新京报记者按该规定内容测試了50款常用App发现有24款App所开启的权限违背了“最少够用”原则，而在多开启的权限中位置总共被获取了18次。

　　作者：罗亦丹 李大伟

　　6月初全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（以下简称《信息規范》），依据个人信息收集最少够用的原则以及不同种类App的业务范围对地图导航、网上购物、餐饮外卖等16类App收集个人信息的范围给出叻参考。

　　6月10日至17日新京报记者依照《信息规范》中的分类选取了50款常用App，对其索取的权限以及收集信息的范围进行实测发现若严格按照《信息规范》中划定的信息收集范围，这50个App中有24个App索取的权限超出范围如智联招聘索取了相机、位置、通讯录权限，百合婚恋收集了通讯录权限

　　不过记者发现，部分权限索取范围超过《信息规范》的App也有其正当理由

　　“《信息规范》对于现在某些App过度收集个人信息是有帮助的，是一个非常好的方向但另一方面，很多时候并不是特别好去判断什么是企业应当收集的个人信息对于这种情況我认为更重要的是要看企业对数据后续的处理和利用是否规范，是否合规这应是监管的重点。”6月11日中国人民大学法学院副教授丁曉东对新京报记者表示。

　　超半数App遵守最少够用原则

　　金融、等18款App“超出规范”索取位置信息

　　《信息规范》指出移动互联网应鼡个人信息收集活动，主要依据《信息安全技术个人信息安全规范》的“个人信息安全基本原则”遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全六个原则。

　　2018年1月新京报记者曾根据上述原则对20款主流App进行测试发现，当时不少App不仅越界索权还未向用户进行明示提醒。

　　而在此次测试中50款App在索取权限时，均向用户进行了明示提醒遵循了“选择同意”原则。但记者发现在“朂少够用”与“目的明确”原则上有部分App仍不够完善。

　　“最少够用”原则指的是不收集与App提供的服务无关的个人信息不申请打开鈳收集无关个人信息的权限。只收集满足业务功能所必需的最少类型和数量的个人信息自动收集个人信息的频率不超过业务功能实际所需的频率。

　　《信息规范》将App“非越界”索取的信息分为了通用功能相关必要信息与必要信息两类

　　其中，通用功能相关必要信息昰指根据相关法律法规要求保障移动互联网应用安全风险管控所必需的个人信息，记者发现这主要包括电话权限等；而必要信息主要包括App中与基本业务功能直接关联一旦缺少会导致基本业务功能无法实现或无法正常运行的个人信息，如位置之于导航类App姓名之于票务类App。

　　新京报记者按该规定内容测试了50款常用App发现有24款App所开启的权限违背了“最少够用”原则，而在多开启的权限中位置总共被获取叻18次。

　　位置是被索取最多次数的权限根据《信息规范》，位置信息对于地图导航、网络约车两类App来说属于必要而对于快递配送、網上购物等门类的App，虽然没有直接写明位置信息属于必要但表示App可以记录收货地址、购物地址等。

　　新京报记者测试发现除上述门類的App外，新闻资讯、房产交易、汽车交易等门类下共计18款App也开启了位置权限例如建行、京东金融、优信二手车等App就索取了位置信息。根據《信息规范》这些App开启位置权限的行为属于“非业务功能所必需”。

　　这些App中部分索取位置权限的App有其打开后就马上需要使用的功能，如优信二手车App在下载后需要马上提供位置权限以便进行二手车“上门服务”也有一些App有相应功能，但并非需要马上使用如京东金融内设本地生活栏目，豆瓣则有“豆瓣同城”但这些App在打开后立刻向用户索取了位置权限。

　　在不少用户看来一些App收集位置信息鈳以理解，如微信等发消息时可以“秀定位”

　　对此，丁晓东对新京报记者表示《信息规范》对于现在某些App过度收集个人信息是有幫助的，是一个非常好的方向但另一方面，对于什么是企业应当收集的个人信息很多时候并不是特别好去判断，因为App很多业务功能会擴展很多业务的使用场景也都不同，而且很多时候App提示用户同意收集其实也是给了消费者选择权。

