日前，有关中国电信旗下一APP索要70多项权限并修改通讯录的报道再次引发了人们对APP过度索权、隐私泄露话题的关注。随后，中国电信回应称，“在用户同意的前提下，遵循合法、正当、必要的原则，该APP采用统一申请用户授权的方式，以便根据用户需要及时提供所需服务。”当用户同意授权后，该APP才能使用这些权限。”

“不管是手机APP还是PC端，一些企业肆无忌惮地收集大量的用户信息，但是用这些信息就能有效实现商业价值吗？也未必，有可能它（企业）也不知道真的能做什么，或者一直没用上。”火绒安全联合创始人马刚在接受第一财经记者采访时表示。

在数据是石油的时代背景下，不少企业认为数据越多越好，过度获取用户数据。一方面，是企业对用户数据的极度渴望；另一方面，企业并未妥善保管这些数据，甚至进行地下交易，导致网络黑灰产业已相当庞大。

提防过度获取权限

从年初今日头条麦克风权限“偷听”隐私事件，支付宝2017年度账单默认勾选《芝麻信用协议》，到微信是否会存储、读取聊天记录的探讨，一次次事件不断刺激着用户敏感的神经。

中国用户真的不在乎隐私吗？

清研智库最近的一份调查显示，近七成受访者“用隐私换便捷”是“被自愿”，七成以上的人认为网络平台在尊重和保护用户隐私方面做得不好。北京市消费者协会3月7日发布的手机APP个人信息安全调查报告也显示，有近九成的人认为手机APP存在过度采集个人信息，近八成的人认为手机APP上的个人信息不安全。

为何是“被自愿”？以安卓市场手机APP索权为例，用户在下载安装APP时，多会被要求开通多项权限，包括使用电话权限、使用位置权限、使用通讯录权限等。如果不同意，则无法使用APP。

手机APP过度获取用户权限与APP开发者的立场和企业商业逻辑有关。一位业内人士对记者表示，很多刚开发的APP只提供相对简单的功能，发展到一定阶段会提供更多功能和服务，需要一些新权限。“很多开发者不知道未来这个软件需要哪些权限，在开发第一个版本时就会申请很多权限，方便以后升级更新。但是很多功能，它即使申请权限也不一定用，这种占坑的情况非常普遍。”

今年年初，腾讯社会研究中心与DCCI互联网数据中心联合发布了《2017年度网络隐私安全及网络欺诈行为分析报告》（下称《报告》）。《报告》显示，通过手机应用获取用户隐私现象十分普遍。2017年下半年，有98.5%的安卓应用在获取用户隐私权限。其中，有9%的手机应用存在越界获取用户隐私权限的现象。

如何界定过度获取信息？马刚对记者表示，“够用就好，不能收集更多”。对于有些软件而言，强制授权有一定合理性，如地图类、出行类软件需要获取用户的位置信息。

但是更多的情况是，APP在初次安装打开时只通知用户一些敏感权限，实际会获取更多的权限。记者查看手机权限管理时发现，绝大部分已下载的APP都会默认读取已安装应用列表。据悉，目前不少大数据公司都通过获取已安装应用列表权限，掌握用户同时安装的其他软件，借此分析竞品的市场份额，并对用户标签化，为商业企业提供精准营销服务。

一位网络安全专家告诉记者，在判断手机APP是否过度申请权限时，用户需要结合自己的需求，“假如一个非常简单的工具类APP，如手电筒、小游戏要获取较多权限，就可以把较为敏感的权限，如联系人、定位等关了。”在应对强制授权问题时，该专家表示，目前这需要手机系统层面解决。对于用户而言，在安装时如果被迫选择授权，弥补措施是，安装后再用权限管理软件关闭相应的权限。

打响个人信息保卫战

获取权限不是作恶的第一步，判断一个软件是否真的恶意不能仅看权限。

造成用户信息泄露原因众多，APP只是其中的一个入口，还涉及到信息数据的管理、网站本身的原因，或者黑客攻击等，“其实手机APP过度索权问题没有想的那么严重，如果大家都把眼光只看到APP行为本身，或者是只盯着APP的权限上这个是不够的。”上述网络安全专家表示。

2017年6月1日起，《中华人民共和国网络安全法》正式开始实施。国家公务人员或者某些掌握数据的人员泄露用户数据，已经可以通过法律制裁，但个人隐私保护的相关法律不够完善，“相关的草案（《中华人民共和国个人信息保护法（草案）》）已经公布了，但是目前也没有定下来”，而要靠行业规范难度也不小，“各个厂商、各个APP开发者对APP申请权限都有自己的理由。你很难让各家公司或相应的开发者达成共识。现有的这种情况下，可能还是需要依靠操作系统本身的改进来解决这个问题。”该专家表示。

网民在无意中泄露自己信息的情况也极其普遍。以现金贷为例，一些