6月初，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》(以下簡(jiǎn)稱(chēng)《信息規(guī)范》)，依據(jù)個(gè)人信息收集最少夠用的原則以及不同種類(lèi)APP的業(yè)務(wù)范圍，對(duì)地圖導(dǎo)航、網(wǎng)上購(gòu)物、餐飲外賣(mài)等16類(lèi)APP收集個(gè)人信息的范圍給出了參考。

　　6月10日至17日，新京報(bào)記者依照《信息規(guī)范》中的分類(lèi)選取了50款常用APP，對(duì)其索取的權(quán)限以及收集信息的范圍進(jìn)行實(shí)測(cè)，發(fā)現(xiàn)若嚴(yán)格按照《信息規(guī)范》中劃定的信息收集范圍，這50個(gè)APP中有24個(gè)APP索取的權(quán)限超出范圍，如智聯(lián)招聘索取了相機(jī)、位置、通訊錄權(quán)限，百合婚戀收集了通訊錄權(quán)限。

　　不過(guò)記者發(fā)現(xiàn)，部分權(quán)限索取范圍超過(guò)《信息規(guī)范》的APP也有其正當(dāng)理由。

　　“《信息規(guī)范》對(duì)于現(xiàn)在某些APP過(guò)度收集個(gè)人信息是有幫助的，是一個(gè)非常好的方向，但另一方面，很多時(shí)候并不是特別好去判斷什么是企業(yè)應(yīng)當(dāng)收集的個(gè)人信息。對(duì)于這種情況我認(rèn)為更重要的是要看企業(yè)對(duì)數(shù)據(jù)后續(xù)的處理和利用是否規(guī)范，是否合規(guī)，這應(yīng)是監(jiān)管的重點(diǎn)。”6月11日，中國(guó)人民大學(xué)法學(xué)院副教授丁曉東對(duì)記者表示。

　　超半數(shù)APP遵守最少夠用原則

　　京東金融、優(yōu)信等18款A(yù)PP

　　“超出規(guī)范”索取位置信息

　　《信息規(guī)范》指出，移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息收集活動(dòng)，主要依據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》的“個(gè)人信息安全基本原則”，遵循權(quán)責(zé)一致、目的明確、最少夠用、選擇同意、公開(kāi)透明、確保安全六個(gè)原則。

　　2018年1月，記者曾根據(jù)上述原則對(duì)20款主流APP進(jìn)行測(cè)試發(fā)現(xiàn)，當(dāng)時(shí)不少APP不僅越界索權(quán)，還未向用戶(hù)進(jìn)行明示提醒。

　　而在此次測(cè)試中，50款A(yù)PP在索取權(quán)限時(shí)，均向用戶(hù)進(jìn)行了明示提醒，遵循了“選擇同意”原則。但記者發(fā)現(xiàn)在“最少夠用”與“目的明確”原則上，有部分APP仍不夠完善。

　　“最少夠用”原則指的是不收集與APP提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不申請(qǐng)打開(kāi)可收集無(wú)關(guān)個(gè)人信息的權(quán)限。只收集滿(mǎn)足業(yè)務(wù)功能所必需的最少類(lèi)型和數(shù)量的個(gè)人信息，自動(dòng)收集個(gè)人信息的頻率不超過(guò)業(yè)務(wù)功能實(shí)際所需的頻率。

　　《信息規(guī)范》將APP“非越界”索取的信息分為了通用功能相關(guān)必要信息與必要信息兩類(lèi)。

　　其中，通用功能相關(guān)必要信息是指根據(jù)相關(guān)法律法規(guī)要求，保障移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全風(fēng)險(xiǎn)管控所必需的個(gè)人信息，記者發(fā)現(xiàn)這主要包括電話(huà)權(quán)限等;而必要信息主要包括APP中與基本業(yè)務(wù)功能直接關(guān)聯(lián)，一旦缺少會(huì)導(dǎo)致基本業(yè)務(wù)功能無(wú)法實(shí)現(xiàn)或無(wú)法正常運(yùn)行的個(gè)人信息，如位置之于導(dǎo)航類(lèi)APP，姓名之于票務(wù)類(lèi)APP。

　　記者按該規(guī)定內(nèi)容測(cè)試了50款常用APP發(fā)現(xiàn)，有24款A(yù)PP所開(kāi)啟的權(quán)限違背了“最少夠用”原則，而在多開(kāi)啟的權(quán)限中，位置總共被獲取了18次。

