DCCI互联网数据研究中心联合腾讯社会研究中心针对Android端和iOS端的手机APP进行的隐私安全评测发现，2018年上半年，Android端获取隐私权限的手机APP达到99.9%，未获取隐私权限的手机APP仅占0.1%。

调查还发现，iOS端获取手机隐私权限的APP比例呈上升趋势，2018年上半年iOS端获取手机隐私权限的APP比例已达到93.8%。

数据来源：DCCI2018年上半年手机APP隐私权限评测

近日，网上流传“第三代身份证增加新功能”的消息，其中新增定位功能的传言引发热议，很多网友觉得“定位功能”严重侵犯个人隐私，之后官方辟谣：第三代身份证不存在定位功能，网传消息不实。

第三代身份证新增定位功能纯属子虚乌有，但定位软件侵犯个人隐私要负法律责任却已有真实案例。江苏南京警方破获一起通过技术定位，侵犯公民个人信息案，这起案件在全国也属首例。目前，犯罪嫌疑人已被公诉。

去年1月，陈某在饭店吃饭时被讨债人围堵，随后陈某报案，警方调查发现，讨债人是通过一款即时定位软件找到的陈某。

这种软件如何实现定位追踪？公民在使用聊天软件时该怎样保护自己的隐私？使用定位软件追债是否触犯法律？

使用手机被无端定位防不胜防

2018年1月20日，南京市公安局鼓楼分局接到一起报警，一名男子称，讨债人员利用手机定位软件，实时定位到了他聊天账号的位置，结果对方找上门，使他人身安全受到威胁。报警人陈某表示愿意还钱，但他想搞清楚，讨债人是怎么找到他的。

警方介入后，讨债人员承认，确实是通过手机软件定位到对方位置的。

原来，陈某平时爱用一款手机聊天软件，他们就从网上买了一款定位软件，很快找出他的具体位置。民警发现，这款叫“APP神探”的定位软件能对多款主流聊天工具进行实时定位。

经过侦查，“APP神探”开发销售者吴某被警方抓获。据他交代，自己开发的“APP神探”一般卖给调查公司或者专业的讨债公司。

根据警方介绍，这款“APP神探”使用方法很简单，只需把聊天软件账号输进去，点查询，就可以查询静态位置或动态轨迹。

“这款聊天软件有好友互相定位的功能，好友知道你的大概位置，本身不是很精准，但如果他有几个好友，通过三角定位计算的原理，就可以把这个位置计算得更准确。”东南大学计算机学院副教授凌振告诉记者。

如果查询者不是对方好友也能进行定位查找吗？凌振的回答是肯定的。

“很多软件提供查找周边的人的功能，我们可以设计一个程序向服务器发起找人的请求，并框定一个大概的位置，比如南京市新街口，服务器就会列出新街口周围的人，反复查询几次后如果找不到想要的人，那就换一个位置继续查询，甚至可以把南京所有的GPS点都逐个找一遍。”凌振说，这是最简单最暴力的方法，也是合法的搜索，因为服务器提供了这样的功能。

那么，这款APP定位精度有多高？警方多次实验表明，精确位置只相差20—50米。

有空可钻折射网络安全漏洞

警方审讯得知，吴某计算机专业毕业后做起了技术员。他喜欢黑客技术，一个偶然机会看到网上有人卖手机聊天工具定位软件，但使用功能很一般，就想自己开发定位精度更高的软件。没多久，他破解了一款手机聊天程序的位置信息防护系统，开发出“APP神探”，通过QQ群、微信群、聊天室等网上渠道销售。

目前，各种手机APP在使用时，都要获取个人通讯、位置等信息的授权。这些个人信息是否得到各个平台安全保护，很多人心中是存有疑问的。

记者在网上简单搜索，就找到多家号称提供手机定位功能的厂商。有厂商声称只要提供手机、微信或QQ号就可以定位，单次定位几百元，交一部分定金，位置出来后付清尾款。

相关专家表示，类似定位软件使用的技术原理可以用在很多APP应用软件上，风险极大。

凌振认为：“如果聊天软件提供的增值服务中，有查找陌生人的功能，并且没有对GPS位置进行噪声干扰，或是对大量的重复查询进行限制、验证，那就是服务器的漏洞。”

据记者了解，之前国内另一款著名的即时通讯软件也存在这样的问题，经过升级已经堵上了这个漏洞。但是，在黑客界还有一些模拟虚假GPS位置信息的手段，比如用一种可发射GPS、蓝牙WiFi等信号的设备，配置一个程序，就可以发射出虚拟的位置信息，从而欺骗软件服务器，达到一些不可告人的目的。

“这个人应该有一些功底，再加上网上的黑客教程很多，潜心钻研一下，开发这款‘APP神探’的确不是什么难事。”凌振说。

专家介绍，黑客攻击主要是研究软件或服务器的结构原理，反向分析查找漏洞，通过漏洞盗取所需信息，或者“合法”地发送请求，获取海量数据进行计算分析。

根据腾讯安全发布的《2018年度互联网安全报告》显示，2018年曝光了大量利用家庭和工作场所中成千上万的存在安全漏洞的物联网设备，生成流量而发起的大型DDoS攻击，这种情况在今后或将继续。

