近年来，在移动互联网的高歌猛进下，手机已成为大众的生活必需品。公众在享受手机带来多样便捷的生活服务时，也不得不遭受骚扰电话、诈骗短信、消息推送的“狂轰滥炸”。

这些对公众个人信息达到精准甚至恐怖的了解程度，让公众在不知不觉中必须直面隐私信息泄露所带来的风险。

尤其是在当前法律监管缺失、公众认识滞后的局面下，手机App汇集了大量的用户个人隐私信息，犹如每个人身边的一颗定时炸弹，具有极大的信息安全隐患。

问题频发

手机App泄露隐私问题广泛地存在，这个并不“时髦”的话题每过一段时间就会爆出，虽能迅速引起公众关注，但由于公众对于手机的依懒，以及缺乏解决问题的手段，话题往往又立即消失在网络之中。

2019年2月16日，有网友上传视频举报，京东金融Android系统App在后台运行时会自动获取用户使用手机时的截图，并能上传保存到该App相关文件中。京东金融迅速回复称，京东金融不会收集未经用户授权的任何信息，并于3月8日在官方微博再次予以澄清，声明京东金融App已通过工信部下属机构检测，未发现有用户非授权情况下上传图片的情况。此事虽一度沸沸扬扬，但比起京东上半年一系列的大新闻，也就慢慢“大事化小，小事化无”。

2019年3月15日，央视 “3·15”晚会直接点名一款名为“社保掌上通”的热门个人社保查询App涉及泄露用户个人信息。主持人的现场演示中发现，在用户在查询信息时，会被默认同意一份授权协议，包括不可撤销地授权使用用户社保账户密码、采集用户个人信息等诸多条款。随后，这款并非由社保局官方推出而只是个高仿产品的查询工具，立即遭到全网下架，其提供服务的第三方公司也被要求停顿整改。

2019年3月21日，刚发布上市招股书的社交电商云集被中国消费者报披露疑似泄露用户信息。一些云集用户反映，云集存在严重的信息安全隐患，用户只要在云集消费之后，包括个人姓名、电话、收货地址、消费金额以及交易时间等详细信息便会遭到泄露，更有部分用户接连收到防不胜防的诈骗短信和诈骗电话。目前，上千名消费者疑因“云集订单信息泄露”接到了诈骗电话，整体损失金额或达数百万元，但这丝毫没有影响云集上市的步伐。

一个多月的时间，三起手机App泄密事件产生了不同结局，除了遭受来自官方的“雷霆一击”会产生结果外，其余总是会随着时间推移而慢慢脱离舆论“风暴眼”，最后不了了之，这或多或少反映出当前公众在面对手机App泄密事件的众多无奈。

现状分析

针对手机App泄密事件频发所暴露出当前消费者个人信息保护机制存在的漏洞，许多第三方机构开始展开手机App的多维度评测，希望借此呼吁公众重视手机App泄露隐私问题，也为政策法规和企业规范的制定提供客观依据。

2018年8月3日，腾讯社会研究中心联合DCCI互联网数据研究中心对1144个手机App（包括869个Android系统App，275个IOS系统App）获取用户隐私权限的情况进行统计，发布了《网络隐私安全及网络欺诈行为研究分析报告（2018年上半年）》。

该报告首先将隐私泄露正式定义为用户在不知情时个人信息被获取的情况，披露了移动端隐私泄露的四种主要途径：手机软件获取、免费Wi-Fi窃取、旧手机设备泄露以及黑客攻击企业大数据。

同时，报告将诸多手机权限按重要程度进行了分类解析，将打开数据网络、WiFi、蓝牙开关，获取设备信息等设为“普通隐私权限”；将打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话等设为“重要隐私权限”；以及把获取位置信息、读取手机号码、短信记录、通话记录等设为“核心隐私权限”，为公众带来手机App泄密全景式的分析观察。

报告结果还显示，截至2017年下半年，几乎所有的安卓手机App都在获取用户隐私权限，而对隐私权限管理相对完善的IOS系统，也存在着越来越多的App要求获取用户隐私权限的问题。

△10类App测评总体得分情况。

2018年8月，中国消费者协会开展了为期两个月的App个人信息保护情况测评活动，对IOS系统和Android系统的10类（通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化）100款App进行现场检验，邀请相关专家对App用户协议、隐私政策进行评分审核，并在11月28日发布《100款App个人信息收集与隐私政策测评报告》，综合反映当前各类App在个人信息保护中存在的问题。

该报告显示，新闻阅读、网上购物和交易支付等类型App的总平均分相对较高（百分制，得分越低泄露隐私的风险越大），金融理财类App得分为28.91，不仅最低且远低于其他类型App。该报告还进一步发现，中小企业研发App的平均分不仅显著低于消费者常用App的平均分，甚至还低于各类App总的平均分，其中通讯社交、影音播放、网上购物、出行导航和旅游住宿类App的平均分差距达40分以上，说明目前中小企业研发的App在个人隐私信息保护上存在明显不足。

△5种常见的被过度收集或使用的个人信息。

报告还揭露了手机App存在涉嫌过度收集或使用15类用户个人信息的问题，其中“个人资料”“位置信息”“手机号码”“联系人信息”和 “上网记录”是五种最常见的被过度收集或使用的个人信息。此外，报告强调了属于个人敏感信息的个人财产信息、个人生物识别信息，此类信息一旦被泄露，将导致个人信息扩散范围和用途的不可控，可能对用户的人身和财产带来重大风险。