　　位置是被索取最多次數(shù)的權(quán)限。根據(jù)《信息規(guī)范》，位置信息對(duì)于地圖導(dǎo)航、網(wǎng)絡(luò)約車(chē)兩類(lèi)APP來(lái)說(shuō)屬于必要。而對(duì)于快遞配送、網(wǎng)上購(gòu)物等門(mén)類(lèi)的APP，雖然沒(méi)有直接寫(xiě)明位置信息屬于必要，但表示APP可以記錄收貨地址、購(gòu)物地址等。

　　記者測(cè)試發(fā)現(xiàn)，除上述門(mén)類(lèi)的APP外，新聞資訊、房產(chǎn)交易、汽車(chē)交易等門(mén)類(lèi)下共計(jì)18款A(yù)PP也開(kāi)啟了位置權(quán)限。例如建行、京東金融、優(yōu)信二手車(chē)等APP就索取了位置信息。根據(jù)《信息規(guī)范》，這些APP開(kāi)啟位置權(quán)限的行為屬于“非業(yè)務(wù)功能所必需”。

　　這些APP中，部分索取位置權(quán)限的APP有其打開(kāi)后就馬上需要使用的功能，如優(yōu)信二手車(chē)APP在下載后需要馬上提供位置權(quán)限以便進(jìn)行二手車(chē)“上門(mén)服務(wù)”。也有一些APP有相應(yīng)功能，但并非需要馬上使用，如京東金融內(nèi)設(shè)本地生活欄目，豆瓣則有“豆瓣同城”，但這些APP在打開(kāi)后立刻向用戶(hù)索取了位置權(quán)限。

　　在不少用戶(hù)看來(lái)，一些APP收集位置信息可以理解，如微信、抖音等發(fā)消息時(shí)可以“秀定位”。

　　對(duì)此，丁曉東對(duì)記者表示，《信息規(guī)范》對(duì)于現(xiàn)在某些APP過(guò)度收集個(gè)人信息是有幫助的，是一個(gè)非常好的方向，但另一方面，對(duì)于什么是企業(yè)應(yīng)當(dāng)收集的個(gè)人信息，很多時(shí)候并不是特別好去判斷，因?yàn)锳PP很多業(yè)務(wù)功能會(huì)擴(kuò)展，很多業(yè)務(wù)的使用場(chǎng)景也都不同，而且很多時(shí)候APP提示用戶(hù)同意收集，其實(shí)也是給了消費(fèi)者選擇權(quán)。

　　目的明確原則不夠完善

　　智聯(lián)招聘“多”開(kāi)位置相機(jī)通訊錄權(quán)限

　　在此次測(cè)試中，記者發(fā)現(xiàn)在“目的明確”原則上，部分APP仍不夠完善。

　　“目的明確”原則指的是APP向用戶(hù)明示收集使用個(gè)人信息的目的、方式和范圍，且收集的個(gè)人信息及申請(qǐng)的權(quán)限應(yīng)具有合法、正當(dāng)、必要、明確的收集使用目的和業(yè)務(wù)功能。

　　在本次測(cè)試中，多數(shù)APP只“超出規(guī)范”開(kāi)啟了一個(gè)權(quán)限，如豆瓣開(kāi)啟了位置等。智聯(lián)招聘、陌陌“多”開(kāi)啟的權(quán)限數(shù)量超過(guò)兩個(gè)。其中，智聯(lián)招聘在安裝后第一次運(yùn)行時(shí)向用戶(hù)提示索取位置、相機(jī)、通訊錄權(quán)限;陌陌索取位置、相機(jī)、麥克風(fēng)權(quán)限。

　　對(duì)于“超出規(guī)范”索取的權(quán)限，有不少APP直接在功能中予以體現(xiàn)。也有一些APP對(duì)權(quán)限的索取雖然與主業(yè)不符，但在首次打開(kāi)后就進(jìn)行了明確告知。

　　在本次測(cè)試中，記者選取了打開(kāi)APP后首先提示開(kāi)啟的權(quán)限作為該APP“與主業(yè)相關(guān)”的權(quán)限。在這一測(cè)試機(jī)制下，有部分APP在首次安裝并打開(kāi)后就索取了與主業(yè)無(wú)關(guān)的權(quán)限，且并未以明顯方式提示用戶(hù)其開(kāi)啟的權(quán)限有何用處。

