（上接T04版）

　　为何屡教不改

　　为了阻止用户掉入大数据的新陷阱，中消协也通过点名的方式警示。

　　根据中消协《100款App测评报告》，在10类100款App中，多达91款App列出的权限存在涉嫌“越界”，即存在过度收集用户个人信息的问题：59款App涉嫌过度收集“位置信息”，28款App涉嫌过度收集“通讯录信息”，23款App涉嫌过度收集“身份信息”，22款App涉嫌过度收集“手机号码”等。

　　多家企业被作为典型案例点名，包括：聚看点、网易彩票、天天P图、咪咕视频、139邮箱、捷信快贷、美图秀秀、中国工商银行、ofo小黄车、爱抢购、新浪新闻、e代驾、悟空理财、去哪儿、拼多多。其中两次被点名的有：美图秀秀、ofo小黄车、爱抢购等。

　　北京商报记者调查发现，上述App中，咪咕视频获取用户信息权限最多，共有25项，分别为发送短信、接收短信、接收彩信、读取短信／彩信、接收WAP信息、修改系统设置、读取存储卡中的内容、修改或删除存储卡中的内容、录制音频、拍摄照片和录制视频、查找设备上的账号、获取设备识别码和状态、访问确切位置信息、访问大致位置信息、访问身体传感器、读取日历、新建／修改／删除日历、拨打电话、重新设置外拨电话的路径、拨打／接听SIP电话、读取通话记录、新建／修改／删除通话记录、读取联系人、新建／修改／删除联系人、显示在其他应用上面。

　　在中消协《100款App测评报告》中两次被点名的有：美图秀秀、ofo小黄车、爱抢购。

　　北京商报记者发现，其中美图秀秀共获取了10项用户信息权限，分别是：修改系统设置、读取存储卡中的内容、修改或删除存储卡中的内容、录制音频、拍摄照片和录制视频、获取设备识别码和状态、访问大致位置和确切位置信息、访问身体传感器、显示在其他应用上面。

　　此外，ofo小黄车获取11项用户信息权限、爱抢购10项、聚看点10项、天天P图8项、139邮箱18项、中国工商银行15项、新浪新闻12项、e代驾15项、悟空理财18项、去哪儿13项、拼多多9项。

　　有没有越界标准

　　为什么多个报告质疑App的收集行为？国家如何从法律层面约束企业的行为？中国政法大学知识产权中心特约研究员赵占领告诉北京商报记者，“《中华人民共和国网络安全法》、《电子商务法》、《全国人大常委会关于加强网络信息保护的决定》和《电信与互联网用户个人信息保护规定》等都规定了企业收集、使用个人信息的原则”。

　　其中，2017年6月1日实施的《中华人民共和国网络安全法》对个人网络信息安全的要求最全面。

　　《中华人民共和国网络安全法》第四章专门针对网络信息安全，第四十一条为“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。

　　不过赵占领与国标律师事务所主任姚克枫均表示，目前没有针对各个垂直领域细化的法律法规。“在收集个人信息方面，现在大多数知名软件都通过用户协议或个人信息保护政策等方式告知用户并经用户同意，至于收集哪些信息，各个软件做法不一。现有法律法规没有针对各个细分领域单独进行规定，比如视频App只能收集哪些信息、电商App只能收集哪些信息，主要原因在于行业和软件类型众多，很难逐一规定收集个人信息的范围，只能通过必要性原则来判断。”赵占领向北京商报记者直言，“但是收集哪些信息有必要性，在很多情况下都容易产生争议。比如新闻App能否收集用户的地理位置信息，是否具有必要性，经营者可能会解释新闻App通过收集用户地理位置信息可以更好地判断用户在不同场景下的阅读习惯，以便为用户提供更精准的内容。当然，从用户角度来讲，可能会认为新闻App提供的是新闻服务，收集用户地理位置信息并非提供基本服务所必需的。”

　　姚克枫更是直言，“因为缺乏细化的法律和规定，各种App在打擦边球。”艾媒咨询高级分析师刘杰豪对此表示赞同，他说，“目前设立标准界定有难度。拿短信读取这一功能来说，它在便利性协助以及风险上都是客观存在的，如果App仅通过权限调用实现功能上的协助，在敏感信息读取上能够严守行业准则，那对用户不会构成危害。但是App在实质运行上有没有越界行为，这部分是存在灰色空间的，还需要行业以及用户的共同监督。”

