許多人的手機(jī)上都會(huì)有或多或少的應(yīng)用軟件,，也就是俗稱的App，但是有多少人知道,，在享用這些應(yīng)用軟件便利的同時(shí)，你付出的代價(jià)有多大呢？答案可能令您震驚,。

　　大部分熱門手機(jī)應(yīng)用軟件過度收集信息

　　日前，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)對(duì)瀏覽器,、輸入法和綜合視頻這三大類手機(jī)App涉及個(gè)人信息權(quán)限,，進(jìn)行了評(píng)測(cè)。結(jié)果發(fā)現(xiàn),，當(dāng)前下載最熱門的18款應(yīng)用軟件中,，有14款申請(qǐng)的25項(xiàng)敏感權(quán)限找不到對(duì)應(yīng)功能，包括手機(jī)用戶的撥打電話,、收發(fā)短信,、位置信息等敏感權(quán)限，占比達(dá)到77.8%,；除此之外,，本次評(píng)測(cè)結(jié)果還顯示，一些手機(jī)應(yīng)用軟件App的目標(biāo)版本過低,，從而導(dǎo)致手機(jī)用戶沒有選擇權(quán),，只要安裝這些手機(jī)應(yīng)用軟件，就自動(dòng)同意App申請(qǐng)的所有敏感權(quán)限,。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì),、副秘書長(zhǎng) 唐健盛：從測(cè)試情況來看，可以說情況非常不理想,，很多的頭部App實(shí)際上在權(quán)限的申請(qǐng)和調(diào)用方面,，其實(shí)是違反了一些必要性、正當(dāng)性等等原則的,。

　　我國(guó)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者收集,、使用個(gè)人信息，應(yīng)當(dāng)遵循合法,、正當(dāng),、必要的原則，公開收集,、使用規(guī)則,，明示收集、使用信息的目的、方式和范圍,，并經(jīng)被收集者同意,。

　　網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律,、行政法規(guī)的規(guī)定和雙方的約定收集,、使用個(gè)人信息，并應(yīng)當(dāng)依照法律,、行政法規(guī)的規(guī)定和與用戶的約定,，處理其保存的個(gè)人信息。

　　手機(jī)中涉及大量的用戶隱私信息,，一款手機(jī)App獲得用戶授予的敏感數(shù)據(jù)“訪問和使用”權(quán)限時(shí),，一方面有能力獲取用戶的隱私；另一方面,，這些權(quán)限又是App實(shí)現(xiàn)功能所需要的,，因此，手機(jī)應(yīng)用軟件App在申請(qǐng)和使用敏感權(quán)限時(shí),，應(yīng)該遵循“合法,、正當(dāng)、必要”原則,，合理申請(qǐng),、合理使用。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì) 副秘書長(zhǎng) 唐健盛：我們覺得權(quán)限就類似于鑰匙,，你拿了消費(fèi)者家的鑰匙當(dāng)然您可以說，我是來你們家拖個(gè)地,，可能要來燒個(gè)菜,，但是你給消費(fèi)者帶來方便的同時(shí)，你也應(yīng)該充分考慮到消費(fèi)者的安全性,。你拿了鑰匙以后,，你把這些活干完了以后，是不是鑰匙你能把它給還回去,。當(dāng)然消費(fèi)者也希望能夠知道整個(gè)過程中,，你確實(shí)除了掃地、拖地,、燒菜沒有干別的事,。

　　上海市消保委這次評(píng)測(cè)的重點(diǎn)在于：手機(jī)應(yīng)用軟件App是否存在“權(quán)限的過度申請(qǐng)和濫用”，是否遵循了相關(guān)法規(guī)的“合法,、正當(dāng),、必要”原則，評(píng)測(cè)首先從消費(fèi)者日常使用頻率很高的一些App開始。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì) 副秘書長(zhǎng) 唐健盛：第一款（類）輸入法可能是跟安全性,，我們覺得是非常緊密的,；第二款（類）可能瀏覽器是現(xiàn)在消費(fèi)者反響相對(duì)比較強(qiáng)烈的；視頻網(wǎng)站我們認(rèn)為可能是消費(fèi)者使用時(shí)長(zhǎng)比較長(zhǎng)的,。

