記者調(diào)查發(fā)現(xiàn)，手機(jī)APP過度索權(quán)，存在“千年用一次，也得索個(gè)權(quán)”“用不上，創(chuàng)造條件也要上”等四大值得警惕的新趨勢(shì)，背后是企業(yè)利益驅(qū)動(dòng)、誠信缺乏、對(duì)個(gè)人信息安全保護(hù)漠視心態(tài)在全行業(yè)蔓延帶來的“軍備競(jìng)賽”
開發(fā)者應(yīng)增強(qiáng)誠信意識(shí)，主動(dòng)作為Facebook，更好保護(hù)消費(fèi)者個(gè)人信息安全，確保相關(guān)應(yīng)用索取的權(quán)限與功能必須相匹配，并妥善使用這些權(quán)限

手機(jī)APP開啟錄音

新華社發(fā) 徐駿 作
不給權(quán)限就不讓用APP；競(jìng)爭對(duì)手索取了權(quán)限，自己也“不甘人后”……已經(jīng)成為消費(fèi)之痛的過度索權(quán)問題背后，是企業(yè)漠視個(gè)人信息保護(hù)心態(tài)在全行業(yè)蔓延帶來的“軍備競(jìng)賽”。
三令五申，手機(jī)APP過度索權(quán)問題仍存
      即便你安裝的手機(jī)APP都來自行業(yè)領(lǐng)先的“大公司出品”，這些APP的安全性并不能令人完全放心。
讀取聯(lián)系人和通訊錄，偷偷監(jiān)控外撥電話，翻看手機(jī)通話記錄，甚至還開啟了錄音功能，你的手機(jī)也許并不“老實(shí)”，甚至即便你安裝的手機(jī)APP都來自行業(yè)領(lǐng)先的“大公司出品”科技行業(yè)網(wǎng)站建設(shè)欣賞，這些APP的安全性并不能令人完全放心。
      上海市消保委近期對(duì)網(wǎng)購平臺(tái)、旅游出行、生活服務(wù)等39款市場(chǎng)占有率領(lǐng)先的手機(jī)APP涉及個(gè)人信息權(quán)限評(píng)測(cè)顯示，截至3月23日，有9款手機(jī)APP存在索取的權(quán)限與功能無法對(duì)應(yīng)的問題，涉及聚美、窮游、貓途鷹、百度糯米等。
比如，窮游APP向用戶索取“讀取聯(lián)系人”的權(quán)限，但并沒有提供相應(yīng)的功能；神州租車APP向用戶索取“錄音”“監(jiān)控外撥電話，重新設(shè)置外撥電話的路徑”等權(quán)限，但也并未能提供相應(yīng)的功能。
      此次發(fā)布的測(cè)評(píng)結(jié)果，已經(jīng)是上海市消保委第三次針對(duì)手機(jī)APP進(jìn)行的測(cè)評(píng)。此前，上海市消保委已經(jīng)針對(duì)地圖類、瀏覽器類、輸入法類以及綜合視頻類等進(jìn)行了兩輪測(cè)評(píng)，發(fā)現(xiàn)存在數(shù)十項(xiàng)無實(shí)際功能對(duì)照的權(quán)限申請(qǐng)，包括讀取通訊錄、電話權(quán)限、短信權(quán)限、定位權(quán)限等。
      上海市消保委秘書長陶愛蓮說，在三令五申下，APP過度索權(quán)問題依然屢禁不止，即使是來自行業(yè)領(lǐng)先大公司的APP問題同樣突出，已經(jīng)成為消費(fèi)者的新痛點(diǎn)。
“你要我也要”——過度索權(quán)四大“怪”
      背后是企業(yè)利益驅(qū)動(dòng)、誠信缺乏、對(duì)個(gè)人信息安全保護(hù)漠視心態(tài)在全行業(yè)蔓延帶來的“軍備競(jìng)賽”
手機(jī)APP“過度索權(quán)”為何難治？記者調(diào)查發(fā)現(xiàn)，手機(jī)APP過度索權(quán)存在四大值得警惕的新趨勢(shì)，背后是企業(yè)利益驅(qū)動(dòng)、誠信缺乏、對(duì)個(gè)人信息安全保護(hù)漠視心態(tài)在全行業(yè)蔓延帶來的“軍備競(jìng)賽”。
