在手機(jī)上安裝一款A(yù)PP，大多數(shù)人會經(jīng)歷類似的過程——在一份寫滿各種讀取權(quán)限的用戶協(xié)議上點擊同意，才能完成安裝。

　　在這些權(quán)限中，有獲取位置的、讀取短信信息的、讀取通訊錄名單的、瀏覽手機(jī)存儲的。各種APP應(yīng)用在讀取用戶個人信息時，幾乎是海量的，而用戶往往在涉及種種個人隱私權(quán)限的協(xié)議面前，一覽而過甚至放棄閱讀，輕易地將個人信息授予APP。

　　那么，APP索要用戶信息的邊界在哪兒？個體的隱私又該如何保護(hù)？《工人日報》記者對此進(jìn)行了調(diào)查采訪。

　　手機(jī)APP頻頻越界

　　互聯(lián)網(wǎng)第三方研究機(jī)構(gòu)DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心發(fā)布的《2016年中國Android手機(jī)隱私安全報告》顯示，2016年Android非游戲類APP中有91.7%需要讀取位置信息，其中13%屬于越界；需要訪問聯(lián)系人的占49%，其中9.1%屬于越界。此外，越界讀取短信、通話記錄、手機(jī)號碼等行為也非常嚴(yán)重。

　　記者了解到，越界獲取權(quán)限除了造成手機(jī)卡頓之外，更嚴(yán)重的后果在于一旦隱私被竊，手機(jī)中的重要資料和照片就會被肆意查看，如果隨意訪問聯(lián)系人、短信、記事本等應(yīng)用，還會造成銀行卡賬號密碼等信息泄露，造成經(jīng)濟(jì)損失。

　　2013年，工信部聯(lián)合其他部門推出的《信息安全技術(shù)公共及商用服務(wù)信息個人信息保護(hù)指南》確定了一些APP應(yīng)當(dāng)遵循的基本原則，包括目的明確、最少夠用、公開告知、個人同意等。其中，最少夠用原則是指只處理與處理目的有關(guān)的最少信息，達(dá)到處理目的后，在最短時間內(nèi)刪除個人信息。目的明確的原則強(qiáng)調(diào)處理個人信息具有特定、明確、合理的目的，不擴(kuò)大適用范圍，不在個人信息主體不知情的情況下改變處理個人信息的目的。

　　顯而易見的是，目前很多APP都違反了上述原則。記者在一款安卓手機(jī)的應(yīng)用商店中搜索了多個手電筒APP，幾乎所有的APP都請求撥打電話、讀取通訊錄和位置信息等權(quán)限。

　　科技公司“極棒實驗室”發(fā)布的《APP個人隱私研究報告》顯示，該公司研究人員深入分析安卓手機(jī)代碼后發(fā)現(xiàn)，很多權(quán)限的申請，都超出了APP的功能范圍。

　　其中，該公司通過對一款提供駕考、汽車信息的APP代碼深入分析后發(fā)現(xiàn)，該APP申請并調(diào)用了讀取通話記錄權(quán)限，并直接將該信息上傳至廠商服務(wù)器。該項研究還針對一款在Google Paly上下載量超1000萬的傳輸類APP進(jìn)行分析，發(fā)現(xiàn)該APP在新注冊用戶首次登錄時會將用戶手機(jī)中的通訊錄信息直接上傳至服務(wù)器，且未對通訊錄信息進(jìn)行加密傳輸，極大增加了被監(jiān)聽截獲的風(fēng)險。

　　數(shù)據(jù)背后的利益

　　2016年8月施行的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》指出，互聯(lián)網(wǎng)應(yīng)用程序提供者應(yīng)依法保護(hù)用戶在安裝或使用過程中的知情權(quán)和選擇權(quán)，未向用戶明示并經(jīng)用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務(wù)無關(guān)的功能，不得捆綁安裝無關(guān)應(yīng)用程序。

　　然而，記者用安卓手機(jī)進(jìn)行了實驗，發(fā)現(xiàn)一些APP不僅獲取了和自身功能關(guān)系不大的權(quán)限，一旦禁止這些權(quán)限，還會讓APP的使用體驗變差。而拒絕APP的某些權(quán)限申請調(diào)用，在使用APP過程中就會彈出調(diào)用權(quán)限的申請，久而久之，大多數(shù)用戶就會嫌麻煩，放松警惕，最后同意權(quán)限調(diào)用。