　　據(jù)介紹,，上海市消保委此次針對(duì)熱門手機(jī)應(yīng)用軟件App的評(píng)測(cè)，主要圍繞輸入法,、瀏覽器和視頻App進(jìn)行,，總共包括18款，其中5款是輸入法,，包括搜狗,、百度、訊飛,、QQ和觸寶,；5款是綜合視頻，包括優(yōu)酷,、騰訊,、愛奇藝、芒果TV和嗶哩嗶哩,；8款是瀏覽器,，包括UC、QQ,、360,、搜狗、獵豹,、百度和華為手機(jī)自帶的兩款瀏覽器,。評(píng)測(cè)工程師告訴記者，這18款A(yù)pp的樣本,，都是測(cè)試階段在這些應(yīng)用軟件的官方網(wǎng)站上,，下載當(dāng)前的最新版本。

　　評(píng)測(cè)工程師 盛大江：我們這次測(cè)試權(quán)限的主要方向,，涉及了兩個(gè)方面,。第一個(gè)是權(quán)限的授權(quán)方式，決定了用戶是否知情并且有選擇權(quán),。第二個(gè)是這些權(quán)限是否有對(duì)應(yīng)的功能,。 我們發(fā)現(xiàn)在18款應(yīng)用中，有14款應(yīng)用有25個(gè)敏感權(quán)限,，沒有找到對(duì)應(yīng)的功能,。這25個(gè)權(quán)限主要分布在電話權(quán)限,、短信權(quán)限、定位權(quán)限,，日歷,、附件之類的權(quán)限上。

　　14款手機(jī)應(yīng)用軟件申請(qǐng)敏感權(quán)限目的不明

　　14款手機(jī)應(yīng)用軟件向用戶申請(qǐng)了25項(xiàng)敏感權(quán)限,，但是沒有找到對(duì)應(yīng)的功能,。這25項(xiàng)敏感權(quán)限，包括15項(xiàng)短信權(quán)限,、5項(xiàng)電話權(quán)限,、2項(xiàng)定位權(quán)限、2項(xiàng)日歷權(quán)限和1項(xiàng)讀取附件權(quán)限,，評(píng)測(cè)工程師認(rèn)為,，這些都和手機(jī)用戶的個(gè)人信息密切相關(guān)。

　　評(píng)測(cè)工程師 盛大江：（這款）瀏覽器那我們可以看一下,，它總共申請(qǐng)了14項(xiàng)這種敏感權(quán)限,，其中有4個(gè)，分別是撥打電話,、外撥路徑,，還有發(fā)送短信和讀取日歷這4個(gè)權(quán)限我們是沒有找到具體對(duì)應(yīng)功能的。

　　這也就是說,，這款瀏覽器向用戶申請(qǐng)了14項(xiàng)敏感權(quán)限,，其中申請(qǐng)的撥打電話，監(jiān)控外撥電話,、重新設(shè)置外撥電話路徑,，發(fā)送短信和讀取日歷活動(dòng)和詳情，這4項(xiàng)涉及用戶個(gè)人隱私信息的敏感權(quán)限,，該瀏覽器并沒有相應(yīng)的功能,。

　　本次測(cè)試的8款瀏覽器中，有5款A(yù)pp向用戶申請(qǐng)了電話和短信兩大類敏感權(quán)限,，同樣找不到對(duì)應(yīng)功能，其中4款瀏覽器申請(qǐng)的電話權(quán)限包括：撥打電話,、監(jiān)控外撥電話,、重新設(shè)置外撥電話路徑；4款瀏覽器申請(qǐng)的短信權(quán)限包括：接收短信,、發(fā)送短信和讀取短信,。

　　工程師告訴記者，瀏覽器作為手機(jī)用戶上網(wǎng)的瀏覽軟件,，如果App沒有相應(yīng)的功能,，而向用戶申請(qǐng)電話和短信的多項(xiàng)敏感權(quán)限,，那么，可能對(duì)用戶造成安全隱患,。

　　評(píng)測(cè)工程師 陽(yáng)雄：它可以處理外撥電話的路由,，就是轉(zhuǎn)撥到其它的電話，這個(gè)會(huì)給這個(gè)應(yīng)用一個(gè)什么樣的權(quán)力呢,？就是如果用戶在撥打電話給張三的時(shí)候,，這個(gè)應(yīng)用它是有能力去把他撥打的電話號(hào)碼改成是李四的，實(shí)際上這個(gè)電話就會(huì)撥打給李四了,，但是用戶是不知情的,，這個(gè)是這個(gè)權(quán)限賦予這個(gè)應(yīng)用的一個(gè)能力；另外一個(gè)權(quán)限是發(fā)送短信的一個(gè)權(quán)限,，這個(gè)權(quán)限就是,，允許這個(gè)應(yīng)用在后臺(tái)，可以給任意的號(hào)碼,，發(fā)送任意的內(nèi)容,，這個(gè)隱患就會(huì)比較大。因?yàn)樗赡軙?huì)在用戶不知情的一些情況下,，替你發(fā)送一些確認(rèn)的短信,，發(fā)送一些付費(fèi)的短信等等。