——“就是不升級(jí)”。在多輪測(cè)評(píng)中發(fā)現(xiàn)，手機(jī)APP使用的目標(biāo)API級(jí)別過低的問題比較明顯。在本輪測(cè)評(píng)中，百度糯米APP的用戶在安裝時(shí)，由于目標(biāo)API級(jí)別過低，即便并沒有相應(yīng)的使用場(chǎng)景，也“一攬子授權(quán)”了包括“讀取聯(lián)系人”“錄音”“讀取信息”等敏感權(quán)限，否則就無法正常使用該APP。
——“假裝不知道”。一些企業(yè)稱，手機(jī)APP過度索權(quán)是程序員的“鍋”。一嗨租車相關(guān)負(fù)責(zé)人表示，企業(yè)程序員“開發(fā)失誤”，“不小心上線了沒有使用場(chǎng)景的敏感權(quán)限，并沒有實(shí)際使用該權(quán)限”。而貓途鷹則表示企業(yè)存在失察的情況，沒有主動(dòng)去檢查是否存在索取已經(jīng)不存在應(yīng)用場(chǎng)景的權(quán)限的問題。
北京捷興信源信息技術(shù)有限公司技術(shù)支撐部總經(jīng)理盛大江指出，當(dāng)目標(biāo)API級(jí)別低于23時(shí)，安卓對(duì)于權(quán)限會(huì)采用一攬子授權(quán)的模式，存在可規(guī)避系統(tǒng)安全機(jī)制的漏洞，安全風(fēng)險(xiǎn)比較大�！笆欠裉嵘鼳PI級(jí)別、檢查索權(quán)是否與使用場(chǎng)景對(duì)應(yīng)，是企業(yè)的自主選擇。盡管工信部在內(nèi)的監(jiān)管部門都在提倡提升目標(biāo)API級(jí)別到28，讓用戶的信息更加安全，但一些企業(yè)可能并沒有太多的動(dòng)力主動(dòng)去提升。”
——“千年用一次，也得索個(gè)權(quán)�！庇浾呤崂砗筒稍L專家發(fā)現(xiàn)，以讀取短信權(quán)限為例，企業(yè)認(rèn)為索取這一權(quán)限可以方便消費(fèi)者讀取短信驗(yàn)證碼，但除了高頻發(fā)送驗(yàn)證碼的金融類等少量APP外，大量的APP需要讀取驗(yàn)證碼的情形“百里挑一”，但卻因此獲得了如此敏感的權(quán)限，消費(fèi)者的“隱私讓渡回報(bào)”明顯不足。還有一些手機(jī)APP在使用過程中不�！膀}擾”消費(fèi)者獲取錄音權(quán)限，但提供的功能卻是少有人使用的“語音播報(bào)”。
——“用不上，創(chuàng)造條件也要上�！辈簧偈謾C(jī)APP存在索取“非必要權(quán)限”的問題。以日歷權(quán)限為例，測(cè)評(píng)顯示，有10多家手機(jī)APP尤其是網(wǎng)購類平臺(tái)存在獲取用戶日歷的問題。
      相關(guān)企業(yè)在回應(yīng)消保委時(shí)表示，日歷權(quán)限的索取可以方便消費(fèi)者了解大促信息，但專家指出，相應(yīng)的功能完全可以通過后臺(tái)推送的方式實(shí)現(xiàn)，并不需要額外獲取和調(diào)用日歷權(quán)限，涉嫌濫用使用場(chǎng)景。
      “萬一明天用上了呢?競(jìng)爭對(duì)手有了我也要有。一些企業(yè)覺得，就算現(xiàn)在用不上，無法即時(shí)對(duì)消費(fèi)者的數(shù)據(jù)進(jìn)行商業(yè)化的運(yùn)用，也要先創(chuàng)造條件占上，‘以備后患’，甚至對(duì)標(biāo)競(jìng)爭對(duì)手‘他要我也要’�！�
自我加壓，索權(quán)“明明白白”
