新華社廣州5月23日電 題：誰讓你的個人資訊在“裸奔”？——部分APP“過分”收集用戶資訊調(diào)查

　　新華社記者胡林果、毛鑫

　　看小説的APP要讀取用戶短信、貸款類APP要訪問攝像頭並拍照、上網(wǎng)類APP要讀取用戶通訊錄……伴隨著移動網(wǎng)際網(wǎng)路的飛速發(fā)展，大量APP在不知不覺中收集了一些與自身業(yè)務(wù)無關(guān)的資訊，個人資訊在網(wǎng)路空間中“裸奔”的現(xiàn)象屢禁不絕。

　　8億用戶的APP被曝超範(fàn)圍收集用戶資訊

　　一款號稱可“一鍵連接WiFi”的APP WiFi萬能鑰匙已成為不少人的手機(jī)必備。公開數(shù)據(jù)顯示，其月活躍用戶已經(jīng)達(dá)到8億。然而，這款被視為“蹭網(wǎng)利器”的APP，近期卻被曝光存在超範(fàn)圍收集用戶資訊的行為。

　　廣東省公安廳近日公佈，2019年一季度，廣東警方共監(jiān)測發(fā)現(xiàn)1670餘款A(yù)PP存在超範(fàn)圍收集用戶資訊行為。其中WiFi萬能鑰匙、錢聚易等10款A(yù)PP問題突出，特別是WiFi萬能鑰匙問題最多，共超範(fàn)圍收集了7類資訊。據(jù)通報，WiFi萬能鑰匙（4.3.56版本）存在讀取用戶短信或彩信、聯(lián)繫人，收集用戶設(shè)備上已知賬號，使用用戶設(shè)備攝像頭或麥克風(fēng)等問題。

　　APP超範(fàn)圍收集用戶資訊現(xiàn)象並不少見。根據(jù)愛加密大數(shù)據(jù)中心提供的數(shù)據(jù)，截至2019年3月底，該中心已收錄安卓應(yīng)用270多萬個，iOS應(yīng)用190多萬個，30%以上的APP存在不同程度的越權(quán)、超範(fàn)圍收集等行為。

　　“這麼做多是為了收集用戶的經(jīng)濟(jì)狀況、消費偏好、活動區(qū)域等資訊，對用戶進(jìn)行精細(xì)的人物畫像，以支援産品研發(fā)更新，或精準(zhǔn)推送廣告。”廣東省公安廳網(wǎng)警總隊案件科副科長黃建邦説。

　　暨南大學(xué)網(wǎng)路空間安全學(xué)院院長翁健表示，“獲取用戶設(shè)備上已知賬號列表”易洩露用戶隱私。攻擊者有可能利用掌握的賬號，實行撞庫等網(wǎng)路攻擊，即從安全性較弱的賬號中獲取的用戶名密碼，來推測強(qiáng)安全措施的賬號和密碼。

　　此外，調(diào)用許可權(quán)發(fā)送短信也是手機(jī)木馬的主要傳播方式之一。翁健介紹，應(yīng)用程式可通過該種方式將帶有病毒的連結(jié)放入短信中，並依次發(fā)送給用戶相關(guān)聯(lián)繫人，一旦有人點擊該連結(jié)，則會感染病毒。

　　過度索權(quán)套路多 “迷魂陣”裏走不出

　　一款主打便捷連網(wǎng)的APP為啥要索取這些“八竿子打不著”的資訊許可權(quán)？

　　記者在安卓手機(jī)應(yīng)用市場上下載該APP後發(fā)現(xiàn)，頁面彈出的窗口詢問“WiFi萬能鑰匙需要以下許可權(quán)，是否允許？”包括用戶位置、電話、資訊、通訊錄、相機(jī)等許可權(quán)，但只有點擊“允許”才可下載。

　　該産品有關(guān)負(fù)責(zé)人表示，目前，WiFi萬能鑰匙除了提供WiFi連接以外，産品中也提供資訊、社交等其他服務(wù)，廣東警方提到的額外獲取的許可權(quán)，是所有社交軟體都會需要獲取的正常許可權(quán)。

　　記者發(fā)現(xiàn)，安卓版本的WiFi萬能鑰匙産品內(nèi)，確有所謂的社交功能“附近的人”，然而記者點擊後發(fā)現(xiàn)，使用“附近的人”功能需要另外下載“連信”APP。不僅如此，該APP的下載安裝並未經(jīng)過應(yīng)用市場。截至記者發(fā)稿時，“連信”APP在安卓應(yīng)用市場內(nèi)仍無法通過關(guān)鍵字搜索出來。

　　業(yè)內(nèi)人士表示，此舉意味著WiFi萬能鑰匙的相關(guān)産品“連信”APP未經(jīng)過安卓應(yīng)用市場的審核，即使用戶可以自主選擇提供或不提供相應(yīng)許可權(quán)，但用戶下載使用仍存在一定的風(fēng)險。

　　此外，WiFi萬能鑰匙調(diào)用的許可權(quán)實際上是為另一款A(yù)PP使用，這是為其他APP規(guī)避監(jiān)管“打掩護(hù)”，既侵犯了用戶的知情權(quán)，同時也把用戶拉進(jìn)了“迷魂陣”——難以辨別哪一類資訊許可權(quán)是與産品服務(wù)直接相關(guān)的。

　　那麼是否關(guān)掉所有的許可權(quán)即可保護(hù)用戶個人資訊呢？事實上並不容易。

　　翁健表示，有的許可權(quán)看似與APP運(yùn)作無關(guān)，其實後臺的服務(wù)需要這些許可權(quán)。然而，有的開發(fā)者故意將APP的超範(fàn)圍許可權(quán)與正常許可權(quán)的模組“打包”，導(dǎo)致在阻隔了APP的超範(fàn)圍許可權(quán)後，正常程式無法運(yùn)作。

　　專家建議從源頭端加強(qiáng)公民個人資訊保護(hù)

　　黃建邦表示，正因為企業(yè)收集這些資訊的成本遠(yuǎn)低於可能的收益，導(dǎo)致很多APP索權(quán)無度，也就有了“不管有用沒用，先收集來再説”的心態(tài)和做法。

　　對於如何從源頭端保護(hù)用戶個人資訊，專家建議，首先應(yīng)用商店要做好把關(guān)，對上架下載量大的APP要求經(jīng)過人工檢測，並確立一個原則——每個APP只給最低的資訊收集許可權(quán)，且每次資訊收集都要獲得用戶許可。

　　近日，由中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局指導(dǎo)成立的APP專項治理工作組起草了《APP違法違規(guī)收集使用個人資訊行為認(rèn)定方法（徵求意見稿）》，該徵求意見稿將APP違法違規(guī)收集使用個人資訊分為7種情形。翁健認(rèn)為，該文件明確了違規(guī)APP行為的具體認(rèn)定標(biāo)準(zhǔn)，有助於網(wǎng)路安全法的相關(guān)要求真正落地見效。

　　黃建邦呼籲，從立法的角度對用戶個人資訊進(jìn)行分類分級管理，明確APP收集哪一類資訊需要哪些授權(quán)程式，可探索資訊收集備案制，資訊收集只有經(jīng)過法律授權(quán)而非簡單用戶授權(quán)才可行。