近日，據國家網絡安全通報中心透露，又有100款違法違規采集個人信息的APP被查處整改，光大銀行、更美、考拉海購、微店等知名APP在列。通告指出，此次集中整治，重點針對無隱私協議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

其中，在發布日期為2019年10月30日的《中國光大銀行手機銀行隱私政策》羅列的可能收集的個人信息及收集信息范圍一項內容備受爭議，引發人們再度質疑：APP刺探用戶隱私的“手”，究竟能伸到哪兒？

千余款APP每款平均申請25項權限

《中國光大銀行手機銀行隱私政策》在個人信息范圍描述的相關條款中，“個人敏感信息”一項中列出的“其他信息”，包括個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、精準定位信息、網頁瀏覽信息等14項內容。

一款金融類APP為何要獲取這么多用戶個人敏感信息？記者下載使用后發現，如果選擇暫不同意該隱私政策，則無法使用光大銀行手機銀行的相關服務。

針對此事，光大銀行在其官網發布說明稱：“光大銀行高度重視提升客戶體驗與客戶隱私信息保護工作，切實保證用戶個人信息安全，目前提示的用戶隱私政策條款符合相關要求。光大銀行手機銀行APP一直正常運行，從未停止過服務。”

有業內人士認為，銀行APP在隱私政策中列出此類條款，違反了監管部門對信息獲取最少夠用原則。根據2018年5月1日實施的《信息安全技術個人信息安全規范》，網絡運營者或者其他個人信息收集者，除與個人信息主體另有約定外，只處理滿足個人信息主體授權同意的所需最少個人信息類型和數量。目的達成后，應及時根據約定刪除個人信息。

邁入移動互聯時代，大數據的價值日益凸顯，但稍加梳理即可發現，許多APP也在借收集數據之名，不斷刺探獲取用戶隱私的邊界。

“大眾點評”APP曾出現用微信登錄后，酒店、餐廳等地方的簽到點評信息就全部出現在好友面前；航旅縱橫APP開通的“虛擬客艙”功能，乘客可以查看同一航班其他乘客的歷史飛行地點及頻率等信息，還有用戶在使用后收到騷擾信息；此前曾引起軒然大波的滴滴順風車的車主乘客互評功能，人未上車司機就已知曉你“顏值幾何”……

來自國家互聯網應急中心監測分析發現，在目前下載量較大的千余款移動APP中，每款應用平均申請25項權限，平均收集20項個人信息和設備信息。通常與主業無關的通話權限，就有30%以上的APP申請。

注冊充值后就可定位或查詢動態軌跡

“我每天都要接到好幾個陌生電話，不接怕遺漏重要電話，接來一聽全是問要不要買房、貸款，要不要給孩子報補習班。”面對騷擾電話，北京的陳女士苦不堪言。

有業內人士表示，大多數APP都會要求獲取訪問用戶應用程序列表的權限，他們就可以在用戶不知情的情況下，分析用戶對應用程序的使用習慣，來推測出用戶的愛好。這些信息可能與APP的主業無關，但卻能夠幫助企業給用戶做畫像，從而進行商業營銷。

除了APP過度索取權限導致的隱私泄露，還有一些不法APP專門獲取用戶隱私信息謀利。

今年初，江蘇南京警方破獲一起通過技術定位侵犯公民個人信息案。去年1月，一名男子報警稱，討債人員利用手機定位軟件，實時定位到了他聊天賬號的位置，結果對方找上門，使他人身安全受到威脅。

警方介入調查后發現，討債人員是使用了一款名叫“APP神探”的定位軟件，只需把想要定位的人的聊天軟件賬號輸進去，點擊查詢，就可以查詢靜態位置或動態軌跡。

據民警介紹，用戶要先在該APP軟件上注冊成為會員，充值后才能使用定位功能。如果對方在線，定位一次只要1元。如果對方不在線，定位一次要10元。案發時，這款定位軟件已經吸引了4000多名注冊用戶，涉案金額40余萬元。

APP過度索取權限、個人隱私信息一旦泛濫便會造成極大的危害。例如身份證號會被用于貸款、辦黑卡，甚至被不法分子用來辦理手機卡用于電話詐騙。

獲取用戶信息應合法正當且必要

個人隱私頻頻失守，APP索取用戶信息的邊界究竟在哪兒？

北京志霖律師事務所律師趙占領表示，根據網絡安全法的規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。

“應用軟件索取用戶信息的邊界，主要是依據必要原則。對于必要原則通常的理解是，比如基于法律本身強制性規定的情況，要求APP進行實名制認證，就需要收集如用戶身份證號碼等信息。”趙占領說。

“第二種情況就是基于這種產品本身的功能特點。比如地圖軟件就需要收集用戶的位置信息，社交軟件就可能需要讀取你的通訊錄。”趙占領表示，“還有第三種情況就是為了改進用戶體驗而收集用戶信息，而這種情況往往容易產生爭議。”

2019年6月1日，全國信息安全標準化技術委員會秘書處編制發布了《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范(V1.0)》，給出了地圖導航、網絡約車、即時通訊社交、社區社交、網絡支付、新聞資訊、網上購物、短視頻、快遞配送、餐飲外賣、交通票務、婚戀相親、求職招聘、金融借貸、房產交易、汽車交易16類基本業務功能正常運行所需的個人信息。

“這個文件非常具體，第一次規定了各種不同類型軟件收集個人必要信息的具體范圍，是對必要原則進行的細化。但這個國家標準是屬于推薦性標準，沒有強制約束力。監管部門在監管時可以作為參考。”趙占領認為，今后還需要建立常態化的執法機制，對APP違法采集個人信息長期保持監管的高壓態勢。

有業內人士分析認為，互聯網公司在開發手機APP的同時，一定要確保所得數據的私密性，維護用戶數據隱私不受侵犯。

“應用軟件收集用戶個人信息，還需要明確告知收集個人信息的范圍，收集的用途，并且經過用戶明確同意，這是基本的原則。”趙占領表示，如果用戶發現某個企業違反相關原則，或者未經同意就讀取用戶的相關信息，就可以向相關部門舉報投訴。