      互聯(lián)網(wǎng)企業(yè)應(yīng)確保相關(guān)應(yīng)用索取的權(quán)限與功能必須相匹配，并妥善使用這些權(quán)限，建議行業(yè)內(nèi)的大型企業(yè)能盡早推出團(tuán)體標(biāo)準(zhǔn)，凈化市場(chǎng)。
陶愛蓮指出，希望開發(fā)者增強(qiáng)誠信意識(shí)，主動(dòng)作為，更好保護(hù)消費(fèi)者個(gè)人信息安全，“上海市消保委將對(duì)手機(jī)APP過度索權(quán)問題密切關(guān)注、持續(xù)關(guān)注。”
      上海市消保委副秘書長唐健盛說，互聯(lián)網(wǎng)企業(yè)應(yīng)確保相關(guān)應(yīng)用索取的權(quán)限與功能必須相匹配，并妥善使用這些權(quán)限，建議行業(yè)內(nèi)的大型企業(yè)能盡早推出團(tuán)體標(biāo)準(zhǔn)，凈化市場(chǎng)。同時(shí)，消費(fèi)者也應(yīng)加強(qiáng)對(duì)APP索權(quán)的重視程度，謹(jǐn)慎授權(quán)。

      一些互聯(lián)網(wǎng)公司已經(jīng)在“自我加壓”，主動(dòng)把索取的權(quán)限和消費(fèi)者“說個(gè)明白”。比如，最新更新的手機(jī)淘寶APP，不僅將向用戶索取的權(quán)限以及其使用場(chǎng)景一一說明，還明明白白地告訴消費(fèi)者如果不愿意索取該項(xiàng)權(quán)限、可能影響使用的功能，方便消費(fèi)者做出選擇。
      近期谷歌發(fā)布的AndroidQbeta版中，在原有的拒絕和永久授權(quán)兩種權(quán)限選擇之外，還增加了僅在使用期間(運(yùn)行時(shí))的授權(quán)選項(xiàng)�；�于這一版本的手機(jī)APP將能更好保護(hù)消費(fèi)者的信息安全。
評(píng)論
“圍獵”用戶數(shù)據(jù)的公司就該“涼”

沈彬
      號(hào)稱掌握有2.2億自然人簡歷的巧達(dá)科技公司，徹底“涼涼”了。近日整個(gè)公司被警方“一鍋端”，一位巧達(dá)科技前員工告訴媒體：“陸續(xù)有HR等非核心員工回家，但核心高管依然失聯(lián)中。”據(jù)悉，巧達(dá)科技出事可能與其未經(jīng)授權(quán)獲取和使用簡歷、販賣簡歷信息等涉嫌侵犯用戶隱私權(quán)、侵犯公民個(gè)人信息的行為有關(guān)。
      巧達(dá)的生意經(jīng)是這樣的：它宣稱通過“2.2億+”有簡歷的自然人、“10億+”通訊錄、“100億+”用戶識(shí)別ID組合和“1000億+”用戶綜合數(shù)據(jù)，計(jì)算出了“8億+”，也就是可能涉及57%中國人的多維度數(shù)據(jù)。假如某APP提供某用戶手機(jī)號(hào)，巧達(dá)科技將其與自有的簡歷庫進(jìn)行匹配，便能反饋出該自然人包括年齡、性別、行業(yè)、職業(yè)、戶籍、收入、教育經(jīng)歷、工作經(jīng)歷、關(guān)系鏈等在內(nèi)的信息。
      這樣一來，各種APP、營銷電話將對(duì)你進(jìn)行精準(zhǔn)“圍獵”：年齡多大?哪個(gè)學(xué)校畢業(yè)的?有沒有結(jié)婚?工資期望是多少?是在職還是待業(yè)?曾經(jīng)在哪里工作過?是急于考注冊(cè)會(huì)計(jì)師證書，還是急于考外語要出國留學(xué)?是人到中年需要一份保險(xiǎn)，還是生活優(yōu)渥的“金領(lǐng)”有資金需要投資……普通人在營銷者面前，被扒得“一絲不掛”，宛如赤裸于狼群之中，遭受各種算法的精心算計(jì)。
