6月初，全國信息安全標準化技術委員會發布了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》(以下簡稱《信息規范》)，依據個人信息收集最少夠用的原則以及不同種類APP的業務范圍，對地圖導航、網上購物、餐飲外賣等16類APP收集個人信息的范圍給出了參考。

　　6月10日至17日，新京報記者依照《信息規范》中的分類選取了50款常用APP，對其索取的權限以及收集信息的范圍進行實測，發現若嚴格按照《信息規范》中劃定的信息收集范圍，這50個APP中有24個APP索取的權限超出范圍，如智聯招聘索取了相機、位置、通訊錄權限，百合婚戀收集了通訊錄權限。

　　不過記者發現，部分權限索取范圍超過《信息規范》的APP也有其正當理由。

　　“《信息規范》對于現在某些APP過度收集個人信息是有幫助的，是一個非常好的方向，但另一方面，很多時候并不是特別好去判斷什么是企業應當收集的個人信息。對于這種情況我認為更重要的是要看企業對數據后續的處理和利用是否規范，是否合規，這應是監管的重點。”6月11日，中國人民大學法學院副教授丁曉東對記者表示。

　　超半數APP遵守最少夠用原則

　　京東金融、優信等18款APP

　　“超出規范”索取位置信息

　　《信息規范》指出，移動互聯網應用個人信息收集活動，主要依據《信息安全技術個人信息安全規范》的“個人信息安全基本原則”，遵循權責一致、目的明確、最少夠用、選擇同意、公開透明、確保安全六個原則。

　　2018年1月，記者曾根據上述原則對20款主流APP進行測試發現，當時不少APP不僅越界索權，還未向用戶進行明示提醒。

　　而在此次測試中，50款APP在索取權限時，均向用戶進行了明示提醒，遵循了“選擇同意”原則。但記者發現在“最少夠用”與“目的明確”原則上，有部分APP仍不夠完善。

　　“最少夠用”原則指的是不收集與APP提供的服務無關的個人信息，不申請打開可收集無關個人信息的權限。只收集滿足業務功能所必需的最少類型和數量的個人信息，自動收集個人信息的頻率不超過業務功能實際所需的頻率。

　　《信息規范》將APP“非越界”索取的信息分為了通用功能相關必要信息與必要信息兩類。

　　其中，通用功能相關必要信息是指根據相關法律法規要求，保障移動互聯網應用安全風險管控所必需的個人信息，記者發現這主要包括電話權限等;而必要信息主要包括APP中與基本業務功能直接關聯，一旦缺少會導致基本業務功能無法實現或無法正常運行的個人信息，如位置之于導航類APP，姓名之于票務類APP。

　　記者按該規定內容測試了50款常用APP發現，有24款APP所開啟的權限違背了“最少夠用”原則，而在多開啟的權限中，位置總共被獲取了18次。

　　位置是被索取最多次數的權限。根據《信息規范》，位置信息對于地圖導航、網絡約車兩類APP來說屬于必要。而對于快遞配送、網上購物等門類的APP，雖然沒有直接寫明位置信息屬于必要，但表示APP可以記錄收貨地址、購物地址等。

　　記者測試發現，除上述門類的APP外，新聞資訊、房產交易、汽車交易等門類下共計18款APP也開啟了位置權限。例如建行、京東金融、優信二手車等APP就索取了位置信息。根據《信息規范》，這些APP開啟位置權限的行為屬于“非業務功能所必需”。

　　這些APP中，部分索取位置權限的APP有其打開后就馬上需要使用的功能，如優信二手車APP在下載后需要馬上提供位置權限以便進行二手車“上門服務”。也有一些APP有相應功能，但并非需要馬上使用，如京東金融內設本地生活欄目，豆瓣則有“豆瓣同城”，但這些APP在打開后立刻向用戶索取了位置權限。

　　在不少用戶看來，一些APP收集位置信息可以理解，如微信、抖音等發消息時可以“秀定位”。

　　對此，丁曉東對記者表示，《信息規范》對于現在某些APP過度收集個人信息是有幫助的，是一個非常好的方向，但另一方面，對于什么是企業應當收集的個人信息，很多時候并不是特別好去判斷，因為APP很多業務功能會擴展，很多業務的使用場景也都不同，而且很多時候APP提示用戶同意收集，其實也是給了消費者選擇權。

