今年央視“3·15”晚會(huì)曝光了一款名為“社保掌上通”的APP，其通過(guò)隱藏的用戶條款竊取用戶社保信息。經(jīng)濟(jì)導(dǎo)報(bào)記者在采訪中發(fā)現(xiàn)幾乎所有的APP都在過(guò)度索取權(quán)限。比如，咪咕視頻能“讀”日歷活動(dòng)和機(jī)密信息、監(jiān)控所有應(yīng)用的啟動(dòng)，竟然還要擁有人體傳感器(如心跳速率檢測(cè)器)的權(quán)限；大潤(rùn)發(fā)優(yōu)鮮要清除SD卡內(nèi)容的權(quán)限；51talk青少兒英語(yǔ)竟然要永久停用手機(jī)、刪除應(yīng)用和強(qiáng)制重新啟動(dòng)手機(jī)的權(quán)限……

　　濟(jì)南華星信息安全技術(shù)有限公司總經(jīng)理劉華星在接受經(jīng)濟(jì)導(dǎo)報(bào)記者采訪時(shí)表示，“你在使用APP，實(shí)際上APP卻在收集你的隱私。”

　　如何讓個(gè)人隱私不再“裸奔”？業(yè)內(nèi)人士指出，除了個(gè)人使用的問(wèn)題外，應(yīng)大幅提升對(duì)違法違規(guī)企業(yè)的懲罰力度，還需制定APP過(guò)度索權(quán)的評(píng)估標(biāo)準(zhǔn)，打造有力的監(jiān)管體系。

　　索權(quán)涉用戶隱私

　　“社保掌上通”被曝光只是APP竊取用戶信息的冰山一角，還有更多的APP存在類似問(wèn)題，只是沒(méi)有被曝光而已。

　　接受經(jīng)濟(jì)導(dǎo)報(bào)記者采訪時(shí)，劉華星隨手拿過(guò)記者的手機(jī)，經(jīng)過(guò)一番操作后，他告訴經(jīng)濟(jì)導(dǎo)報(bào)記者，目前手機(jī)一共有109個(gè)APP，這109個(gè)APP都要擁有的權(quán)限包括但不限于發(fā)送彩信、獲取手機(jī)信息(手機(jī)號(hào)碼、IMEI、IMSI權(quán)限)、讀取手機(jī)中已經(jīng)安裝的應(yīng)用列表、讀寫手機(jī)存儲(chǔ)以及后臺(tái)彈出界面。

　　此外，有94個(gè)APP要求定位和拍照、錄像和閃光燈等權(quán)限；93個(gè)要求開啟或關(guān)閉WIFI的權(quán)限；87個(gè)要求可以修改系統(tǒng)設(shè)置；75個(gè)要通話錄音和本地錄音；58個(gè)要求獲取手機(jī)賬戶；56個(gè)要求可以讀取聯(lián)系人；46個(gè)要求可以直接撥打電話……

　　濟(jì)南市民劉偉告訴經(jīng)濟(jì)導(dǎo)報(bào)記者，此前他手機(jī)中曾安裝有一款名為“咪咕視頻”的APP，結(jié)果一次偶然瀏覽“權(quán)限要求”時(shí)，他發(fā)現(xiàn)這款視頻軟件竟然能讀取和修改通訊錄、讀取和寫入通話記錄，甚至還能監(jiān)控手機(jī)里面的所有應(yīng)用。

　　咪咕視頻并非只要上述權(quán)限，經(jīng)濟(jì)導(dǎo)報(bào)記者在應(yīng)用程序商店“豌豆莢”內(nèi)搜索到這款A(yù)PP，在“權(quán)限要求”項(xiàng)發(fā)現(xiàn)，這款定位為視頻軟件的APP，有著多達(dá)40多項(xiàng)權(quán)限要求，除了讀取通訊錄、修改通訊錄、監(jiān)聽新安裝應(yīng)用、讀取通話記錄、寫入通話記錄、讀取日歷活動(dòng)和機(jī)密信息，最關(guān)鍵的，這款A(yù)PP還能強(qiáng)行重新啟動(dòng)手機(jī)、將系統(tǒng)恢復(fù)到出廠設(shè)置、清除SD卡內(nèi)容，甚至還有人體傳感器的權(quán)限要求。

　　而一款名為“51talk青少兒英語(yǔ)”學(xué)習(xí)類APP，其權(quán)限要求也有近30項(xiàng)。“添加或移除賬戶、控制近距離通信、永久停用手機(jī)、刪除應(yīng)用、強(qiáng)制應(yīng)用關(guān)閉、強(qiáng)行重新啟動(dòng)手機(jī)”。

