APP权限获取成了霸王条款手机应用索取权限合理吗？

2018年1月18日讯，你的手机安全吗？哪些手机APP在越界获取你的隐私权限？应用索取权限合理吗？昨天，腾讯社会研究中心联合DCCI互联网数据中心联合发布《2017年度网络隐私安全及网络欺诈行为分析报告》，通过对1129款手机APP获取手机用户隐私权限情况的统计，评估移动端的隐私安全性。

视觉中国供图

现如今，智能手机承载了个人太多的隐私信息，指纹识别、人脸识别、虹膜识别技术应用越来越接地气，这些信息如果没有得到妥善保管，不仅会导致垃圾短信与骚扰电话层出不穷，造成手机资费的消耗，还有可能进一步导致诈骗勒索等恶性事件的发生。

手机软件成隐私泄露重灾区

手机软件主要通过获取用户权限来采集用户个人信息。数据显示，安卓手机应用获取用户手机隐私权限现象普遍。2017年下半年获取用户隐私权限的安卓应用为98.5%，相对于上半年有2%的增幅，这意味着超九成手机应用在获取你的权限。iOS系统调查结果好一些，但获取用户手机隐私权限比例仍然高达81.9%。

无论是安卓手机还是iOS系统，影音娱乐类应用最爱越界获取用户隐私权限，其次是资讯阅读、生活购物、常用工具及网络游戏。所谓越界，指的是该手机应用服务范围内本不需要获取个人用户隐私信息，却要求用户同意签署服务条款，以获得查看用户个人信息的权利。不同类别的手机应用获取的用户隐私权限包括：读取位置信息、手机号码、联系人、彩信记录和通话记录、打开摄像头等。《报告》显示获取设备信息和打开WiFi开关两项权限获取比例最高，分别达到96.1%和84.0%，这就意味着不仅造成资费浪费，还存在潜在的隐私泄露隐患。

值得一提的是，随着手机更新换代速度越来越快，旧手机的处理方式也成为关乎隐私安全的重要问题。除了一部分消费者会选择自己保留旧手机外，有相当多的消费者会将手机折价出售。目前我国私人企业回收的二手电子设备多数都会分门别类的流向二三线城市经济欠发达地区，以及环保回收拆解机构，由于该行业缺乏第三方机构的监管，手机、电脑均存在个人信息泄露的隐患——不仅照片、视频面临被曝光，短信、通讯录、微信、QQ会被用来诈骗，网银或第三方支付软件也存在盗刷风险。

平均六个骚扰电话中就有一个是诈骗

2017年共检测出恶意网址数量超过2837万次，诈骗电话标记6717万，诈骗短信举报总数达4433万条、垃圾短信举报总数超过13亿次。“这意味着平均六个骚扰电话中就有一个是诈骗。”从诈骗短信举报种类来看，诈骗短信的种类中，非法贷款类的短信超过一半，是最多的一种诈骗类型，这与近年来贷款消费越来越普遍有关。电话诈骗的台词也花样百出，如骗子要求用户把钱转账到所谓的“安全账户”上，或冒充公检法部门，以用户违法犯罪等理由让用户缴纳各种名目的费用。此外还有骚扰电话涉及到索要验证码、以网购订单有问题为借口、包裹被扣押等类型，这些类型都是以获取了一定用户的个人隐私信息为基础。

对此专家建议，如果能够做好下面这几个措施，用户的网络安全系数将大大提升。如手机电脑要安装安全软件，如安全管家等，保护隐私，预防诈骗；重要社交账号要开启设备锁及账号保护；购物及下载APP，要登录正规网址和软件；汇款前要确认好对方真实身份。对于来路不明的WiFi、链接、程序……即便再有吸引力，为了安全起见，用户最好说“不”；短信验证码、身份证信息，也万万不可贸然交给别人；不要为了好记将不同账户设置相同密码，否则一个被攻破全部都遭殃；也不要使用纯数字、生日等特别简单的密码。

尤其是随着技术的不断发展，专家提示慎用指纹、人脸、虹膜等生物信息，因为具有唯一性，一旦泄露将不可逆转。

专家：必须让用户有说“不”的权利

“个人信息保护也不能单凭用户隐私保护意识提升来解决，还需要法律出台、行业自律。”

相信不少人有过这样的经历，在使用某款手机应用时经常会出现这样的界面：可能会获取您部分必要个人信息，以提供相关基本服务，如位置信息、相机相册、文件存储、电话等，并告知如若不允许，将无法使用该应用程序。我们在使用一款手机应用时，如果不选择出让自己的用户权限，往往很难进行下一步操作，在中国互联网独立第三方研究专家胡延平看来，这有点像霸王条款。

原来很多手机应用不告诉用户私自收集，现在一部分主流企业开始规范，用一个用户协议告知，至少是规范的开始。但这又带来两个问题，一是大多数情况下用户同意一次则永远有效，而第二点更可怕，即是越界获取权限，“并不是每个数据都是用来服务用户所必须的，比如地图app要求扫描短信内容，或者火车订票软件要求获得相机相册权限，莫名其妙。”胡延平说。他认为这中间有很大的弹性空间，如果未来不细化，不给用户提供选择的话就是霸王条款。

2017年是《国家网络安全法》实施第一年，明确规定要加强个人信息保护，为个人信息保护提供了法律依据，用户的个人隐私保护意识明显提升。但《国家网络安全法》尚属于顶层设计，对个人隐私信息的保护还缺乏细则。

“一定要让顾客说‘不’。”胡延平设想未来个人隐私保护的三个监管空间。第一个抓手是，每个手机应用商店有一整套检测和审核机制，当一款手机应用进入该商店之前，将服务不必要的功能权限拒之门外，尤其规范越界获取的功能权限，在用户考虑是否授权前把第一道关。第二个抓手是，每款应用都要有“用户服务协议”，同意获取哪项功能权限可以勾选，且经过行业机构或者监管部门检测和验证。“一个很关键的点是给用户说“不”的权利，目前看来，知情权交给用户了，选择权还说不上。用户有选择的机会，说‘不’以后，程序依然可以使用才行。”

第三个抓手是细化行业规范，即将个人基本信息量化，建立数据标签，将注册ID、二维码、姓名、电话、身份证号，包括指纹、虹膜、图像等分门别类进行行业评估，“什么样的手机应用能获取哪个数据标签的哪些属性，这样从行业规范中可以找到解决方案，就事论事。”