上升，均達到90%以上。

採訪中，很多業內人士表示，APP獲取許可權並不意味著就要收集甚至利用隱私信息，而是軟體開發應用的必要手段。對於軟體開發商來說，收集海量數據既無必要更不划算。

中國互聯網協會信用評價中心法律顧問趙佔領向半島記者介紹，收集個人信息有無必要，取決於產品的功能和定位，比如一些新聞客戶端收集用戶訪問記錄，分析用戶興趣、偏好，以便實現精準推薦，這並不違反必要原則。

趙佔領表示，根據相關法律法規，網路服務提供者收集個人信息需要遵循正當、合法、必要原則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。

手機系統專家朱翼鵬建議，除了安裝專業的手機安全防護軟體外，相關部門在手機應用軟體開發和推廣方面應該出台更嚴格更細化的標準，給手機應用，尤其是安卓手機平台應用分級，比如一般級、隱私級等，軟體安裝所要求的許可權必須在該級別的範圍內，用戶按級放權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！