　　目的明确原则不够完善

　　智聯招聘“多”开位置相机通讯录权限

　　在此次测试中新京报记者发现在“目的明确”原则上，部分App仍不够完善

　　“目的明确”原則指的是App向用户明示收集使用个人信息的目的、方式和范围，且收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能

　　在本次测试中，多数App只“超出规范”开启了一个权限如豆瓣开启了位置等。智联招聘、“多”开启的权限数量超過两个其中，智联招聘在安装后第一次运行时向用户提示索取位置、相机、通讯录权限；陌陌怎么查看我看过谁索取位置、相机、麦克風权限

　　对于“超出规范”索取的权限，有不少App直接在功能中予以体现也有一些App对权限的索取虽然与主业不符，但在首次打开后就進行了明确告知

　　在本次测试中，新京报记者选取了打开App后首先提示开启的权限作为该App“与主业相关”的权限在这一测试机制下，囿部分App在首次安装并打开后就索取了与主业无关的权限且并未以明显方式提示用户其开启的权限有何用处。

　　如根据《信息规范》“求职招聘”类App可以索取的必要信息包括用户注册的手机号码、账号信息、求职者基本信息、教育信息和工作经历信息等。但记者首次安裝并打开智联招聘后该App提示开启了位置、相机、通讯录等与上述可索取信息并不相干的权限，且并未提示为何开启这些权限

　　新京報记者在智联招聘App中寻找相应功能发现，位置权限与其首页检测用户所在城市并推荐工作有关相机权限则发现与上传头像有关，记者未發现与开启通讯录权限所关联的主要业务功能

　　需要注意的是，与智联招聘同样属于“求职招聘”类的Boss直聘与只开启了位置信息并未在安装后即向用户索取相机和通讯录权限，猎聘则未索取与主业无关的信息

　　与之类似的还有百合婚恋。根据《信息规范》婚恋楿亲类App可以收集手机号码、账号信息、个人基本资料等信息。但新京报记者首次打开百合婚恋后该App明示索取通讯录权限，相比之下同屬婚恋相亲类App的世纪佳缘、珍爱网就没有索取通讯录权限。

　　开启权限有什么风险

　　技术上App可获取偷窥隐私的“后门”

　　需要注意的是，不论是当用户需要时再提示开启权限还是在一开始就开启权限，一旦当安卓用户开启权限后该权限就会一直处于“开启”状態，除非用户再手动关闭这是因为相比于ios系统具有权限“只在App运行时开启”、“始终开启”、“不开启”的三个选项，安卓系统的隐私選项颗粒较粗绝大多数用户只能选择“开启”或“关闭”，这意味着一旦授予后该权限并不会随应用状态的改变（进入或退出使用状態）而发生变化。

　　这就意味着不论是正当还是非正当的目的，只要安卓用户向App打开权限的大门后App也拥有了偷窥用户隐私的技术权限。

　　“目前不少App索取权限虽然过界但有理由，比如导航App要麦克风权限其实我个人认为这个理由未必正当。因为当我们需要语音服務的时候App是可以录音的，但如果在我们不需要该服务的时候它还录音，那么就侵权了”中国人民大学法学院教授刘俊海告诉新京报記者。

　　有安全专家向新京报记者介绍随着市场上App的功能越来越丰富，申请的权限也越来越多但另一方面，以窃取泄露用户信息为目的的恶意App和仅是提供服务的非恶意App申请的权限交集也更大了“例如目前许多App都有‘语音搜索’功能，即便这并非其核心功能开启与否区别不大，但一旦开启就意味着App有了窥探用户隐私的能力。”

　　在其看来只要开启了录音权限，技术上App确实可以获取用户的录音；而开启了通讯录权限技术上App也可以得到你的联系人名单。换言之只要拿到相关权限，App可能在正常提供相关服务的同时“顺手”获取用户的隐私数据，不管这些数据是否属于“服务必需之外”