△100个手机App中的隐私条款评分。

同时，此次评测还基于2018年5月开始实行的《个人信息安全规范》中对于“隐私政策应公开发布且易于访问”的原则,对这100个手机App中的隐私条款进行评测打分。结果显示，一半以上的App拥有及格水平以上的隐私条款，但仍有34%的手机App还没有隐私条款。

不同于前两个基于手机App为评测对象的报告，2019年2月，由中国人民大学网络与移动数据管理实验室与移动大数据服务商极光合作发布的2018年度《中国隐私风险指数分析报告》，则主要是基于3000万移动设备的App数据来构建隐私风险量化模型，制定出中国第一套隐私风险指数体系，让公众可以从数据流动上发现更多隐私泄露的秘密。

报告结果显示，数据收集垄断现象极为严重，体量前10%的数据收集者获取了99%的权限数据；其次，区域隐私风险指数存在差异，东部、南部沿海以及大西南地区隐私风险指数偏高，黄河中游、北部及西北地区隐私风险则偏低；然后，职业人群也影响隐私风险，高收入、高消费人群隐私风险最高，其中高隐私风险职业前三名依次为IT工作者、销售人员、律师，而具有外宿、贷款倾向行为的人群隐私风险也普遍较高。

问题根源

基于报告数据与实际体验，我们可以得知手机App泄露隐私的直接原因就在于手机App对用户信息的过度采集上，而深层次原因则还是在于用户信息的价值性上。

在移动互联网时代，信息即是价值，因此，由利益驱动而引起的信息泄露、非法买卖公民个人信息等网络灰色产业必然存在发展的空间。虽然按照《个人信息安全规范》规定，对个人信息的收集应有明确的目的，不得超出产品功能相关目的外收集额外的个人信息，但一些App在使用期间，往往以各种理由要求获取用户权限，越界掌握用户隐私信息，甚至在用户不知情的情况下泄露用户的隐私信息。而有时用户明知手机App所需的功能和它所要请求的权限不匹配，但因为不授权就没法使用的“霸王条款”，也只能被迫接受。

同时，一些App在隐私政策等文件中，未将其收集的个人信息与其实现的产品功能明确挂钩，并且由于条款内容繁多、设置地点隐秘，在安装和使用手机APP时，很少有用户会仔细阅读应用权限、用户协议和隐私政策，大部分用户不会完整阅读，而是直接选择同意该条款，这给一些互联网企业收集个人信息提供了便利条件，也为那些灰色产业提供了温床。

此外，一些外部因素也进一步滋生了手机App隐私泄露问题。

首先是模糊的个人信息界定标准。目前能确认个人真实身份的信息有直接识别和间接识别两类，间接识别的定义还比较模糊，容易产生争议，比如IP地址到底算不算个人信息。其次是宽泛的个人信息收集权限。比如新闻类App为了达到个性化推荐，可能会以根据地理位置变化推荐不同的内容作为索要地理位置授权的理由，让用户不得不面对隐私保护和使用体验的抉择。然后是困难的个人信息泄露举证。当用户认为个人信息遭到泄露之后，往往需要自己承担举证责任，而网络的即时性与虚拟性，让隐私泄露存在举证难、损失认定难的情况。

解决思路

2018年3月，百度董事长兼CEO李彦宏在公开场合表示，中国人对隐私问题的态度更开放，相对来说也没那么敏感。此等“用隐私换取便利、安全、或者效率”的观点随即引发舆论强烈反弹。这一事件从侧面说明，中国用户并非对网络隐私问题不够关注。但由于网络安全的相关法律不够完善，科技巨头缺乏自律，致使用户在保护个人网络隐私时往往“有心无力”。

要想解决这个问题，离不开法律法规、App开发者、应用商店三方的合作。

首先，要提高立法立规水平，强化对消费者个人信息的法律制度保护。从诸多测评中反映出，判定隐私泄露问题所依据的相关规范的法律层级较低，以及有关部门出台的相关管理规定可操作性不强，这就导致了各类手机App落实隐私条款要求方面存在较大差异，以及隐私条款不完善或缺失情况严重；同时，绝大多数用户对信息安全保护知识了解较少，应强化用户自身的隐私信息忧患意识，为用户个人信息安全提供更好的法律和制度保护。

其次，要督促App优化隐私政策，提升服务消费者的透明度。App开发者要强化App的隐私条款明示，方便用户查找，并要积极引导用户完整阅读；如果App需要收集个人信息，则必须要征得用户同意，不能使用默认选项，而是让用户主动勾选，给予用户知情权和选择权；App开发者要全面审核隐私条款，消除不公平免责条款，尤其是如“只要下载使用便视为已经仔细阅读其免责条款并完全同意”等不公平格式条款，尽可能少的收集用户个人隐私信息，保护用户个人隐私信息安全。

然后，建议应用商店履行平台审核责任。应用商店要强化App隐私条款的明示公示义务，对于没有隐私条款的App要及时下架，并提醒消费者谨慎下载使用；同时，应用商店应当要求相关隐私条款内容不得损害消费者合法权益，不得保留不公平格式条款，并进一步加强对违规App的处罚机制。

除此之外，在实际操作使用中，用户下载App要通过审核机制更严格的应用商店平台，并认真阅读应用权限、用户协议和隐私政策，不安装来历不明的App，使用过程中一旦发现信息泄露，要留存相关证据，及时向有关部门投诉举报，依法主动维权。

来源：《知识经济》2019年5月刊

原文作者：田野