对于很多人来说，手机权限是一个不知道该不该给、给了可能会后悔、不给又有些功能用不了的东西
其实，App获取权限通常都是为了更好地提供服务，但究竟什么时候该给，给的频率多少才合理呢？12月17日，由南方都市报个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京召开
会上，南都个人信息保护课题组发布《个人信息安全年度报告（2021）》（下称“报告”），披露了150款App的权限获取合规情况
结果发现，89款都在用户首次使用时申请了非必要权限，30款在用户明确拒绝后仍频繁弹窗申请，最夸张的弹窗11次
还有九成被测App调用敏感权限超出实现其业务功能所必需的最低频率，有的App五分钟内调用定位权限超过2000次
1有App需拒绝11次权限申请才可使用报告分析今年监管部门关于App违法违规收集使用个人信息的通报发现，国家网信办通报的问题中，“违反必要原则”占比高达53.3%；工信部也通报“App强制、频繁、过度索取权限”问题228次，占比21.6%
可见，App超范围收集个人信息、获取权限的情况十分严重
今年3月印发的《常见类型移动互联网应用程序必要个人信息范围规定》（下称《规定》）为39类App划定了满足基本功能服务所需的必要个人信息范围
报告以《规定》为标准，对十大行业的150款App进行了权限获取合规度测评
测评结果显示，只有“新氧医美”“360借条”“学而思网校”三款App得分高于90分，整体平均分仅有57.9分
其中近半App得分集中在60-70分，不及格的App则有60款，占比40%
150款App权限获取合规度得分分布从具体问题看，150款被测App中有89款都在用户首次使用App时弹窗申请了非必要权限，涉及电话、定位、存储、通讯录、相机、麦克风等，其中不乏“钉钉”“美柚”等头部App
比如首次使用“钉钉”时，其向用户弹窗申请了存储和电话权限
但根据《规定》，即时通信类App的必要个人信息仅包括手机号、账号信息和联系人列表
女性健康类App“美柚”则无须个人信息即可使用基本功能服务
钉钉App截图钉钉App截图此外，强制获取非必要权限的情况仍然存在
根据《规定》，教育文化类App仅需手机号即可实现基本服务，但一款名为“学舍”的App强制获取电话、定位、存储权限，拒绝则无法使用
值得注意的是，当换成其他安卓系统时，多次拒绝权限弹窗后，可以正常使用“学舍”——这意味着同一款App在不同的手机系统下，合规度有所差异
像“学舍”一样，需要多次拒绝权限申请才能正常使用的App还有不少
报告指出，“优健康”“高途课堂”等30款App在用户明确拒绝某权限后，仍然频繁弹窗申请，其中存储权限被重复申请的次数最多
如首次打开“粉象生活”，用户需连续拒绝11次存储权限弹窗，其中有两次是选择了“拒绝且不再询问”后仍再次弹窗
“闲鱼”则在五分钟内连续弹窗4次申请获取定位权限，最后一次才给出“拒绝且不再询问”的选项
粉象生活App截图闲鱼App截图报告认为，App连续多次弹窗申请同一权限的做法是一种“变相强制”——用户通常在几次连续弹窗后，便以为若不授权该权限则无法使用App，于是迫于无奈选择同意
也就是说，不属于法律要求的“明示同意”
2过半App未告知权限获取目的App超范围收集个人信息、获取权限除了表现在强制获取、频繁弹窗上，还表现在申请获取的权限和隐私政策中告知的权限、App的实际功能不能一一对应上
公安部今年的通报中，近半成都存在“未向用户明示申请的全部隐私权限”的问题
报告针对日历、相机、联系人、定位、麦克风、电话、存储等敏感权限测评发现，150款App中，有57款未在隐私政策中告知所申请的敏感权限，如“华尔街见闻”“莉景天气”；还有63款App申请的敏感权限无法在App内找到对应功能，如“百度新闻”申请了相机、电话、联系人、日历四项权限，但App内未能找到相应功能
报告还发现，存在上述问题的App数量呈现从头部到尾部逐渐递增的趋势
