偶酷网新闻移动版

　　在实际测评中，记者发现不少APP开启的权限和自身核心业务交集不大，如主业为视频播放的腾讯视频在首次使用时向用户明示了使用协议，并只开启了“读取本机识别码”，同类APP爱奇艺则没有在软件打开时做到弹窗提示，还开启了使用呼叫转移以及读取运动数据权限，并在记者安装后立刻尝试读取位置信息。

　　优酷则开启了位置、运动数据、获取浏览器上网记录等多个与视频观看交集不深的敏感权限。记者打开优酷和爱奇艺APP后，并未发现有哪些选项与读取位置或者拨打电话有关。

　　也有不少APP有明确的理由开通与主业无关的功能。例如资讯类APP今日头条在上线“发布小视频”功能后，就有理由开启相机和麦克风录音权限。对此，有用户曾经质疑今日头条“通过麦克风窃取用户隐私”，今日头条则回应称“今日头条旗下所有产品，都不存在未经用户许可、擅自获取用户隐私的行为。”

　　在方宁看来，虽然目前相关法规有“不得收集服务所必需以外的用户个人信息，不得将信息用于提供服务之外的目的”之类的表述，但其实这个说法空子还是很大的。“什么叫‘服务必需以外’？比如优酷，我们认为它只提供视频播放服务，但是它也可以说我获取用户信息是为了做大数据分析，比如根据用户喜好推荐想看的视频，根据用户行为习惯做用户画像分析等。事实上，APP可以把它的服务装饰成很多维度，然后就可以通过这种方式获取主业之外的权限，即找一个合适的理由来采集你的信息。”

　　1月18日，记者在后台的“权限访问记录”中发现，一些敏感权限的读取记录来自和主业完全不符的APP，如搜狗输入法、爱奇艺、蜻蜓FM在安装后不久就尝试读取位置信息。而被访问最多的权限之一是“读取已安装应用列表”。方宁介绍，这是APP做运营分析或者用户画像时很常见的方式。

　　开启权限是否泄露隐私？

　　技术上可以读取隐私，但难判断是否泄露

　　在刘海看来，随着市场上APP的功能越来越丰富，申请的权限也越来越多，这也同样说明以窃取泄露用户信息为目的的恶意APP和仅是提供服务的非恶意APP申请的权限交集更大了。“例如目前许多APP都有‘语音搜索’功能，即便这并非其核心功能，开启与否区别不大，但一旦开启，就意味着APP有了窥探用户隐私的能力。”

　　他认为，只要开启了录音权限，技术上APP确实可以获取用户的录音；而开启了通讯录权限，技术上APP也可以得到你的联系人名单。换言之，只要拿到相关权限，APP完全可以在正常提供相关服务的同时，“顺手”获取用户的隐私数据，不管这些数据是否属于“服务必需之外”。

　　比如，为了方便用户导入联系人名字，一些输入法要求读取用户通讯录，但这也意味着它得到了通讯录个人信息（包括姓名、号码、甚至家庭住址等）。对此，马兆丰分析称，如果输入法获取了通讯录信息后只是为了本地使用方便，不做数据上传或进一步用于其他目的，获取权限的理由也成立，那么，在很大程度上就不一定能涉及隐私泄露。

　　“事实上，如果一些应用程序涉嫌非法收集、使用加工用户隐私信息，通过深度数据解析、网络通讯行为分析、相关操作访问等技术手段是可以监测到的，即使在网络传输层面是加密的，但在本地数据解析、数据构造层面也是可以分析监测到是否涉嫌用户隐私侵犯。因此，个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规，否则，一旦涉嫌用户信息不当使用都要承担相应后果。”马兆丰指出。

　　方宁表示，通过做逆向分析、渗透测试等方式可以检测出一个应用是否上传了用户隐私数据，但这需要具备专业的技术能力，普通老百姓不可能做到。“目前主要依靠企业行为自律或寻找专业的安全企业进行合作，以达到为用户提供安全的使用环境。”

　　而在任方看来，由于很难取证，目前并没有有效的惩处制度来约束APP的这种隐私窃取行为，用户也无法证明APP是否真的窃取了隐私。

　　20款APP仅京东、苏宁易购、腾讯视频、支付宝弹窗提示隐私协议

　　百度赶集网等未明示隐私协议

　　根据我国《信息安全技术-个人信息安全规范》要求，收集个人敏感信息时，应取得个人信息主体的明示同意，确保其在完全知情的基础上自愿给出具体、清晰、明确的愿望表示，并且允许个人信息主体选择是否提供或同意自动采集。

　　为了解决权限安全问题，谷歌公司曾建议开发者在上传应用时发布隐私条例，即开发者需要声明用户相关的隐私信息如何被使用、收集或分享，其目的是使用户了解隐私信息如何被使用，从而更好地保护用户隐私。

　　但目前，很多APP并没有做到明示隐私协议以及给予用户选择是否同意的权利。

　　1月17日，在新京报记者测试的20款APP中，京东、苏宁易购和腾讯视频在首次安装时就将其隐私协议进行了弹窗提示，用户可以选择是否同意，支付宝在安装后不会立即提示隐私协议，而是在用户登录时弹窗进行相关提示。

　　相比之下，滴滴出行、百度浏览器、赶集网、1号店、携程旅行、美团外卖、西瓜视频等多数APP都没有向用户明示提醒其隐私协议。

　　此前，南都个人信息保护研究中心发布的《关于收集个人信息“明示同意”的测评报告与建议》显示，在100款常用APP中，在用户注册前，“默认勾选”同意企业用户协议和隐私政策的情况并不少见，有的甚至存在用户不可自主选择同意与否的问题。仅有11%的APP做到了合乎法规及规范的“明示同意”。

　　新京报记者测试发现，多数APP的隐私协议藏在“设置”选项中，如今日头条在“设置”的最下方有一行小字才能看到“今日头条用户协议”，而百度浏览器的相关隐私协议则在“设置”-“关于浏览器”中才能找到。

　　相关隐私条款中，今日头条和百度浏览器均有“使用APP就视为同意条款”的表述。百度浏览器还特别列出了一个免责声明，表示“您可以选择不使用百度，但如果您使用百度，您的使用行为将被视为对本声明全部内容的认可。”这意味着，用户在安装并使用该APP时，就已经默认同意了上述条款。

　　在前不久的支付宝“年度账单”事件中，也出现了默认勾选隐私协议的事件。

　　对此，华东政法大学教授、大数据政策法律研究中心主任高富平曾发表文章认为，有效同意的要件需要明确。