　　也正因为此，第三方报告在质疑某类或某个App收集用户个人信息时，大多用“疑似跨界”、“涉嫌过度收集”来描述。法律和舆论也没有一刀切，法律界和第三方分析师普遍认为，App到底有没有过度收集需要根据具体案例分析。

　　针对艾媒咨询提出的QQ、微博等隐私跨界收集，刘杰豪以微博和咪咕阅读为例解释，“微博在读取短信、彩信和联系人时存在疑似跨界的情况，主要在于权限调用对用户信息安全的风险。对于所有App来说，在读取短信、彩信和联系人后，包括用户的日常联系号码、短信等都有违规上传泄露的风险。而对于大部分用户来说，短信信息可能包括日常工资收入、转账流水情况、App使用情况等，一旦泄露可能会造成严重后果。用户需要在这些权限开放上进行有效规避”。

　　微博方面认为，微博是社交媒体平台，基于社交关系和兴趣推荐内容。通过通讯录好友可以向用户推荐更精准的好友和信息，但是否授权微博读取通讯录，主动权在用户，可以自主选择。

　　具体到咪咕阅读，刘杰豪说，“作为一个阅读类App，咪咕阅读的主要功能是满足用户的阅读偏好，方便读者搜索符合自身兴趣的文章进行阅读。相比于用户在App内的浏览记录进行个性化服务提升，读取短信、彩信、联系人以及定位在其功能上优化上提供的效果不多，所以我们分析认为在该几项权限获取上是疑似越界的”。

　　陷阱背后的秘密

　　既然某些用户权限并不用于支持App的主要功能，那企业为何还要获取这些大数据？

　　“从行业上来说，新用户的增长越来越困难。对各厂商而言，基于存量用户的运营效率优化是他们的核心竞争力。收集更多用户数据，以更深入地了解和挖掘用户需求，提供更加精准的服务，能够帮助厂商节约大量运营成本。”易观研究中心分析师何文倩表示。

　　她以电商为例解释，“电商过去通过短信进行促销是无差别的，厂商的营销成本都极高，相对应的是用户的烦不胜烦和与成本不相称的收入。获得对用户的多维度了解后，就能够有效减少对用户的无效干扰，同时降低厂商的运营成本，提高运营效率”。

　　在胡修昊看来，手机App隐私权限滥用还是用户隐私泄露的渠道之一。“通过手机App或其他的网络服务，我们个人在互联网时代都是被数据化的，也就是说通过数据可以展现你的一个立体画像、模型。”胡修昊认为，“如果这个权限被他人掌握，而且恶意利用的话，结果就会非常恐怖。”

　　实际上，个人信息买卖目前已形成一条规模大、链条长、利益大的黑色产业链。“这条产业链结构完整、分工细化，个人信息被明码标价，流通变现环节主要包含三个方面。”据中国人民大学法学院博士后刘笑岑介绍，上游环节负责“源头供货”，非法获取或向他人提供个人信息，主要来自于黑客攻击和“内鬼”外泄；中游环节负责对从上游处获取的个人信息进行处理与再加工，通过买卖、交换等形式形成规模化市场；下游环节负责“应用变现”，将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。

　　仅腾讯DCCI《2018年网络隐私报告》就能掀开网络隐私危害的一角，2018年全年，腾讯安全实验室为用户拦截恶意网址超5550亿次，其中信息诈骗网址拦截次数超387亿次，诈骗电话和诈骗短信依然猖獗。2018年全年，腾讯手机管家用户标记诈骗电话超6100万个，举报诈骗短信超5100万条。 

　　为此，中央网信办、工信部、公安部、市场监管总局决定自2019年1-12月，在全国范围组织开展App违法违规收集使用个人信息专项治理。要求App运营者收集使用个人信息时，不得收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。

　　在姚克枫看来，“要治理App违法违规收集，最主要的就是国家监管，比如说加大处罚力度，甚至降低刑事案件的立案标准，现在刑事案件的立案标准较高，降低有利于保护个人信息安全”。

　　北京商报记者 魏蔚