经济导报记者 刘勇

近日，《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)在全国信息安全标准化技术委员会官网公布，界定了社交、金融借贷、网约车、短视频等16类常用移动APP收集用户必要信息的范围。

就在上个月，由中央网信办、工信部、公安部、市场监管总局指导的APP专项治理工作组发布了对下载量大的100款APP申请权限以及强制开启的权限进行的分析统计结果。

经济导报记者按照《规范》所划定的范围对30款APP进行了实测，发现APP索取的权限依旧超出范围。

默认给某些权限开绿灯

济南华星信息安全技术有限公司总经理刘华星告诉经济导报记者，《规范》明确表示，移动互联网应用个人信息收集活动，主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”，遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。

为验证APP是否已经开始遵循上述原则，经济导报记者随机对30款APP进行测试。此次测试使用一部小米手机，为保证测试的相对客观，在实测前该手机已经恢复出厂设置，同时对SD卡进行格式化。所有测试的30款APP均从小米应用商店下载，权限开启状态以首次安装APP打开并同意权限申请后，手机自带安全中心下的权限管理栏目中各APP权限开启情况为准。

在测试中，30款APP均向用户进行了明示提醒，遵循了“选择同意”原则。但经济导报记者发现在“最少够用”与“目的明确”原则上，部分APP仍不够完善。甚至有APP在不提醒的情况下，默认给某些权限开绿灯。

在刘华星看来，“最少够用”原则指的是不收集与APP提供的服务无关的个人信息，不申请打开可收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息，自动收集个人信息的频率不超过业务功能实际所需的频率。

经济导报记者注意到，多数APP在首次开启时所要“手机号码、IMIE IMSI权限以及访问照片、媒体内容和文件”等权限。

以定位权限为例，按照《规范》，除了地图导航和网约车类APP属于必要的信息，除此之外的APP也索要了定位的权限。如豆瓣、虎牙直播、开心消消乐、作业帮、趣头条、途牛旅游和智联招聘。

此外，经济导报记者注意到，作为学习类软件，作业帮除了要求“拍摄照片和录制视频”外，定位以及读取应用列表也是其所要的权限。作为直播类APP，虎牙直播除了要求一般性权限外，还自动开启了“接听或挂断电话，监听通话状态，修改系统设置”的权限。作为房产类的APP，智联招聘所要求的权限除了一般性权限外，还开启了“拨打电话、读取联系人、相机”等权限。作为一家金融类APP，浦发银行一打开系统就索要拨打电话等权限。

暂不用的权限也索取

在刘华星看来，通常APP所收集来的信息都用于完善用户画像及数据分析。一些权限是非核心、不必要的，一些开发者滥用权限的授权，比如在产品设计时，把未来才可能用到的权限全部加上，但目前的版本可能根本用不上。“但对于普通市民来讲，APP收集的各种信息都用到何处并不知情，而且根本无法得知是否遵循‘最少够用’原则。”

经济导报记者从手机自带的“安全中心下应用管理下的权限管理一项”发现，从单个APP要求的权限数量来看，权限要求最多的是360手机卫士，共要求26项权限，其次就是钱站，要求22项权限，而最少的则是趣店和小猿搜题，仅要求了10项权限。

从权限类别上看，趣头条和智联招聘开启了“拨打电话”的权限；虎牙直播开启了“接听或挂断电话、监听通话状态”的权限；智联招聘还开启了“读取联系人”的权限；开心消消乐、豌豆荚和智联招聘开启了“访问手机账户”的权限；智联招聘和作业帮开启了“相机”权限，浦发银行开启了“拨打电话”“录音”权限。

有19个APP开启了“定位”权限；21个APP开启了“获取手机信息”的权限；27个APP开启了“读取应用列表”的权限；30个APP开启了“读写手机存储”权限和“读取应用列表”；8个APP开启了“系统设置权限”。

DCCI互联网研究院首席专家胡延平认为，APP抓取广大用户的手机通讯录后，会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库，借此给用户精准“画像”，通过推送广告等获取收益。

胡延平认为，手机应用商店应该有一整套检测和审核机制，当一款手机应用进入该商店之前，将不必要的功能权限拒之门外，尤其规范越界获取的功能权限，在用户考虑是否授权前把第一道关。同时要细化行业规范，即将个人基本信息量化，建立数据标签，将注册ID、二维码、姓名、电话、身份证号，包括指纹、虹膜、图像等分门别类进行行业评估，“什么样的手机应用能获取哪个数据标签的哪些属性，这样从行业规范中可以找到解决方案，就事论事。”

“保护伞”仍需放大

中国法学会消费者权益保护法学研究会副秘书长陈音江表示，个人信息可用于用户分析，从而用于APP产品的优化升级。“但一些企业过度采集用户个人信息，目的就是根据用户的消费行为分析，精准匹配投放商业广告。”

这也就是为何APP会索取各种不必要权限的原因。

就在几天前，腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》，选取2018年下载量较高的1404个APP为样本检测发现，92%的安卓应用过度获取核心隐私权限。这些APP过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等个人信息。

在互联网独立分析师刘玉琦看来，很多互联网公司的数据管理员，在数据安全意识尤其是保护个体数据安全意识上，边界意识较差。“需要加强执法力度，除了大幅提升对违法违规企业的惩罚力度，还需制定APP过度索权的评估标准和打造有力的监管体系。未来还应出台专门的个人信息保护法，对个人信息保护的规定加以细化。”

中国传媒大学文法学部副部长王四新认为，很多互联网公司的数据管理员，在数据安全意识尤其是保护个体数据安全意识上，边界意识较差。什么数据可以用，什么数据可以搜集，对个人数据使用到什么程度，泄露出去后怎么处罚等，都没有相应的认知和具体的规范要求。未来，需要加强执法力度。

中国电子商务研究中心主任曹磊也认为，法律条文需细化，相关部门应适时介入。“此外，网站平台收集和使用用户信息应当遵循‘合法、正当、必要’三原则。对收集到的用户信息应当采取安全保护措施，一旦发生泄密，必须及时采取补救措施，否则都可能面临行政处罚或者用户的诉讼。”曹磊说。

在刘玉琦看来，除了大幅提升对违法违规企业的惩罚力度，还需制定APP过度索权的评估标准和打造有力的监管体系。