APP权限越界强搜个人信息如何破解？

近日，工业和信息化部信息通信管理局网站发布了《关于侵害用户权益行为的App通报（2020年第一批）》（以下简称《通报》），当当、大街、WiFi管家、e代驾、知乎日报等16款App被点名。此前，工业和信息化部曾于2019年12月和2020年1月分别公开了两批存在侵害用户权益的App（共56款），并下架3款逾期未整改App。


《通报》显示，侵权行为包括违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限和为用户账号注销设置障碍等。其中，不合理索取用户权限是主要形式，包括过度索取权限、不给权限不让用和频繁申请权限。





权限越界五花八门

截至2019年12月末，国内市场上监测到的App数量为367万款，我国第三方应用商店在架应用分发总量达到9502亿次。


“应用想要获取您的位置、联系人、相机权限……”下载一款新App后，打开软件时通常都会出现请求获取权限的相关内容。常见的应用权限包括存储权限、位置权限、通讯录权限、短信权限、相机权限、麦克风权限、日历权限等。


一些用户权限的获取能够保障App的正常使用。例如，导航软件需要获取位置权限来定位帮助导航，修图软件需要获取相机权限来使用特定照片，语音通讯软件需要获取麦克风权限和相机权限支持语音和视频通话。


部分用户权限的获取能够帮助App使用更加便利。例如，社交软件可以通过获取通讯录权限发现更多联系人，需要通过短信验证的App获取短信权限能够自动填写验证码等。但是，还有部分用户权限的获取并不合理。


手机用户张先生下载一款社交App后，被要求获取包括位置、通讯录、短信、相机、相册、视频、麦克风等10多项权限，很多都涉及隐私，但若不授权则无法使用该软件，让他感到困惑。手机用户赵女士说，在使用一款视频App时，虽然用不到通讯和定位，但该软件还是要求获得拨打电话的权限和位置权限。


以“索取用户权限”为关键词在百度首页搜索，各大网站和论坛都有大量相关讨论。


信息通信管理局网站发布了《通报》，16款App被点名。其中，当当、e代驾、千千音乐、惠租车、电视家、彩视、七猫免费小说、WiFi管家、大街和哎呦有型存在不合理索取用户权限行为。


“惠租车”App进行试验，发现弹出了“‘惠租车’想给您发送通知”弹窗，之后是“允许‘惠租车’使用无线数据”弹窗，再之后是在使用前提醒阅读《使用条款》和《隐私政策》弹窗，此处只能选择“同意，继续使用”和“不同意，退出”。


一般来说，App安装和使用过程中，只能对一些必要的权限征求使用人的同意。在使用安卓系统的手机中，有以下几个权限最常被调取，其一是“读取已安装应用列表”，借此可以了解和分析用户的使用习惯；其二是“读取本机识别码”，主要用来确定用户的身份；其三是“读取位置信息”，通过获取位置，搜集用户的活动范围，例如导航类软件就必须调取这一权限。






若不授权无法使用用户只能被迫接受




应用权限作为收集手机用户个人信息的最直接方式，一旦同意特定用户权限的使用，那么个人信息将随时可能被获取，不利于个人隐私的保护。在《通报》中可以看到，对于用户权限的不合理索取包括不给权限不让使用、过度索取权限。此外，频繁申请权限也属于对用户权限的不合理索取。


从App开发者角度而言，获取用户权限能够在大数据的支撑下为用户提供更精准的“定制”服务。因此，为吸引用户和挖掘用户需求，申请和使用系统权限收集个人信息来对用户信息进行分析，成为大数据和互联网时代的一种常态。


然而，部分开发者和商家受商业利益的驱使，会不合理索取用户权限，侵犯用户的隐私权。“大数据时代，当然是获取的权限越多，搜集到的个人信息就越多。”他以手机听筒权限为例，用户在聊天时谈及最近想购买的物品后，App通过听筒获取该信息后，可以在用户使用时推送相应的广告。


手机中存放的用户的账号密码、联系人名单、照片视频等，如果被App不合理获取用户权限，将面临被“数据劫持”的风险。以获取联系人为例，在联系人信息泄露的同时，用户和相关联系人都可能会收到骚扰电话、垃圾短信，甚至可能在数据被恶意泄露后面临诈骗和勒索。


值得注意的是，北京市消协的调查问卷显示，有41.16%的人在安装或使用手机App前从来不看授权须知。中消协发布的《App个人信息泄露情况调查报告》也显示，“不授权就没法用”是受访者“从不阅读”的最主要原因。


根据调查结果，在占比26.2%从不阅读应用权限和用户协议或隐私政策的受访者中，选择从不阅读的原因，主要是因为不授权就没法用，只能被迫接受（占比61.2%）。




亟须完善规范保护公民信息安全


网络安全法明确规定，要加强对个人信息保护，规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不能收集与其提供的服务无关的个人信息，也不能违反法律规定或与用户的约定收集、使用个人信息。


2019年1月25日，《关于开展App违法违规收集使用个人信息专项治理的公告》发布，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。此后，为落实该公告的部署，相关部门成立了App专项治理工作组。


此后，《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》《电信和互联网行业提升网络数据安全保护能力专项行动方案》等陆续印发，对App违法收集个人信息行为进行了认定和治理。


目前，侵害公民个人信息构成犯罪的才能够追究其刑事责任，但对于一般侵权行为仍然制裁不力，应该采取更具体的立法措施，对侵害个人信息的行为认定为侵权行为，追究其损害赔偿责任。