在手機上安裝一款APP，大多數人會經歷類似的過程——在一份寫滿各種讀取權限的用戶協議上點擊同意，才能完成安裝。

　　在這些權限中，有獲取位置的、讀取短信信息的、讀取通訊錄名單的、瀏覽手機存儲的。各種APP應用在讀取用戶個人信息時，幾乎是海量的，而用戶往往在涉及種種個人隱私權限的協議面前，一覽而過甚至放棄閱讀，輕易地將個人信息授予APP。

　　那么，APP索要用戶信息的邊界在哪兒？個體的隱私又該如何保護？《工人日報》記者對此進行了調查采訪。

　　手機APP頻頻越界

　　互聯網第三方研究機構DCCI互聯網數據中心發(fā)布的《2016年中國Android手機隱私安全報告》顯示，2016年Android非游戲類APP中有91.7%需要讀取位置信息，其中13%屬于越界；需要訪問聯系人的占49%，其中9.1%屬于越界。此外，越界讀取短信、通話記錄、手機號碼等行為也非常嚴重。

　　記者了解到，越界獲取權限除了造成手機卡頓之外，更嚴重的后果在于一旦隱私被竊，手機中的重要資料和照片就會被肆意查看，如果隨意訪問聯系人、短信、記事本等應用，還會造成銀行卡賬號密碼等信息泄露，造成經濟損失。

　　2013年，工信部聯合其他部門推出的《信息安全技術公共及商用服務信息個人信息保護指南》確定了一些APP應當遵循的基本原則，包括目的明確、最少夠用、公開告知、個人同意等。其中，最少夠用原則是指只處理與處理目的有關的最少信息，達到處理目的后，在最短時間內刪除個人信息。目的明確的原則強調處理個人信息具有特定、明確、合理的目的，不擴大適用范圍，不在個人信息主體不知情的情況下改變處理個人信息的目的。

　　顯而易見的是，目前很多APP都違反了上述原則。記者在一款安卓手機的應用商店中搜索了多個手電筒APP，幾乎所有的APP都請求撥打電話、讀取通訊錄和位置信息等權限。

　　科技公司“極棒實驗室”發(fā)布的《APP個人隱私研究報告》顯示，該公司研究人員深入分析安卓手機代碼后發(fā)現，很多權限的申請，都超出了APP的功能范圍。

　　其中，該公司通過對一款提供駕考、汽車信息的APP代碼深入分析后發(fā)現，該APP申請并調用了讀取通話記錄權限，并直接將該信息上傳至廠商服務器。該項研究還針對一款在Google Paly上下載量超1000萬的傳輸類APP進行分析，發(fā)現該APP在新注冊用戶首次登錄時會將用戶手機中的通訊錄信息直接上傳至服務器，且未對通訊錄信息進行加密傳輸，極大增加了被監(jiān)聽截獲的風險。

　　數據背后的利益

　　2016年8月施行的《移動互聯網應用程序信息服務管理規(guī)定》指出，互聯網應用程序提供者應依法保護用戶在安裝或使用過程中的知情權和選擇權，未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序。

　　然而，記者用安卓手機進行了實驗，發(fā)現一些APP不僅獲取了和自身功能關系不大的權限，一旦禁止這些權限，還會讓APP的使用體驗變差。而拒絕APP的某些權限申請調用，在使用APP過程中就會彈出調用權限的申請，久而久之，大多數用戶就會嫌麻煩，放松警惕，最后同意權限調用。

　　從事APP開發(fā)的技術人員徐曉告訴記者，對一款APP來說，大部分權限實際上是不必要調用的。“比如地圖、外賣、出行類的APP，調用位置權限是可以理解的，因為這是基于APP本身的功能考慮，但訪問聯系人、讀取短信等權限則不是基于用戶角度考慮，更多是為了收集用戶信息的”。

　　在徐曉看來，盡可能廣泛地調取用戶權限，是為了盡可能廣泛地收集數據，最后形成大數據，這些無論對精準推送、廣告投放、還是軟件改進來說，都至關重要。比如，獲取用戶的設備信息，能夠針對使用數量多的手機型號和系統進行研發(fā)，進而不斷提升用戶體驗，這樣才能在同行業(yè)的競爭中占得先機。而收集用戶的其他信息，也是為了獲取數據，“互聯網發(fā)展瞬息萬變，誰也說不準這些目前看似沒用的信息，在將來會不會發(fā)揮作用”。

　　個人信息保護亟待加強

　　手機APP掌握的數據越多，越可能增加用戶信息被泄露的風險。一旦網絡黑客破解數據庫、互聯網公司內部員工使用非法手段倒賣用戶數據，或者其他惡意盜取用戶數據的行為發(fā)生，APP所獲取的各項信息將會成為不法分子的黑市交易商品。

　　《信息安全技術公共及商用服務信息個人信息保護指南》和《移動互聯網應用程序信息服務管理規(guī)定》等對APP的種種行為分別進行了規(guī)范，但記者查閱發(fā)現，在上述兩個文件中，并未規(guī)定APP一旦越界后具體的懲治措施，在實踐中，也未有APP越界調用權限后被追責或收到處罰的判例。

　　與此同時，我國目前對個人信息的保護還僅限于刑法，在民法和行政法上還存在不少真空地帶。而無論是刑法還是相關司法解釋，對如何界定公民個人信息的定義和范圍，都沒有明確，這給認定犯罪、非罪或侵權造成了障礙。

　　日前，全國人大常委會民法總則草案二審稿增設“個人信息保護”條款，規(guī)定“自然人的個人信息受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或者出售個人信息”。全國人大常委會委員楊震認為，這將為未來制定單行法或通過其他方式進一步細化保護措施提供依據。

　　在今年兩會上，全國人大代表、天能集團董事長張?zhí)烊翁峤涣恕瓣P于制定《個人信息保護法》”的議案。張?zhí)烊谓ㄗh，任何機關和個人在收集他人個人信息都應當遵循合法性、風險限定原則。并且，收集主體應對個人信息收集后的泄露承擔責任；收集主體因對個人信息保管不善而造成權利人利益受損的，其應當承擔與其過錯相應的責任；如工作人員私自泄露了個人信息，除該個人應當承擔責任外，信息采集主體業(yè)應視具體情節(jié)也依法承擔責任。

　　而對用戶而言，面對APP系統性的過度索取權限，也可以通過設定設置，禁止APP調取不必要的權限，“現在無論安卓或者IOS的安全管理都在提升，即使禁止后很多APP仍能正常使用”。