2019年7月18日，智能手机屏幕上显示一款应用程序。该软件近期在网上广泛流传，但一些程序开发者对其隐私条款提出担忧，质疑该软件未经许可上传其他用户照片并滥用照片数据。

8月13日，《2019年上半年我国互联网网络安全形势》发布。 报告指出，每个APP平均收集20项个人信息，大量APP存在检测其他APP或读写用户设备文件等异常行为。 这再次引发了公众对移动应用非法收集和使用个人信息的热议。

目前，用户主要根据APP请求的权限来判断APP收集哪些信息。 新京报记者这两年一直在关注申请权限的APP，发现大多数APP都会明确提示所申请的权限，但该APP何时上传了哪些用户信息以及该APP是否可以随时窥视用户隐私。技术水平？ 对于普通用户来说，这仍然是一个谜。

近日，新京报记者联合国家计算机病毒应急中心对109个APP的安装包APK进行了引擎测试。 检测结果发现，83.6%的APP安装包中存在超出其原有业务范围的权限代码。 。 109个APP中，超过一半的APP安装包中包含请求用户通讯录的代码。

据此，新京报发布了《第一期个人隐私报告》。 本报告重点关注APP跨境申请权限问题。 109个APP中，嘀嗒出行、百合婚恋、和宝支付、锐钱包、e行车、飞地打车、工商银行、悟空理财、平安好医生、开心消消乐等10个APP已申请全部6个敏感信息权限。 ，适用于最敏感的权限。

83.6%的App存在越界代码，中国移动旗下和宝支付严重“越界”

6月18日，新京报记者对比了《网络安全实践指南——移动互联网应用基本业务功能必备信息规范》中规定的不同行业APP应请求的权限范围，并根据权限提示进行测试安装APP后打开。 在50个常用应用中，发现有24个应用超出范围请求权限，占比48%。

6月25日至27日，新京报记者联合国家计算机病毒应急中心对109个APP安装包APK中包含的涉及隐私权限的代码进行了引擎测试。 测试结果发现，除微信、虎牙、直播等18款APP外，其余83.6%的APP安装包中均含有超出其原有业务范围的权限代码。

根据《网络安全法》第四十一条规定，网络运营者不得收集与其提供的服务无关的个人信息； 而《网络安全实践指南——移动互联网应用基本业务功能所需信息规范》则给出了哪类APP收集信息的范围标准。 超过标准就是越界。

具体来说，在读取通讯录、录音、阅读短信、发送短信、拨打电话、拍照、录制视频六项敏感权限中，上述109个APP中有57个“越界”，包含读取权限。 获取联系人的代码占比51.8%； 44款“越界”应用包含录音代码，占比40%； 30个“越界”的应用程序包含拍照和录制视频的代码，占比27.2%。 阅读短信、发送短信、拨打电话的“跨境”APP权限比例在20%左右，比例较小。

其中，和宝支付的安装包APK拥有上述六项隐私敏感权限全部。 但根据《网络安全实践指南——移动互联网应用基础业务功能必要信息规范》，和宝支付所属的金融借贷APP基于其基本业务功能可采集的必要信息包括移动互联网应用基础业务功能必要信息规范。电话号码、身份信息、信用信息等。以上六种敏感权限与其基本业务功能无关。

和宝支付是中国移动向个人和企业提供的综合移动支付服务。 开发商是中国移动旗下的中国移动电子商务公司。 截至目前，它在华为应用市场的安装量已达3340万。

作为一款游戏APP，开心小乐的安装包APK也拥有以上6个敏感权限。 但从APP类型来看，录音属于其基本业务功能，但读取联系人、读取短信等功能不包含在内。 其他五个权限，如拍照、录制视频等，不包含在其基本业务功能中。

“事实上，绝大多数用户连APP的隐私协议都不看，往往也不太关心权限的开放。因此，要看APP有能力获得哪些权限，技术上最好直接看代码，方便。” 8月16日，网络安全部门负责APP检测的程序员小吴告诉记者，“代码不会说谎。”

多个应用程序申请了全部六项敏感权限，有些应用程序越界请求权限。

嘀嗒出行、百合婚恋等APP安装包申请全部6个敏感权限

近日，新京报记者联合国家计算机病毒应急中心，对109个APP安装包的APK进行了引擎测试。

新京报记者查看了109个APP安装包申请的6项敏感权限列表发现，大部分APP申请了3至4项敏感权限，而嘀嗒出行、百合婚恋、和宝支付、锐钱包、亿贷等十个APP申请了3至4项敏感权限。包括行车、飞地打车、工商银行、悟空理财、平安好医生、开心笑笑，全部申请了6个敏感权限，并且申请了最敏感的权限。

