映象新聞

　　一款普通的手機瀏覽器，不開啟定位權限就無法正常使用；一個普通的手機輸入法，拒絕它收集你的信用卡號和密碼等個人信息就不給你用……

　　繼手機APP被媒體曝光過度獲取用戶權限后，一些軟件開發者不僅沒有改正錯誤，還耍起了“強制索權”的蠻橫。

　　是用戶真的“對隱私不敏感”，還是沒有選擇余地？新華社記者對時下流行的一些APP進行了隨機測試。

　　APP玩套路：不授權不給用

　　“我想掌握自己的流量使用情況，所以下載了一個電信營業廳APP，結果要使用它我還得授權它讀取我的通話記錄，允許它撥打電話，甚至允許它修改我的通話記錄。”提到新近下載的這款掌上營業廳，杭州的胡先生顯得非常生氣。

　　記者在華為應用商城中搜索這款名為“電信營業廳”的APP時發現，該APP有1億次的安裝數量，綜合評分為兩星半。在下載該軟件并安裝完成后，APP彈窗提示記者：

　　應用程序將訪問傳輸手機號碼、IMSI、IMEI、MEID、手機型號等設備信息，系統驗證通過后提供安全免密登陸、讀取用戶位置信息、讀取手機通訊錄、獲取通話記錄、撥打電話、發短信、修改聯系人、調用攝像頭、改變WLAN狀態及錄音等權限。如用戶點擊不同意，則自動退出該應用。

　　在記者點擊同意后，該應用又提出四項用戶授權，分別是：存儲、電話、通訊錄和位置信息。在申請電話權限時，對話框下方小字注明“具體包括：讀取本機識別碼、讀取通話記錄、撥打電話、新建／修改／刪除通話記錄等權限。”在記者點擊“禁止”按鈕后，該APP彈出對話框顯示“請在應用信息－權限中開啟電話權限，以正常使用。”也就是說，用戶一旦拒絕授予該權限，則整個應用都無法使用。

　　在實際測試中，如用戶不授權電信營業廳APP“讀取并修改通話記錄”，則該APP無法正常使用。

　　同樣的問題也出現在申請通訊錄使用權限上，系統提示該權限包括：讀取聯系人、新建／修改／刪除聯系人等權限。

　　網絡安全專家在對該APP進行檢測時發現，雖然用戶在初次安裝使用該APP時僅有4項權限提示，但是其向用戶主張了70項子權限。較為敏感的子權限包含修改通訊錄、讀取聯系人、錄音、修改通話記錄、撥打電話、發送短信以及下載文件并不顯示通知等。

　　經測試，電信營業廳APP向用戶索取共計70個子權限，其中包含諸如撥打電話、發送短信、修改通訊錄等多項敏感授權。

　　網絡安全專家認為，作為一款掌上營業廳APP，向用戶索取諸多與主功能不相關的隱私權限并不恰當。而諸如撥打電話等權限，一旦被惡意程序利用，有可能在用戶不知情的情況下撥打付費電話，給用戶帶來財產損失。

　　“強制授權”成常態

　　折射行業“數據之爭”

　　記者就上述“強制授權”的技術問題采訪了四葉草安全移動安全專家田銘。田銘認為，某些強制授權存在一定的必要性，例如基于位置服務的交友軟件必須開啟定位功能才可以正常使用，電商類軟件則需要獲取用戶設備的唯一ID，來控制優惠券的發放范圍。

　　田銘說，對一些企業而言，強制授權雖是一種必需行為，但也是一項風險行為。在大數據時代，獲取更多的用戶信息是一個趨勢，例如通過“獲取設備安裝軟件列表”權限了解到用戶的手機中同時安裝了哪些軟件，既可以了解競爭對手產品的市場占有率，還可以實現對該用戶標簽化，可應用在之后推廣營銷信息的分發中。

　　專家指出，在“大數據決勝”的背景下，一些互聯網企業將線上消費者視為大數據掠奪的重要資源，超范圍攫取用戶隱私已成為行業潛規則。

　　上海信息安全行業協會專委會副主任張威表示，除手機APP主動索權外，一些企業利用“格式條款”將諸多索權隱匿在連篇累牘的用戶協議中，這樣的做法也已是行業內“公開的秘密”。

　　張威說，獲取的消費者信息越多，能繪制的消費者畫像越精準，從而達到流量變現的目的。

　　360企業安全研究院院長裴智勇認為，企業通過索權在取得消費者信息后，數據保存和利用也存在安全隱患。一些企業的數據庫缺乏有力的安全防護，在遭遇網絡攻擊時容易造成用戶數據的泄露。

　　裴智勇指出，企業內部對數據查詢、輸出的授權也存有安全隱患，近年來也多次出現知名互聯網企業“內鬼”泄露消費者隱私事件。

　　不可聽之任之

　　對“強制索權”說不

　　專家認為，針對互聯網企業線上侵權形式日益多樣化，有關部門可通過落實監管、細化法律法規、提高行業準入門檻等方式維護消費者合法權益。

　　張威建議，在網絡安全法已經對線上消費者的隱私信息、用戶權益等內容作出原則性規定的基礎上，有關部門可結合當前線上消費者權益遭受侵害的新情況進行調研分析，細化相關法律法規，明確監管責任。

　　張威表示，在一些國家，企業如侵害用戶合法權益，可能面臨“天價”集體訴訟，因此不敢貿然逾越雷池。在現行法律框架下，有關監管機構理應對企業違法違規行為作出處罰，以在行業內起到警示作用。

　　福建瀛坤律師事務所張翼騰律師則對“格式條款”中可能涉及的“霸王條款”提供了解決方案。

　　他認為，互聯網企業雖然在運作方式上有別于傳統產業，但是依然沿用了傳統行業的格式條款來約定雙方權利義務，不利于消費者的權益保護。

　　他建議，未來可指導行業對合同進行“可變化定制”，告別“一攬子授權”模式，由消費者根據需求自行決定是否讓渡相關權益。

　　田銘建議用戶，在初次使用某款APP時，審慎對待該APP聲索的每一項授權。在下載相關軟件時，應在正規安卓市場選取，不要隨意點擊來路不明的鏈接。