千余款APP每款平均申请25项权限 边界在哪儿？

　　【焦点】使用银行APP，为何要告知性取向

　　近日，据国家网络安全通报中心透露，又有100款违法违规采集个人信息的APP被查处整改，光大银行、更美、考拉海购、微店等知名APP在列。通告指出，此次集中整治，重点针对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

　　其中，在发布日期为2019年10月30日的《中国光大银行手机银行隐私政策》罗列的可能收集的个人信息及收集信息范围一项内容备受争议，引发人们再度质疑：APP刺探用户隐私的“手”，究竟能伸到哪儿？

　　千余款APP每款平均申请25项权限

　　《中国光大银行手机银行隐私政策》在个人信息范围描述的相关条款中，“个人敏感信息”一项中列出的“其他信息”，包括个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、精准定位信息、网页浏览信息等14项内容。

　　一款金融类APP为何要获取这么多用户个人敏感信息？记者下载使用后发现，如果选择暂不同意该隐私政策，则无法使用光大银行手机银行的相关服务。

　　针对此事，光大银行在其官网发布说明称：“光大银行高度重视提升客户体验与客户隐私信息保护工作，切实保证用户个人信息安全，目前提示的用户隐私政策条款符合相关要求。光大银行手机银行APP一直正常运行，从未停止过服务。”

　　有业内人士认为，银行APP在隐私政策中列出此类条款，违反了监管部门对信息获取最少够用原则。根据2018年5月1日实施的《信息安全技术个人信息安全规范》，网络运营者或者其他个人信息收集者，除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的所需最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。

　　迈入移动互联时代，大数据的价值日益凸显，但稍加梳理即可发现，许多APP也在借收集数据之名，不断刺探获取用户隐私的边界。

　　“大众点评”APP曾出现用微信登录后，酒店、餐厅等地方的签到点评信息就全部出现在好友面前；航旅纵横APP开通的“虚拟客舱”功能，乘客可以查看同一航班其他乘客的历史飞行地点及频率等信息，还有用户在使用后收到骚扰信息；此前曾引起轩然大波的滴滴顺风车的车主乘客互评功能，人未上车司机就已知晓你“颜值几何”……

　　来自国家互联网应急中心监测分析发现，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，平均收集20项个人信息和设备信息。通常与主业无关的通话权限，就有30%以上的APP申请。

　　注册充值后就可定位或查询动态轨迹

　　“我每天都要接到好几个陌生电话，不接怕遗漏重要电话，接来一听全是问要不要买房、贷款，要不要给孩子报补习班。”面对骚扰电话，北京的陈女士苦不堪言。

　　有业内人士表示，大多数APP都会要求获取访问用户应用程序列表的权限，他们就可以在用户不知情的情况下，分析用户对应用程序的使用习惯，来推测出用户的爱好。这些信息可能与APP的主业无关，但却能够帮助企业给用户做画像，从而进行商业营销。

　　除了APP过度索取权限导致的隐私泄露，还有一些不法APP专门获取用户隐私信息谋利。

　　今年初，江苏南京警方破获一起通过技术定位侵犯公民个人信息案。去年1月，一名男子报警称，讨债人员利用手机定位软件，实时定位到了他聊天账号的位置，结果对方找上门，使他人身安全受到威胁。

　　警方介入调查后发现，讨债人员是使用了一款名叫“APP神探”的定位软件，只需把想要定位的人的聊天软件账号输进去，点击查询，就可以查询静态位置或动态轨迹。

　　据民警介绍，用户要先在该APP软件上注册成为会员，充值后才能使用定位功能。如果对方在线，定位一次只要1元。如果对方不在线，定位一次要10元。案发时，这款定位软件已经吸引了4000多名注册用户，涉案金额40余万元。

　　APP过度索取权限、个人隐私信息一旦泛滥便会造成极大的危害。例如身份证号会被用于贷款、办黑卡，甚至被不法分子用来办理手机卡用于电话诈骗。

　　获取用户信息应合法正当且必要

　　个人隐私频频失守，APP索取用户信息的边界究竟在哪儿？

　　北京志霖律师事务所律师赵占领表示，根据网络安全法的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。

　　“应用软件索取用户信息的边界，主要是依据必要原则。对于必要原则通常的理解是，比如基于法律本身强制性规定的情况，要求APP进行实名制认证，就需要收集如用户身份证号码等信息。”赵占领说。

　　“第二种情况就是基于这种产品本身的功能特点。比如地图软件就需要收集用户的位置信息，社交软件就可能需要读取你的通讯录。”赵占领表示，“还有第三种情况就是为了改进用户体验而收集用户信息，而这种情况往往容易产生争议。”

　　2019年6月1日，全国信息安全标准化技术委员会秘书处编制发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范（V1.0）》，给出了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息。

　　“这个文件非常具体，第一次规定了各种不同类型软件收集个人必要信息的具体范围，是对必要原则进行的细化。但这个国家标准是属于推荐性标准，没有强制约束力。监管部门在监管时可以作为参考。”赵占领认为，今后还需要建立常态化的执法机制，对APP违法采集个人信息长期保持监管的高压态势。

　　有业内人士分析认为，互联网公司在开发手机APP的同时，一定要确保所得数据的私密性，维护用户数据隐私不受侵犯。

　　“应用软件收集用户个人信息，还需要明确告知收集个人信息的范围，收集的用途，并且经过用户明确同意，这是基本的原则。”赵占领表示，如果用户发现某个企业违反相关原则，或者未经同意就读取用户的相关信息，就可以向相关部门举报投诉。（记者 曲欣悦）