　　除了瀏覽器以外,，本次評(píng)測(cè)的5款輸入法,，有3款申請(qǐng)的短信和位置等敏感權(quán)限，找不到對(duì)應(yīng)的功能,。

　　評(píng)測(cè)工程師 盛大江：（這款）輸入法同樣它申請(qǐng)了11款敏感權(quán)限,，其中位置權(quán)限的兩個(gè)詳細(xì)的小權(quán)限，和短信權(quán)限的兩個(gè),，一個(gè)是讀取一個(gè)是接收權(quán)限,，我們并沒有在應(yīng)用中找到對(duì)應(yīng)的功能。

　　此外,，本次評(píng)測(cè)的5款綜合視頻,，有4款申請(qǐng)的電話、短信和日歷權(quán)限,，找不到對(duì)應(yīng)的功能,。

　　工程師在評(píng)測(cè)中發(fā)現(xiàn)，一些App對(duì)用戶的敏感權(quán)限過度申請(qǐng)和濫用,，沒有遵循了相關(guān)法規(guī)的“合法,、正當(dāng)、必要”原則,。

　　評(píng)測(cè)工程師 陽(yáng)雄：比如說有的應(yīng)用為了在應(yīng)用使用過程當(dāng)中,，用戶如果有來電不影響應(yīng)用,，或者不影響用戶接收來電，他們可能就申請(qǐng)了呼叫電話,，或者是監(jiān)控外撥這樣一個(gè)權(quán)限,，但實(shí)際上這是完全沒有必要的。因?yàn)橐龅竭@一點(diǎn),，這個(gè)應(yīng)用只需要申請(qǐng)讀取手機(jī)狀態(tài)這個(gè)權(quán)限就可以了,。因?yàn)槲覀冎酪粋€(gè)手機(jī)它的通話狀態(tài)其實(shí)只有三種，空閑狀態(tài),、響鈴狀態(tài)和接通的一個(gè)狀態(tài),。對(duì)于它來講它要獲取這三個(gè)狀態(tài)，它只需要讀取手機(jī)狀態(tài)這一個(gè)權(quán)限就夠了,，不需要有外撥電話或者是監(jiān)控外撥路徑這樣的一些權(quán)限,。

　　少部分應(yīng)用軟件擅自開啟敏感權(quán)限

　　在進(jìn)一步的評(píng)測(cè)中還發(fā)現(xiàn)，有4款A(yù)pp的目標(biāo)版本過低,。工程師告訴記者,，應(yīng)用軟件的目標(biāo)版本過低，首先可能在權(quán)限管理方面存在用戶可知而不可控的問題,，其次可能存在可規(guī)避系統(tǒng)安全機(jī)制的漏洞,，容易造成用戶個(gè)人信息泄露，引發(fā)終端安全和個(gè)人信息保護(hù)風(fēng)險(xiǎn),。

　　評(píng)測(cè)工程師 盛大江：目標(biāo)版本過低會(huì)造成什么現(xiàn)象呢,？它會(huì)造成這些應(yīng)用在安裝的時(shí)候，就會(huì)直接把敏感權(quán)限獲取到,，可以不經(jīng)由用戶的主動(dòng)授權(quán),，我們可以看一下獵豹瀏覽器的安裝過程。因?yàn)楂C豹瀏覽器的目標(biāo)版本偏低,，當(dāng)安裝完成的時(shí)候,，這些敏感權(quán)限已經(jīng)直接是一種開啟狀態(tài)了。那等于應(yīng)用在安裝的過程中,，就獲取了這些權(quán)限,。它涉及到位置權(quán)限、電話權(quán)限,、短信權(quán)限,、錄音權(quán)限和攝像頭權(quán)限，這些都是跟我們用戶密切相關(guān)的一些隱私權(quán)限,。你只要接受安裝，那就等于接受這些權(quán)限,，要么你不安裝,，要么你接受所有授權(quán),。

