APP权限陷阱：谁在获取我们的信息

工业和信息化部关于电信服务质量的通告（2020年第4号）中指出：三季度，工业和信息化部开展纵深推进APP侵害用户权益问题整治工作，组织对国内主流手机应用商店的20万款应用软件进行技术检测，发现500余款APP存在违规收集使用个人信息及APP强制、频繁、过度索权等问题，并对未在限期内完成整改的159款APP进行公开通报、31款APP进行下架。

2020年10月26日，工业和信息化部本年度第五次向社会通报了131家存在侵害用户权益行为APP 以及相应企业的名单。截至目前，经第三方检测机构核查复检，尚有60款APP未按照工业和信息化部要求完成整改。依据相关要求，工业和信息化部组织对上述APP进行下架。至此，本年度工信部已经针对侵害用户权益行为的APP进行了六次通报并勒令整改，前后涉及共计381款App。

数据显示，相比于2018年，2020年认真阅读隐私条款的网民有所增加，从32.4%上升为36.4%，说明中国手机网民的个人隐私保护意识在一定程度上有所增强，但整体情况依旧不容乐观。

从数据可以看出，有57.8%的受访网民在APP申请调用权限时辨别后或选择部分通过；30.3%的受访网民会因拒绝应用强迫调用权限而放弃使用该APP。由此可见，手机网民对于辨别APP权限渐趋于主动，但在面对应用过度调用的情况下，仅有少数网民能够坚定拒绝继续使用应用，而绝大多数网民仍迫于需求或者方便妥协于让步于应用不法调用用户信息。

最新数据显示，截至2020年6月，我国网民使用手机上网的比例高达99.2%。在如此大规模用户的背景下，用户个人隐私信息保护意识弱使得App成为用户个人信息泄露的主要出口。一些手机应用潜伏在手机后台，无声无息间读取了大量用户的信息，同时传送到指定的服务器存储起来。这些失窃的隐私信息就像一颗颗定时炸弹，给使用者的社交安全带来了极大的隐患。

为了更好地了解这些手机应用偷窃了用户的哪些信息，我们从工业和信息化部、网络信息办公室等可信机关获取到应用权限表、2020年度六次通报的App信息以及在网上抓取的App权限信息等。经收集、清洗、分析数据后，结合文献分析，将内容展示如下：

 ▍App获取了哪些权限？

由中国互联网信息办公室提供的《百款常用 App 申请收集使用个人信息权限列表》中陈列与个人信息相关的26项权限中，平均每个APP申请了10个权限。其中申请权限数最多的是360 手机卫士 ，申请的权限数高达23项。其中相机、定位、录音权限、读取和写入存储器成为最常调用权限；99.0%的APP默认调用相机权限。

上图中展示了其中使用量最高的前二十款App收集的有关个人信息权限。移动社交类APP联系人读取权限调用情况较为突出；100.0%的移动社交类APP默认调用定位、相机、读取通讯录、录音、读取电话状态权限；60.0%的移动社交类APP默认编辑通讯录权限。对于网购类、社交类、旅游类、理财类手机APP，这些类别的APP涉及用户日常生活的各个方面，需获取用户较多个人信息完成相应功能。

读取联系人、短信、彩信等行为对于这些类别APP正常运作所起作用有限，对该部分信息的读取涉及疑似越界行为，其中在读取联系人方面疑似越界较严重。

 ▍各类APP权限数量对比—哪类APP拿走了我们最多的信息?

根据各类App申请收集个人信息相关权限可知，工具类App（如：百度网盘、腾讯手机管家等等）收集个人信息相关权限较多，平均达到了15个。餐饮外卖类和地图导航类App收集的权限数较少，均只有8个。而其他类型的App申请收集个人权限数也就9个左右。

根据如上散点图可知各大类App中月独立设备数、总使用有效时间占比及申请权限个数，以及彼此之间的关系。其中，社交类和工具类App月独立设备数比较多，上述图中最常见App中大多数App总使用有效时间占比约为1。显然，微信的月独立设备数及总使用有效时间占比远大于其他App，说明人们使用手机时大部分时间均用在微信上。