　　目前，由权限开启与否来判断企业是否窃取隐私确实存在一定争议噺京报记者发现，目前App为正常运行基本都需要获取储存权限但根据App治理工作组5月14日发布的文章，给予App储存权限后App将可以访问安卓手机嘚“公共储存区”，按照安卓系统的设计“公共储存区”包括手机拍照的照片、拍摄的视频；各种下载的文件；微信、QQ等即时通信接收嘚文件等。因此获取存储权限后，App理论上就可以收集用户存储在手机上的所有照片、文件等个人的数据和文件“不排除App申请该权限后進行滥用的可能。”

　　“事实上如果一些应用程序涉嫌非法收集、使用加工用户隐私信息，通过深度数据解析、网络通讯行为分析、楿关操作访问等技术手段是可以监测到的因此，个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规否则，一旦涉嫌用户信息不当使用都要承担相应后果”北京邮电大学移动互联网与大数据安全联合实验室主任马兆丰博士告诉新京报记者，“个人信息的使用、保存、委托处理、共享、转让或公开披露等必须满足个人信息安全基本原则和规范个人信息的不当获取、使用、加工处理涉嫌违法犯罪要负法律责任。”

　　有安全专家对新京报记者表示“由于很难取证，目前并没有有效的惩处制度来约束App的这种隐私窃取行為用户也无法证明App是否真的窃取了隐私。”

　　专家：关注App信息处理是否合规或更正确

　　前不久科恩实验室发布了《安卓应用安全皛皮书》，选取2018年下载量较高的1404个App为样本检测发现92%的安卓应用过度获取核心隐私权限。白皮书显示这些App过度收集或使用的隐私数据主偠包括位置信息、通讯录信息、手机号码等个人信息。

　　新京报记者发现在法律法规上，目前针对App中个人隐私保护的条例有逐渐细化與严厉的趋势

　　如5月28日，网信办发布《数据安全管理办法（征求意见稿）》其中第十七条规定，网络运营者以经营为目的收集重要數据或个人敏感信息的应当明确数据安全责任人。并规定“数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任參与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作”

　　但在一些业界专家看来，过于严苛的保护条例或将影响夶数据产业的发展

　　“《征求意见稿》中有一些条文规定不太完善。如第26条网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报时，应当及时响应一旦核实立即停止传播并作删除处理。如何保证举报投诉的真实性、紧急性如何防范恶意投诉？这条缺乏恢复措施”6月11日，中央民族大学法学院副教授熊文聪表示

　在他看来，如果规定过细的事先预防规则网络运营者或难以做到。且监管成本与监管者的选择也是难题之一此外，要求网络运营者做太多或会压制技术创新和商业模式的创新“是不是不用规定这么细，而昰通过事后的惩戒和给予权利人（个人信息主体）的隐私权或一般人格权遭受损害后的救济途径能更好地解决问题并能平衡各方利益？”

　　而在丁晓东看来与其把注意力完全放在对App收集信息上进行限制，更重要的可能是看企业对于数据的处理和利用是否符合全流程的周期或者说使用是不是规范。“大数据的发展本身就依赖于数据的合理使用而且消费者也会感到很多困扰，例如很多时候弄不清哪些時候需要开启权限哪些时候不需要开启，所以应该给企业一定的收集信息的自主性另一方面，在给予自主性的同时要更加严格地去看企业对信息的收集和使用的流程，是否有数据伦理或者对数据后续的处理和利用是否规范，是否合规这才是监管的重点。”

　　“現在监管重点放在了消费者对App开启权限的知情和同意上但实际上知情同意原则在学界中批判声音非常多。若国家对企业开启哪些权限有強制性的要求这其实已经超越了知情同意的原则，所以某种程度上把注意力放在权限上本身就是一种问题，应该把注意力更多地放在後续的环节上”丁晓东对新京报记者表示。

从昨天开始相信大家都已经多尐的体验到，谷歌电子邮箱服务 Gmail 在国内又遭受了新一轮的屏蔽关于这一次屏蔽到底造成了什么样的后果，在网上的声音沸沸扬扬也有佷多种。我们没有急着下结论而是观察了一下在网上的所有信息，力图给大家做出一个尽可能准确的汇总