　　從事APP開發(fā)的技術(shù)人員徐曉告訴記者，對一款A(yù)PP來說，大部分權(quán)限實際上是不必要調(diào)用的?！氨热绲貓D、外賣、出行類的APP，調(diào)用位置權(quán)限是可以理解的，因為這是基于APP本身的功能考慮，但訪問聯(lián)系人、讀取短信等權(quán)限則不是基于用戶角度考慮，更多是為了收集用戶信息的”。

　　在徐曉看來，盡可能廣泛地調(diào)取用戶權(quán)限，是為了盡可能廣泛地收集數(shù)據(jù)，最后形成大數(shù)據(jù)，這些無論對精準(zhǔn)推送、廣告投放、還是軟件改進(jìn)來說，都至關(guān)重要。比如，獲取用戶的設(shè)備信息，能夠針對使用數(shù)量多的手機(jī)型號和系統(tǒng)進(jìn)行研發(fā)，進(jìn)而不斷提升用戶體驗，這樣才能在同行業(yè)的競爭中占得先機(jī)。而收集用戶的其他信息，也是為了獲取數(shù)據(jù)，“互聯(lián)網(wǎng)發(fā)展瞬息萬變，誰也說不準(zhǔn)這些目前看似沒用的信息，在將來會不會發(fā)揮作用”。

　　個人信息保護(hù)亟待加強(qiáng)

　　手機(jī)APP掌握的數(shù)據(jù)越多，越可能增加用戶信息被泄露的風(fēng)險。一旦網(wǎng)絡(luò)黑客破解數(shù)據(jù)庫、互聯(lián)網(wǎng)公司內(nèi)部員工使用非法手段倒賣用戶數(shù)據(jù)，或者其他惡意盜取用戶數(shù)據(jù)的行為發(fā)生，APP所獲取的各項信息將會成為不法分子的黑市交易商品。

　　《信息安全技術(shù)公共及商用服務(wù)信息個人信息保護(hù)指南》和《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等對APP的種種行為分別進(jìn)行了規(guī)范，但記者查閱發(fā)現(xiàn)，在上述兩個文件中，并未規(guī)定APP一旦越界后具體的懲治措施，在實踐中，也未有APP越界調(diào)用權(quán)限后被追責(zé)或收到處罰的判例。

　　與此同時，我國目前對個人信息的保護(hù)還僅限于刑法，在民法和行政法上還存在不少真空地帶。而無論是刑法還是相關(guān)司法解釋，對如何界定公民個人信息的定義和范圍，都沒有明確，這給認(rèn)定犯罪、非罪或侵權(quán)造成了障礙。

　　日前，全國人大常委會民法總則草案二審稿增設(shè)“個人信息保護(hù)”條款，規(guī)定“自然人的個人信息受法律保護(hù)。任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或者出售個人信息”。全國人大常委會委員楊震認(rèn)為，這將為未來制定單行法或通過其他方式進(jìn)一步細(xì)化保護(hù)措施提供依據(jù)。

　　在今年兩會上，全國人大代表、天能集團(tuán)董事長張?zhí)烊翁峤涣恕瓣P(guān)于制定《個人信息保護(hù)法》”的議案。張?zhí)烊谓ㄗh，任何機(jī)關(guān)和個人在收集他人個人信息都應(yīng)當(dāng)遵循合法性、風(fēng)險限定原則。并且，收集主體應(yīng)對個人信息收集后的泄露承擔(dān)責(zé)任；收集主體因?qū)€人信息保管不善而造成權(quán)利人利益受損的，其應(yīng)當(dāng)承擔(dān)與其過錯相應(yīng)的責(zé)任；如工作人員私自泄露了個人信息，除該個人應(yīng)當(dāng)承擔(dān)責(zé)任外，信息采集主體業(yè)應(yīng)視具體情節(jié)也依法承擔(dān)責(zé)任。

　　而對用戶而言，面對APP系統(tǒng)性的過度索取權(quán)限，也可以通過設(shè)定設(shè)置，禁止APP調(diào)取不必要的權(quán)限，“現(xiàn)在無論安卓或者IOS的安全管理都在提升，即使禁止后很多APP仍能正常使用”。