　　在手機(jī)的應(yīng)用軟件“權(quán)限管理”中，記者看到,，獵豹瀏覽器所申請(qǐng)的權(quán)限中,，包括設(shè)置電話外撥路徑權(quán)限和發(fā)送短信權(quán)限兩大類，對(duì)這兩大類的權(quán)限,，獵豹瀏覽器有自己的官方解釋,。

　　評(píng)測(cè)工程師 盛大江：它的官方解釋是說，允許該應(yīng)用處理呼出以及更改撥打的號(hào)碼,，此權(quán)限可以監(jiān)視重新定向和阻止呼出,，所以這個(gè)權(quán)限還是比較敏感的。

　　工程師分析認(rèn)為,，目前普遍存在申請(qǐng)權(quán)限與功能不匹配的情況,，一個(gè)主要的原因是在開發(fā)設(shè)計(jì)App的時(shí)候，程序員缺乏對(duì)功能和權(quán)限的對(duì)應(yīng)考量,。

　　評(píng)測(cè)工程師 陽(yáng)雄：因?yàn)閼?yīng)用在開發(fā)初期,，程序員為了省事，可能將未來可能用到的權(quán)限還沒有用到的也都申請(qǐng)了,，就是為了方便,。

　　另一方面原因，可能和App的升級(jí)迭代有關(guān),。

　　評(píng)測(cè)工程師 陽(yáng)雄：有可能是應(yīng)用曾經(jīng)有功能用到了這個(gè)權(quán)限,，但是在應(yīng)用版本升級(jí)之后，這個(gè)功能沒有了,，但是相應(yīng)的權(quán)限忘了把它去掉,。

　　此外，評(píng)測(cè)工程師還認(rèn)為,，除了這兩方面原因以外,，也有一些App存在申請(qǐng)敏感權(quán)限過度的可能。

　　評(píng)測(cè)工程師一方面以最大的善意解讀了手機(jī)應(yīng)用軟件過度搜集用戶信息的原因,，另一方面也指出,，就好像把家門鑰匙給了外人，外人可以隨意進(jìn)出你的家門之時(shí),，看著你滿屋子的財(cái)產(chǎn),，這個(gè)外人究竟會(huì)不會(huì)動(dòng)點(diǎn)別的心思呢？這個(gè)答案可就不好說了,。

　　相關(guān)調(diào)查數(shù)據(jù)顯示,，此次評(píng)測(cè)的8款瀏覽器，月活躍用戶超過5億人次,，最熱門的月活躍用戶超過2億8000萬(wàn),；此次評(píng)測(cè)的5款輸入法,，月活躍用戶超過7億人次，最熱門的月活躍用戶近4億,；此次評(píng)測(cè)的5款綜合視頻月活躍用戶超過14億人次,，最熱門的月活躍用戶近5億。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書長(zhǎng) 唐健盛：這些開發(fā)者,，必須知道紅線在哪里,。我們?cè)诘谝徊剿龅氖悄阋@個(gè)權(quán)限你就必須要有功能相對(duì)應(yīng)，再往下面走,，可能就涉及到這個(gè)功能你設(shè)置的是否必要,，可能到了第三步我們可能就會(huì)在想著你拿了這個(gè)權(quán)限以后，你能不能用好了以后就還給消費(fèi)者,。你考慮的是消費(fèi)者的痛點(diǎn),，你考慮的是我們App的功能。但是我們覺得這些都是要給消費(fèi)者帶來足夠的安全性,，以此為前提,。

　　綜合上海市消保委本次的評(píng)測(cè)結(jié)果，將近80%的熱門手機(jī)App不具備相應(yīng)的功能,，卻向用戶申請(qǐng)了敏感權(quán)限,，這可能意味著過度收集用戶個(gè)人信息。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書長(zhǎng) 唐健盛：我經(jīng)常聽很多人在擔(dān)心自己是不是一個(gè)透明人,。而我們的日常生活當(dāng)中可能會(huì)受到很多的一些騷擾電話,、騷擾短信，更加讓消費(fèi)者覺得恐慌的是,，可能在某個(gè)不經(jīng)意見他發(fā)現(xiàn)自己很多信息,，其實(shí)是被很多的企業(yè)是提前獲取的。