这意味着，头部App的表现好于中尾部
报告认为，中尾部App应主动积极合规，监管部门也可适当加大对中尾部App的监管力度
除了需要获取哪些权限，告知获取这些权限的目的同样重要
报告发现，150款被测App中，仅有68款在申请获取权限的弹窗中详细告知了目的
告知方式主要分为两种：先弹窗告知目的，再弹窗申请，以及弹窗申请的同时在屏幕顶部展示申请目的
相比之下，后者的用户体验可能更好
如“58同城”App还在第一个弹窗中增加了拒绝选项——如果用户选择“取消”则意味着直接拒绝授权，如果选择“去授权”，才会出现权限申请弹窗
“今日头条”App则在申请“电话”权限时，屏幕上方弹出了“设备权限使用说明”的“蒙层”，用户只需一次点击，即可了解权限获取目的并做出是否授权的选择
成功获取权限后，App就有了读取用户信息的权利
很多情况下，App需要将用户产生的信息从设备传输到服务器进行处理
在这个过程中，可能涉及到身份证号、银行账户、人脸信息等敏感个人信息，因此对数据加密至关重要
技术测评结果显示，“学而思网校”“爱彼迎”等29款App未对传输的数据内容加密，占比近两成，用户的电话号码、身份证号、昵称、账号密码、验证码、手机型号以及地理位置均明文可见，存在数据泄露的高度风险
学而思网校App数据传输内容爱彼迎App数据传输内容3莉景天气五分钟内调取定位超两千次近年来，小米、华为、苹果手机陆续上线记录App活动的功能——App何时访问了什么数据，一目了然
借助这一功能，微信、美团被曝出在后台频繁访问相册、地理位置；经南都记者实测，支付宝、中国农业银行、王者荣耀、大众点评等App也存在类似行为
在汉华飞天信安科技有限公司的技术支持下，报告对150款App在一段时间内调用敏感权限的频率进行测评，包括前台和后台两种场景
报告参考《信息安全技术 移动互联网应用程序（App）个人信息安全测评规范》（征求意见稿），将标准定为：对于定位权限，在地图导航、位置追踪等实时定位场景中，合理调取频率为每秒1次；展示周边可用服务等场景下，每30秒1次；识别当前地址等场景下，只应一次性读取
至于其他敏感权限，均只能在用户主动触发时读取或经用户明确授权后读取
测评结果显示，App处于前台时，有多达135款频繁调用权限，且集中于定位、IMEI号（设备识别码）以及剪切板三类，分别对应的App数量为134款、128款和58款
频繁获取敏感权限的App数量分布其中情况较为严重的如“莉景天气”，平均每分钟调用定位权限约153次；“网易新闻”平均每分钟内调用定位权限近17次
此外，“腾讯视频”平均每分钟读取IMEI号约202次，“网易新闻”平均每分钟读取约48次
此外，“高德地图”“微信”“抖音”等58款App在用户未主动触发相关功能时读取剪切板，其中“DJ音乐库”每分钟读取约8次
“钉钉”“柚卡”等App则在测评期间多次调用了日历权限
上述实测情况是App处于前台的情况下
当处于后台时，调用权限的频率整体上有所下降，只有“莉景天气”五分钟内读取了2286次位置信息，频率甚至超过处于前台时
除了15款仍频繁调用定位权限的App，处于后台的“腾讯视频”平均一分钟读取IMEI号46次
同样在后台且没有发生需要读取剪切板的操作的情况下，“新浪新闻”仍访问了1次剪切板
2019年，南都个人信息保护研究中心曾在《2019个人信息安全年度报告》中提到，100款移动金融类App中，59款App每分钟调用设备识别码超过100次
其中“招联金融”一分钟内调用了6109次，“融360”调用了2586次，“51信用卡管家”“51人品贷”“还呗”“国美易卡”“360借条”调用超过1000次
相比之下，尽管今年频繁获取权限的认定标准更加严格，情况依然大幅改善
超范围获权方面，2021年只有“学舍”一款App强制获权，远远低于2019年的22款，默认获取非必要权限的App占比也比2019年少了近9个百分点
出品：南都个人信息保护课题组采写：南都见习记者樊文扬