谁来管管手机App权限

　　谁来管管手机App权限

　　vivo NEX这款新近推出的智能手机火了，不是因为性能配置或营销广告，而是因为其独创的升降式摄像头，可能成了鉴定许多手机应用程序（App）是否获取用户隐私信息的“试金石”。

　　近日，有网友反映在vivo NEX手机上使用QQ浏览器打开某些网页时，会引起摄像头缓缓弹出，怀疑该App可能偷拍，获取用户隐私信息。还有用户发现，在vivo NEX手机上使用百度输入法时，若打开手机自带的浏览器搜索功能，在没有其他操作的情况下，手机顶部会显示“百度输入法正在录音”，并提示用户是否要禁止该App。

　　针对用户的反映，相关App开发商都做出了回应，vivo方面也升级了NEX操作系统的版本，但这并没有打消用户对App权限要求过度、可能泄露隐私的顾虑。究其原因，或许还是与用户在使用App时类似的体验有关。

　　大多数App在安装、更新时，都会向用户申请获取相关手机权限，而摄像头、麦克风、通话、短信等涉及用户个人隐私的敏感权限也在其中，甚至一些与此无关的App也要求获得此类权限；而如果用户不同意其获得此类权限，往往使用不了相关的App服务。

　　这次“vivo NEX事件”加深了人们的疑惑：为什么手机App会向用户获取那么多权限？谁能来管管这些涉及隐私的App权限？

　　vivo NEX意外成App“试金石” 相关回应难服众

　　针对上述现象，百度输入法回应称，是因为在场景化语音以及语音面板使用场景中，百度输入法做了语音麦克风预热的优化，目的是加快语音启动速度，解决之前用户反馈的语音识别丢字问题。“这个优化策略会在场景化语音条以及语音面板展示的时候起效，会使vivo系统认为我们已经开始录音，但其实百度输入法并未进行录音处理。”

　　百度输入法称，由于输入法应用的特殊性，即使输入法面板展示在前台，vivo系统仍然会判定输入法为“后台应用”，造成提示“百度输入法在后台录音”。用户可手动关闭场景输入功能以消除红条提示。

　　此外，有网友反映在vivo NEX手机上使用QQ浏览器打开某些网页时，会引起摄像头缓缓弹出，怀疑该App可能偷拍，获取用户隐私信息。对此，QQ浏览器团队确认存在摄像头被调起，并解释称这是为了满足网站相关功能使用而读取摄像头参数，并非QQ浏览器主动调起，也没有开启摄像头，更不会进行开启拍照、摄像等动作。

　　QQ浏览器技术负责人魏晓海表示，网站可以使用前端W3C标准接口来查询手机上的媒体设备，获取摄像头等设备参数，这需要浏览器访问手机所支持的摄像头来实现。在此过程中，通过使用安卓系统的Camera1接口在查询前置摄像头时，会触发vivo NEX手机摄像头的升降动作。

　　魏晓海表示，为了避免给用户造成误解和困惑，QQ浏览器将对这一当前体验进行优化，在新版本中只有用户授权，才会允许网站查询摄像头参数信息。

　　而vivo方面也升级了NEX操作系统的版本，优化了第三方App调用摄像头的判断逻辑，增强了在出现潜在不明调用行为时，向用户弹出窗口进行二次确认的授权；还优化了对第三方应用调用麦克风的判断逻辑，增加了在出现潜在不明调用行为时，通过闪烁状态栏向用户发出提醒，进行二次确认授权。

　　不过，百度输入法和QQ浏览器方面的公开回应并不能令人信服。“我有这个权限，我去做什么，怎么去做，什么时候做，都是我决定的，消费者是感受不到的。”中国互联网协会互联网法治工作委员会副秘书长胡钢认为，现实中很多App运营者已经获得摄像头、麦克风权限，但在相关制度安排缺乏的情况下，很难保证他们不会在用户不知情的情况下使用这些权限。

　　薛惠民是一名学习软件专业的大学生，他比较注意App申请权限的正当性。最近，他拒绝了一些单机小游戏对联网权限的申请，因为一旦同意就意味着在游戏中会不停地接收到广告推送。

　　他认为，在当前的技术和制度环境中，很多App都要求用户同意其获取涉及隐私的权限，这肯定会带来风险。“但这不是我们能控制的，都是为了更方便才开的（这些权限）。”

　　权限普遍过度 App应方便用户还是开发者

　　事实上，在上述App以外，仍然有大量App在过度获取和使用用户的手机隐私权限。

　　薛惠民最近在手机上下载安装了一款名为“蚂蚁短租”的App，其要求获取麦克风访问权限。面对手机屏幕上弹出的权限要求指令，他点击了拒绝。因为这款主打短期租房业务的App中竟然还包括语音聊天功能，薛惠民认为这是多余的，而且没听周围人评价过。

