下載安裝一個手電筒APP，竟然要求獲得用戶通訊錄、位置、錄音、短信等數(shù)十項與之主要功能無關的手機權限?

　　業(yè)內人士指出，當前不少APP，你一旦裝上，就幾乎成了透明人，沒有任何隱私可言。部分手機APP“越權”獲取的用戶信息，已成為公民個人信息泄露的主要渠道之一，并由此衍生出規(guī)模龐大的“黑灰”產業(yè)鏈。

程序任性“越權” 用戶無奈接受

　　在山東濟南工作的張敏下載了一款手電筒軟件。在下載頁，這款軟件被標注為“官方、安全、MTC認證”，已被下載過1856萬次。

　　安裝時張敏發(fā)現(xiàn)，該軟件要求獲得通訊錄、拍攝照片和視頻、錄音、位置、讀取/修改/刪除SD卡中的內容、完全的網絡訪問等10多項權限。“只有手電筒照明功能，只使用攝像頭即可，要通訊錄這些無關的權限干嘛呢?”張敏對此表示質疑。

　　半月談記者從多個手機應用市場中搜索安裝了多款手電筒軟件后發(fā)現(xiàn)，張敏遇到的情況比較普遍。如一款下載量為1998萬的手電筒軟件，要求獲得的權限多達30項：有發(fā)送短信、創(chuàng)建賬戶并設置密碼等隱私相關權限，有訪問藍牙、設置壁紙、刪除所有應用緩存數(shù)據等設備相關權限。

　　類似要求獲取各項權限的應用十分常見。騰訊社會研究中心和DCCI互聯(lián)網數(shù)據中心今年1月發(fā)布的《2017年度網絡隱私安全及網絡欺詐行為研究分析報告》顯示，2017年上半年和下半年，獲取用戶隱私權限的安卓應用分別為96.6%、98.5%，IOS應用為69.3%、81.9%。

　　騰訊手機管家安全專家楊啟波說，手機應用程序獲取對應權限，與手機應用程序本身的規(guī)劃相關。“如一個備份聯(lián)系人的軟件，就需要讀取用戶聯(lián)系人的權限;一個地圖導航軟件，就需要獲取地理位置信息;但一個手電筒APP，要獲取聯(lián)系人和地理位置信息就顯得不合理。”

　　“雖然知道這樣做會泄露隱私，但為正常使用軟件，不得不‘被同意’ ‘被授權’。”一位用戶道出了普遍的心聲。

　　專家表示，在用戶對軟件的權限請求默許的情況下，用戶的通話記錄、短信、通訊錄、位置信息、設備信息等都可以被軟件后臺記錄，并發(fā)送到服務器上。

　　江蘇省消費者權益保護委員會調查發(fā)現(xiàn)，對于手機APP安裝后獲取的消費者個人信息以及非注冊用戶的個人信息，只有少量企業(yè)有相應保護措施。對于注冊用戶放棄使用相關手機APP的個人信息刪除與銷毀，大部分企業(yè)未有明確的措施和完善的保護制度。

龐大“黑灰”產業(yè) 巨額經濟損失

　　“當前，手機軟件‘越權’獲取用戶隱私權限已成個人信息泄露的重要渠道之一。”國浩律師事務所律師劉國敏說。楊啟波認為，用戶信息泄露可能導致垃圾短信與騷擾電話層出不窮、手機資費被消耗，甚至可能被不法分子用來進行詐騙、定向攻擊。

　　吉林省臨江市人民法院2月28日公布的一份刑事判決書顯示，某團伙在網上購買個人航班信息，向被害人發(fā)送詐騙短信，虛構“航班因故障取消請及時聯(lián)系改簽或者退票”的事實，并冒充航空公司的工作人員接聽被害人的電話，通過ATM機誤導被害人操作，詐騙被害人錢款共計8.2萬元。

　　記者了解到，這起案件中部分“個人航班信息”就是通過手機APP泄露出去的。被害人張某用一款手機APP購買了從沈陽到南京的機票后，接到了詐騙短信，撥打電話后才一步步中了騙子的圈套。

　　福建省龍巖市中級人民法院2017年底公布的一份刑事裁定書顯示，被害人普某通過某款手機APP買了一件衣服，隨后接到兩個電話以退款為由，要求普某從手機點開一個網站，輸入姓名、手機號碼、身份證號碼和銀行卡號辦理退款，否則銀行卡會被凍結。本案共造成包含普某在內的被害人經濟損失12373元。

　　更有甚者，一些不法分子通過從市場上購買的用戶個人信息，開發(fā)、推送手機病毒，“精準”實施詐騙勒索等違法犯罪活動。

　　2017年2月，孟女士報警稱，其農業(yè)銀行(3.880, 0.04, 1.04%)卡內50余萬元人民幣被盜。經警方調查，犯罪嫌疑人事先在網上購買大量身份證、銀行卡等信息，通過群發(fā)短信的方式將木馬病毒植入受害人銀行卡綁定的手機。該木馬病毒可以攔截手機短信、提取手機通訊錄、獲取網上銀行的手機驗證碼。騙子由此盜刷受害人銀行卡內資金。

　　以公民個人信息泄露為源頭的龐大“黑灰”產業(yè)鏈已經形成，給各方造成重大損失。中國互聯(lián)網協(xié)會發(fā)布的《中國網民權益保護調查報告2016》顯示，僅在2015年下半年至2016年上半年，我國網民因為垃圾信息、詐騙信息、個人信息泄露等遭受的經濟損失達915億元。

寶貴大數(shù)據，豈能淪為“大輸具”?

　　多位受訪專家認為，要避免手機APP任性“越權”，首先必須要推動個人信息保護專門立法。

　　劉國敏說，目前我國涉及個人信息保護的條款散見于多部不同的法律中，這些規(guī)定對個人信息的內涵和外延都沒有形成統(tǒng)一的標準，應該盡快推動個人信息保護專項立法。

　　趙潔認為，手機用戶自身也應具有一定的隱私保護常識。

　　如下載軟件選擇正規(guī)渠道;

　　謹慎填寫個人隱私信息，防止信息被無謂采集;

　　管理手機軟件中的隱私權限，了解軟件權限行為，關閉不必要的授權;

　　防范公共WiFi，轉賬與支付時改用數(shù)據流量;

　　通過“恢復出廠設置-格式化-反復拷入大文件并刪除”三步驟，徹底清理舊手機信息等。