微信獲取位置信息69次、讀寫儲存空間549次，高德地圖獲取位置信息34次、抖音獲取位置信息23次、支付寶獲取位置信息13次、微博獲取位置信息12次⋯⋯這是馮小傑手機App一天的權限使用記錄。他使用的是小米手機，手機裡的“應用行為記錄”功能記錄了手機App不為人知的另一面。

就在他打開“應用行為記錄”的前3分鐘，網易云音樂、百度網盤、快手、微信、什麼值得買、支付寶先後自啟動，一刻相冊和網易云音樂App分別讀寫了手機裡的照片和文件，微信和微博獲取了一次手機信息。

刷了5分鐘抖音後，小米“空白通行證”共向抖音返回5116次空信息。

看到這裡，馮小傑感到後背發涼。生活中的他非常注意個人隱私保護，但明槍易躲，暗箭難防。十幾款手機App竟然在自己毫無感知的情況下，幾乎看光了他手機裡的全部內容。

為何有些App沒有主動告知我就偷偷自啟動讀寫我的儲存空間、照片和文件？為何一些和自身服務定位毫不相干的權限，App都想要？弔詭的是，這些App在調取手機權限時，早已在不知不覺間經過了用戶允許。

半個月前，國家互聯網信息辦公室、工業和信息化部等四部門聯合發布了《常見類型移動互聯網應用程序必要個人信息範圍規定》（簡稱《規定》），明確對39類App劃定了必要個人信息範圍，5月1日起正式實施。這意味著，App、小程序運營者過度索權的行為將會得到規範，公民在網絡空間的合法權益將會得到保護。

距離此項《規定》正式落地已不足一個月，《IT時報》記者對市面上包含社交、購物、出行、娛樂在內的37款主流App使用權限進行測試後發現，仍然有不少App涉嫌過度索權，其中不乏百度地圖、快手、UC等知名App。

01    

每部手機每天被定位3691次

今年1月，小米MIUI隱私保護能力建設研發團隊公佈了這樣一組數據：“平均每部手機每天會被App定位3691次，相冊和個人文件每天被App訪問2432次，App在後台每天嘗試悄悄地啟動783次，有超過40萬個App可以直接讀取用戶的剪切板。”

簡單計算，一部手機平均每小時會被App定位154次，平均1分鐘被定位2.56次。你根本無法察覺App暗中在做什麼。

App對用戶信息的渴望，遠超用戶想像。

4月7日，《IT時報》記者使用一部安卓國產手機下載了較為常用的37款App，涵蓋社交、娛樂、電商、出行等領域。

從手機權限管理界面中看到，37款App都涉嫌索要定位權限、拍照、錄像權限以及手機識別碼（IMEI碼）權限。

不僅如此，33款App索要通訊錄權限，大多要求“讀取聯繫人”，微信、QQ、脈脈、淘寶、微博5款App獲取的通訊錄權限還包括“新建/修改/刪除聯繫人” ；

QQ、鐵路12306和微博3款App還索取“讀取彩信”“讀取短信記錄”的權限；

番茄免費小說則需要讀取用戶撥打電話的權限。

一些App在其“個人信息保護政策”中對此做了解釋。

美圖秀秀稱，收集用戶位置、設備信息是為了幫助用戶獲得更感興趣的社區內容，或在工具素材和廣告內容推薦上呈現更符合需求的內容，減少對海量內容篩選的時間；

bilibili表示，索取設備信息權限是為了給用戶提供視頻展示和播放服務，索取定位是為了定向推薦、維護和改進產品之必須；

番茄免費小說申請電話權限，是為了用戶看到廣告頁需要撥號和顯示對方電話所設置⋯⋯

除上述授權要求外，有不少App還需要讀取用戶的剪切板、日曆、存儲等權限。

如果一款導航類App索取定位是為了給用戶提供服務，為何愛奇藝、bilibili、脈脈、QQ音樂等App也要獲取用戶的定位信息？

為何讀書軟件也要讀取用戶撥打電話的權限？

社交類App啟用麥克風是為了便於交流，為何餐飲訂單平台要啟用麥克風及錄音功能？

事實上，手機裡的不同權限對應不同風險。民間非企運營互聯網安全組織網絡尖刀創始人曲子龍告訴《IT時報》記者。

獲取通訊錄權限，大多用於做大數據畫像，同時獲得用戶的“社交關係”，容易被不法分子盜取後用於詐騙；

短信權限的風險更大，如果被濫用，輕則被利用“薅羊毛”，重則被用於攔截短信驗證碼，控制所有的數字資產；

麥克風權限，則可以用於監聽；

至於位置、相冊權限，多用於建立行動軌跡和獲取相冊裡的隱私。

至於App自動讀取手機的應用列表，是通過應用列表分析用戶使用什麼應用、使用多少次，大多用於廣告大數據分析，也有一些手機助手是為了判別用戶是否安裝某程序，是否需要推薦以及程序是否需要升級。