国家计算机病毒应急中心在发给新京报记者的测试报告中表示，通过上传的APP应用，自动识别移动应用所属行业，对应《网络安全实战指南-基本业务功能》将《必要信息规范》中不同行业应具备的权限集合与被测应用的.xml文件进行比对，超出的权限定义为权限滥用。

根据APP专项治理工作组发布的《APP申请系统权限机制分析及建议》，如果APP因业务功能需要申请系统权限，通常APP开发者可以在APP中明确声明.xml配置文件（静态方法），以及代码运行阶段请求的方法（动态方法）申请系统权限。

“.xml是指APP安装包中的配置文件，其中包含APP安装所需的各种组件，还包含其申请的系统权限列表。” 国家计算机病毒应急中心一名工作人员告诉记者，“比如……代表读取通讯录的权限，带有该代码的APP有在‘基因层面’读取用户通讯录的意图。” ”

比如嘀嗒出行有音频、拍照功能，有录音、拍照的权限比较合理，但同时也有读取联系人的权限，这与其基本业务功能不符。

对此，有APP设计者向记者抱怨，“其实很多APP在制作时，都是从其他APP复制源代码，有时甚至一次性复制了不必要的权限，并不是APP本身想要更多的收集。” ”。

宜人贷、红包锁屏、锐钱包等“自动”上传用户位置信息

需要注意的是，引擎检测只能检测APP安装包中的权限“基因”，无法判断APP行为。

7月9日至7月15日，新京报记者、国家计算机病毒应急中心记者采用“抓包”方式，从109款申请安装包级别多重权限的应用中筛选出了14款应用。 人工检查发现，14个APP中有7个APP在首次开放授权后，无需进行任何操作，就自动上传了用户的GPS定位等隐私信息。 部分APP定位精准到特定区县。

这14款APP包括360借条、和宝支付、红包锁屏、看拍、球战、锐钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮​​等。

其中，球战、作业帮、中兴智能家居、宜人贷、红包锁屏、锐钱包等7个APP首次打开，在弹出的提示框中点击确定，无需进行任何其他操作。 网站上传用户的经纬度定位信息。 其中，作业帮上传的内容精确到检测机构所在的天津滨海新区。

需要说明的是，记者在球球大战、微锁屏等应用中并没有直接找到需要使用地理位置的功能，但他仍然向用户申请了相关权限，并在安装后立即上传了用户的位置。 信息。

中国人民大学法学院教授刘俊海认为，自由和权利是有边界的。 如果APP贪婪地索取超出法定范围的权限，就构成侵权，侵犯了消费者的隐私和个人信息权。 这时候APP就应该“悬崖勒马”了。

《APP申请系统权限机制分析及建议》还表明，APP应遵循“最少足够”原则，即APP只申请实现业务功能所必需的系统权限。 在选择系统权限时，应选择能够满足业务功能需要的“最低足够”的权限。 例如，利用“大致地理位置”可以达到商业目的。 完成业务功能，避免使用“精确地理位置”。

但APP对于什么是“至少够用”显然有着不同的理解。 一名网安部门公安人员告诉新京报记者，执法时经常遇到APP以各种理由请求权限。 “比如我问一个游戏APP，为什么要地理位置？对方说是为了‘观察哪个位置的玩家较多，然后在那个位置搭建服务器，更好地提高用户体验。’” ”

对此，APP专项治理工作组成员何彦哲告诉记者，以改善服务体验为借口要求更多权限是不合理的。 “比如一个游戏APP想要根据用户的位置搭建服务器，只需要查看用户的IP即可，为什么需要获取地理位置权限呢？”

未发现任何APP窃听用户对话

《2019年上半年我国互联网网络安全状况》指出，目前下载的千余款手机APP中，每个应用平均申请25个权限，其中申请权限的APP数量为与业务无关的电话占总数的10%。 比例超过30%； 每个应用平均收集20项个人信息和设备信息，包括社交、旅行、招聘、办公、音视频等； 大量APP存在检测其他APP或读写用户设备文件等异常行为，对用户个人信息产生负面影响。 信息安全带来潜在威胁。

