當(dāng)前，智能手機(jī)已經(jīng)成為人們生活必需品，以至于人們吃飯、睡覺(jué)、上廁所都帶著手機(jī)。人們使用智能手機(jī)，并下載各類App。這些App在提供方便的同時(shí)，卻成為人們個(gè)人信息泄露的“漏斗”。從這個(gè)“漏斗”，用戶的手機(jī)號(hào)、通訊錄、通話記錄、短信記錄等隱私信息紛紛外泄。

為什么這些公司要收集你的個(gè)人信息？因?yàn)樗盁o(wú)價(jià)”，更貼切地說(shuō)你的個(gè)人信息有價(jià)值。眾所周知，互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)的價(jià)值最大，它堪比工業(yè)時(shí)代的“石油”。在工業(yè)時(shí)代，為獲取石油，人們不斷采掘;到互聯(lián)網(wǎng)時(shí)代，為獲取數(shù)據(jù)，出現(xiàn)一些公司瘋狂收集用戶信息的事情。

如果你剛想吃什么，手機(jī)就彈出它的推薦;剛要說(shuō)要買什么，就出現(xiàn)了廣告;剛在購(gòu)房App上瀏覽完，信用貸款電話就打了進(jìn)來(lái)……如果有這種類似遭遇，那么你的隱私信息可能已經(jīng)泄露。

近日，廣東省公安機(jī)關(guān)持續(xù)開(kāi)展2019年第二季度超范圍收集用戶信息APP清理整治工作，共監(jiān)測(cè)發(fā)現(xiàn)1048款A(yù)PP存在超范圍收集用戶信息行為。

簡(jiǎn)言之，超過(guò)1000款A(yù)pp每天都在暗地收集你的個(gè)人信息(你手機(jī)中安裝的)。從你的電話、短信、通話記錄到位置等等，這些信息均被上述App收集起來(lái)，想想都令人后背發(fā)涼。

據(jù)悉，這1048款A(yù)pp，有42款A(yù)pp存在超范圍讀取用戶通話記錄、短信或彩信、收集用戶通話錄、用戶設(shè)備上已知賬號(hào)、超權(quán)限使用用戶設(shè)備麥克風(fēng)等突出安全問(wèn)題。

來(lái)看看筆者比較熟悉的一些App：

1. 藝龍旅行(9.54.2版本)

超范圍收集用戶信息情況——獲取任務(wù)信息，此常量在API級(jí)別21中已棄用不再?gòu)?qiáng)制執(zhí)行;讀取用戶聯(lián)系人數(shù)據(jù)。

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問(wèn)，不易于閱讀。

2. 酷狗音樂(lè)(9.2.2版本)

超范圍收集用戶信息情況——讀取用戶日歷數(shù)據(jù);讀取用戶聯(lián)系人數(shù)據(jù)

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問(wèn)，不易于閱讀。

3. 中華萬(wàn)年歷日歷(7.5.2版本)

超范圍收集用戶信息情況——讀取用戶的聯(lián)系人數(shù)據(jù);允許應(yīng)用程序錄制音頻

用戶協(xié)議及隱私政策——有用戶協(xié)議，有隱私政策，易于訪問(wèn)，不易于閱讀。

4. 華潤(rùn)信托(1.7.6版本)

超范圍收集用戶信息情況——讀取用戶設(shè)備狀態(tài)和身份;讀取用戶短信內(nèi)容;允許應(yīng)用程序錄制音頻;允許程序讀取或?qū)懭胂到y(tǒng)設(shè)置

用戶協(xié)議及隱私政策——在登錄頁(yè)面有用戶協(xié)議，但未說(shuō)明業(yè)務(wù)邏輯與權(quán)限的關(guān)系。

5. 多點(diǎn)(4.2.1版本)

超范圍收集用戶信息情況——在用戶不知情情況下添加或修改日歷活動(dòng)，并向邀請(qǐng)對(duì)象發(fā)送電子郵件;讀取用戶日歷活動(dòng)和詳情;允許應(yīng)用隨時(shí)使用麥克風(fēng)進(jìn)行錄音;讀取用戶設(shè)備上短信內(nèi)容;修改用戶通訊錄。

用戶協(xié)議及隱私政策——無(wú)隱私政策和用戶協(xié)議

雖然有些App已經(jīng)申請(qǐng)收集個(gè)人用戶信息，但是如果某些權(quán)限，用戶不同意開(kāi)啟，則App無(wú)法安裝或運(yùn)行的權(quán)限數(shù)。筆者稱這種做法為“耍流氓”。

根據(jù)《百款常用App申請(qǐng)收集使用個(gè)人信息權(quán)限列表》顯示，手機(jī)信息權(quán)限有26個(gè)小項(xiàng)，分為日歷、通話記錄、相機(jī)、通訊錄、位置、麥克風(fēng)、電話、傳感器、短信和存儲(chǔ)10個(gè)類別。