　　而这正是当前许多App的普遍问题：为了实现核心功能以外的其他功能，往往希望从用户手中尽量获取更多隐私权限。

　　工信部曾公布2017年二季度检测发现问题的42款应用软件名单，其中不少软件就涉及未经用户同意，收集、使用用户个人信息，恶意操控用户手机等问题。有消协工作人员通过检测发现，在手机下载的100余个App中，79个可获取定位权限，23个可直接向联系人发送短信，点开“电话与联系人”一项，有14个App甚至可以监听和挂断电话。

　　让人担忧的是，许多知名企业的App中也可能存在此类问题。

　　今年年初，江苏省消费者保护委员会向百度公司提起民事诉讼，指控百度旗下App涉嫌“监听电话、定位”。去年7月，江苏省消保委曾对市场上用户量较多的27款手机App进行调查，发现普遍存在侵犯用户个人信息安全的问题。但约谈过后，“手机百度”、“百度浏览器”两款App迟迟未整改，也未明确提示消费者软件申请获取权限的目的、方式和范围并供消费者选择。对此，百度方面回应称，百度App不会、也没有能力监听电话，而百度App所涉及敏感权限均需用户授权，且用户可自由关闭。

　　移动互联网安全专家李轶伦（化名）表示，许多App在实现拍照、语音输入等功能时确实需要获取敏感权限。但因为每一部手机的计算资源有限，各个App之间存在相互竞争关系，所以虽然用户不是每时每刻都需要使用这些功能和权限，但为了确保运行顺畅，App会不断检查自己的权限。因此，在App检查摄像头、麦克风权限时可能会被用户发现。

　　“一个App可能今天没有很多功能，但明天可能会升级，有了更多功能。他们对自己产品的功能是不设限的。”李轶伦说，因此很多App开发者为了方便今后实现更多功能，可能会提前“占坑”，在一开始就向用户获取更多权限，其中可能就包括摄像头、麦克风等敏感权限。

　　胡钢注意到，有相当多的App都希望增加社交功能，提高用户使用粘性，往往会设法获取语音输入、拍照摄像等手机权限。在他看来，这类跨界做社交的App通过获得更多权限，为今后的商业化变现提供了可能，但也获取和积累了大量的用户隐私数据。

　　安卓系统滥用更严重 如何规制App权限

　　App权限被如此过度获取和使用，有什么办法予以规制呢？

　　目前，我国法律体系中与App权限有关的主要是《网络安全法》、《消费者保护法》以及工信部、网信办等部委发布的相关规定。其中，《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息。

　　2016年8月，国家网信办发布的《移动互联网应用程序服务管理规定》规定App不得开启与服务无关的功能。2016年12月工信部发布的《移动智能终端应用软件预置和分发管理暂行规定》指出，生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能。

　　但是，在现行制度安排中，对过度获取App权限的情况仍然存在处罚手段不够重，负责机构不明确等问题。胡钢认为，由于立法层面尚未明确隐私、个人信息保护的专责机关，所以执法层面尚不明确此类管理职能应该属于哪个行政执法部门。他建议，应当在正在修改的电子商务法或《消费者权益保护法实施条例》中明确，此类职能应该属于工信部、网信办还是市场监督管理总局。

　　此外，他还注意到，在具体的案例中，很多时候用户很难证明自己是因为App获取权限过度而造成的损失。因此他建议在法律层面，应该允许在用户发起的集体诉讼，或消费者保护协会/检察院发起的公益诉讼中，可以扩展到代表人数众多的特定或不特定的消费者，从而方便用户维权。

　　此外，他也建议互联网企业应该建立强制性责任保险与隐私官制度，完善自身App权限管理制度和相关赔偿机制。

　　而在实际操作中，针对App权限还需要解决很多技术性的问题。李轶伦注意到，在权限的获取和调用方面，国内App开发商和经营者的自由度比较高，“基本上是随心所欲”，而且由于安卓、iOS两大操作系统同时存在，各家手机厂商对安卓系统也做了更多定制化处理，所以很难做到全国范围的同时规制。

　　安卓系统的App权限过度问题比IOS系统更加严重。

　　腾讯社会研究中心与DCCI互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》（下称《报告》）显示，2017年下半年，安卓手机App中有98.5%都在获取用户隐私权限，而在iOS系统中这一比例为81.9%；安卓系统的App中，网络游戏、常用工具是获取用户手机隐私权限占比最高的两类，分别达到获取隐私权限App总数的24.4%和18.8%。

　　在他看来，解决App权限过度的问题，以往在具体操作中靠的是移动安全软件来管理，但长远看来还需要手机操作系统提供商和各家手机厂商共同努力。由于安卓系统的开源属性，华为、小米、魅族等手机厂商都在推出和完善定制版的安卓操作系统，可以从中对App权限给予更具有针对性的规制。