　　如根據(jù)《信息規(guī)范》，“求職招聘”類(lèi)APP可以索取的必要信息包括用戶(hù)注冊(cè)的手機(jī)號(hào)碼、賬號(hào)信息、求職者基本信息、教育信息和工作經(jīng)歷信息等。但記者首次安裝并打開(kāi)智聯(lián)招聘后，該APP提示開(kāi)啟了位置、相機(jī)、通訊錄等與上述可索取信息并不相干的權(quán)限，且并未提示為何開(kāi)啟這些權(quán)限。

　　記者在智聯(lián)招聘APP中尋找相應(yīng)功能發(fā)現(xiàn)，位置權(quán)限與其首頁(yè)檢測(cè)用戶(hù)所在城市并推薦工作有關(guān)，相機(jī)權(quán)限則發(fā)現(xiàn)與上傳頭像有關(guān)，記者未發(fā)現(xiàn)與開(kāi)啟通訊錄權(quán)限所關(guān)聯(lián)的主要業(yè)務(wù)功能。

　　需要注意的是，與智聯(lián)招聘同樣屬于“求職招聘”類(lèi)的Boss直聘與前程無(wú)憂(yōu)只開(kāi)啟了位置信息，并未在安裝后即向用戶(hù)索取相機(jī)和通訊錄權(quán)限，獵聘則未索取與主業(yè)無(wú)關(guān)的信息。

　　與之類(lèi)似的還有百合婚戀。根據(jù)《信息規(guī)范》，婚戀相親類(lèi)APP可以收集手機(jī)號(hào)碼、賬號(hào)信息、個(gè)人基本資料等信息。但記者首次打開(kāi)百合婚戀后，該APP明示索取通訊錄權(quán)限，相比之下，同屬婚戀相親類(lèi)APP的世紀(jì)佳緣、珍愛(ài)網(wǎng)就沒(méi)有索取通訊錄權(quán)限。

　　開(kāi)啟權(quán)限有什么風(fēng)險(xiǎn)?

　　技術(shù)上APP可獲取偷窺隱私的“后門(mén)”

　　需要注意的是，不論是當(dāng)用戶(hù)需要時(shí)再提示開(kāi)啟權(quán)限，還是在一開(kāi)始就開(kāi)啟權(quán)限，一旦當(dāng)安卓用戶(hù)開(kāi)啟權(quán)限后，該權(quán)限就會(huì)一直處于“開(kāi)啟”狀態(tài)，除非用戶(hù)再手動(dòng)關(guān)閉。這是因?yàn)橄啾扔谔O(píng)果ios系統(tǒng)具有權(quán)限“只在A(yíng)PP運(yùn)行時(shí)開(kāi)啟”、“始終開(kāi)啟”、“不開(kāi)啟”的三個(gè)選項(xiàng)，安卓系統(tǒng)的隱私選項(xiàng)顆粒較粗，絕大多數(shù)用戶(hù)只能選擇“開(kāi)啟”或“關(guān)閉”，這意味著一旦授予后，該權(quán)限并不會(huì)隨應(yīng)用狀態(tài)的改變(進(jìn)入或退出使用狀態(tài))而發(fā)生變化。

　　這就意味著，不論是正當(dāng)還是非正當(dāng)?shù)哪康�，只要安卓用�?hù)向APP打開(kāi)權(quán)限的大門(mén)后，APP也擁有了偷窺用戶(hù)隱私的技術(shù)權(quán)限。

　　有安全專(zhuān)家向記者介紹，隨著市場(chǎng)上APP的功能越來(lái)越豐富，申請(qǐng)的權(quán)限也越來(lái)越多，但另一方面，以竊取泄露用戶(hù)信息為目的的惡意APP和僅是提供服務(wù)的非惡意APP申請(qǐng)的權(quán)限交集也更大了。“例如目前許多APP都有‘語(yǔ)音搜索’功能，即便這并非其核心功能，開(kāi)啟與否區(qū)別不大，但一旦開(kāi)啟，就意味著APP有了窺探用戶(hù)隱私的能力。”

　　有安全專(zhuān)家對(duì)記者表示，“由于很難取證，目前并沒(méi)有有效的懲處制度來(lái)約束APP的這種隱私竊取行為，用戶(hù)也無(wú)法證明APP是否真的竊取了隱私。”