当心！装个App，你就“全裸”了！

　　半月谈调查：当心！不少App一旦装上就几乎成了透明人

　　叶婧、潘林青/半月谈

　　下载安装一个手电筒App，竟然要求获得用户通讯录、位置、录音、短信等数十项与之主要功能无关的手机权限？

　　业内人士指出，当前不少App，你一旦装上，就几乎成了透明人，没有任何隐私可言。部分手机App“越权”获取的用户信息，已成为公民个人信息泄露的主要渠道之一，并由此衍生出规模庞大的“黑灰”产业链。

　　程序任性“越权” 用户无奈接受

　　在山东济南工作的张敏下载了一款手电筒软件。在下载页，这款软件被标注为“官方、安全、MTC认证”，已被下载过1856万次。

　　安装时张敏发现，该软件要求获得通讯录、拍摄照片和视频、录音、位置、读取／修改／删除SD卡中的内容、完全的网络访问等10多项权限。“只有手电筒照明功能，只使用摄像头即可，要通讯录这些无关的权限干嘛呢？”张敏对此表示质疑。

　　半月谈记者从多个手机应用市场中搜索安装了多款手电筒软件后发现，张敏遇到的情况比较普遍。如一款下载量为1998万的手电筒软件，要求获得的权限多达30项：有发送短信、创建账户并设置密码等隐私相关权限，有访问蓝牙、设置壁纸、删除所有应用缓存数据等设备相关权限。

　　类似要求获取各项权限的应用十分常见。腾讯社会研究中心和DCCI互联网数据中心今年1月发布的《2017年度网络隐私安全及网络欺诈行为研究分析报告》显示，2017年上半年和下半年，获取用户隐私权限的安卓应用分别为96.6%、98.5%，IOS应用为69.3%、81.9%。

　　腾讯手机管家安全专家杨启波说，手机应用程序获取对应权限，与手机应用程序本身的规划相关。“如一个备份联系人的软件，就需要读取用户联系人的权限；一个地图导航软件，就需要获取地理位置信息；但一个手电筒App，要获取联系人和地理位置信息就显得不合理。”

　　“虽然知道这样做会泄露隐私，但为正常使用软件，不得不‘被同意’ ‘被授权’。”一位用户道出了普遍的心声。

　　专家表示，在用户对软件的权限请求默许的情况下，用户的通话记录、短信、通讯录、位置信息、设备信息等都可以被软件后台记录，并发送到服务器上。

　　江苏省消费者权益保护委员会调查发现，对于手机App安装后获取的消费者个人信息以及非注册用户的个人信息，只有少量企业有相应保护措施。对于注册用户放弃使用相关手机App的个人信息删除与销毁，大部分企业未有明确的措施和完善的保护制度。

　　庞大“黑灰”产业 巨额经济损失

　　“当前，手机软件‘越权’获取用户隐私权限已成个人信息泄露的重要渠道之一。”国浩律师事务所律师刘国敏说。杨启波认为，用户信息泄露可能导致垃圾短信与骚扰电话层出不穷、手机资费被消耗，甚至可能被不法分子用来进行诈骗、定向攻击。

　　吉林省临江市人民法院2月28日公布的一份刑事判决书显示，某团伙在网上购买个人航班信息，向被害人发送诈骗短信，虚构“航班因故障取消请及时联系改签或者退票”的事实，并冒充航空公司的工作人员接听被害人的电话，通过ATM机误导被害人操作，诈骗被害人钱款共计8.2万元。

　　半月谈记者了解到，这起案件中部分“个人航班信息”就是通过手机App泄露出去的。被害人张某用一款手机App购买了从沈阳到南京的机票后，接到了诈骗短信，拨打电话后才一步步中了骗子的圈套。

　　福建省龙岩市中级人民法院2017年底公布的一份刑事裁定书显示，被害人普某通过某款手机App买了一件衣服，随后接到两个电话以退款为由，要求普某从手机点开一个网站，输入姓名、手机号码、身份证号码和银行卡号办理退款，否则银行卡会被冻结。本案共造成包含普某在内的被害人经济损失12373元。

　　更有甚者，一些不法分子通过从市场上购买的用户个人信息，开发、推送手机病毒，“精准”实施诈骗勒索等违法犯罪活动。

　　2017年2月，孟女士报警称，其农业银行卡内50余万元人民币被盗。经警方调查，犯罪嫌疑人事先在网上购买大量身份证、银行卡等信息，通过群发短信的方式将木马病毒植入受害人银行卡绑定的手机。该木马病毒可以拦截手机短信、提取手机通讯录、获取网上银行的手机验证码。骗子由此盗刷受害人银行卡内资金。

　　以公民个人信息泄露为源头的庞大“黑灰”产业链已经形成，给各方造成重大损失。中国互联网协会发布的《中国网民权益保护调查报告2016》显示，仅在2015年下半年至2016年上半年，我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元。

　　宝贵大数据，岂能沦为“大输具”？

　　“数据就是资源，一个手机应用占用数据后，就有支配资源的可能。在大数据时代，谁不想抢占这些宝贵资源呢？”长期从事物联网与信息安全相关研究的江苏第二师范学院教师赵洁说。

　　多位受访专家认为，要避免手机App任性“越权”，首先必须要推动个人信息保护专门立法。

　　刘国敏说，目前我国涉及个人信息保护的条款散见于多部不同的法律中，这些规定对个人信息的内涵和外延都没有形成统一的标准，应该尽快推动个人信息保护专项立法。

　　有受访者指出，当前对侵犯公民个人信息行为的处罚力度偏弱。半月谈记者在一份由重庆市万州区人民法院公布的刑事判决书中看到，被告人在获取公民个人信息后，与他人交换11495条公民个人信息，被判罚金“人民币五千元”。

　　刘国敏建议，可将奖励额度和处罚额度与泄露、倒卖的信息总量挂钩，对举报者实行力度较大的奖励，对犯罪分子进行更高程度的经济处罚，以打击不法分子侵犯个人信息行为的嚣张气焰。

　　专家指出，网络平台在获取正常信息的过程中，需要给用户发出清晰的授权提醒，对个人敏感信息的储存需要进一步加密处理，保证系统的安全性，避免因为被恶意攻击而泄露。

　　赵洁认为，手机用户自身也应具有一定的隐私保护常识。如下载软件选择正规渠道；谨慎填写个人隐私信息，防止信息被无谓采集；管理手机软件中的隐私权限，了解软件权限行为，关闭不必要的授权；防范公共WiFi，转账与支付时改用数据流量；通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤，彻底清理旧手机信息等。

　　（原题为《当心！装个App，你就“全裸”了！》）