越界的权限

越界的权限。

唐柯是国内资深的互联网安全分析师，在他看来，目前监管已经注意到App对于公民隐私越权获取的情况，而且也正在出台更为严厉的监管措施，但各种App获取用户隐私的问题由来已久，因为这些数据都是可以用来交易的，可变成真金白银，“如果这种行为不受控制，很少有人或是公司能够抵抗这种诱惑”，因为利益是用户隐私泄露的根源。

2017年6月1日正式施行的《中华人民共和国网络安全法》，其中第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息，应当遵循相关的法律法规，并经被收集者同意，不得向他人提供个人信息。此外，网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取安全措施，确保其收集的个人信息安全。

唐柯认为，在现实中，由于取证难、执法难，存在大量App开发企业无视法律法规，在用户使用时根本不提供隐私条款，部分App即使有隐私条款，也是和实际采集的用户信息不匹配。大量App存在过度采集信息，即不是他们提供服务时应获取的信息，以及大量App在收集和使用用户个人信息时缺乏明示，且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

越权获取用户隐私成常态

据央视新闻报道，国家网络安全宣传周期间，一份来自权威机构对20万中国网民的调查报告披露：我国近一半网民认为网络不是那么安全。其中得分比较低的两个指标，一个是近40%的网民认为个人信息泄露非常多和比较多，另一个是，近20%的网民认为互联网企业履行安全责任情况不太好或非常不好。

报道中，央视记者邀请了一位参观网络安全博览会的人员进行了随机检测，测试人员发现该用户的手机里有96款应用，结果发现92款获取了与个人信息相关的敏感权限。比如，一个用于电子消费的信用卡App，获取了定位、摄像头、麦克风、通讯录等权限，甚至一款用来看视频的App也拿到了定位权限，随时知道她在哪儿。而这些App获取的这些权限显然超越了功能相关必要原则。

96款应用，92款获取了与个人信息相关的敏感信息，这位用户的情况在现实生活中并非个案，违规获取用户敏感信息，超范围获取权限已经成为当前手机应用中的普遍现象。针对App在设计和运营过程中的合规要求，笔者咨询了一款下载量已经过亿的App运营企业的安全负责人，对方表示他们公司针对App的权限设计，以及敏感数据传输有明确的执行流程。

该安全负责人表示，根据业务的发展需求，需要新增权限时，需要走“业务合规备案”流程，流程需要经过上级领导、业务合规专员、安全专员审批。如果申请的权限是敏感权限，安全专员需要审批业务申请权限的合理性，不合理则打回，合理则审批通过并将权限加入业务权限基线，合规委收文备案；如果申请的权限是非敏感权限，安全专员仅收文备案并将权限加入权限基线，合规委最后收文备案。具体流程图如下：

除了权限合规之外，敏感数据传输也是这家企业安全部门的重点关注内容。根据网络安全法的要求，应用搜集用户敏感信息必须满足最小化原则，只获取必要的敏感数据，在上传数据的时候需要对敏感数据进行安全保护，防止数据泄露。在业务做好最小化数据收集并安全传输的同时，安全部也在业务上线安全检测过程中对敏感数据传输进行自动化检查。

业务上线需要申请业务上线安全检查流程，安全部根据流程对业务进行安全检查，上传应用到移动应用威胁数据平台，该平台将自动化安装应用，并且进行自动化模拟点击和业务场景触发，平台全程自动化抓包，并自动化分析网络数据包，分析是否存在敏感数据明文传输，若存在将反馈业务方相关问题，由业务方修复，修复完成以后，需要再次提交检查，检查通过以后，方可上线。

该安全负责人也表示，目前小公司对于App设计运营的安全合规把控较差，尤其是一些和收入相关的功能，企业的安全合规动作会受到很大限制。他认为对于App的强监管势在必行。

在网络安全宣传周新闻发布会上，中央网信办相关负责人表示，《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》已完成征求意见，很快就将出台。规范明确规定App收集个人信息时，应遵从“最少信息、最少权限”原则。即每一类应用，只可收集规范中列出的必要信息和权限，除此之外的任何信息和权限，用户都有权拒绝提供。并且App不得以这些拒绝为由，阻碍用户使用App主要功能。

应用市场、社交平台助长非法App

除了正规的App存在越权获取用户隐私之外，还有些App本身就是违法的。“玩手机还能赚零花钱，你的第二份工资在此”“看新闻就能赚零花钱，有空闲时间想赚零花钱的看过来”“同事小王每个月也是挣3000多元，为什么她在生活总是不愁钱花”⋯⋯这一条条看似普通的微博内容频繁地出现在微博热点推送中。但这些微博内容背后则是一条披着“阅读赚钱”外衣的赌博通道。而在整个事件的信息流转过程中，多款社交软件扮演着并不光彩的角色，内容监管纷纷缺位。