由上图可以了解到，大部分App申请收集个人信息相关权限数为8、9个，因此，大部分App申请收集个人信息相关权限数差不多，具体的权限差别也不是很大，因此，各App获取我们的信息差不多，商家想获取我们个人数据也差不多。

 ▍权限级别划分—哪些APP拿走了我们更多的信息

APP申请的权限分为必要权限以及越级权限（业务权限）。而不同类型的APP所需要申请的权限数量并不是完全一致的。因此，在讨论APP申请权限对我们隐私的侵犯时，必须要对APP所申请的不同类型的权限进行划分，进而探究其是否通过app权限对我们合法的权益产生危害。下图展示了目前市场使用量前二十的APP获取不同类型权限的数量。（注：“必要权限”是指保障App正常运行所必需的最少权限，一般都是在App首次开启时，需用户同意授权必要权限后，才能正常进入App主界面（常见的有“存储权限”等）。“业务所需权限”是指紧密结合业务实际功能所需的权限，比如拍照、扫二维码等需要“相机”权限，查看附近的服务需要“位置”权限等。）

由上图可以了解到，大部分APP所需要的必要权限其实很少，大部分都是为了更好的实现APP功能而索取的越级权限，这些权限的使用并不一定是该类APP所必须的。一些不法的商家也正是打着这样一面旗帜，非法获取、使用用户的相关隐私信息。而一些APP用户对此也没有足够警惕性，容易不假思索就同意相关APP的权限申请。

 ▍安全意识有所提升 信息保密仍需重视

iiMediaResearch(艾媒咨询)的数据显示，相比于2018年，2020年认真阅读隐私条款的网民有所增加，从32.4%上升为36.4%。但这个数据仍然说明了提升用户隐私保护意识还有很长的一段路要走，政府企业仍需要投入更多的资源来发展网络安全建设。

APP成用户隐私惯犯，还在于现有处罚手段不够让其“肉疼”。某些企业往往从所谓“经济人理性”出发，对盗用、滥用乃至交易用户隐私、数据等权益所获取的利益与所带来的法律后果进行对比，一旦发现违法成本过低，就会将侵犯用户权益异化为本小利大的稳赚生意，从而这种畸形的商业逻辑屡禁不止，本质上则是对法律的无视。因此，建议对于APP要强化管理。

首先，对APP上线应有事先审查程序，如果查及开通了通向用户隐私数据的“后门”，不仅要取缔上线资格，而且要进行处罚，并对外公示。而在APP上线后，一旦发生侵犯用户隐私等权益的行为，处罚标准也应“就高不就低”，采取零容忍态度，让企业看到监管部门的整治决心。

更需要完善之处在于立法。“是否存在超范围获取用户信息风险”应被列为App安全审查核心标准之一，不满足安全标准者不得进入市场。同时我国相关法律法规对于APP侵犯用户权益的力度还需强化，可否借鉴类似《一般数据保护条例》等国外经验，罚款额度以企业营收总额为基础，对违规企业的暂停乃至永久下架，设置更严格的启动程序等，从而让企业真正明白，触犯法律的后果是不堪承受的。

随着法律法规的逐步完善，业内利用过度索权、信息窃取等方式进行牟利的应用开发商将难以逃脱法律的制裁。在网络环境进一步得到净化的背景下，应用开发商及运营者必须充分重视数据安全以及用户个人隐私管理。只有充分遵循法律条文，在合法合规的背景下规范运行，不做违法违情，以实际行动净化APP的市场应用环境，确保每一款APP都是让用户感到放心、安全的APP才是应用厂商生存的长久之道。

图片：来源于网络

数据来源：

中共中央网络安全和信息化委员会办公室

中华人名共和国工业和信息化部

《2020年中国手机APP隐私权限测评报告》

参考文献：

[1]方正梁. 紧绷用户隐私保护之“弦” 对违规行为“零容忍”.[R].人民邮电,2020:11-04.

[2]高理想.App申请和使用“可收集个人信息权限”案例分析.[J]保密科学技术,2019-10.

[3]毕舸. APP 成用户隐私惯犯处罚还要再“疼”一点.[C].1994-2020.China Academic Journal Electric Publishing House.

作者：黄强、刘梓杰、杨阳

指导老师：吴小坤

学校：华南理工大学

编辑：谢田甜