　　目的明確原則不夠完善

　　智聯招聘“多”開位置相機通訊錄權限

　　在此次測試中，記者發現在“目的明確”原則上，部分APP仍不夠完善。

　　“目的明確”原則指的是APP向用戶明示收集使用個人信息的目的、方式和范圍，且收集的個人信息及申請的權限應具有合法、正當、必要、明確的收集使用目的和業務功能。

　　在本次測試中，多數APP只“超出規范”開啟了一個權限，如豆瓣開啟了位置等。智聯招聘、陌陌“多”開啟的權限數量超過兩個。其中，智聯招聘在安裝后第一次運行時向用戶提示索取位置、相機、通訊錄權限;陌陌索取位置、相機、麥克風權限。

　　對于“超出規范”索取的權限，有不少APP直接在功能中予以體現。也有一些APP對權限的索取雖然與主業不符，但在首次打開后就進行了明確告知。

　　在本次測試中，記者選取了打開APP后首先提示開啟的權限作為該APP“與主業相關”的權限。在這一測試機制下，有部分APP在首次安裝并打開后就索取了與主業無關的權限，且并未以明顯方式提示用戶其開啟的權限有何用處。

　　如根據《信息規范》，“求職招聘”類APP可以索取的必要信息包括用戶注冊的手機號碼、賬號信息、求職者基本信息、教育信息和工作經歷信息等。但記者首次安裝并打開智聯招聘后，該APP提示開啟了位置、相機、通訊錄等與上述可索取信息并不相干的權限，且并未提示為何開啟這些權限。

　　記者在智聯招聘APP中尋找相應功能發現，位置權限與其首頁檢測用戶所在城市并推薦工作有關，相機權限則發現與上傳頭像有關，記者未發現與開啟通訊錄權限所關聯的主要業務功能。

　　需要注意的是，與智聯招聘同樣屬于“求職招聘”類的Boss直聘與前程無憂只開啟了位置信息，并未在安裝后即向用戶索取相機和通訊錄權限，獵聘則未索取與主業無關的信息。

　　與之類似的還有百合婚戀。根據《信息規范》，婚戀相親類APP可以收集手機號碼、賬號信息、個人基本資料等信息。但記者首次打開百合婚戀后，該APP明示索取通訊錄權限，相比之下，同屬婚戀相親類APP的世紀佳緣、珍愛網就沒有索取通訊錄權限。

　　開啟權限有什么風險?

　　技術上APP可獲取偷窺隱私的“后門”

　　需要注意的是，不論是當用戶需要時再提示開啟權限，還是在一開始就開啟權限，一旦當安卓用戶開啟權限后，該權限就會一直處于“開啟”狀態，除非用戶再手動關閉。這是因為相比于蘋果ios系統具有權限“只在APP運行時開啟”、“始終開啟”、“不開啟”的三個選項，安卓系統的隱私選項顆粒較粗，絕大多數用戶只能選擇“開啟”或“關閉”，這意味著一旦授予后，該權限并不會隨應用狀態的改變(進入或退出使用狀態)而發生變化。

　　這就意味著，不論是正當還是非正當的目的，只要安卓用戶向APP打開權限的大門后，APP也擁有了偷窺用戶隱私的技術權限。

　　有安全專家向記者介紹，隨著市場上APP的功能越來越豐富，申請的權限也越來越多，但另一方面，以竊取泄露用戶信息為目的的惡意APP和僅是提供服務的非惡意APP申請的權限交集也更大了。“例如目前許多APP都有‘語音搜索’功能，即便這并非其核心功能，開啟與否區別不大，但一旦開啟，就意味著APP有了窺探用戶隱私的能力。”

　　有安全專家對記者表示，“由于很難取證，目前并沒有有效的懲處制度來約束APP的這種隱私竊取行為，用戶也無法證明APP是否真的竊取了隱私。”