工業和信息化部關于電信服務質量的通告（2020年第4號）中指出：三季度，工業和信息化部開展縱深推進APP侵害用戶權益問題整治工作，組織對國內主流手機應用商店的20萬款應用軟件進行技術檢測，發現500余款APP存在違規收集使用個人信息及APP強制、頻繁、過度索權等問題，并對未在限期內完成整改的159款APP進行公開通報、31款APP進行下架。

2020年10月26日，工業和信息化部本年度第五次向社會通報了131家存在侵害用戶權益行為APP 以及相應企業的名單。截至目前，經第三方檢測機構核查復檢，尚有60款APP未按照工業和信息化部要求完成整改。依據相關要求，工業和信息化部組織對上述APP進行下架。至此，本年度工信部已經針對侵害用戶權益行為的APP進行了六次通報并勒令整改，前后涉及共計381款App。

數據顯示，相比于2018年，2020年認真閱讀隱私條款的網民有所增加，從32.4%上升為36.4%，說明中國手機網民的個人隱私保護意識在一定程度上有所增強，但整體情況依舊不容樂觀。

從數據可以看出，有57.8%的受訪網民在APP申請調用權限時辨別后或選擇部分通過；30.3%的受訪網民會因拒絕應用強迫調用權限而放棄使用該APP。由此可見，手機網民對于辨別APP權限漸趨于主動，但在面對應用過度調用的情況下，僅有少數網民能夠堅定拒絕繼續使用應用，而絕大多數網民仍迫于需求或者方便妥協于讓步于應用不法調用用戶信息。

最新數據顯示，截至2020年6月，我國網民使用手機上網的比例高達99.2%。在如此大規模用戶的背景下，用戶個人隱私信息保護意識弱使得App成為用戶個人信息泄露的主要出口。一些手機應用潛伏在手機后臺，無聲無息間讀取了大量用戶的信息，同時傳送到指定的服務器存儲起來。這些失竊的隱私信息就像一顆顆定時炸彈，給使用者的社交安全帶來了極大的隱患。

為了更好地了解這些手機應用偷竊了用戶的哪些信息，我們從工業和信息化部、網絡信息辦公室等可信機關獲取到應用權限表、2020年度六次通報的App信息以及在網上抓取的App權限信息等。經收集、清洗、分析數據后，結合文獻分析，將內容展示如下：

 ▍App獲取了哪些權限？

由中國互聯網信息辦公室提供的《百款常用 App 申請收集使用個人信息權限列表》中陳列與個人信息相關的26項權限中，平均每個APP申請了10個權限。其中申請權限數最多的是360 手機衛士 ，申請的權限數高達23項。其中相機、定位、錄音權限、讀取和寫入存儲器成為最常調用權限；99.0%的APP默認調用相機權限。

上圖中展示了其中使用量最高的前二十款App收集的有關個人信息權限。移動社交類APP聯系人讀取權限調用情況較為突出；100.0%的移動社交類APP默認調用定位、相機、讀取通訊錄、錄音、讀取電話狀態權限；60.0%的移動社交類APP默認編輯通訊錄權限。對于網購類、社交類、旅游類、理財類手機APP，這些類別的APP涉及用戶日常生活的各個方面，需獲取用戶較多個人信息完成相應功能。

讀取聯系人、短信、彩信等行為對于這些類別APP正常運作所起作用有限，對該部分信息的讀取涉及疑似越界行為，其中在讀取聯系人方面疑似越界較嚴重。

 ▍各類APP權限數量對比—哪類APP拿走了我們最多的信息?

根據各類App申請收集個人信息相關權限可知，工具類App（如：百度網盤、騰訊手機管家等等）收集個人信息相關權限較多，平均達到了15個。餐飲外賣類和地圖導航類App收集的權限數較少，均只有8個。而其他類型的App申請收集個人權限數也就9個左右。

根據如上散點圖可知各大類App中月獨立設備數、總使用有效時間占比及申請權限個數，以及彼此之間的關系。其中，社交類和工具類App月獨立設備數比較多，上述圖中最常見App中大多數App總使用有效時間占比約為1。顯然，微信的月獨立設備數及總使用有效時間占比遠大于其他App，說明人們使用手機時大部分時間均用在微信上。

