看电话查户口要社保 谁来管管APP?

聊天APP必须要开放位置信息，云笔记APP默认读取用户通讯录，就连孩子做个培训、写个作业的APP，也要读取位置。在给用户提供便利的同时，APP也在大肆索取一些“并不必要”的用户信息。近日，一篇名为《支付宝<花呗>新版合同，让人不寒而栗，都要搜集“手机通话分钟数了”》的文章在网络上迅速发酵。文章贴出6月30日生效版本的花呗合同中关于信息类型和信息分享的条款，并称“为了搜集个人信息，支付宝要搜集个人手机号码的余额、通话对象、通话分钟数了”。有用户称，“吓得赶紧关闭了花呗”。

在个人信息保护越发重要的现代，该如何为这些APP的权限划界？

APP：位置、联系人等权限受关注

当我们安装APP时，都会被象征性地同意一则用户协议后，才能安装成功，但是这个协议中有多少“坑”，恐怕很多人就无暇顾及了。

在记者安卓手机上安装的61款软件中，所有APP都有“读取已安装应用列表”权限，由此可以了解用户的行为习惯及分析同行情况；第二受关注的权限就是“读取本机识别码”，这是用于确定用户，因为每个手机识别码都是少有的；第三则是“读取位置信息”权限，以此可搜集用户的活动范围。

而是否申请某种权限，似乎并无可循规则。

一是同类APP，共同“越界”。记者在一款安卓手机的应用商店中搜索了“手电筒”APP，其中排名靠前的10个APP，除了相机等基本权限外，有8个都请求发送和查看短信、拨打电话和管理通话以及位置信息等三大权限。

二是同类APP，不同权限。以最近火热的共享单车为例，记者调阅安卓手机应用权限发现，摩拜单车、优拜单车、永安行等APP，就比OFO共享单车多要求了通讯录的权限。

厂商：不管有用没用，拿到权限再说

《网络安全法》规定，收集和使用个人信息需要遵守合法、正当、必要性原则。但现在很多APP至少都违背了“必要”原则，获取了很多不必要的权限以搜集用户个人信息。

例如，“调用摄像头”和“启用录音”是很多APP热爱获取的权限。“百度新闻”客户端就默认获得了相机、电话等7项权限，但是记者反复查阅“百度新闻”客户端，却没有发现有用得着相机或电话的地方。

实际上，监管部门对此也有所关注。2016年5月，安徽省工商局曾对市面上20款左右的手机进行质量抽检。其中，6款来自金立、Vivo、斐讯等品牌的手机在使用过程中，预置的应用软件存在未经消费者允许通过wifi网络、GPS和基站等定位技术收集消费者位置信息行为，侵犯了消费者个人隐私。

DCCI互联网数据中心在《2016年中国Android手机隐私安全报告》显示，非游戏类APP获取隐私权限普遍增多同时，越界行为增长明显。例如，高达13％的非游戏类APP越界获取“位置信息”权限，9.1％的非游戏类APP越界获取“访问联系人”权限；高达26％的APP越界获取“位置信息”权限。

滥用权限的背后，涉及当前互联网企业的商业逻辑。一位资深业内人士告诉记者，互联网企业通过免费模式吸引用户后，后续的变现模式就是精准营销，要想做到精准就必须尽可能多掌握用户的数据。“搜集的数据多一点，营销价值就会提升很多。大数据时代，没人知道哪些数据会成为重点，足够多的数据才是重点。”

监管：法规虽有，案例少见

第三方数据机构TalkingData提供的数据显示，2016年，我国APP数量超过1700万个。数量如此庞大的APP，如果越界索取了用户权限，将大大增加用户信息泄露的风险。

对于APP索取用户权限的现象，有关部门早已有明文禁止。2016年8月起生效的《移动互联网应用程序信息服务管理规定》中就明确规定，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。

但是在操作中，很多企业都在无视这条规则。对此，资深互联网法律研究者刘春泉告诉记者，“很多互联网企业都是尽可能多地搜集信息，我对这个问题也抗议了很久，但由于既得利益非常大，不仅大企业不闻不问，连很多小企业都无所畏惧。”