　　此外，經(jīng)濟(jì)導(dǎo)報(bào)記者手機(jī)中安裝的“大潤(rùn)發(fā)優(yōu)鮮”——一個(gè)購(gòu)物軟件APP，要求的權(quán)限也不少，“讀取通訊錄、定位、獲取手機(jī)信息、讀取應(yīng)用列表、添加或移除賬戶、清除SD卡內(nèi)容、獲取當(dāng)前應(yīng)用的信息、人體傳感器”等。

　　百度APP要求了32項(xiàng)權(quán)限，其中就包括發(fā)送彩信、讀取短信和彩信、讀取聯(lián)系人、讀寫手機(jī)存儲(chǔ)、定位以及相機(jī)和錄音等敏感權(quán)限。此外還包括記錄鍵入的內(nèi)容和執(zhí)行的操作；修改安全系統(tǒng)設(shè)置；綁定通知偵聽器服務(wù)；強(qiáng)行重新啟動(dòng)手機(jī)；強(qiáng)制關(guān)閉后臺(tái)應(yīng)用等權(quán)限。

　　“作為搜索及瀏覽器類APP，上述權(quán)限并非提供正常服務(wù)所必需，已超出合理的范圍。”劉華星說(shuō)。

　　隱私何時(shí)不再“裸奔”

　　“沒(méi)有人愿意用隱私來(lái)?yè)Q取便利，這些隱私信息確實(shí)都是我們?cè)谙螺d安裝APP時(shí)同意授權(quán)的，但并不都是心甘情愿的，因?yàn)槟悴贿x‘同意’就無(wú)法使用，在這個(gè)時(shí)代很難想象一個(gè)人在生活中完全不使用手機(jī)APP。”濟(jì)南市民劉偉說(shuō)。

　　“對(duì)廠商來(lái)講，能拿到的用戶信息越多越好，這有利于分析用戶的使用習(xí)慣，知道了用戶習(xí)慣就能更好地推送產(chǎn)品。”中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書長(zhǎng)魯輝表示。

　　北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示，現(xiàn)有法律法規(guī)沒(méi)有針對(duì)各個(gè)細(xì)分領(lǐng)域單獨(dú)進(jìn)行規(guī)定，比如視頻APP只能收集哪些信息、電商APP只能收集哪些信息，主要原因在于行業(yè)和軟件類型眾多，很難逐一規(guī)定收集個(gè)人信息的范圍，只能通過(guò)必要性原則來(lái)判斷。

　　騰訊社會(huì)研究中心聯(lián)合DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心此前發(fā)布的《2018年度網(wǎng)絡(luò)隱私及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告》顯示，2018年上半年，安卓端獲取隱私權(quán)限的手機(jī)APP占比達(dá)到99.9%，也就是說(shuō)幾乎所有的安卓端手機(jī)APP都存在不同程度獲取用戶隱私權(quán)限的情況。

　　劉華星認(rèn)為，現(xiàn)在大部分手機(jī)應(yīng)用并未遵循“最少夠用”的原則。“通常APP所收集來(lái)的信息都用于完善用戶畫像及數(shù)據(jù)分析。一些權(quán)限是非核心、不必要的，一些開發(fā)者濫用權(quán)限的授權(quán)，比如在產(chǎn)品設(shè)計(jì)時(shí)，把未來(lái)才可能用到的權(quán)限全部加上，但目前的版本可能根本用不上。”

　　值得一提的是，APP的信息安全已經(jīng)引起監(jiān)管部門重視。今年1月底，中央網(wǎng)信辦聯(lián)合工信部、公安部、市場(chǎng)監(jiān)管總局等四部門表態(tài)，今年將在全國(guó)范圍內(nèi)發(fā)起專項(xiàng)治理活動(dòng)。嚴(yán)重違法違規(guī)收集個(gè)人信息的APP運(yùn)營(yíng)者，將被依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。

　　此外，將于5月1日生效的《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定，收集個(gè)人信息時(shí)需要得到用戶授權(quán)，而且收集的如果是個(gè)人敏感信息，還需明示同意。

　　在劉華星看來(lái)，除了大幅提升對(duì)違法違規(guī)企業(yè)的懲罰力度，還需制定APP過(guò)度索權(quán)的評(píng)估標(biāo)準(zhǔn)和打造有力的監(jiān)管體系。