这引起了很多用户的共鸣，“感觉我的话淘宝、小红书都能听到。” 8月16日，一位填写问卷的用户向新京报记者抱怨，自己早上有时会和朋友一起出现。 聊完某款产品后，下午该APP就推送了该产品的广告，“一定是该APP偷听了我的谈话。”

近日，国外四家互联网巨头苹果、、亚马逊、微软也被曝“窃听”。 官方承认其手动转录了用户的语音记录。

但新京报记者对7月9日至7月15日期间的14个APP进行“抓包”分析发现，APP上传最多的用户数据是设备型号和IMEI号（国际移动设备识别码）。手机。 手机身份证）、版本、mac地址等，其次是地理位置信息。 但在此期间，没有任何APP上传用户的语音和图片数据。

“用户的错觉来自于定向推送。事实上，语音窃听与定向推送完全不同。” 8月8日，何彦哲告诉新京报记者，“语音窃听是成本最高、效率最低的方法，但当APP通过社交关系、喜好习惯、WiFi场景等多种方法进行推断时，这会让公众产生被窃听的错觉。”

■问题1

为什么92%的人认为应用程序会泄露个人隐私？

8月16日至19日，新京报在微博、今日头条、微信朋友圈进行了题为“您认为该APP会泄露您个人隐私信息吗？”的问卷调查。 调查结果汇总显示，200名做出回应的手机用户中，有184人认为“会泄漏”，16人认为“不会泄漏”。 认为APP会泄露隐私的用户占受访总人数的92%。

与此形成鲜明对比的是，新京报记者测试的109款App中，几乎所有App中都可以找到隐私协议，协议中都有类似“将遵循隐私政策收集使用信息”的表述。 此外，由于APP专项治理工作的推进，APP请求权限的显式提醒已在几乎所有主流APP中流行。 国家网信办相关工作人员告诉记者，对于APP来说，他们“主要注重合规性，制定法律法规和标准。 ，并督促APP落实。”

是什么原因导致用户认知与APP标准“脱节”？ 安全专家刘海（化名）告诉记者，从技术上来说，APP确实具备探索用户隐私的能力，而且自从用户数据上传到企业后，数据对于公众来说就进入了“黑匣子”状态，企业可以利用只要不暴露出来，用户就不会知道。 另外，用户每天都会收到针对自己肖像的定向推送通知，不信任感也会大大增加。

■问题2

您使用的APP是否读取过您的通讯录？

109款应用中，有57款“越界”，含有读取联系人代码，占比51.8%。

国家计算机病毒应急中心一名工作人员表示，“..代表读取通讯录的权限，带有此代码的APP有在‘基因层面’读取用户通讯录的意图。”

国家计算机病毒应急中心工作人员将这段代码比作APP的“武器库”。 “如果检测到，就说明该APP有‘武器’。” 但APP是否拿出这个‘武器’并使用，还要看具体的后续用户。” 你同意这个许可申请吗？”

刘海告诉记者，一般来说，具体操作只要APP弹出提示征得用户同意，即使权限越界也没关系。 ”但是安装包上携带越界代码的行为也是值得讨论的，APP的主要功能明明不需要这个权限，为什么还要携带这个代码呢？这是一个对用户安全的‘潜在威胁’？”

棒棒安全CTO方宁表示，检测某个APP是否上传了用户隐私数据，需要进行逆向分析、渗透测试等方法，但这需要专业的技术能力，一般人是不可能做到的。

■问题3

APP会窃听你的谈话吗？

业内人士表示，窃听并不划算。 APP专项治理工作组曾发文称，“窃听”的成本效益确实不高。 因为APP要克服识别环境噪音、是否是用户购物意图以外的人等问题。与用户平时的搜索、浏览、历史订单习惯相比，“窃听”录音的行为是避近避远，避简趋复杂，不符合业务逻辑。

此外，窃听行为违反了《网络安全法》第四十一条规定：“网络运营者应当对收集的用户信息严格保密，建立健全用户信息保护制度；网络运营者必须公开收集、使用规则，明确收集和使用信息。用户信息的使用。” “使用信息的目的、方式、范围，并征得被收集人的同意”都是相关规定。如果企业利用技术手段“窃听”语音并上传，对企业声誉的影响将是致命的。

新京报记者罗一丹、实习生翁瑞敏徐子林、编辑岳彩舟、校对杨旭丽