（要闻）主流APP今年已罕见强制索取通讯录

本篇文章2952字，读完约7分钟

在大数据时代，获取更多的用户信息已经成为一种趋势，但问题一年半不存在，公众对此很恼火。手机app“绑架”用户隐私权。表面上看是软件行业初期的流氓习惯。归根结底，其实反映的是行业标准的缺失，隐私保护连带责任的缺失。

针对移动应用非法收集和使用个人信息的问题，今年，中央网办、工信部、公安部、市场监管总局等四部门重拳出击，对非法移动应用进行了“斩刀”打击。《新京报》记者进行的一项调查显示，随着治理的推进，与两年前相比，现在几乎所有主流应用都能够提醒获得许可并提供隐私条款。但是有些应用还是存在一些问题，比如强制用户授权、请求与主营业务无关的权限、注销困难等。

如今app个人信息安全整改已经进入“深水区”。据新京报记者不完全统计，自2019年以来，已经发布了十多项与网络信息安全相关的法律、部门规章和行业标准。对用户隐私的保护正从模糊的原则条款逐渐演变为可比较和可执行的详细规则和标准。

app专项治理工作组成员何艳哲告诉新京报记者，今年app强制访问通讯录和地理位置的现象明显改善。

●信息“裸奔”

app总量突破400万爆炸式增长，暗藏隐忧

“我已经下载了一些用于贷款的金融贷款应用。结果，很多人在我打开通话记录时要求我授权阅读它们，允许我拨打电话并提供地理位置。”参考了一些下载的应用，李先生启动了土槽模式。

事实上，在互联网时代，类似的情况并不少见。今年央视3.15晚会，主持人用一个叫“社保手持”的app查询个人社保信息。同时，网络安全专家抓取分析数据包，发现用户查询信息时，个人信息已经发送到某大数据公司的服务器。

根据工信部的数据，2018年，中国市场监控的应用数量增加了42万，共计449万，下载量达到1000亿。app的爆炸式增长引发了一系列关于信息安全和用户隐私数据泄露的隐忧。8月13日，国家互联网应急中心发布《2019年上半年中国互联网网络安全形势》，指出在1000多个下载量较大的移动应用中，每个应用平均申请25个权限，申请与业务无关的通话权限的应用数量占30%以上。每个应用程序平均收集20项个人信息和设备信息。此外，大量应用存在检测其他应用或读写用户设备文件等异常行为，对用户个人信息安全构成潜在安全威胁。

6月初，国家信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必备信息规范》(以下简称《信息规范》)。根据至少收集足够个人信息的原则和不同种类应用的业务范围，给出了地图导航、网购、餐饮外卖等16种应用收集个人信息的范围。6月10日至17日，新京报记者根据《信息规范》中的分类选取了50个常用应用，结果显示有24个应用请求的权限超出范围。其中智联为相机、位置、通讯录权限进行招募，百合婚姻收集通讯录权限。

安全专家告诉新京报记者，随着市场上app功能的日益丰富，应用权限也在不断增加，但另一方面，以窃取和泄露用户信息为目的的恶意app的应用权限与提供服务的app的应用权限有更多的重叠。“目前很多应用都有‘语音搜索’功能。即使这不是它的核心功能，打开与否差别不大，但一旦打开，就意味着app有窥探用户隐私的能力。”

●数据争议

企业抢食流浏览记录用于推送广告

7月底，互联网巨头纷纷跌入“窃听门”。《卫报》(The Guardian)报道称，苹果向其全球承包商发送了一些用户与智能助手siri之间的对话录音，以分析siri的回应是否合理以及服务是否到位。谷歌公司(Google Inc .)承认雇佣了外包合同工会，它倾听用户和他们的人工智能语音助手之间的对话，以便他们的语音服务能够支持更多的语言、音调和方言。

有专家指出，在“大数据制胜”的背景下，一些互联网公司将网络消费者视为大数据掠夺的重要资源。除了移动应用的主动认领，一些企业在用户协议中使用格式条款隐藏了很多认领，这已经成为行业内的“公开秘密”。获得的消费者信息越多，可以画出的消费者画像就越准确，从而达到实现流量的目的。

安全专家告诉记者，用户在手机和PC上的任何行为都可能成为用户数据，并被用于广告推送。“如果用户浏览网页，将存储浏览记录等数据。这个数据记录被称为cookie。百度等浏览器向用户推送广告的逻辑是基于cookie技术的，现在也采用了app端推送广告的行为。类似饼干的技术。”

用户浏览记录用于广告推送，已经成为国内app行业的基本“共识”之一。新京报记者浏览了主流应用，发现几乎所有有广告推送的应用都会在隐私协议中注明类似条款，如“可以收集用户浏览记录进行广告推送”。但用户在使用app时往往不会在意此类隐私条款的具体内容，直接确认后就会开始使用，这意味着针对性推送是用户的知情同意和合理。

"绘制用户肖像是许多应用程序的“隐藏功能”. "从事网络安全工作的李淳(化名)曾告诉《新京报》记者:“比如无论百度、腾讯还是阿里，他们的应用都有相关的隐私协议，可以合法读取用户各个维度的数据，从而吸引用户。人像分析客户构成，为广告营销提供参考。”

新京报记者曾经从客户端软件上看到过关于用户画像的数据，其用户画像维度精确到27项，如“性别女，25-34岁，本科，旅游专家，无未成年子女，收入3k-5k，无车，企业白领，it工作者，已婚无房，低档手机等。”。

●整改有效

今年出台了十多项新规定，强制要求的情况有所改善

目前，在众多部委对app信息保护的监管下，app个人信息安全整改进入“深水区”。

据新京报记者不完全统计，2019年以来，国家互联网信息办和各行业主管部门先后研究起草了《数据安全管理办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》、《个人信息安全出口评估办法(征求意见稿)》、《app非法收集和使用个人信息行为认定办法(征求意见稿)》等十多部网络信息安全相关法规，

app专项治理工作组成员何艳哲告诉新京报记者，今年最显著的变化是app强制访问通讯录和地理位置的现象有所改善。过去，许多应用程序强制访问地址簿，如社交和金融借贷应用程序。但是现在，几乎没有主流应用有权力强行索要通讯录。

“今年，我们重点解决了在安装app时要求用户打开多个权限以打包方式收集个人信息的问题，否则不会安装。这个问题也有了很大的改善。前一段时间，我们测试了300款下载量较大的应用，发现只有少数没有完全纠正问题。”何艳哲说。在他看来，大部分app隐私政策在一两年前就缺失了，但现在情况有所改变，包括app注销渠道。“这和隐私政策是一样的，两年前就已经优化了。”

7-8月，新京报记者联系了互联网信息办、app专项治理工作组、基层网络安全干警等多个监管部门，发现目前主流app趋于规范。但由于安卓手机的隐私权等客观条件，目前仍不可能完全消除app“偷窥”隐私的可能性，因为代价是用户体验受损，发展停滞。如何在保证用户体验发展的同时保护用户隐私，是监管部门考虑最多的地方之一。

“对于app的治理，我们的管理理念是制定法律法规和标准，掌握企业app的合规性。”一位来自监管部门的人士告诉新京报记者:“目前欧盟的《数据保护通则》对隐私保护更为严格，但这也限制了大数据行业的发展。不能只注重安全性，必须对企业“一刀切”。平衡安全与发展的关系。”(记者罗一丹实习生赵子义)