许多人的手机上都会有或多或少的应用软件，也就是俗称的App，但是有多少人知道，在享用这些应用软件便利的同时，你付出的代价有多大呢？答案可能令您震惊。

大部分热门手机应用软件过度收集信息

日前，上海市消费者权益保护委员会对浏览器、输入法和综合视频这三大类手机App涉及个人信息权限，进行了评测。结果发现，当前下载最热门的18款应用软件中，有14款申请的25项敏感权限找不到对应功能，包括手机用户的拨打电话、收发短信、位置信息等敏感权限，占比达到77.8%；除此之外，本次评测结果还显示，一些手机应用软件App的目标版本过低，从而导致手机用户没有选择权，只要安装这些手机应用软件，就自动同意App申请的所有敏感权限。

上海市消费者权益保护委员会、副秘书长 唐健盛： 从测试情况来看，可以说情况非常不理想，很多的头部App实际上在权限的申请和调用方面，其实是违反了一些必要性、正当性等等原则的。

我国《网络安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

手机中涉及大量的用户隐私信息，一款手机App获得用户授予的敏感数据“访问和使用”权限时，一方面有能力获取用户的隐私；另一方面，这些权限又是App实现功能所需要的，因此，手机应用软件App在申请和使用敏感权限时，应该遵循“合法、正当、必要”原则，合理申请、合理使用。

上海市消费者权益保护委员会 副秘书长 唐健盛： 我们觉得权限就类似于钥匙，你拿了消费者家的钥匙当然您可以说，我是来你们家拖个地，可能要来烧个菜，但是你给消费者带来方便的同时，你也应该充分考虑到消费者的安全性。你拿了钥匙以后，你把这些活干完了以后，是不是钥匙你能把它给还回去。当然消费者也希望能够知道整个过程中，你确实除了扫地、拖地、烧菜没有干别的事。

上海市消保委这次评测的重点在于： 手机应用软件App是否存在“权限的过度申请和滥用”，是否遵循了相关法规的“合法、正当、必要”原则，评测首先从消费者日常使用频率很高的一些App开始。

上海市消费者权益保护委员会 副秘书长 唐健盛： 第一款（类）输入法可能是跟安全性，我们觉得是非常紧密的；第二款（类）可能浏览器是现在消费者反响相对比较强烈的；视频网站我们认为可能是消费者使用时长比较长的。

据介绍，上海市消保委此次针对热门手机应用软件App的评测，主要围绕输入法、浏览器和视频App进行，总共包括18款，其中5款是输入法，包括搜狗、百度、讯飞、QQ和触宝；5款是综合视频，包括优酷、腾讯、爱奇艺、芒果TV和哔哩哔哩；8款是浏览器，包括UC、QQ、360、搜狗、猎豹、百度和华为手机自带的两款浏览器。评测工程师告诉记者，这18款App的样本，都是测试阶段在这些应用软件的官方网站上，下载当前的最新版本。

评测工程师 盛大江： 我们这次测试权限的主要方向，涉及了两个方面。第一个是权限的授权方式，决定了用户是否知情并且有选择权。第二个是这些权限是否有对应的功能。 我们发现在18款应用中，有14款应用有25个敏感权限，没有找到对应的功能。这25个权限主要分布在电话权限、短信权限、定位权限，日历、附件之类的权限上。

14款手机应用软件申请敏感权限目的不明

14款手机应用软件向用户申请了25项敏感权限，但是没有找到对应的功能。这25项敏感权限，包括15项短信权限、5项电话权限、2项定位权限、2项日历权限和1项读取附件权限，评测工程师认为，这些都和手机用户的个人信息密切相关。

评测工程师 盛大江： （这款）浏览器那我们可以看一下，它总共申请了14项这种敏感权限，其中有4个，分别是拨打电话、外拨路径，还有发送短信和读取日历这4个权限我们是没有找到具体对应功能的。

这也就是说，这款浏览器向用户申请了14项敏感权限，其中申请的拨打电话，监控外拨电话、重新设置外拨电话路径，发送短信和读取日历活动和详情，这4项涉及用户个人隐私信息的敏感权限，该浏览器并没有相应的功能。

本次测试的8款浏览器中，有5款App向用户申请了电话和短信两大类敏感权限，同样找不到对应功能，其中4款浏览器申请的电话权限包括：拨打电话、监控外拨电话、重新设置外拨电话路径；4款浏览器申请的短信权限包括：接收短信、发送短信和读取短信。

