读取联系人和通讯录，偷偷监控外拨电话，翻看手机通话记录，甚至还开启了录音功能，你的手机也许并不“老实”。即便你安装的手机APP是行业领先的“大公司出品”，这些APP的安全性也并不能令人完全放心。

　　理论上说，你放弃的隐私越多，越有可能得到称心如意的服务，但事实上，无孔不入的APP并没有留给你多少选择的空间。当APP越界搜集个人隐私信息时，潜在的风险不言而喻。

　　三令五申APP越界索权“涛声依旧”

　　上海市消保委近期对网购平台、旅游出行、生活服务等39款市场占有率领先的手机APP涉及个人信息权限评测显示，截至3月23日，有9款手机APP存在索取的权限与功能无法对应的问题，涉及聚美、穷游、猫途鹰、神州租车、百度糯米等。

　　比如，穷游APP向用户索取“读取联系人”的权限，但并没有提供相应的功能;神州租车APP向用户索取“录音”“监控外拨电话，重新设置外拨电话的路径”等权限，但也并未能提供相应的功能。

　　此次发布的测评结果，已经是上海市消保委第三次针对手机APP进行的测评。上海市消保委此前已经针对地图类、浏览器类、输入法类以及综合视频类等进行了两轮测评，发现存在数十项无实际功能对照的权限申请，包括读取通讯录、电话权限、短信权限、定位权限等。

　　上海市消保委秘书长陶爱莲说，在三令五申下，APP过度索权问题依然屡禁不止，即使是来自行业领先大公司的APP问题同样突出，已经成为消费者的新痛点。

　　去年8月，中国消费者协会发布的《APP个人信息泄露情况调查报告》显示，超八成受访者曾遭遇个人信息泄露问题，其中常见情形为推销电话、短信骚扰、诈骗电话、垃圾邮件。而根据全国消协组织受理消费者投诉情况统计，去年上半年，电商、社交软件等平台非法收集消费者个人信息的现象已成投诉新热点。

　　一款手机壁纸应用竟然要读取你的通讯录，一个浏览器应用竟能随时给你录音。媒体调查发现，为了收集用户信息，在大数据时代占据市场先机，一些APP过度索取消费者权限的情况近乎“疯狂”，相关法律和监管滞后。

　　利益驱使APP开发商突破底线

　　在大数据时代，更多的用户权限和用户信息意味着更大的收益。

　　早在PC时代，用户在注册一些网站时就被要求填写大量个人信息，实际上有些个人信息并不是非填写不可的，但是在商业利益驱使下，某些网络运营者总是倾向于搜集尽可能多的用户信息。

　　在移动互联时代，这一问题有变本加厉之势。网站注册时要求用户填写尽可能多的个人信息，网站却无法获取电脑权限;即使有些个人信息没有填写，也是可以注册的。但是现在APP却发展到了这样的程度，一款普通的手机浏览器，不开启定位权限就无法正常使用;一个普通的手机输入法，拒绝它读取你的手机通讯录等个人信息就不给你用……

　　“大数据时代，没人知道哪些

　　数据会成为未来商业发展的重点，所以，拥有足够多的数据才是重点。搜集的数据越多，营销价值就越大。 ”一位从事互联网营销的业内人士一句话点破了其中奥秘。

　　APP强制索权之所以会越来越严重，与人们日常生活对手机的依存度越来越高有关。网上购物、出门打车、在家叫外卖、上门保洁……现在生活中很多事情都可以借助于手机完成，当人们习惯了享受APP提供的各项便捷服务时，在与APP的博弈中就会处于下风。

　　正所谓此消彼长，当弃用某个APP的成本甚至要高于强制索权的潜在危害时，那么用户面对APP步步紧逼的强制索权行为即使明知自己权益受损或者可能受损，也不得不有意无意选择妥协。

　　互联网从业人员叶先生对自己安卓手机上安装的109个应用进行了统计，104个APP都有“读取已安装应用列表”权限，由此可以了解用户的行为习惯及分析同行情况;第二受关注的权限就是“读取本机识别码”，这是用于确定用户，因为每个手机识别码都是独一无二的;第三是“读取位置信息”权限，有80个APP需要这一权限，可搜集用户的活动范围。

　　记者搜索了应用商店10款排名靠前的“手电筒”软件，除了相机权限外，绝大部分都要求用户放开存储、位置信息、电话等，还有1款要求开通访问通讯录的权限。

　　DCCI互联网数据中心发布的《2017年中国安卓手机隐私安全报告》显示，非游戏类APP2017年越界获取的各种隐私权限显著减少，但核心隐私权限中的越界获取“通话记录”和越界“读取彩信记录”出现较大幅度增长。

　　“从行业看，都在尽一切可能收集用户信息。 ”移动互联网系统与应用安全国家工程实验室高级安全研究员朱易翔指出，本质上就是一些APP开发商没有底线。

　　安全认证行业治理重在严肃规范

　　对于APP来说，过度或者强制索取用户权限是一个由来已久的问题。

　　信息时代，数据可变现，个人信息成为买卖的产品，用户的消费习惯、出行轨迹、财务状况等成为不少企业的利益源泉，一些企业就把“收割”个人信息作为博取利益的途径，甚至不惜铤而走险，“打擦边球”牟利。

　　其实早在2016年12月，《移动智能终端应用软件预置和分发管理暂行规定》就明确指出，生产企业和互联网信息服务提供者所提供的移动智能终端应用软件，不得调用与所提供服务无关的终端功能。不过，面对海量的手机APP，这个“不得”的禁令最终被乱象与沉疴所掩盖。

　　“虽然我国已经有多部相关法律法规加强对个人信息和与互联网相关的消费者权益的保护，但随着互联网快速发展，需要确立一个和其他人格权区分的个人信息权，在立法层面将原本分散的保护规定整合起来，建立起专门的保护机制。 ”作为长期关注隐私保护领域的法律人士，安徽相和律师事务所资深律师王陈认为，越界索权的手机APP，该用法治化的责任担当来约束其安装与服务行为。

　　他还认为，强化对相关企业行为合法性的行政监管非常重要。尤其是针对消费者被侵权，但尚未察觉损失的情况，要有针对性地对企业展开检查，建立适当的个人信息侵权行为行政处罚机制。

　　针对APP过度获取隐私权限等现象，今年3月15日“国际消费者权益日”当天，国家市场监管总局和中央网信办联合出台了《关于APP安全认证的公告》，指定中国网络安全审查技术与认证中心(ISCCC)为官方认证机构，依据《信息安全技术个人信息安全规范》来制定技术验证规范，对APP进行安全认证。

　　记者了解到，上述APP安全认证相关通道已经于3月21日正式开通。认证秉承自愿原则，按照“技术验证+现场核查+获证后监督”的模式进行，对于通过认证的APP，将鼓励搜索平台和应用商店优先推荐。针对APP中涉及个人信息安全的具体技术验证规范已经制定完成，将会对参与验证的机构公开。

　　令人欣慰的是，一些涉事企业也已经行动起来，积极进行自查修改。据上海市消保委消息，截至4月1日，前述测评涉及的问题APP均已向其提交报告，大多通过版本更新、删除权限等方式完成整改。

　　合肥工业大学互联网安全专家朱家富认为，互联网企业应确保相关应用索取的权限与功能必须相匹配，并妥善使用这些权限，建议行业内的大型企业能尽早推出团体标准，净化市场。同时，消费者也应加强对APP索权的重视程度，谨慎授权。

文章来源:中安在线