例如，嘀嗒出行具備音頻與拍照功能,，擁有錄音與拍照權(quán)限較為合理,，但其同時也擁有讀取聯(lián)系人權(quán)限,，這與其基本業(yè)務(wù)功能不符,。

對此,，也有APP設(shè)計人士向記者抱怨稱,，“其實有不少APP在制作時,，源代碼是復(fù)制其他APP的，有時不需要的權(quán)限也這樣一股腦兒復(fù)制過去了,，并非是APP自己想要多收集,。”

宜人貸,、紅包鎖屏,、瑞錢包等“自動”上傳用戶位置信息

需要注意的是，引擎檢測只能檢測APP安裝包內(nèi)的權(quán)限“基因”,，無法判定APP行為,。

7月9日至7月15日，新京報記者聯(lián)合國家計算機病毒應(yīng)急處理中心,，從109款A(yù)PP中篩選出了在安裝包層面申請了多個權(quán)限的14款A(yù)PP,，采用“抓包”方式進(jìn)行人工檢測發(fā)現(xiàn)，14款A(yù)PP中有7款A(yù)PP在首次打開授權(quán)但不進(jìn)行操作后，自動上傳了用戶的GPS定位等隱私信息,，一些APP的定位精確到具體的區(qū)縣,。

這14款A(yù)PP包括360借條、和包支付,、紅包鎖屏、看拍,、球球大作戰(zhàn),、瑞錢包、搜狗輸入法,、同花順,、微鎖屏、悟空理財,、宜人貸,、中興智能家居、作業(yè)幫等,。

其中,，球球大作戰(zhàn)、作業(yè)幫,、中興智能家居,、宜人貸、紅包鎖屏,、瑞錢包等7款A(yù)PP在首次打開并對彈出的提示框點擊確定,，并不做任何其他操作的情況下，向網(wǎng)站上傳了用戶的經(jīng)度和維度定位信息,。其中作業(yè)幫上傳的內(nèi)容精確到了檢測機構(gòu)所在的天津市濱海新區(qū),。

需要注意的是，記者并未在球球大作戰(zhàn),、微鎖屏等APP中直接找到需要使用地理位置的功能,，但其仍然向用戶申請了相關(guān)權(quán)限，并在安裝完后立刻上傳了用戶的定位信息,。

中國人民大學(xué)法學(xué)院教授劉俊海認(rèn)為,，自由和權(quán)利是有邊界的，APP若貪得無厭,，索取權(quán)限超過法定范圍就構(gòu)成侵權(quán),，侵犯了消費者的隱私權(quán)與個人信息權(quán)，此時APP應(yīng)該“懸崖勒馬”,。

《APP申請安卓系統(tǒng)權(quán)限機制分析與建議》也顯示,，APP應(yīng)遵循“最少夠用”原則，即APP應(yīng)只申請實現(xiàn)業(yè)務(wù)功能所必需的系統(tǒng)權(quán)限。選擇系統(tǒng)權(quán)限時應(yīng)選取能滿足業(yè)務(wù)功能所需的“最少夠用”的權(quán)限,，比如,，使用“粗略地理位置”即可達(dá)到業(yè)務(wù)目的，完成業(yè)務(wù)功能的,，避免使用“精確地理位置”,。

不過，什么是“最少夠用”,，APP顯然有不同的理解,。有網(wǎng)安部門的公安干警對新京報記者表示，其在執(zhí)法時常常遇到APP對索取權(quán)限辯解的各種理由,，“比如我去問一家游戲APP,，你們要地理位置干什么？對方表示是為了‘觀察哪個位置的玩家較多,，此后可以在該位置架設(shè)服務(wù)器,，更好地提升用戶體驗’”。

對此,，APP專項治理工作組成員何延哲對記者表示,，以提升服務(wù)體驗為借口多索取權(quán)限也是不合理的，“比如游戲類APP如果想要根據(jù)用戶位置架設(shè)服務(wù)器,，只要看用戶IP就可以了,，為什么要獲取地理位置權(quán)限？”

未發(fā)現(xiàn)APP竊聽用戶談話

《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》指出,，在目前下載量較大的千余款移動APP中,，每款應(yīng)用平均申請25項權(quán)限，其中申請了與業(yè)務(wù)無關(guān)的撥打電話權(quán)限的APP數(shù)量占比超過30%,；每款應(yīng)用平均收集20項個人信息和設(shè)備信息,，包括社交、出行,、招聘,、辦公、影音等,；大量APP存在探測其他APP或讀寫用戶設(shè)備文件等異常行為,，對用戶的個人信息安全造成潛在威脅。

