超1000款App過度收集用戶信息，你的隱私誰來守護？

當前，智能手機已經成為人們生活必需品，以至於人們吃飯、睡覺、上廁所都帶著手機。人們使用智能手機，並下載各類App。這些App在提供方便的同時，卻成為人們個人信息泄露的「漏斗」。從這個「漏斗」，用戶的手機號、通訊錄、通話記錄、簡訊記錄等隱私信息紛紛外泄。

為什麼這些公司要收集你的個人信息？因為它「無價」，更貼切地說你的個人信息有價值。眾所周知，互聯網時代，數據的價值最大，它堪比工業時代的「石油」。在工業時代，為獲取石油，人們不斷採掘;到互聯網時代，為獲取數據，出現一些公司瘋狂收集用戶信息的事情。

如果你剛想吃什麼，手機就彈出它的推薦;剛要說要買什麼，就出現了廣告;剛在購房App上瀏覽完，信用貸款電話就打了進來……如果有這種類似遭遇，那麼你的隱私信息可能已經泄露。

近日，廣東省公安機關持續開展2019年第二季度超範圍收集用戶信息APP清理整治工作，共監測發現1048款APP存在超範圍收集用戶信息行為。

簡言之，超過1000款App每天都在暗地收集你的個人信息(你手機中安裝的)。從你的電話、簡訊、通話記錄到位置等等，這些信息均被上述App收集起來，想想都令人後背發涼。

據悉，這1048款App，有42款App存在超範圍讀取用戶通話記錄、簡訊或彩信、收集用戶通話錄、用戶設備上已知賬號、超許可權使用用戶設備麥克風等突出安全問題。

來看看筆者比較熟悉的一些App(詳情看附表)：

1. 藝龍旅行(9.54.2版本)

超範圍收集用戶信息情況——獲取任務信息，此常量在API級別21中已棄用不再強制執行;讀取用戶聯繫人數據。

用戶協議及隱私政策——有用戶協議，有隱私政策，易於訪問，不易於閱讀。

2. 酷狗音樂(9.2.2版本)

超範圍收集用戶信息情況——讀取用戶日曆數據;讀取用戶聯繫人數據

用戶協議及隱私政策——有用戶協議，有隱私政策，易於訪問，不易於閱讀。

3. 中華萬年曆日曆(7.5.2版本)

超範圍收集用戶信息情況——讀取用戶的聯繫人數據;允許應用程序錄製音頻

用戶協議及隱私政策——有用戶協議，有隱私政策，易於訪問，不易於閱讀。

4. 華潤信託(1.7.6版本)

超範圍收集用戶信息情況——讀取用戶設備狀態和身份;讀取用戶簡訊內容;允許應用程序錄製音頻;允許程序讀取或寫入系統設置

用戶協議及隱私政策——在登錄頁面有用戶協議，但未說明業務邏輯與許可權的關係。

5. 多點(4.2.1版本)

超範圍收集用戶信息情況——在用戶不知情情況下添加或修改日曆活動，並向邀請對象發送電子郵件;讀取用戶日曆活動和詳情;允許應用隨時使用麥克風進行錄音;讀取用戶設備上簡訊內容;修改用戶通訊錄。

用戶協議及隱私政策——無隱私政策和用戶協議

雖然有些App已經申請收集個人用戶信息，但是如果某些許可權，用戶不同意開啟，則App無法安裝或運行的許可權數。筆者稱這種做法為「耍流氓」。

根據《百款常用App申請收集使用個人信息許可權列表》顯示，手機信息許可權有26個小項，分為日曆、通話記錄、相機、通訊錄、位置、麥克風、電話、感測器、簡訊和存儲10個類別。

其中申請收集個人信息相關許可權數，筆者統計申請收集13個許可權及以上的手機App，分別有(詳情看附表)

平安普惠(6.0.0版本)——16個許可權

平安金管家(5.03.0)——15個許可權

360手機衛士(8.1.0)——23個許可權

騰訊手機管家(7.14.0)——22個許可權

QQ同步助手(6.9.11)——19個許可權

百度網盤(9.6.8)——17個許可權

WiFi萬能鑰匙(4.3.59)——13個許可權

釘釘(4.6.25)——13個許可權

途牛旅遊(10.6.0)——13個許可權

中國建設銀行(4.1.5)——13個許可權

中國工商銀行(4.1.0.4.0)——13個許可權

聯通手機營業廳(6.1)——18個許可權

中國移動(5.3.0)——17個許可權

鈴聲多多(8.7.47.0)——14個許可權

汽車之家(9.10.5)——14個許可權

根據《網路安全法》第四十一條規定：網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則、明示收集、使用信息的目的、方式和範圍，並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人信息。

按理說，公司收集個人用戶信息應當遵循國家標準提出的「個人信息最少夠用」原則。注意，這裡已經指出一個是最少，一個夠用。實際上，公司收集個人用戶信息不是最少，而是儘可能多地去收集。這實際上已經與國家標準背道而馳。

比如上文提到的360手機助手、騰訊手機管家，申請收集的個人信息許可權數均超過20個，差不多都想獲取你的全部手機許可權。這種問題，值得大家注意。

根據全國信息安全標準化技術委員會發布的《網路安全實踐指南——移動互聯網應用基本業務功能必要信息規範》指出，移動互聯網應用個人信息收集活動需遵循6個基本原則：

1. 權責一致原則—個人信息收集應遵循法律法規要求，不採用非法的方式和渠道收集個人信息，不收集法律法規禁止的個人信息，不違反與用戶的約定收集使用個人信息，並對因個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。

2. 目的明確原則——向用戶明示收集使用個人信息的目的、方式和範圍，收集的個人信息及申請的許可權應具有合法、正當、必要、明確的收集使用目的和業務功能。

3. 最少夠用原則——不收集與其提供的服務無關的個人信息，不申請打開可收集無關個人信息的許可權。只收集滿足業務功能所必需的最少類型和數量的個人信息，自動收集個人信息的頻率不超過業務功能實際所需的頻率。

4. 選擇同意原則——僅當用戶知悉收集使用規則並明確同意後，網路運營者方可收集個人信息。不以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由，以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。不因個人信息主體拒絕或者撤銷同意收集必要信息以外的其他信息，而拒絕提供基本業務功能服務或頻繁徵求用戶同意。

5. 公開透明原則——以明確具體、簡單通俗、易於訪問的方式公開收集、使用個人信息的規則，並接受外部監督。

6. 確保安全原則——採用足夠的安全技術和管理措施，保障個人信息收集安全，防護數據竊取、違規爬取、採集傳輸泄密等安全風險。

實際上，我們看到這些原則在現實中並沒有被很好的遵守，尤其是最少夠用原則和選擇同意原則。很多App是盡量多收集一些與個人信息有關的許可權，並且App安裝時，一旦「拒絕或者撤銷同意收集必要信息以外的其他信息」，App就「拒絕提供基本業務功能服務或頻繁徵求用戶同意」。

如果你無法指望公司，那麼只有自己守護自己的個人隱私。關於個人隱私信息，筆者將在另一篇文章中詳細道來。

附：

1.42款超範圍收集用戶信息App名單

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！