其中申請(qǐng)收集個(gè)人信息相關(guān)權(quán)限數(shù)，筆者統(tǒng)計(jì)申請(qǐng)收集13個(gè)權(quán)限及以上的手機(jī)App，分別有

平安普惠(6.0.0版本)——16個(gè)權(quán)限

平安金管家(5.03.0)——15個(gè)權(quán)限

360手機(jī)衛(wèi)士(8.1.0)——23個(gè)權(quán)限

騰訊手機(jī)管家(7.14.0)——22個(gè)權(quán)限

QQ同步助手(6.9.11)——19個(gè)權(quán)限

百度網(wǎng)盤(9.6.8)——17個(gè)權(quán)限

WiFi萬(wàn)能鑰匙(4.3.59)——13個(gè)權(quán)限

釘釘(4.6.25)——13個(gè)權(quán)限

途牛旅游(10.6.0)——13個(gè)權(quán)限

中國(guó)建設(shè)銀行(4.1.5)——13個(gè)權(quán)限

中國(guó)工商銀行(4.1.0.4.0)——13個(gè)權(quán)限

聯(lián)通手機(jī)營(yíng)業(yè)廳(6.1)——18個(gè)權(quán)限

中國(guó)移動(dòng)(5.3.0)——17個(gè)權(quán)限

鈴聲多多(8.7.47.0)——14個(gè)權(quán)限

汽車之家(9.10.5)——14個(gè)權(quán)限

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用規(guī)則、明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息。

按理說(shuō)，公司收集個(gè)人用戶信息應(yīng)當(dāng)遵循國(guó)家標(biāo)準(zhǔn)提出的“個(gè)人信息最少夠用”原則。注意，這里已經(jīng)指出一個(gè)是最少，一個(gè)夠用。實(shí)際上，公司收集個(gè)人用戶信息不是最少，而是盡可能多地去收集。這實(shí)際上已經(jīng)與國(guó)家標(biāo)準(zhǔn)背道而馳。

比如上文提到的360手機(jī)助手、騰訊手機(jī)管家，申請(qǐng)收集的個(gè)人信息權(quán)限數(shù)均超過(guò)20個(gè)，差不多都想獲取你的全部手機(jī)權(quán)限。這種問(wèn)題，值得大家注意。

根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》指出，移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息收集活動(dòng)需遵循6個(gè)基本原則：

1. 權(quán)責(zé)一致原則——個(gè)人信息收集應(yīng)遵循法律法規(guī)要求，不采用非法的方式和渠道收集個(gè)人信息，不收集法律法規(guī)禁止的個(gè)人信息，不違反與用戶的約定收集使用個(gè)人信息，并對(duì)因個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

2. 目的明確原則——向用戶明示收集使用個(gè)人信息的目的、方式和范圍，收集的個(gè)人信息及申請(qǐng)的權(quán)限應(yīng)具有合法、正當(dāng)、必要、明確的收集使用目的和業(yè)務(wù)功能。

3. 最少夠用原則——不收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不申請(qǐng)打開(kāi)可收集無(wú)關(guān)個(gè)人信息的權(quán)限。只收集滿足業(yè)務(wù)功能所必需的最少類型和數(shù)量的個(gè)人信息，自動(dòng)收集個(gè)人信息的頻率不超過(guò)業(yè)務(wù)功能實(shí)際所需的頻率。

4. 選擇同意原則——僅當(dāng)用戶知悉收集使用規(guī)則并明確同意后，網(wǎng)絡(luò)運(yùn)營(yíng)者方可收集個(gè)人信息。不以改善服務(wù)質(zhì)量、提升用戶體驗(yàn)、定向推送信息、研發(fā)新產(chǎn)品等為由，以默認(rèn)授權(quán)、功能捆綁等形式強(qiáng)迫、誤導(dǎo)個(gè)人信息主體同意其收集個(gè)人信息。不因個(gè)人信息主體拒絕或者撤銷同意收集必要信息以外的其他信息，而拒絕提供基本業(yè)務(wù)功能服務(wù)或頻繁征求用戶同意。

5. 公開(kāi)透明原則——以明確具體、簡(jiǎn)單通俗、易于訪問(wèn)的方式公開(kāi)收集、使用個(gè)人信息的規(guī)則，并接受外部監(jiān)督。

6. 確保安全原則——采用足夠的安全技術(shù)和管理措施，保障個(gè)人信息收集安全，防護(hù)數(shù)據(jù)竊取、違規(guī)爬取、采集傳輸泄密等安全風(fēng)險(xiǎn)。

實(shí)際上，我們看到這些原則在現(xiàn)實(shí)中并沒(méi)有被很好的遵守，尤其是最少夠用原則和選擇同意原則。很多App是盡量多收集一些與個(gè)人信息有關(guān)的權(quán)限，并且App安裝時(shí)，一旦“拒絕或者撤銷同意收集必要信息以外的其他信息”，App就“拒絕提供基本業(yè)務(wù)功能服務(wù)或頻繁征求用戶同意”。