2020年中国手机APP隐私权限测评报告：滥用难自持

近日，艾媒咨询发布《2020年中国手机App隐私权限测评报告》，2020年2月，97.0%的App默认调用相机权限；35.0%的App默认调用读取联系人权限。65.3%的受访网民认为读取通话记录属于侵犯隐私，55.4%的受访网民认为读取联系人属于侵犯隐私。

测评报告显示，当前多数手机App仍存在强制超范围索要权限的情况，对个人隐私保护构成极大威胁。

以测评报告点名的咪咕阅读为例，艾媒咨询指出，2020年2月安卓版本的咪咕阅读调用了录音、定位、读取联系人权限。艾媒咨询分析师刘杰豪认为，App调用读取联系人权限，可为用户提供应用内实名好友推荐。对于咪咕阅读来说，好友推荐均非App应用运行使用必要功能，该权限调用存在疑似越界行为。

根据CNNIC发布的第44次《中国互联网发展状况统计报告》，个人信息泄露的网民比例排名，从2018年12月的第二位，上升到2019年6月的第一位。

其实，从2019年7月-2020年1月，相关部门针对App违规收集个人信息，至少进行了7次公开点名，且每次都有知名App在列。

2019年7月，全国信息安全标准化技术委员会等，对App隐私政策和个人信息收集使用情况进行评估和通报。曝光了包括当当云阅读等10款存在无隐私政策等问题的App。

两个月后，国家计算机病毒应急处理中心披露，陌陌等4款App嫌超范围采集用户信息，墨迹天气等4款没有任何与采集用户隐私相关的声明文件。

2019年11月，工信部开展App侵害用户权益专项整治工作，并在2019年12月-2020年1月，两次通报存在问题的App共56款，包括QQ阅读、一点资讯、拉勾招聘等。

2020年1月，国家计算机病毒应急处理中心曝光了搜狗浏览器等24款涉嫌超范围采集个人隐私信息的App。因没有限时完成整改，工信部在当月下架了三款App：人人视频、春雨计步器、微唱。

不过，对于点名、整治、App的反应却不够积极。在相关部门披露问题App的当天，北京商报记者就搜狐新闻、一点资讯、拉勾招聘、搜狗浏览器涉嫌的具体问题，分别与企业联系，但至今未予回应。

目前，微唱已经在iOS和安卓应用商店恢复上架，华为等安卓应用商店出现一款名为“人人视频”的App，但运营方并非工信部通告中的武汉映像网络科技有限公司，春雨计步器则在iOS和安卓应用商店均未上架。

针对是否已经完成整改，是否已全部恢复上架，北京商报记者通过邮件联系了人人视频和微唱，截至发稿，两家企业暂未回应。微唱在官方声明：“微唱已经与2019年12月26日完成整改”，并附上了整改后的App下载链接。

春雨计步器运营方春雨医生公关部相关负责人回应称：“接到通知后，我们第一时间进行了下架整改，并向相关部门递交了整改说明。但由于此前春雨计步器基本已经很少运营更新版本了，所以下架后何时再上线要看具体业务需要和安排”。

其实，整个2019年，相关部门在App用户信息保护方面下了大力气规范和整改。

在立法层面，2019年6月，全国信息安全标准化技术委员会发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》（以下简称《规范》）。《规范》明确了地图导航、网络约车、即时通讯社交等16类App正常运行所需的个人信息。

“这是国内首次针对垂直领域细化的国家标准，跟之前的法律法规相比，更有针对性，但是该标准是推荐性的，对企业没有强制约束力，可以对相关部门监管起到参考作用”。中国政法大学知识产权中心特约研究员赵占领表示。

具有代表性的法律层面的支持，还包括2019年12月，由国家网信办等四部门联合制定的《App违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》）。明确了未公开收集使用规则；未明示收集使用个人信息的目的、方式和范围等6项认定准则，包含31种场景。

“这属于通用的规定，而且对企业具有强制约束力”，赵占领说：“最近五六年内，相关部门针对App个人信息保护，不断制定和颁布各种法律法规、国家标准，已经建立了相对完整的法律体系。2019年出台的《规范》和《认定方法》是对之前立法的进一步细化和完善，具有更强的针对性和实际操作性。”

从监管层面看，“通过专项整改，App用户个人信息保护问题短期内见效明显，但需要保持常态化监管的态势，而且需要解决的难题之一是如何扩大监管的覆盖范围。目前很难完全覆盖所有App，尤其是一些中小应用会层出不穷”，赵占领表示。

根据工信部数据，截至2019年12月末，我国国内市场上监测到的App数量为367万款。对数百万计的App进行实时监测的难度和成本都很大。

除了监管，国标律师事务所主任姚克枫建议加大处罚力度。北京商报记者注意到，目前相关部门对于问题App主要采取自查、曝光、限期整治、下架，但并没有经济类的处罚。

姚克枫认为，“一般来讲下架更有威慑力，但动辄下架也不一定符合合法行政、合理行政，我认为应该采用经济性的处罚和下架相结合的方式，当然具体还得根据相关法律法规的授权”。

此外，一些新的、隐秘的App用户信息安全问题，也值得注意。典型事件是换脸“ZAO”被质疑，在上线初，“ZAO”因App用户隐私协议不规范，存在数据泄露风险等网络数据安全问题，被工信部问询约谈。企业对App用户信息规范化收集的忽视可见一斑。

谈及2020年企业在App用户信息保护方面，应该注意的事项。姚克枫提到了App运营者内部的合作，以及App运营者与合作伙伴之间的协调。以百分制衡量，“今年监管手段可以打80分，但App经营者落实不够彻底，只能打60分。”他说。

艾媒咨询数据显示，相比于2018年，2020年认真阅读隐私条款的网民有所增加，从32.4%上升为36.4%。同时，在权限辨别等行为上，用户主动意识明显增强，对个人隐私保护愈加重视。随着智能终端技术的发展，个人信息与终端的联系已密不可分，在日常的终端应用使用过程中，用户仍需提升个人隐私保护意识以及技能，切身维护自身信息安全以及保障个人权益。

用户维权难度大、成本高，企业靠自律，App个人信息保护颇为依赖行政监管，解决之路任重道远。