工程师告诉记者，浏览器作为手机用户上网的浏览软件，如果App没有相应的功能，而向用户申请电话和短信的多项敏感权限，那么，可能对用户造成安全隐患。

评测工程师 阳雄： 它可以处理外拨电话的路由，就是转拨到其它的电话，这个会给这个应用一个什么样的权力呢？就是如果用户在拨打电话给张三的时候，这个应用它是有能力去把他拨打的电话号码改成是李四的，实际上这个电话就会拨打给李四了，但是用户是不知情的，这个是这个权限赋予这个应用的一个能力；另外一个权限是发送短信的一个权限，这个权限就是，允许这个应用在后台，可以给任意的号码，发送任意的内容，这个隐患就会比较大。因为它可能会在用户不知情的一些情况下，替你发送一些确认的短信，发送一些付费的短信等等。

除了浏览器以外，本次评测的5款输入法，有3款申请的短信和位置等敏感权限，找不到对应的功能。

评测工程师 盛大江： （这款）输入法同样它申请了11款敏感权限，其中位置权限的两个详细的小权限，和短信权限的两个，一个是读取一个是接收权限，我们并没有在应用中找到对应的功能。

此外，本次评测的5款综合视频，有4款申请的电话、短信和日历权限，找不到对应的功能。

工程师在评测中发现，一些App对用户的敏感权限过度申请和滥用，没有遵循了相关法规的“合法、正当、必要”原则。

评测工程师 阳雄： 比如说有的应用为了在应用使用过程当中，用户如果有来电不影响应用，或者不影响用户接收来电，他们可能就申请了呼叫电话，或者是监控外拨这样一个权限，但实际上这是完全没有必要的。因为要做到这一点，这个应用只需要申请读取手机状态这个权限就可以了。因为我们知道一个手机它的通话状态其实只有三种，空闲状态、响铃状态和接通的一个状态。对于它来讲它要获取这三个状态，它只需要读取手机状态这一个权限就够了，不需要有外拨电话或者是监控外拨路径这样的一些权限。

少部分应用软件擅自开启敏感权限

在进一步的评测中还发现，有4款App的目标版本过低。工程师告诉记者，应用软件的目标版本过低，首先可能在权限管理方面存在用户可知而不可控的问题，其次可能存在可规避系统安全机制的漏洞，容易造成用户个人信息泄露，引发终端安全和个人信息保护风险。

评测工程师 盛大江： 目标版本过低会造成什么现象呢？它会造成这些应用在安装的时候，就会直接把敏感权限获取到，可以不经由用户的主动授权，我们可以看一下猎豹浏览器的安装过程。因为猎豹浏览器的目标版本偏低，当安装完成的时候，这些敏感权限已经直接是一种开启状态了。那等于应用在安装的过程中，就获取了这些权限。它涉及到位置权限、电话权限、短信权限、录音权限和摄像头权限，这些都是跟我们用户密切相关的一些隐私权限。你只要接受安装，那就等于接受这些权限，要么你不安装，要么你接受所有授权。

在手机的应用软件“权限管理”中，记者看到，猎豹浏览器所申请的权限中，包括设置电话外拨路径权限和发送短信权限两大类，对这两大类的权限，猎豹浏览器有自己的官方解释。

评测工程师 盛大江： 它的官方解释是说，允许该应用处理呼出以及更改拨打的号码，此权限可以监视重新定向和阻止呼出，所以这个权限还是比较敏感的。

工程师分析认为，目前普遍存在申请权限与功能不匹配的情况，一个主要的原因是在开发设计App的时候，程序员缺乏对功能和权限的对应考量。

评测工程师 阳雄： 因为应用在开发初期，程序员为了省事，可能将未来可能用到的权限还没有用到的也都申请了，就是为了方便。

另一方面原因，可能和App的升级迭代有关。

评测工程师 阳雄： 有可能是应用曾经有功能用到了这个权限，但是在应用版本升级之后，这个功能没有了，但是相应的权限忘了把它去掉。

此外，评测工程师还认为，除了这两方面原因以外，也有一些App存在申请敏感权限过度的可能。

评测工程师一方面以最大的善意解读了手机应用软件过度搜集用户信息的原因，另一方面也指出，就好像把家门钥匙给了外人，外人可以随意进出你的家门之时，看着你满屋子的财产，这个外人究竟会不会动点别的心思呢？这个答案可就不好说了。