由上圖可以了解到，大部分App申請收集個人信息相關權限數為8、9個，因此，大部分App申請收集個人信息相關權限數差不多，具體的權限差別也不是很大，因此，各App獲取我們的信息差不多，商家想獲取我們個人數據也差不多。

 ▍權限級別劃分—哪些APP拿走了我們更多的信息

APP申請的權限分為必要權限以及越級權限（業務權限）。而不同類型的APP所需要申請的權限數量并不是完全一致的。因此，在討論APP申請權限對我們隱私的侵犯時，必須要對APP所申請的不同類型的權限進行劃分，進而探究其是否通過app權限對我們合法的權益產生危害。下圖展示了目前市場使用量前二十的APP獲取不同類型權限的數量。（注：“必要權限”是指保障App正常運行所必需的最少權限，一般都是在App首次開啟時，需用戶同意授權必要權限后，才能正常進入App主界面（常見的有“存儲權限”等）。“業務所需權限”是指緊密結合業務實際功能所需的權限，比如拍照、掃二維碼等需要“相機”權限，查看附近的服務需要“位置”權限等。）

由上圖可以了解到，大部分APP所需要的必要權限其實很少，大部分都是為了更好的實現APP功能而索取的越級權限，這些權限的使用并不一定是該類APP所必須的。一些不法的商家也正是打著這樣一面旗幟，非法獲取、使用用戶的相關隱私信息。而一些APP用戶對此也沒有足夠警惕性，容易不假思索就同意相關APP的權限申請。

 ▍安全意識有所提升 信息保密仍需重視

iiMediaResearch(艾媒咨詢)的數據顯示，相比于2018年，2020年認真閱讀隱私條款的網民有所增加，從32.4%上升為36.4%。但這個數據仍然說明了提升用戶隱私保護意識還有很長的一段路要走，政府企業仍需要投入更多的資源來發展網絡安全建設。

APP成用戶隱私慣犯，還在于現有處罰手段不夠讓其“肉疼”。某些企業往往從所謂“經濟人理性”出發，對盜用、濫用乃至交易用戶隱私、數據等權益所獲取的利益與所帶來的法律后果進行對比，一旦發現違法成本過低，就會將侵犯用戶權益異化為本小利大的穩賺生意，從而這種畸形的商業邏輯屢禁不止，本質上則是對法律的無視。因此，建議對于APP要強化管理。

首先，對APP上線應有事先審查程序，如果查及開通了通向用戶隱私數據的“后門”，不僅要取締上線資格，而且要進行處罰，并對外公示。而在APP上線后，一旦發生侵犯用戶隱私等權益的行為，處罰標準也應“就高不就低”，采取零容忍態度，讓企業看到監管部門的整治決心。

更需要完善之處在于立法。“是否存在超范圍獲取用戶信息風險”應被列為App安全審查核心標準之一，不滿足安全標準者不得進入市場。同時我國相關法律法規對于APP侵犯用戶權益的力度還需強化，可否借鑒類似《一般數據保護條例》等國外經驗，罰款額度以企業營收總額為基礎，對違規企業的暫停乃至永久下架，設置更嚴格的啟動程序等，從而讓企業真正明白，觸犯法律的后果是不堪承受的。

隨著法律法規的逐步完善，業內利用過度索權、信息竊取等方式進行牟利的應用開發商將難以逃脫法律的制裁。在網絡環境進一步得到凈化的背景下，應用開發商及運營者必須充分重視數據安全以及用戶個人隱私管理。只有充分遵循法律條文，在合法合規的背景下規范運行，不做違法違情，以實際行動凈化APP的市場應用環境，確保每一款APP都是讓用戶感到放心、安全的APP才是應用廠商生存的長久之道。

圖片：來源于網絡

數據來源：

中共中央網絡安全和信息化委員會辦公室

中華人名共和國工業和信息化部

《2020年中國手機APP隱私權限測評報告》

參考文獻：

[1]方正梁. 緊繃用戶隱私保護之“弦” 對違規行為“零容忍”.[R].人民郵電,2020:11-04.

[2]高理想.App申請和使用“可收集個人信息權限”案例分析.[J]保密科學技術,2019-10.

[3]畢舸. APP 成用戶隱私慣犯處罰還要再“疼”一點.[C].1994-2020.China Academic Journal Electric Publishing House.

作者：黃強、劉梓杰、楊陽

指導老師：吳小坤

學校：華南理工大學

編輯：謝田甜