例如，嘀嗒出行具备音频与拍照功能，拥有录音与拍照权限较为合理，但其同时也拥有读取联系人权限，这与其基本业务功能不符。

对此，也有APP设计人士向记者抱怨称，“其实有不少APP在制作时，源代码是复制其他APP的，有时不需要的权限也这样一股脑儿复制过去了，并非是APP自己想要多收集。”

宜人贷、红包锁屏、瑞钱包等“自动”上传用户位置信息

需要注意的是，引擎检测只能检测APP安装包内的权限“基因”，无法判定APP行为。

7月9日至7月15日，新京报记者联合国家计算机病毒应急处理中心，从109款APP中筛选出了在安装包层面申请了多个权限的14款APP，采用“抓包”方式进行人工检测发现，14款APP中有7款APP在首次打开授权但不进行操作后，自动上传了用户的GPS定位等隐私信息，一些APP的定位精确到具体的区县。

这14款APP包括360借条、和包支付、红包锁屏、看拍、球球大作战、瑞钱包、搜狗输入法、同花顺、微锁屏、悟空理财、宜人贷、中兴智能家居、作业帮等。

其中，球球大作战、作业帮、中兴智能家居、宜人贷、红包锁屏、瑞钱包等7款APP在首次打开并对弹出的提示框点击确定，并不做任何其他操作的情况下，向网站上传了用户的经度和维度定位信息。其中作业帮上传的内容精确到了检测机构所在的天津市滨海新区。

需要注意的是，记者并未在球球大作战、微锁屏等APP中直接找到需要使用地理位置的功能，但其仍然向用户申请了相关权限，并在安装完后立刻上传了用户的定位信息。

中国人民大学法学院教授刘俊海认为，自由和权利是有边界的，APP若贪得无厌，索取权限超过法定范围就构成侵权，侵犯了消费者的隐私权与个人信息权，此时APP应该“悬崖勒马”。

《APP申请安卓系统权限机制分析与建议》也显示，APP应遵循“最少够用”原则，即APP应只申请实现业务功能所必需的系统权限。选择系统权限时应选取能满足业务功能所需的“最少够用”的权限，比如，使用“粗略地理位置”即可达到业务目的，完成业务功能的，避免使用“精确地理位置”。

不过，什么是“最少够用”，APP显然有不同的理解。有网安部门的公安干警对新京报记者表示，其在执法时常常遇到APP对索取权限辩解的各种理由，“比如我去问一家游戏APP，你们要地理位置干什么？对方表示是为了‘观察哪个位置的玩家较多，此后可以在该位置架设服务器，更好地提升用户体验’”。

对此，APP专项治理工作组成员何延哲对记者表示，以提升服务体验为借口多索取权限也是不合理的，“比如游戏类APP如果想要根据用户位置架设服务器，只要看用户IP就可以了，为什么要获取地理位置权限？”

未发现APP窃听用户谈话

《2019年上半年我国互联网网络安全态势》指出，在目前下载量较大的千余款移动APP中，每款应用平均申请25项权限，其中申请了与业务无关的拨打电话权限的APP数量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量APP存在探测其他APP或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在威胁。

这引起了不少用户的共鸣，“我觉得我说话都能被淘宝和小红书听见。”8月16日，有接受问卷调查的用户向新京报记者抱怨，其有时会出现上午和朋友闲聊某商品，下午APP就推送了该商品广告的情况，“APP一定偷听了我的谈话。”

近期，苹果、脸书、亚马逊、微软四个国外互联网巨头也分别曝出“窃听门”，脸书官方承认其存在人工转录用户语音记录的行为。

不过，新京报记者7月9日至7月15日对14款APP进行“抓包”分析发现，APP上传最多的用户数据是手机的设备型号、IMEI号(国际移动设备识别码，相当于移动电话的身份证)、安卓版本、mac地址等，其次就是地理位置信息。但在此期间并未有APP上传用户的语音与图片数据。

“用户的错觉来自定向推送，实际上，语音窃听与定向推送完全不同。”8月8日，何延哲对新京报记者表示，“通过语音窃听是一种成本最高、效率最低的方法，但当APP通过社会关系、喜好习惯、WiFi场景等各种方式进行定推，就会给民众‘遭到窃听’的错觉”。

问题1

为何92%的人认为APP会泄露个人隐私？

8月16日至19日，新京报以“你觉得APP会不会泄露你的个人隐私信息”为题在微博、今日头条以及微信朋友圈进行了问卷调查，汇总调查结果显示，200个回复的手机用户中，有184人认为“会泄露”，有16人认为“不会泄露”，认为APP会泄露隐私的用户占到了调查总数的92%。

与之形成鲜明对比的是，在新京报记者测试的109个APP中，几乎所有APP均可找到隐私协议，且协议中有类似“会遵循隐私政策收集使用信息”的表述。此外，由于APP专项治理工作的推进，APP对索取权限进行明示提醒几乎普及了所有主流APP，有网信办相关工作人员对记者表示，对APP“主要抓合规性，制定法律法规，标准规范，并督促APP落实”。

是什么造成了用户认知与APP规范的“割裂”？安全专家刘海(化名)对记者表示，在技术上，APP确实拥有探寻用户隐私的能力，且由于用户数据上传至企业后，对于公众而言就属于数据进入了“黑箱”状态，企业拿去做什么，只要不被曝光，用户是毫不知情的，再加上用户日常会接到针对其画像的定向推送，所以不信任感会大大增加。

问题2

你的通讯录是否已被你用的APP读取？

109个APP中有57款APP“越界”含有读取联系人的代码，占比51.8%。

国家计算机病毒应急处理中心工作人员称，“android.permission.READ_CONTACTS代表读取通讯录权限，拥有该代码的APP在‘基因层面’就具备了读取用户通讯录的意图。”

国家计算机病毒应急处理中心工作人员将代码比喻为APP的“武器库”，“检测出来了就说明APP有‘武器’，但APP是否拿出这个‘武器’并予以使用，还要看后续具体用户是否同意权限申请。”

刘海对记者表示，一般来说APP只要在具体操作行为上弹窗提示征得了用户同意，即便权限越界也无不可，“但安装包上搭载越界代码的行为也值得讨论，APP的主要功能明明不需要这一权限，为什么还要搭载这个代码？这是否就属于对用户安全的‘潜在威胁’”？

梆梆安全CTO方宁表示，要检测APP是否上传了用户隐私数据，需要通过做逆向分析、渗透测试等方式，但这需要具备专业的技术能力，普通老百姓不可能做到。