相关调查数据显示，此次评测的8款浏览器，月活跃用户超过5亿人次，最热门的月活跃用户超过2亿8000万；此次评测的5款输入法，月活跃用户超过7亿人次，最热门的月活跃用户近4亿；此次评测的5款综合视频月活跃用户超过14亿人次，最热门的月活跃用户近5亿。

上海市消费者权益保护委员会副秘书长 唐健盛： 这些开发者，必须知道红线在哪里。我们在第一步所做的是你要这个权限你就必须要有功能相对应，再往下面走，可能就涉及到这个功能你设置的是否必要，可能到了第三步我们可能就会在想着你拿了这个权限以后，你能不能用好了以后就还给消费者。你考虑的是消费者的痛点，你考虑的是我们App的功能。但是我们觉得这些都是要给消费者带来足够的安全性，以此为前提。

综合上海市消保委本次的评测结果，将近80%的热门手机App不具备相应的功能，却向用户申请了敏感权限，这可能意味着过度收集用户个人信息。

上海市消费者权益保护委员会副秘书长 唐健盛： 我经常听很多人在担心自己是不是一个透明人。而我们的日常生活当中可能会受到很多的一些骚扰电话、骚扰短信，更加让消费者觉得恐慌的是，可能在某个不经意见他发现自己很多信息，其实是被很多的企业是提前获取的。

经过工程师100多次测试之后，上海市消保委利用这些手机应用软件App和消费者沟通的各种渠道，包括邮件、官方微信留言等，通知这18款App的相关企业就评测结果，进行技术沟通。

上海市消费者权益保护委员会副秘书长 唐健盛： 我们都用了消费者跟企业沟通的一些渠道，也就是说它在App或者它的官网上面明示的一些邮箱传真等等。但是我们非常遗憾地看到，这些通知很多企业都没有得到足够的重视，或者说我们这次也了解到，有些企业它根本和消费者沟通的邮箱可能是几个月甚至于大半年都没有去看过的。在随后的媒体会上，上海市消保委正式通报了对18款手机应用软件App的评测结果，最终公布了“猎豹浏览器，触宝输入法和芒果TV视频”这三款App申请权限存在找不到对应功能等问题。据介绍， 直到这场媒体会之前，猎豹、触宝和芒果TV这三家相关企业对于上海市消保委的多方联系，始终没有回应，也没有出席相关的技术沟通会。

上海市消费者权益保护委员会副秘书长 唐健盛： 发布会的两天以前,我们就通过各种方法和三家企业能够进一步，希望能够跟他们联系上，比方说我们在触宝的微信后台进行了留言，并且我们也上传了PDF版的合照我们的会议通知，那么其它的你比方说猎豹浏览器和芒果TV我们也采用了类似的方法，我们希望多种渠道能够使他们知道这个事，并且也非常希望他们能够来开我们的发布会，给到消费者一个明明白白的说法。那么非常遗憾，我们通过消费者沟通的这种渠道没有获得企业应有的响应，我们也认为其实在这一块企业也是需要进一步加强的。

媒体会后，上海市消保委收到了这三家相关企业的书面说明，一致表示，目前相关App均已升级为新版本，新版本中已经去除了定位权限、短信权限和监控电话外拨权限等并没有相应功能的敏感权限。

上海市消费者权益保护委员会副秘书长 唐健盛： 消费者并非专业的，你必须在拿这些数据的时候，一定要帮消费者把它的安全性全都考虑清楚，而我们认为这个事恐怕不是哪一家企业凭着自己的善心就会去做的，这可能需要整个一个市场整个一些头部的企业。我们要通过一定的机制，在保障市场的竞争和效率的前提下，我们怎么样能够把规则更加好的迭代。我想这可能是我们解决个人信息保护方面的一条非常有价值的探索。

专家告诉我们，许多消费者都安装了手机应用软件并且给予了软件开发商想要的大部分授权，这主要有三个原因：一是方便，二是没得选择，不同意授权就无法安装，三是不完全清楚这些授权背后的利害到底是什么。如果没有严厉的规则，商家对利益的追逐是永无止境的，就如专家所说，如果幻想依靠手机应用软件开发商的善心而自发停止对消费者信息的过度搜集是不可能的。所以我们期盼，监管的红线早日变成一条高压线，让过度搜集信息的开发商不敢出手，也不想出手，还消费者一个安全放心的消费环境。