一方面是企业利益驱使，另一方面则是鲜有处罚案例。刘春泉告诉记者，对于个人信息保护，虽然目前已有的法律法规早有明确规定，但是对于不守法者的惩罚缺乏明确规定，至今仍缺少知名判例或罚则。

面对APP系统性的过度索取权限，用户能够做的不多，但是也可以有所作为。对此，多位技术人员告诉记者，“现在无论安卓或者iOS的安全管理都在提升。通过设置，用户可以禁止APP调取不必要的权限，并且仍能正常使用应用。”

案例

通话记录、户籍、社保

花呗都要收集？

花呗回应实际采集的信息范围要“远小于此”，专家称违反必要性原则

仅仅只是用了“蚂蚁花呗”，你的户籍信息、社保参保状态、公积金缴费情况、通话记录等个人数据都可能被收集。

6月30日，“蚂蚁花呗”宣布改名为“花呗”，并更新了用户服务合同。新合同规定，用户同意并授权花呗收集上述用户信息，此举引起了网友热议，有人称“吓得赶紧关闭了花呗”。

针对质疑，7月3日，花呗再次修改了服务合同，之后在官方微博回应，通过采集用户信息降低风险系行业的常规手法，并称实际采集的信息范围远小于此。记者发现，较此前版本，较新服务合同表述相对笼统。对此，专家表示，如果目前业务不需要匹配这些数据而要求用户授权，则违背信息收集的必要性原则。

起因：收集通话记录吓坏网友

据了解，花呗是阿里旗下蚂蚁金服推出的消费信贷产品。申请开通后，用户将获得500-50000元不等的消费额度，并在消费时享受“先消费，后付款”的购物体验。

记者注意到，6月28日，支付宝在官网上发布了《花呗用户服务合同》条款调整公告。调整公告称，为了更加规范地收集、使用、分享、保护花呗用户的信息，对信息条款进行了相应的调整。新的合同在2017年6月30日正式上线，并于当日生效。落款为重庆市阿里小微小额贷款有限公司和商融(上海)商业保理有限公司。

这份6月30日生效的服务合同中，引起较大争议的用户信息包括用户的户籍信息，社保参保状态，往来通讯号码、通话时长等通话详单信息，以及银行刷卡时间、地点、开立信息、账户余额、流水信息。

也就是说，从户籍、工商信息，到社保、公积金，以及通话记录、银行用卡信息等，用户都需要同意并确认授权。这引起了网友的热议。有人表示，“这么下去，以后你的所有隐私都会被所谓的大数据利用，后果是什么，现在想想都不寒而栗”。

调整：不到一周两改服务合同

记者注意到，不到一周，花呗再次发布了调整公告，称为了更好地服务用户，《花呗用户服务合同》部分条款进行了优化。7月3日，新上线的《花呗用户服务合同》正式生效。

记者发现，较6月30日发布的版本而言，现有版本关于信息收集类型的描述较为笼统。

比如，6月30日生效版本的4.2.9条详细列出收集信息类型为“社保参保状态、缴费额度、缴费年限、缴费单位等”，而现有版本的4.1.5条则用“社保信息”概括。

此外，现有版本未再提及旧版中需要收集的用户财产信息、户籍信息和通话信息，并在第四条“信息收集、使用、共享”的开头写道：“请您理解，如果不收集您的一些必要信息，服务商将无法客观判断您的履约能力和意愿，也无法履行法律或监管要求服务商必须履行的一些法定义务。”

7月4日下午，花呗官方微博“蚂蚁花呗”就此事作出回应。

花呗称，采集此类信息是为了了解借贷人的财务状况、信用状况等信息，更好地做出是否借贷及借贷额度的判断，并称实际采集的信息范围要“远小于此”。

花呗进一步解释，相关业务人员以将来出于风控安全或优化服务的需要，可能会扩大信息采集范围，为避免到时再次打扰用户为由，把一些将来可能采集的信息一并在6月30日上线的版本中具体列出。并称现有版本已经对合同条款进行了相应优化。

多位专家表示，花呗此举可能违反个人信息收集的必要性原则。根据6月1日施行的《网络安全法》规定，收集和使用个人信息需要遵守合法、正当、必要性原则。其中必要性原则是指，收集个人信息与所要提供的服务相关，或是为了改进服务。

（新华社、南都）