02    

多款App不授權不可用

《常見類型移動互聯網應用程序必要個人信息範圍規定》開篇便明確，網絡運營者不得收集與其提供服務無關的個人信息，移動互聯網應用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。

但當記者對一些常用App進行測試後發現，不授權便不可用的現象，較為普遍。

比如，《規定》對運動健身類App的要求均是無須個人信息，即可使用基本功能服務。

記者測試了部分健身類App發現，如果不登陸用戶賬號將無法正常使用keep、Hi運動、每日瑜伽App。

在安卓手機應用市場裡下載“美腿瘦腿”App時，會跳出授權選項，需要用戶授權App讀取存儲、電話、位置信息、麥克風、通訊錄及其他權限，如果不同意，將無法下載該App 。

比如，《規定》對於女性健康類App的要求是無須個人信息，即可使用基本功能服務。但當記者打開媽媽網備孕App時，必須要註冊信息，否則不能正常使用。

此外，記者還發現，很多權限用戶無法手動進行關閉，而一旦在開始點擊了同意隱私協議，或者打開了某項權限，該權限下方所包含的更多細節也都一併處於默認打開狀態。

長期專注於移動安全領域的廠商安天移動安全，近年來持續大力投入，形成了一套針對移動風險應用治理的有益體系，其中也包含了對App隱私權限問題的針對性檢測，能夠較好檢出App違法違規收集個人信息的各類問題。

“根據目前我們檢出的數據統計結果，Top3隱私權限問題為’無隱私彈窗、彈窗前收集個人信息、強制索權’。其實目前市面上的很多應用均或多或少存在一定隱私權限方面的問題，這是普遍現象。”安天移動安全方面人士說道。

03    

不同手機App授權管理不同

更令人驚訝的是，有些App的權限被用戶拒絕後，卻又悄悄被打開了。

記者在一台魅族手機自帶的應用商店裡下載了一款百度地圖App，首頁默認勾選開啟定位、存儲、麥克風、設備信息四項授權，並在屏幕最下方有“同意”和“不同意並退出”的按鈕。

記者將四項授權全部取消後，點擊“同意”按鈕，便進入百度地圖搜索頁面。然而，當記者查詢某條路線時，百度地圖依然自動定位了“我的位置”，並提供了導航路線。

這是怎麼回事？記者進入手機裡百度地圖“應用訪問授權”設置後發現，在已經拒絕的前提下，位置信息、存儲空間、日曆、電話、相機、通訊錄和麥克風均為開啟狀態。

根據《規定》，地圖導航類App的基本功能服務為“定位和導航”，必要個人信息為位置信息、出發地、到達地。但如果根據記者的測試結果，這款百度地圖App不僅涉嫌過度索權，而且還有欺騙用戶的嫌疑。

然而，曲子龍在自己的華為手機上做了同樣測試，無論是從華為應用市場還是魅族應用市場中下載的百度地圖，只要在初始狀態拒絕授權，其權限內默認是關閉狀態。

百度地圖客服人員用兩款手機測試後，得到了和曲子龍同樣的結論，但她也坦承，目前暫時無法確定記者測試結果不同的原因，可能是與手機型號有關。

記者分別用魅族和華為手機測試了其他App，測試發現，首次打開App的狀態下，沒有點擊任何授權，以下App分別啟動了部分權限。

記者在“應用權限管理”中看到：快手、西瓜視頻、抖音、騰訊視頻、keep、UC瀏覽器、搜狗瀏覽器均在自動讀取應用列表。在此基礎上，西瓜視頻和抖音、keep、UC瀏覽器還在讀取手機識別碼；騰訊視頻和搜狗瀏覽器均可以修改系統設置。

儘管以上App 提供的基本服務不同，但根據《規定》，短視頻類、新聞資訊類、在線影音類、瀏覽器類、運動健身類App均無須個人信息，即可使用基本功能服務。根據記者的測試結果意味著，上述App涉嫌過度索權。

但是，記者使用華為手機用同樣的方式對上述App進行測試發現，以上App的權限均為禁止狀態。

為何不同手機在獲取權限方面有不同的表現？記者致電抖音和西瓜視頻的客服，對方表示暫未接到上述問題的反饋；Keep客服並未對此進行解釋，但表示如果不想App獲取權限，用戶找到相應權限將其關閉即可。其餘App的客服則無人接聽。

業內人士猜測，這或許與不同手機廠商對App索權的限制有關，或者是某些應用市場裡的特製安裝包，有後門存在。

“同款App針對不同的分發渠道，即使是同一個版本也會有針對性不同的策略，可能從正規應用市場下載的App符合監管要求，用戶授權前不會收集任何個人信息，但我從其他第三方分發平台下載的同名稱應用就會存在問題。”安天移動安全大白鵝團隊說。