      巧達(dá)科技手中多達(dá)上億份的簡歷是從哪里來的?原來，巧達(dá)科技旗下直接、間接擁有“喬大招”“愛伙伴”“簡歷時(shí)光機(jī)”“人才蛙”等10多款互聯(lián)網(wǎng)招聘相關(guān)產(chǎn)品，巧達(dá)科技為HR或獵頭提供簡歷管理工具，并引導(dǎo)他們主動(dòng)上傳自己手中的簡歷以免費(fèi)換取其他簡歷，由此獲得了大量的簡歷數(shù)據(jù)。
      無論巧達(dá)科技把自己的生意包裝得多么高大上，又是“大數(shù)據(jù)”，又是“認(rèn)知引擎”，其實(shí)就是一手打著招聘、獵頭的旗號(hào)獲取海量公民的簡歷，另一手把這些精準(zhǔn)的個(gè)人信息分門別類地販賣給了做營銷的第三方。這和司空見慣的某些醫(yī)院、教育機(jī)構(gòu)倒賣公民個(gè)人信息沒有本質(zhì)區(qū)別，只不過它的產(chǎn)業(yè)鏈更長一些、形式上更加專業(yè)個(gè)性化設(shè)計(jì)，并被隱藏在公司的馬甲里。
      正像小品中的“別以為穿上馬甲就不認(rèn)識(shí)你了”，即便某些科技公司獲得資本市場(chǎng)的青睞，也不能改變其販賣個(gè)人信息的違法本質(zhì)。這種灰色生意做得越專業(yè)，社會(huì)危害性越大。巧達(dá)科技就是這樣將數(shù)以億計(jì)公民幾乎是最精準(zhǔn)的個(gè)人信息作為自己的搖錢樹，截至2017年12月，該公司全年收入4.11億元，凈利潤1.86億元。
這些年“大數(shù)據(jù)”站到了風(fēng)口之上，成為資本市場(chǎng)熱捧的香餑餑，一些倒賣公民個(gè)人信息的違法行為，也被堂而皇之地冠上了“大數(shù)據(jù)”“數(shù)據(jù)驅(qū)動(dòng)營銷”“用戶畫像”的高科技名頭。數(shù)據(jù)行業(yè)的魚龍混雜，個(gè)人隱私被用來非法牟利的比比皆是，巧達(dá)科技絕不是個(gè)案。
      正規(guī)的“大數(shù)據(jù)分析”，必須以保護(hù)用戶隱私權(quán)為前提，在進(jìn)行“用戶畫像”等數(shù)據(jù)使用之前，必須要對(duì)原始數(shù)據(jù)進(jìn)行嚴(yán)格的“脫敏處理”：水印(對(duì)局部信息的掩遮)、泛化(對(duì)數(shù)據(jù)進(jìn)行更概括、更抽象的描述)、加密(應(yīng)用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝)、失真(采用添加噪聲等方法對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處置)、歸并等等。
“大數(shù)據(jù)技術(shù)”絕對(duì)不是販賣原始數(shù)據(jù)，絕不是販賣公民的個(gè)人信息，它只能進(jìn)行匯總數(shù)據(jù)的銷售�，F(xiàn)實(shí)卻是在數(shù)據(jù)市場(chǎng)上，精確到個(gè)人客戶的數(shù)據(jù)才“值錢”，匯總的數(shù)據(jù)“不值錢”。這樣的生意不是搞數(shù)據(jù)驅(qū)動(dòng)，而是在販賣個(gè)人信息。這種尷尬的局面，也嚴(yán)重阻礙了我國大數(shù)據(jù)行業(yè)的進(jìn)步：如果賣原始信息反而最賺錢，誰還會(huì)為數(shù)據(jù)技術(shù)進(jìn)步埋單?
      我國《刑法》明確規(guī)定了“侵犯公民個(gè)人信息罪”，販賣個(gè)人信息情節(jié)嚴(yán)重的，應(yīng)該定罪量刑。不能縱容信息販子披著“大數(shù)據(jù)”的馬甲搞違法犯罪的勾當(dāng)。數(shù)據(jù)營銷行業(yè)也不能在犯罪的邊緣搞試探，不要以為法不責(zé)眾，巧達(dá)科技“簡歷換錢”生意就是前車之鑒。
，