网购APP，你为何“偷看”我日历记录

　　□法治报记者  胡蝶飞

明明是一款网购类APP，为什么要使用你的手机麦克风？一款外卖平台APP，为何却要读取你的通话记录？你手机上的APP下载后，到底能看到你哪些隐私？

3月27日下午，上海市消保委公布对39款手机APP涉及个人信息权限评测结果。结果显示，共有25款存在向消费者索取的敏感权限与实际功能不对应等问题，其中包括穷游、聚美、神州租车等在内的9款至今仍未整改。

此外，“日历”敏感权限问题令人担忧，仅有0.4%消费者予以关注。上海消保委提醒消费者，日历记录通常涉及私人敏感信息，对APP的日历权限应谨慎授权。

测评39款，25款APP存问题

上海消保委近期对网购平台、旅游出行、生活服务等39款手机应用开展第三期手机APP涉及个人信息权限评测。

记者了解到，此次评测主要从四个方面进行：一是APP所使用的目标API级别，当目标API级别低于23时，安卓对于权限会采用一揽子授权的模式，存在可规避系统安全机制的漏洞；二是APP敏感权限的数量，重点关注安卓系统中与个人信息密切相关的有29项权限的申请和使用；三是敏感权限的授权方式，是否存在一揽子授权的模式，如何向用户提出授权请求；四是查看是否存在无实际功能对应的权限申请。

评测发现，15款网购平台类APP中10款存在问题，13款旅游平台类APP中7款存在问题，11款生活平台类APP中8款存在问题。

上海消保委就此与手机APP企业进行技术沟通，相关企业也在排查后对存在的问题作出解释和优化意见。截至3月23日，30款应用全部实现在敏感权限的申请、使用方面做到了合理申请、自主授权。部分应用第一时间进行沟通，并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。

穷游等9款敏感权限仍未改进

但是，目前（截止到3月23日），仍有9款应用未能就其权限和功能无法对应的问题进行改进。包括聚美（v7.951）、贝贝（v8.2.01）、穷游（v9.2.0）、TripAdvisor猫途鹰（v29.4.1）神州租车（v6.4.4）、一嗨租车（v6.2.1）、饿了么（v8.13.1）、百度糯米（v8.4.7）、格瓦拉生活（v9.5.0）等。

问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话，重新设置外拨电话的路径”、接收讯息（短信）、读取通话记录等敏感权限未找到对应功能及目标API级别低等。

以穷游APP为例，一共向用户申请了9个权限，包括电话、存储空间、通讯录（新增）、位置信息等。其中，电话、通讯录未发现实际运用功能。

神州租车APP向用户申请的9个敏感权限中，电话（拨打电话），电话（监控外拨电话、重新设置外拨电话路径），麦克风等3个权限并未发现对应功能。

而格瓦拉生活APP中，短信、通讯录、麦克风等三个敏感权限也同样未发现对应功能。

部分APP现场回应将立即整改

在当天召开的相关发布会上，上海消保委就此约谈了39家APP相关负责人。

记者注意到，39家APP中仅到了37家，聚美优品、穷游两家APP负责人并未到场。

发布会上，针对专家解读APP中存在的问题，部分企业代表现场作出了回应。

比如，饿了么APP新增了读取通话记录的权限，相关负责人现场回应时表示，“这一新增功能是平台接入第三方插件时，在不知情情况下上线，在最新版本中已经做下线处理。”

百度糯米共申请12个用户敏感权限，专家指出，其中，拨打电话，短信（读取短信、发送短信和接受讯息3个），第二次评测时上述4个权限均已删除。但目前存在API级别过低风险问题。

对此，百度糯米相关负责人表示，针对API版本过低问题，预计4月份将发布最新修复版本。

猫途鹰APP相关负责人现场回应表示，针对平台申请的与实际功能不对应的拨打电话权限，此前确实存在失查，将以最快速度作出整改。

格瓦拉相关负责人现场回应称，3月26日发布的最新版本，已将短信、通讯录、麦克风三个权限作删除处理。

警惕！不要随意授权日历权限

有意思的是，本次评测发现，不少网购类APP获取了日历权限，而调查也表明，超过半数的消费者在使用日历功能记录工作和个人日常安排等信息。这些信息涉及个人信息、商业机密等，而消费者对日历权限的重视度非常低。

上海市消保委就此开展的网络调查数据显示，69.9%的消费者关注手机APP获取个人权限问题。其中，通讯录权限最为关注，占43.5%；26%的消费者关注电话、短信权限。值得关注的是，仅有0.4%的消费者关注日历权限。

APP为何要获取用户日历权限？相关企业回应时表示，申请日历权限是为了方便消费者了解相关大促信息。但是，专家指出，相应的功能完全可以通过后台推送来实现。

“日历权限给消费者带来的风险可能性大于给消费者带来的便利。”市消保委建议消费者和APP开发者都能对日历权限加以重视。一是消费者经常使用日历记录敏感事项，对APP的日历权限应谨慎授权。此外，APP开发者如无十分必要，尽可能不申请手机日历权限。

上海消保委：企业要履行法定义务

个人信息保护是消费者关注的焦点。去年12月，中消协对100款APP开展隐私政策情况开展调查。今年1月25日，网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，将针对APP强制授权、过度索权、超范围收集个人信息问题进行专项检查。今年央视3·15晚会也对手机APP个人信息问题重点关注。

上海消保委秘书长陶爱莲坦言，目前，消费者越来越关注个人信息的保护，一方面拼命防守，但同时又防不慎防，境地很尴尬。

《网络信息安全法》第四十一条规定：网络运营者收集、

使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

“法律上已经有了明确规定，但真正落地，还是需要企业积极贯彻落实。”陶爱莲建议企业积极履行法定义务，针对目前的问题，积极梳理并主动整改和回应。上海消保委也将持续跟踪后续问题。

据悉，今年，中消协还拟对1000款APP开展隐私政策情况调查。

延伸>>>

APP“窃听”真OR假？

日前，手机APP“窃听”一事闹得沸沸扬扬。此次消保委评测中，也有APP在没有实际对应功能的情况下，过度申请了用户的麦克风权限。尽管相关APP对此作出回应说：不存在窃听，但仍有消费者表示质疑。

那么，从技术上来说，在用户开放麦克风权限的情况下，APP“窃听”用户能否实现？

负责此次测评的捷兴信源总监盛大江告诉记者，从技术上来说这个是完全可以实现的。但如果真的24小时窃听，那么将涉及到的数据量将相当巨大，而且其中绝大部分都属于无效数据，传输、处理、识别和存储这些数据都将给APP企业带来极高的成本。同时，相关的数据代码也会存储在用户的手机当中，很容易留下“痕迹”，一旦被查实，将面临巨大风险。

因此，盛大江表示，“我个人认为，APP不大可能利用麦克风权限对用户进行‘监听’，因为这对APP来说有点得不偿失。”

SourcePh" style="display:none">