笔者发现，在这些微博内容的下面往往是九个排列整齐红包截图。对于这种看新闻、给金币、金币换钱的操作，很多用户并不陌生，一部分人因为这种“超大额”红包诱惑点击深入，而进入后则是添加所谓指导老师的微信，指导老师会指导用户下载赌博软件，并给与一定金额的赌资，进而诱惑用户深陷其中。

梳理整个流程，笔者发现不法分子首先是通过微博吸引用户上钩后，再诱导至微信和导师建立联系，随后再次转入QQ，诱导其下载赌博App。嫌疑人明显有很强的防范意识，试图通过不同的社交软件之间转换，逃避平台监管，虽然最后脱离了微博和微信进行赌博，但是在这之前的所有沟通过程都是通过微博和微信等社交平台实现，微博和微信在整个事件当中，是否负有相应的责任？

微信的相关负责人表示，网络赌博一直是国家法律法规明令禁止的违法活动，极易衍生出欺诈等恶意行为，严重影响微信用户正常体验。微信坚决处理各类网络赌博行为（包括且不限于网络赌博平台、红包赌博、非法体育投注、非法彩票等赌博活动）。微信对于此类行为的处理机制是：根据用户投诉提交的证据，一旦核实赌博行为，除对违规账号进行梯度处罚外，对于情节严重的聚赌行为，将汇总相应证据线索，依法提交给到相关司法机关。

近期，360手机卫士联合360互联网安全中心发布了大学生人群受骗情况分析，2018年，360 手机卫士与 360 猎网平台共接到大学生诈骗举报 1152 起。涉案总金额达 509.6 万元，人均损失 4423 元。

在所有诈骗举报中，虚假兼职占比最高，为 19.9%；其次是恶意程序（18.4%）、金融理财（14.7%）、赌博博彩（8.2%）与身份冒充（7.7%）。从涉案金额来看，金融理财类诈骗总金额最高，达 166.0 万元，占比 32.6%；其次是虚假兼职诈骗，涉案总金额 101.0 万元，占比 19.8%；赌博博彩诈骗排第三，涉案总金额为 86.7万元，占比 17.0%。

因此，在面对错综复杂的网络环境时，即便是高学历并对互联网熟悉的人都很容易上当受骗。

SDK，隐藏在App中的黑盒

SDK的中文名称为软件开发工具包，它是软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。据软件开发专业人士介绍，目前市面上常见的SDK有上百种，其中包含广告、框架、推送、统计、地图、支付、社交等类别。

在安卓市场中，最常见的是各种框架类SDK。很多互联网初创型企业，在创业之初，由于资金和人力方面的限制，App运营者为了节约开发成本、提高工作效率，通常都会使用多种第三方的SDK。第三方开发的SDK在设计能力上也是良莠不齐，有些SDK往往侧重于功能性的完善，而在安全性方面考虑不足，从而导致App使用第三方SDK时会发生许多安全问题。唐柯认为，安全问题其实还属于技术范畴，这并没有曝出人性中恶的一面。

一些App对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围，利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息，并向远程服务器甚至境外服务器进行回传。

北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领认为，根据网络安全法等多部法律规定，收集个人信息需要遵循正当合法必要原则，并经过用户同意。因此，判断App获取用户权限是否违规，首先要看是否告知并经过用户同意了，如果确实没有经过同意则属于违法行为。其次，即使经过用户同意，也要看是否符合正当合法必要原则，其中尤其是必要原则。

近期，工信部官网公布了《2019年二季度检测发现问题的应用软件名单》。其中，美团外卖、YY、嘀嗒出行、斗鱼直播、返利、芒果TV、自如等32个应用榜上有名。

上述名单中，32个手机应用程序所涉及的问题包括“未经用户同意，收集、使用用户个人信息”“未提供账号注销服务”“未公示用户个人信息收集、使用规则”“强行捆绑推广其他应用软件”“未告知查询、更正信息的渠道”“恶意‘吸费’”等。

互联网分析人士认为，监管已经开始对问题App使用更加严厉的管控手段，未来的趋势将会是App索取的权限必须和功能强关联，例如地图导航App，除了网络日志和定位外，其他信息和权限都不需要获取。或者确实和主要功能相关的权限获得应由特定部门批准，未来的处罚力度也会进一步加强。

（责任编辑 庄双博）