記者實測：同款App，不同平台索取手機許可權大不同

近日，有媒體爆出國內不少App存在強制向用戶索取隱私許可權的行為。《IT時報》記者調查發現，來自不同應用商店的同一款App對用戶隱私許可權讀取要求竟截然不同——在安卓平台上要求讀取的通訊錄、通話記錄等許可權到了蘋果應用商店竟全都不見了蹤影，是這款應用的功能改變了嗎？並不是。

據了解，目前國內手機App審核上線是一種企業行為，由平台制定審查規則，而App開發者在申請地理位置、通訊錄、通話記錄等涉及用戶隱私的許可權時，無需提供任何資質備案，上線後還可隨時開通，因此想要獲取涉及用戶隱私許可權幾乎沒有阻礙，這種情況在安卓應用市場尤為嚴重。

事實上，根據2017年7月1日實施的《移動智能終端應用軟體預置和分發管理暫行規定》，移動智能終端應用軟體不得調用與所提供服務無關的終端功能，但由於並無細則落地，不少App都在「渾水摸魚」。

記者實測：

對用戶隱私許可權的索取 因平台而異

同一款App為何在安卓手機應用商店和蘋果應用商店內提出截然不同的許可權要求？記者對比了來自金融、公共服務、搜索、娛樂四個領域的十款App後發現，絕大部分App對用戶隱私許可權的索取都因平台而異。

從華為手機自帶的應用商店內下載的「百度」App，在默認狀態下，不僅被「允許」讀取用戶聯繫人、通話記錄、位置信息，同時還被允許新建／修改通話記錄。作為一款瀏覽器，百度是否需要調用這麼多與用戶隱私相關許可權？記者又打開從蘋果商店內下載的「百度」，根據系統顯示，「允許百度訪問」的許可權僅包括：照片（讀取與寫入）、位置、麥克風、無線數據、Siri與搜索、後台應用刷新等七項許可權，並不涉及用戶通話、聯繫人等隱私許可權。同時為獲得用戶對其位置服務信息授權，百度還明確備註了「為了你使用天氣、本地資訊及個性化搜索等服務，請允許百度App訪問位置信息。」

同樣的情況也發生在支付寶。從OPPO手機的安卓商店下載支付寶，默認狀態下，被允許讀取用戶電話、通訊錄、簡訊、位置信息、相機、麥克風等近二十項許可權。而從蘋果商店內下載的支付寶App，初始狀態下，僅允許訪問「位置、面容ID、Siri與搜索、通知、無線數據、後台應用刷新」七項許可權。在實際使用中一旦涉及轉賬等功能，系統會彈出窗口詢問用戶「是否允許訪問您的通訊錄」。

為何在蘋果應用商店內不需要調用的通訊錄、通話記錄等隱私許可權，到了安卓應用商店就成了必選項呢？記者在一位華為手機用戶的許可權設置項中看到，總計45個應用中，默認狀態下，被允許讀取聯繫人許可權的應用達36個，允許讀取簡訊許可權達到28個，允許讀取通話記錄許可權達到15個，允許讀取位置信息達到44個，允許讀取本機識別碼達到45個，而在要求開放通訊錄等隱私許可權的App中，九成以上並未在蘋果應用商店內索取同類許可權。

與蘋果商店對App的許可權審核相比，安卓應用商店的大部分應用對用戶隱私的調用不僅涉嫌「越權」，同時缺少明確交代，比如一款音樂類App究竟會在什麼應用場景下需要獲取用戶的通訊錄？

在記者調查的數十款App中，鐵路12306火車票平台的做法最為規範，不僅在安卓應用商店和蘋果應用商店內申請讀取許可權一致，同時對調用許可權的用途進行了明確說明，比如對於申請開啟的電話許可權，12306的說明是「為方便撥打客服電話」， 同時在最後註明「不使用這些功能，可不開啟許可權，不影響正常購票。」在鐵路12306申請開通的4項許可權中，默認狀態都為關閉。

應用商店對隱私許可權管理寬鬆

「這些許可權都不是應用商店審查的重點。」據業內人士透露，目前App上線審核由各家應用商店自行完成。不同商店對審核的規則各有不同，除了對涉及金融理財、支付類App有明確資質審核外，其餘許可權都非重點審核，同時由於類似地理位置、通訊錄、通話記錄等涉及用戶隱私的許可權申請，開發者不需要提供相關資質，因此在審核過程中很難做到有據可查。

「審查最為嚴格的蘋果商店也只能根據應用軟體在申請時進行的功能說明來判斷是否需要開通涉及用戶隱私許可權功能。」上述人士透露，為了規避審查風險，在市場上還存在違規應用軟體事後補上線的做法。

據了解，為了通過審核，不少App在審查初期故意隱蔽相關違規功能或者違規許可權的開放，一旦通過審核，再進行補上線，由於平台管理方缺乏有效追溯體系，導致一大批違規應用堂而皇之地出現在市場上。在金融、理財、互聯網彩票類App中，此類情況最為常見。

「如果你能通過蘋果應用市場的審核，那麼安卓應用商店就不會有問題。」在這位業內人士看來，安卓應用商店對App上線審查更為「寬鬆」，到目前為止，幾乎沒有一款應用軟體會因為「越權」開通通訊錄、通話記錄的許可權無法過審或下架。

隱私調用需依法

2016年12月23日，工信部印發了《移動智能終端應用軟體預置和分發管理暫行規定》的通知，該規定自2017年7月1日起實施。根據《規定》第五條要求，生產企業和互聯網信息服務提供者所提供移動智能終端應用軟體不得調用與所提供服務無關的終端功能、違法發送商業性電子信息；未經明示且經用戶同意，不得實施收集使用用戶個人信息、開啟應用軟體、捆綁推廣其他應用軟體等侵害用戶合法權益或危害網路安全的行為。

但在眾人科技創始人談劍峰看來，儘管工信部已經出台了明確的規定和要求，當前很多App其實是行走在監管的邊緣，打著提升用戶體驗的幌子、過多申請用戶許可權已成為常態。「很多App往往存在『不用白不用』的心態。」 談劍峰認為，由於缺乏相關許可權讀取的明確說明，導致大多數用戶在缺乏清晰判斷依據的情況下，向App開放了大量讀取隱私的許可權。

儘管上述《規定》第十一條提出了懲罰要求：通信主管部門依據職權責令改正，依法進行處罰，並將生產企業、互聯網信息服務提供者違反本規定受到行政處罰的情況記入信譽檔案，向社會公布，對涉嫌違法犯罪的應用軟體線索，各單位應及時報告公安機關。

但在實際執行過程中，由於對於隱私調用許可權制定缺乏相配套的細則要求，管理很難落到實處。有業內人士建議，在細則出台的同時，監管方應該將此要求落實到應用商店，並防止濫用，而監管方只需對應用商店資質和數量進行控制，甚至不排除以發牌作為手段，「只有管理制度跟上了，App開發者才會真正重視個人隱私。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！