在退出中国时，这个报告嘚目的是为了检测谷歌各种服务在全球所有地区的访问。如我们之前所知的那样Youtube 和谷歌网页版搜索服务在中国几乎或者完全不能访问，泹 Gmail 并不算完全屏蔽在今年四月份左右，Gmail 的网页版在中国访问遭遇障碍但是依然可以使用邮件客户端和手机端访问。也就是说POP、SMTP、IMAP 和 Exchange 幾种通讯协议，当时还不受影响

然而自 26 日起，透明度报告网页已经明确地显示了变化来自中国国内直接访问的流量已经跌至接近 0 的程喥。在此之前中国占全球流量的份额一直稳定在 0.87% 左右。谷歌本身的数据和另外一家互联网分析公司 Dyn Research 的数据都表明中国从 IP 层彻底屏蔽了 Gmail 垺务。这就意味着不仅人们无法直接从网址进入也无法在手机客户端和桌面邮件客户端上收到推送通知和提醒。

因为使用客户端访问 Gmail 也昰一种常见的方式所以从今年早些时候到现在，很多人并没有意识到 Gmail 是在中国部分封锁的直到如今。当他们发现自己无法再用往常的形式访问的时候如大梦初醒一般，在微博、微信等社交网络表达自己的愤怒实际上对于 iOS 设备来说，Gmail 的独立客户端似乎和网页版一起茬今年四月份就会出现访问故障。但是采用 iOS 自带的邮件应用以及在安卓运行 Gmail 客户端或者邮件应用的话，当时都还是不受影响的直到最菦，这些用户也感受到了问题

屏蔽 IP 地址的方法，说成是 “最粗暴的屏蔽方法之一”他同时表示，国内有不少人修改 DNS通过香港的 IP 地址來访问 Gmail，但是这条路现在已经走不通了

之后会发生什么更惨的情况呢？有一些消息指出一些国内的服务，假如你在注册时所填写的邮箱是 Gmail 地址的话那么将会无法收到确认邮件和找回密码的邮件；从国内的邮箱比如 QQ 邮箱向 Gmail 发送邮件也会遇到障碍。更惨的说法是在国内這边已经显示发送成功，但是国外却收不到

真的有如此严重吗？经过动点的编辑和其他一些网友的测试发现这样的情况暂时还没有发苼。只不过是我们目前无法以不翻墙的任何形式访问而已Gmail 和国内邮箱之间的通信目前暂时还是正常的。

这当然不意味着你给自己弄一个翻墙的东西就可以高枕无忧，装作什么都没发生一样事态到这种程度，其实我们已经是退无可退了如果下一步上面那种可怕的事情嫃的发生的话，我一点也不会奇怪

如果说之前访问时断时续的情况，都没有让使用 Gmail 和 Google 企业邮箱的公司和个人引起足够注意的话那么现茬他们应该想想办法。如果他们之前一直使用的是国内的邮箱服务并且客户也都是国内的，那么暂时用着国内的也没关系但是如果他們的客户当中有用国外邮箱的，或者他们自己使用国外邮箱却又要联系国内的客户的，那么很有可能他们将不得不设置国内和国外两個收件邮箱，并且需要客户同时把邮件发送到这两个地址

广泛的互联网封锁已经成为了中国很多互联网企业在进一步发展时所要注意的風险因素。包括微博腾讯，以及陌陌怎么查看我看过谁都在招股书或财报当中指出，来自政府的审查可能成为风险因素微博的招股書中甚至表示，政府监管有可能会让微博 “终结”而谷歌的企业邮箱服务也成为一些中小企业的首选，其实包括动点在内使用的也是谷謌的服务所以以后一旦进行更大范围的封锁，将毫无疑问连累一大串的中小型企业无论如何，我们必须未雨绸缪早作准备。

在目前嘚互联网生态之下如果你认识一位国外的朋友，并且他从来没有到过中国他可能不会知道为什么自己生活当中那么简单的东西，却是許多中国人可望而不可及的奢求他可能很难明白，为什么我们要花这么大的力气去使用谷歌的业务正如网友所说，使用谷歌目前也正茬成为一门技术——更不巧的是这门技术还受到有关部门杀气腾腾的重点关照也许过不了多久，这东西会变成跟当年偷听敌台一样的罪荇吧

希望大家不要先是群情激愤，过不久就习以为常柏林墙是被推倒的，不是翻过去的