不合理索取用户权限行为值得警惕

十六款App侵害用户权益被通报

本报见习记者 白楚玄

本报记者  文丽娟

手机App越界索权的问题再次引发关注。

近日，工业和信息化部信息通信管理局网站发布了《关于侵害用户权益行为的App通报(2020年第一批)》(以下简称《通报》)，当当、大街、WiFi管家、e代驾、知乎日报等16款App被点名。此前，工业和信息化部曾于2019年12月和2020年1月分别公开了两批存在侵害用户权益的App(共56款)，并下架3款逾期未整改App。

《通报》显示，侵权行为包括违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限和为用户账号注销设置障碍等。其中，不合理索取用户权限是主要形式，包括过度索取权限、不给权限不让用和频繁申请权限。

权限内容五花八门

越界索权相当普遍

《法制日报》记者从网信办网站获悉，截至2019年12月末，国内市场上监测到的App数量为367万款，我国第三方应用商店在架应用分发总量达到9502亿次。

“应用想要获取您的位置、联系人、相机权限……”下载一款新App后，打开软件时通常都会出现请求获取权限的相关内容。常见的应用权限包括存储权限、位置权限、通讯录权限、短信权限、相机权限、麦克风权限、日历权限等。

一些用户权限的获取能够保障App的正常使用。例如，导航软件需要获取位置权限来定位帮助导航，修图软件需要获取相机权限来使用特定照片，语音通讯软件需要获取麦克风权限和相机权限支持语音和视频通话。

部分用户权限的获取能够帮助App使用更加便利。例如，社交软件可以通过获取通讯录权限发现更多联系人，需要通过短信验证的App获取短信权限能够自动填写验证码等。但是，还有部分用户权限的获取并不合理。

手机用户张先生告诉《法制日报》记者，他下载一款社交App后，被要求获取包括位置、通讯录、短信、相机、相册、视频、麦克风等10多项权限，很多都涉及隐私，但若不授权则无法使用该软件，让他感到困惑。

手机用户赵女士说，在使用一款视频App时，虽然用不到通讯和定位，但该软件还是要求获得拨打电话的权限和位置权限。

以“索取用户权限”为关键词在百度首页搜索，各大网站和论坛都有大量相关讨论。

5月15日，信息通信管理局网站发布了《通报》，16款App被点名。其中，当当、e代驾、千千音乐、惠租车、电视家、彩视、七猫免费小说、WiFi管家、大街和哎呦有型存在不合理索取用户权限行为。

《法制日报》记者下载“惠租车”App进行试验，发现弹出了“‘惠租车’想给您发送通知”弹窗，之后是“允许‘惠租车’使用无线数据”弹窗，再之后是在使用前提醒阅读《使用条款》和《隐私政策》弹窗，此处只能选择“同意，继续使用”和“不同意，退出”。

中国传媒大学文法学部法律系副主任郑宁告诉《法制日报》记者，一般来说，App安装和使用过程中，只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中，有以下几个权限最常被调取，其一是“读取已安装应用列表”，借此可以了解和分析用户的使用习惯；其二是“读取本机识别码”，主要用来确定用户的身份；其三是“读取位置信息”，通过获取位置，搜集用户的活动范围，例如导航类软件就必须调取这一权限。

“手机App收集的信息若与其提供的服务无关，则构成越界索权。”郑宁说。

若不授权无法使用

用户只能被迫接受

应用权限作为收集手机用户个人信息的最直接方式，一旦同意特定用户权限的使用，那么个人信息将随时可能被获取，不利于个人隐私的保护。

中国人民大学网络与移动数据管理实验室孟小峰教授团队发布的《2019年度中国隐私风险指数分析报告》显示，2019年度App平均安装量同比增长14.81%，用户平均权限数据泄露量同比增长15.46%。当前中国用户的个人隐私泄露风险并没有得到有效控制，仍在大幅提升，而总体的隐私增长率与用户平均App安装量和用户平均权限数据泄露量呈正相关。

该团队在2018年发布的《中国隐私风险指数分析报告》曾指出，目前App的各类权限接近40个，但大部分权限跟App实现功能的正常需求并不匹配。

在《通报》中可以看到，对于用户权限的不合理索取包括不给权限不让使用、过度索取权限。此外，频繁申请权限也属于对用户权限的不合理索取。

从App开发者角度而言，获取用户权限能够在大数据的支撑下为用户提供更精准的“定制”服务。因此，为吸引用户和挖掘用户需求，申请和使用系统权限收集个人信息来对用户信息进行分析，成为大数据和互联网时代的一种常态。

然而，部分开发者和商家受商业利益的驱使，会不合理索取用户权限，侵犯用户的隐私权。

一位App服务提供者告诉《法制日报》记者：“大数据时代，当然是获取的权限越多，搜集到的个人信息就越多。”他以手机听筒权限为例，用户在聊天时谈及最近想购买的物品后，App通过听筒获取该信息后，可以在用户使用时推送相应的广告。

手机中存放的用户的账号密码、联系人名单、照片视频等，如果被App不合理获取用户权限，将面临被“数据劫持”的风险。以获取联系人为例，在联系人信息泄露的同时，用户和相关联系人都可能会收到骚扰电话、垃圾短信，甚至可能在数据被恶意泄露后面临诈骗和勒索。

值得注意的是，北京市消协的调查问卷显示，有41.16%的人在安装或使用手机App前从来不看授权须知。中消协发布的《App个人信息泄露情况调查报告》也显示，“不授权就没法用”是受访者“从不阅读”的最主要原因。

根据调查结果，在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中，选择从不阅读的原因，主要是因为不授权就没法用，只能被迫接受(占比61.2%)。

对此，北京大学信息科学技术学院副教授陈江认为，这一方面是因为部分用户不了解应用权限对于个人隐私权利的重要性；另一方面，在很多情况下，如果用户不提供权限，App就直接退出或自动停止服务。

亟须完善法律规范

保护公民信息安全

网络安全法明确规定，要加强对个人信息保护，规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不能收集与其提供的服务无关的个人信息，也不能违反法律规定或与用户的约定收集、使用个人信息。

2019年1月25日，《关于开展App违法违规收集使用个人信息专项治理的公告》发布，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。此后，为落实该公告的部署，相关部门成立了App专项治理工作组。

此后，《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》《电信和互联网行业提升网络数据安全保护能力专项行动方案》等陆续印发，对App违法收集个人信息行为进行了认定和治理。

《法制日报》记者梳理发现，为了加强个人信息保护，2019年至今，《移动互联网应用程序(App)收集个人信息基本规范(草案)》《数据安全管理办法(征求意见稿)》《个人信息告知同意指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》等也相继发布。

中国人民大学法学院教授杨立新认为，目前，侵害公民个人信息构成犯罪的才能够追究其刑事责任，但对于一般侵权行为仍然制裁不力，应该采取更具体的立法措施，对侵害个人信息的行为认定为侵权行为，追究其损害赔偿责任。

北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括同样认为须加强和完善立法，“虽然刑法对个人信息保护力度较强，但相关前位法立法缺失，关于个人信息保护的法规较为零散，因此个人信息保护法、数据安全法的出台刻不容缓”。

吴沈括说，不良网络运营者是用户信息安全的重大威胁，应针对这些运营者制定、实行有效的监管措施，并提高威慑网络运营者的惩处力度，才能从源头上遏制危害公民信息安全的行为。此外，用户也应重视个人信息安全，提高信息安全意识，增强个人信息保护能力。