　　經(jīng)過工程師100多次測(cè)試之后,，上海市消保委利用這些手機(jī)應(yīng)用軟件App和消費(fèi)者溝通的各種渠道,，包括郵件、官方微信留言等,，通知這18款A(yù)pp的相關(guān)企業(yè)就評(píng)測(cè)結(jié)果,，進(jìn)行技術(shù)溝通。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書長(zhǎng) 唐健盛：我們都用了消費(fèi)者跟企業(yè)溝通的一些渠道,，也就是說它在App或者它的官網(wǎng)上面明示的一些郵箱傳真等等,。但是我們非常遺憾地看到，這些通知很多企業(yè)都沒有得到足夠的重視,，或者說我們這次也了解到,，有些企業(yè)它根本和消費(fèi)者溝通的郵箱可能是幾個(gè)月甚至于大半年都沒有去看過的。在隨后的媒體會(huì)上，上海市消保委正式通報(bào)了對(duì)18款手機(jī)應(yīng)用軟件App的評(píng)測(cè)結(jié)果,，最終公布了“獵豹瀏覽器,，觸寶輸入法和芒果TV視頻”這三款A(yù)pp申請(qǐng)權(quán)限存在找不到對(duì)應(yīng)功能等問題。據(jù)介紹,， 直到這場(chǎng)媒體會(huì)之前，獵豹,、觸寶和芒果TV這三家相關(guān)企業(yè)對(duì)于上海市消保委的多方聯(lián)系,，始終沒有回應(yīng)，也沒有出席相關(guān)的技術(shù)溝通會(huì),。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書長(zhǎng) 唐健盛：發(fā)布會(huì)的兩天以前,我們就通過各種方法和三家企業(yè)能夠進(jìn)一步,，希望能夠跟他們聯(lián)系上，比方說我們?cè)谟|寶的微信后臺(tái)進(jìn)行了留言,，并且我們也上傳了PDF版的合照我們的會(huì)議通知,，那么其它的你比方說獵豹瀏覽器和芒果TV我們也采用了類似的方法，我們希望多種渠道能夠使他們知道這個(gè)事,，并且也非常希望他們能夠來開我們的發(fā)布會(huì),，給到消費(fèi)者一個(gè)明明白白的說法。那么非常遺憾,，我們通過消費(fèi)者溝通的這種渠道沒有獲得企業(yè)應(yīng)有的響應(yīng),，我們也認(rèn)為其實(shí)在這一塊企業(yè)也是需要進(jìn)一步加強(qiáng)的。

　　媒體會(huì)后,，上海市消保委收到了這三家相關(guān)企業(yè)的書面說明,，一致表示，目前相關(guān)App均已升級(jí)為新版本,，新版本中已經(jīng)去除了定位權(quán)限,、短信權(quán)限和監(jiān)控電話外撥權(quán)限等并沒有相應(yīng)功能的敏感權(quán)限。

　　上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)副秘書長(zhǎng) 唐健盛：消費(fèi)者并非專業(yè)的,，你必須在拿這些數(shù)據(jù)的時(shí)候,，一定要幫消費(fèi)者把它的安全性全都考慮清楚，而我們認(rèn)為這個(gè)事恐怕不是哪一家企業(yè)憑著自己的善心就會(huì)去做的,，這可能需要整個(gè)一個(gè)市場(chǎng)整個(gè)一些頭部的企業(yè),。我們要通過一定的機(jī)制，在保障市場(chǎng)的競(jìng)爭(zhēng)和效率的前提下,，我們?cè)趺礃幽軌虬岩?guī)則更加好的迭代,。我想這可能是我們解決個(gè)人信息保護(hù)方面的一條非常有價(jià)值的探索。

　　專家告訴我們,，許多消費(fèi)者都安裝了手機(jī)應(yīng)用軟件并且給予了軟件開發(fā)商想要的大部分授權(quán),，這主要有三個(gè)原因：一是方便，二是沒得選擇，不同意授權(quán)就無法安裝,，三是不完全清楚這些授權(quán)背后的利害到底是什么,。如果沒有嚴(yán)厲的規(guī)則，商家對(duì)利益的追逐是永無止境的,，就如專家所說,，如果幻想依靠手機(jī)應(yīng)用軟件開發(fā)商的善心而自發(fā)停止對(duì)消費(fèi)者信息的過度搜集是不可能的。所以我們期盼,，監(jiān)管的紅線早日變成一條高壓線,，讓過度搜集信息的開發(fā)商不敢出手，也不想出手,，還消費(fèi)者一個(gè)安全放心的消費(fèi)環(huán)境,。