華為小米商店多款A(yù)PP隱私提示不全

根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱《規(guī)范》)對(duì)個(gè)人敏感信息做出了定義，也明確了收集信息的原則。其中重要的一條是“選擇同意原則”，即APP方需要向個(gè)人信息主體明示信息處理目的、方式、范圍等，征求其授權(quán)同意。規(guī)范自2018年5月1日正式開始實(shí)施。

《規(guī)范》指出，收集個(gè)人敏感信息時(shí)，應(yīng)取得個(gè)人信息主體的明示同意。明示同意則指?jìng)€(gè)人信息主體通過(guò)書面聲明或主動(dòng)做出肯定性動(dòng)作，對(duì)其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為。

“APP使用過(guò)程中，用戶在看到權(quán)限要求彈窗時(shí)點(diǎn)擊了同意，這就是肯定性動(dòng)作。”李宇稱，“具體來(lái)說(shuō)，肯定性動(dòng)作包括用戶主動(dòng)做出聲明(電子或紙質(zhì)形式)、主動(dòng)勾選、主動(dòng)點(diǎn)擊同意、注冊(cè)、發(fā)送、撥打等。”

但目前市面上并非所有APP都按規(guī)定對(duì)所要求的權(quán)限進(jìn)行了明示提醒。此前江蘇省消保委就曾以手機(jī)應(yīng)用侵犯消費(fèi)者個(gè)人信息，兩次約談無(wú)整改為由，向百度公司提起民事訴訟。手機(jī)百度高級(jí)經(jīng)理田彪此前回應(yīng)稱，有的系統(tǒng)會(huì)授予它認(rèn)為安全的APP一些權(quán)限，安卓系統(tǒng)的權(quán)限授予非常復(fù)雜，權(quán)限授予完全取決于手機(jī)系統(tǒng)本身，并非由APP自身判斷和決定的。

為驗(yàn)證權(quán)限授予究竟是否會(huì)因手機(jī)系統(tǒng)的差異產(chǎn)生變化，1月24日至2月8日，新京報(bào)記者分別在華為、小米、OPPO、vivo四部安卓系統(tǒng)手機(jī)上安裝了相同的十一款A(yù)PP。這十一款A(yù)PP分別是天貓、攜程旅行、百度地圖、騰訊視頻、百度、京東、58同城、今日頭條、優(yōu)酷、愛奇藝和趕集網(wǎng)。

測(cè)試結(jié)果顯示，同一款A(yù)PP，在不同品牌手機(jī)應(yīng)用市場(chǎng)下載時(shí)，所進(jìn)行的明示提醒也不相同。其中，部分APP在vivo、OPPO手機(jī)安裝后對(duì)敏感權(quán)限進(jìn)行了明示提醒，在華為、小米手機(jī)安裝后則并未對(duì)敏感權(quán)限索取進(jìn)行明示提醒。

其中，百度、百度地圖、京東、騰訊視頻四款A(yù)PP在上述4個(gè)品牌手機(jī)下載并首次打開時(shí)，都會(huì)對(duì)用戶進(jìn)行明示提醒，而其余七款A(yù)PP所明示提醒的權(quán)限則根據(jù)手機(jī)品牌的不同產(chǎn)生了不同的結(jié)果。

以天貓為例，當(dāng)記者通過(guò)華為、小米、OPPO手機(jī)的內(nèi)置應(yīng)用商店下載該APP時(shí)發(fā)現(xiàn)，首次安裝使用時(shí)其并未出現(xiàn)任何明示提醒，而通過(guò)后臺(tái)的權(quán)限設(shè)置則發(fā)現(xiàn)，天貓?jiān)谛∶资謾C(jī)安裝后，默認(rèn)開啟了定位、相機(jī)、錄音權(quán)限；在華為手機(jī)安裝后，默認(rèn)開啟了定位、相機(jī)、讀取通話記錄權(quán)限；OPPO手機(jī)安裝后，未開啟任何權(quán)限；vivo手機(jī)安裝后，明示提醒并開啟了定位權(quán)限。

記者測(cè)試發(fā)現(xiàn)，天貓、攜程、58同城、優(yōu)酷、愛奇藝、今日頭條、趕集網(wǎng)七款A(yù)PP在華為和小米手機(jī)內(nèi)置應(yīng)用商店下載時(shí)均在沒(méi)有明示提醒的條件下默認(rèn)開啟了定位等敏感權(quán)限，而在vivo和OPPO手機(jī)內(nèi)置應(yīng)用商店下載時(shí)，除優(yōu)酷在OPPO安裝時(shí)默認(rèn)開啟了攝像頭和錄音外，其余APP均做到了明示提醒。

從上述實(shí)例來(lái)看，11款A(yù)PP中，百度、京東等4款A(yù)PP在小米和華為做到了所有敏感權(quán)限的明示提醒，10款A(yù)PP在OPPO上做到了所有敏感權(quán)限的明示提醒，11款A(yù)PP都在vivo上做到了所有敏感權(quán)限的明示提醒。

手機(jī)應(yīng)用商店“代”用戶“審核”APP權(quán)限

“造成不同手機(jī)品牌上APP權(quán)限索取情況不一樣的原因，是每家手機(jī)品牌應(yīng)用市場(chǎng)上線APP的審核策略不同導(dǎo)致的。”李宇稱，“作為APP方，肯定要老老實(shí)實(shí)的申請(qǐng)權(quán)限，再根據(jù)應(yīng)用市場(chǎng)商家審核的要求有所改變。”

2月6日，新京報(bào)記者以開發(fā)者身份聯(lián)系華為應(yīng)用市場(chǎng)負(fù)責(zé)審核的相關(guān)人士，想要了解自身APP能否以默認(rèn)開啟通訊錄權(quán)限的方式上架華為應(yīng)用市場(chǎng)。得到的答復(fù)是，“權(quán)限是否選擇默認(rèn)開啟，開發(fā)者可以在自己的SDK(軟件開發(fā)工具包)中‘自行實(shí)現(xiàn)’。”但該人士同時(shí)表示，若應(yīng)用索取權(quán)限過(guò)高，可能存在讀取用戶通話記錄、讀取用戶通訊錄、讀取用戶短信記錄、獲取用戶手機(jī)號(hào)碼、通知欄推送廣告等情況，就不符合華為應(yīng)用市場(chǎng)審核標(biāo)準(zhǔn)。

“應(yīng)用市場(chǎng)一般執(zhí)行最低權(quán)限策略，除非權(quán)限是剛需，比如讀取通訊錄是為了實(shí)現(xiàn)加通訊錄好友。”李宇解釋稱，“至于APP具體能夠開啟哪些權(quán)限，要看應(yīng)用商店的審核要求。如果應(yīng)用商店覺(jué)得你索取的權(quán)限出于正當(dāng)目的，就可以上架，至于默認(rèn)開啟權(quán)限的功能，只能是與應(yīng)用商店有關(guān)。”

需要注意的是，應(yīng)用商店本身就具備審核功能，如《小米應(yīng)用商店應(yīng)用審核規(guī)范》明確規(guī)定應(yīng)用未提示用戶或未經(jīng)用戶授權(quán)情況下不得搜集、傳輸或者使用用戶的位置信息。而《OPPO應(yīng)用市場(chǎng)審核規(guī)則》也規(guī)定未經(jīng)用戶授權(quán)，不得搜集、傳輸或者使用用戶的位置信息。