2018年04月11日 | 记者实测：同款App，不同平台索取手机权

   近日，有媒体爆出国内不少App存在强制向用户索取隐私权限的行为。《IT时报》记者调查发现，来自不同应用商店的同一款App对用户隐私权限读取要求竟截然不同——在安卓平台上要求读取的通讯录、通话记录等权限到了苹果应用商店竟全都不见了踪影，是这款应用的功能改变了吗？并不是。

　　据了解，目前国内手机App审核上线是一种企业行为，由平台制定审查规则，而App开发者在申请地理位置、通讯录、通话记录等涉及用户隐私的权限时，无需提供任何资质备案，上线后还可随时开通，因此想要获取涉及用户隐私权限几乎没有阻碍，这种情况在安卓应用市场尤为严重。

　　事实上，根据2017年7月1日实施的《移动智能终端应用软件预置和分发管理暂行规定》，移动智能终端应用软件不得调用与所提供服务无关的终端功能，但由于并无细则落地，不少App都在“浑水摸鱼”。

　　记者实测：

　　对用户隐私权限的索取 因平台而异

　　同一款App为何在安卓手机应用商店和苹果应用商店内提出截然不同的权限要求？记者对比了来自金融、公共服务、搜索、娱乐四个领域的十款App后发现，绝大部分App对用户隐私权限的索取都因平台而异。

　　从华为手机自带的应用商店内下载的“百度”App，在默认状态下，不仅被“允许”读取用户联系人、通话记录、位置信息，同时还被允许新建/修改通话记录。作为一款浏览器，百度是否需要调用这么多与用户隐私相关权限？记者又打开从苹果商店内下载的“百度”，根据系统显示，“允许百度访问”的权限仅包括：照片（读取与写入）、位置、麦克风、无线数据、Siri与搜索、后台应用刷新等七项权限，并不涉及用户通话、联系人等隐私权限。同时为获得用户对其位置服务信息授权，百度还明确备注了“为了你使用天气、本地资讯及个性化搜索等服务，请允许百度App访问位置信息。”

　　同样的情况也发生在支付宝。从OPPO手机的安卓商店下载支付宝，默认状态下，被允许读取用户电话、通讯录、短信、位置信息、相机、麦克风等近二十项权限。而从苹果商店内下载的支付宝App，初始状态下，仅允许访问“位置、面容ID、Siri与搜索、通知、无线数据、后台应用刷新”七项权限。在实际使用中一旦涉及转账等功能，系统会弹出窗口询问用户“是否允许访问您的通讯录”。

　　为何在苹果应用商店内不需要调用的通讯录、通话记录等隐私权限，到了安卓应用商店就成了必选项呢？记者在一位华为手机用户的权限设置项中看到，总计45个应用中，默认状态下，被允许读取联系人权限的应用达36个，允许读取短信权限达到28个，允许读取通话记录权限达到15个，允许读取位置信息达到44个，允许读取本机识别码达到45个，而在要求开放通讯录等隐私权限的App中，九成以上并未在苹果应用商店内索取同类权限。

　　与苹果商店对App的权限审核相比，安卓应用商店的大部分应用对用户隐私的调用不仅涉嫌“越权”，同时缺少明确交代，比如一款音乐类App究竟会在什么应用场景下需要获取用户的通讯录？

　　在记者调查的数十款App中，铁路12306火车票平台的做法最为规范，不仅在安卓应用商店和苹果应用商店内申请读取权限一致，同时对调用权限的用途进行了明确说明，比如对于申请开启的电话权限，12306的说明是“为方便拨打客服电话”， 同时在最后注明“不使用这些功能，可不开启权限，不影响正常购票。”在铁路12306申请开通的4项权限中，默认状态都为关闭。

　　应用商店对隐私权限管理宽松

　　“这些权限都不是应用商店审查的重点。”据业内人士透露，目前App上线审核由各家应用商店自行完成。不同商店对审核的规则各有不同，除了对涉及金融理财、支付类App有明确资质审核外，其余权限都非重点审核，同时由于类似地理位置、通讯录、通话记录等涉及用户隐私的权限申请，开发者不需要提供相关资质，因此在审核过程中很难做到有据可查。

　　“审查最为严格的苹果商店也只能根据应用软件在申请时进行的功能说明来判断是否需要开通涉及用户隐私权限功能。”上述人士透露，为了规避审查风险，在市场上还存在违规应用软件事后补上线的做法。

　　据了解，为了通过审核，不少App在审查初期故意隐蔽相关违规功能或者违规权限的开放，一旦通过审核，再进行补上线，由于平台管理方缺乏有效追溯体系，导致一大批违规应用堂而皇之地出现在市场上。在金融、理财、互联网彩票类App中，此类情况最为常见。

　　“如果你能通过苹果应用市场的审核，那么安卓应用商店就不会有问题。”在这位业内人士看来，安卓应用商店对App上线审查更为“宽松”，到目前为止，几乎没有一款应用软件会因为“越权”开通通讯录、通话记录的权限无法过审或下架。

　　隐私调用需依法

　　2016年12月23日，工信部印发了《移动智能终端应用软件预置和分发管理暂行规定》的通知，该规定自2017年7月1日起实施。根据《规定》第五条要求，生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息；未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。　　

　　但在众人科技创始人谈剑峰看来，尽管工信部已经出台了明确的规定和要求，当前很多App其实是行走在监管的边缘，打着提升用户体验的幌子、过多申请用户权限已成为常态。“很多App往往存在‘不用白不用’的心态。” 谈剑峰认为，由于缺乏相关权限读取的明确说明，导致大多数用户在缺乏清晰判断依据的情况下，向App开放了大量读取隐私的权限。

　　尽管上述《规定》第十一条提出了惩罚要求：通信主管部门依据职权责令改正，依法进行处罚，并将生产企业、互联网信息服务提供者违反本规定受到行政处罚的情况记入信誉档案，向社会公布，对涉嫌违法犯罪的应用软件线索，各单位应及时报告公安机关。

　　但在实际执行过程中，由于对于隐私调用权限制定缺乏相配套的细则要求，管理很难落到实处。有业内人士建议，在细则出台的同时，监管方应该将此要求落实到应用商店，并防止滥用，而监管方只需对应用商店资质和数量进行控制，甚至不排除以发牌作为手段，“只有管理制度跟上了，App开发者才会真正重视个人隐私。”