這引起了不少用戶的共鳴,，“我覺得我說話都能被淘寶和小紅書聽見,。”8月16日,，有接受問卷調(diào)查的用戶向新京報記者抱怨,，其有時會出現(xiàn)上午和朋友閑聊某商品，下午APP就推送了該商品廣告的情況，“APP一定偷聽了我的談話,?！?/p>

近期，蘋果,、臉書,、亞馬遜、微軟四個國外互聯(lián)網(wǎng)巨頭也分別曝出“竊聽門”,，臉書官方承認(rèn)其存在人工轉(zhuǎn)錄用戶語音記錄的行為,。

不過，新京報記者7月9日至7月15日對14款A(yù)PP進(jìn)行“抓包”分析發(fā)現(xiàn),，APP上傳最多的用戶數(shù)據(jù)是手機的設(shè)備型號,、IMEI號(國際移動設(shè)備識別碼,，相當(dāng)于移動電話的身份證),、安卓版本、mac地址等,，其次就是地理位置信息,。但在此期間并未有APP上傳用戶的語音與圖片數(shù)據(jù)。

“用戶的錯覺來自定向推送,，實際上,，語音竊聽與定向推送完全不同?！?月8日,，何延哲對新京報記者表示，“通過語音竊聽是一種成本最高,、效率最低的方法,，但當(dāng)APP通過社會關(guān)系、喜好習(xí)慣,、WiFi場景等各種方式進(jìn)行定推,，就會給民眾‘遭到竊聽’的錯覺”。

問題1

為何92%的人認(rèn)為APP會泄露個人隱私,？

8月16日至19日,，新京報以“你覺得APP會不會泄露你的個人隱私信息”為題在微博、今日頭條以及微信朋友圈進(jìn)行了問卷調(diào)查,，匯總調(diào)查結(jié)果顯示,，200個回復(fù)的手機用戶中，有184人認(rèn)為“會泄露”,，有16人認(rèn)為“不會泄露”,，認(rèn)為APP會泄露隱私的用戶占到了調(diào)查總數(shù)的92%。

與之形成鮮明對比的是，在新京報記者測試的109個APP中,，幾乎所有APP均可找到隱私協(xié)議,，且協(xié)議中有類似“會遵循隱私政策收集使用信息”的表述。此外,，由于APP專項治理工作的推進(jìn),，APP對索取權(quán)限進(jìn)行明示提醒幾乎普及了所有主流APP，有網(wǎng)信辦相關(guān)工作人員對記者表示,，對APP“主要抓合規(guī)性,，制定法律法規(guī)，標(biāo)準(zhǔn)規(guī)范,，并督促APP落實”,。

是什么造成了用戶認(rèn)知與APP規(guī)范的“割裂”？安全專家劉海(化名)對記者表示,，在技術(shù)上,，APP確實擁有探尋用戶隱私的能力，且由于用戶數(shù)據(jù)上傳至企業(yè)后,，對于公眾而言就屬于數(shù)據(jù)進(jìn)入了“黑箱”狀態(tài),，企業(yè)拿去做什么，只要不被曝光,，用戶是毫不知情的,，再加上用戶日常會接到針對其畫像的定向推送，所以不信任感會大大增加,。

問題2

你的通訊錄是否已被你用的APP讀?。?/strong>

109個APP中有57款A(yù)PP“越界”含有讀取聯(lián)系人的代碼,，占比51.8%,。

國家計算機病毒應(yīng)急處理中心工作人員稱，“android.permission.READ_CONTACTS代表讀取通訊錄權(quán)限,，擁有該代碼的APP在‘基因?qū)用妗途邆淞俗x取用戶通訊錄的意圖,。”

國家計算機病毒應(yīng)急處理中心工作人員將代碼比喻為APP的“武器庫”,，“檢測出來了就說明APP有‘武器’,，但APP是否拿出這個‘武器’并予以使用，還要看后續(xù)具體用戶是否同意權(quán)限申請,?！?/p>

劉海對記者表示，一般來說APP只要在具體操作行為上彈窗提示征得了用戶同意,，即便權(quán)限越界也無不可,，“但安裝包上搭載越界代碼的行為也值得討論,，APP的主要功能明明不需要這一權(quán)限，為什么還要搭載這個代碼,？這是否就屬于對用戶安全的‘潛在威脅’”,？

梆梆安全CTO方寧表示，要檢測APP是否上傳了用戶隱私數(shù)據(jù),，需要通過做逆向分析,、滲透測試等方式，但這需要具備專業(yè)的技術(shù)能力,，普通老百姓不可能做到,。