碁震安全研究團隊高級研究員宋宇昊認為，安卓系統原生提供了針對一部分權限的訪問控制（比如通話、相機、麥克風），對於這部分訪問權限的提示，在所有安卓手機上都是相同的。

但是在這部分權限以外，例如手機識別碼的權限控制，並不是安卓原生提供，而是由各家手機廠商自己定制的。在這種情況下，需要控制哪些權限、默認允許禁止都是根據廠商自己對於敏感信息的理解來設計的。

在獲取用戶權限方面，蘋果就規範許多。用戶可以在設置中輕易找到App所需的定位、麥克風、相機、藍牙、Siri權限，並將其手動關閉。iOS系統從7.0開始就停止了IMEI相關接口開放，開發者無法直接獲得相關權限。4月7日，蘋果宣布，未來幾個星期內將實施全新的隱私採集用戶披露和許可政策。

04    

IMEI碼也是個人信息

37款App的“個人隱私權限政策”中，基本都有類似條款：“當您使用本款應用時，我們會蒐集你的設備信息，包括設備型號、唯一設備標識符、設備MAC地址、操作系統類型、屏幕分辨率、電信運營商、登錄IP地址、軟件版本型號、接入網絡的方式、網絡質量數據⋯⋯”

從《規定》對39類App詳細要求來看，並沒有對IMEI碼、IP地址等信息有明確要求，那麼，設備信息是否屬於本次《規定》的監管範圍？

《民法典》中規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行踪信息等。

另外，《中華人民共和國個人信息保護法(草案)》規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

IMEI碼是國際移動設備識別碼的簡稱，即通常所說的手機序列號，因其唯一不可變被稱為手機的“身份證”。

上海大邦律師事務所合夥人遊雲庭認為，手機IMEI碼是手機硬件的編號，通過識別此編號，可以識別出使用手機的個人，屬於個人信息。

在互聯網廣告聯盟生態鏈中，IMEI碼是一個核心要素。一個IMEI碼就可以在廣告聯盟間追踪用戶的標籤，互聯網巨頭利用龐大的生態圈收集各種類型的原始數據，為用戶打上標籤，最終形成一張全面精準的用戶畫像，幫助廣告主精準匹配目標用戶。

如果IMEI碼也被定義為個人信息，根據《規定》，5月1日後，39類App都不得採集該信息。

“《規定》實施後，App在此前已經收集到的信息理應刪除，但實踐中不會有廠商這麼做，他們還有可能拿著已經收集到的信息去匹配其他信息給用戶畫像。不過，一旦這種行為被發現，將會受到相應的懲罰。”遊雲庭說。

“實際上，在《通知》出台前，手機裡的App早已獲取到了IMEI碼，存量市場的用戶畫像早已被利用。《通知》出台後，對00後、10後的用戶畫像會得到克制。但《通知》並未提及此前被App收集到的用戶信息應當如何處理，用戶主動搜索行為產生的畫像還是無法約束。”曲子龍說。

目前國家正在加緊制定出台《數據安全法》《個人信息保護法》，《個人信息保護法》草案已提請全國人大常委會審議，對於個人信息的定義有望更加準確界定。

05    

小程序也在約束範圍之內

另外，《通知》特別提到，“App包括移動智能終端預置、下載安裝的應用軟件，基於應用軟件開放平台接口開發的、用戶無需安裝即可使用的小程序”，這意味著小程序也被納入監管。5月1日起，任何組織和個人發現違反本規定行為的，可以向相關部門舉報以維護自身權益。

不久前，《IT時報》曾報導，滬上不少餐廳要求用戶掃碼點餐之前，必須授權微信頭像、手機號碼，有的甚至要求成為會員才能點餐，根據最小必要性原則，也屬於過度索權。

根據騰訊微信團隊公號信息，2021年4月13日後發布的小程序新版本，將無法獲取用戶個人信息（頭像、暱稱、性別與地區），而是直接獲取匿名數據，以此解決以往有些小程序總是要用戶授權信息才能使用的問題。

4月6日，工業和信息化部信息通信管理局發布了《關於下架侵害用戶權益APP名單的通報》，針對3月11日通報的136家存在侵害用戶權益行為App企業的名單，經核查複驗，發現共有60款App未按照要求完成整改，並對上述60款App進行下架處理。

記者在手機應用商場隨機選擇了幾款App搜索發現，降溫寶、美圖證件照等App已經下線，天天果園、萌龍大亂鬥、8684實時公交等App已經恢復上線。

4月8日，記者分別聯繫了淘寶、微信、京東、抖音等平台諮詢5月1日後是否會調整版本，淘寶客服表示，目前尚未收到相關技術方面的公告，截至發稿前，其餘平台暫未回應。