缺乏保护的网民或网上裸奔

过去，公民的个人隐私掌握在个人手里；现在，当我们享受互联网的便利时，也将隐私作为交换上传给机房的服务器。如果不加以保护，那么所有人都将在网上裸奔。

专家认为，软件的一些权限需要用户自己去判断，提高安全意识、隐私保护意识。此外，相关企业、行业组织和国家机关，应加强对网络安全标准的制定、企业违规行为的处罚。

“比如这个案件，你一直关着GPS，他怎么也查不到你。”凌振说，在一些看不到的地方，更需要用户加以注意。不论是手机APP还是其他的智能设备，安全漏洞不可能百分之百杜绝，总会存在被攻击的可能性。

专业从事网络安全攻防研究的凌振发现，许多智能设备或多或少都有安全问题存在，“我们会定期对市面上在售的智能设备进行攻防演练，前不久我们分析了一款智能插座，几个月就破解了，就是这么简单。”

技术是一把双刃剑，就看是谁在用它。此案中，吴某是计算机专业毕业，但是所学知识没有用在正道上，这也让凌振等教师感到无奈。他认为，高校必须加强科研伦理教育，告诉学生哪些事情可以做，哪些事情不可以做，“虽然你掌握了这个技能，并不代表你可以用它为所欲为。”

“目前的数据搜集技术已经非常高效，但是缺少有效的控制和评价手段，这就像一个小孩拿着自动步枪玩耍，谁也不知道危险会在何时以什么样的方式发生。”东南大学伦理学副教授程国斌说。

而对于技术使用者的伦理和法规要求，现阶段仍是支离破碎和虚弱无力。例如，去年支付宝收到罚单，因其存在个人金融信息收集不符合最少、必需原则，以及存在对个人金融信息使用不当的行为。但是，其付出的代价只有区区5万元。难怪有网友称，“这处罚也就是罚酒一杯”。

法律人士指出，除非是依照法定的需要进行调取，或者说经过当事者本人的同意，除此以外，任何人、组织获取公民的定位信息，都是一种违法行为，达到了一定的数量之后，就可能涉嫌构成违法犯罪。APP的运营商、生产商，如果研制出这样的定位软件，软件本身存在技术上的漏洞和安全隐患，使用者定位信息能轻易被黑客破解、盗取，那么，由此给消费者造成的相关损失，APP的生产者和运营商要承担相关的法律责任。

　　DCCI互联网数据研究中心联合腾讯社会研究中心针对Android端和iOS端的手机APP进行的隐私安全评测发现，2018年上半年，Android端获取隐私权限的手机APP达到99.9%，未获取隐私权限的手机APP仅占0.1%。

　　调查还发现，iOS端获取手机隐私权限的APP比例呈上升趋势，2018年上半年iOS端获取手机隐私权限的APP比例已达到93.8%。

　　数据来源：DCCI2018年上半年手机APP隐私权限评测

　　近日，网上流传“第三代身份证增加新功能”的消息，其中新增定位功能的传言引发热议，很多网友觉得“定位功能”严重侵犯个人隐私，之后官方辟谣：第三代身份证不存在定位功能，网传消息不实。

　　第三代身份证新增定位功能纯属子虚乌有，但定位软件侵犯个人隐私要负法律责任却已有真实案例。江苏南京警方破获一起通过技术定位，侵犯公民个人信息案，这起案件在全国也属首例。目前，犯罪嫌疑人已被公诉。

　　去年1月，陈某在饭店吃饭时被讨债人围堵，随后陈某报案，警方调查发现，讨债人是通过一款即时定位软件找到的陈某。

　　这种软件如何实现定位追踪？公民在使用聊天软件时该怎样保护自己的隐私？使用定位软件追债是否触犯法律？

　　使用手机被无端定位防不胜防

　　2018年1月20日，南京市公安局鼓楼分局接到一起报警，一名男子称，讨债人员利用手机定位软件，实时定位到了他聊天账号的位置，结果对方找上门，使他人身安全受到威胁。报警人陈某表示愿意还钱，但他想搞清楚，讨债人是怎么找到他的。

　　警方介入后，讨债人员承认，确实是通过手机软件定位到对方位置的。

　　原来，陈某平时爱用一款手机聊天软件，他们就从网上买了一款定位软件，很快找出他的具体位置。民警发现，这款叫“APP神探”的定位软件能对多款主流聊天工具进行实时定位。

　　经过侦查，“APP神探”开发销售者吴某被警方抓获。据他交代，自己开发的“APP神探”一般卖给调查公司或者专业的讨债公司。

　　根据警方介绍，这款“APP神探”使用方法很简单，只需把聊天软件账号输进去，点查询，就可以查询静态位置或动态轨迹。

　　“这款聊天软件有好友互相定位的功能，好友知道你的大概位置，本身不是很精准，但如果他有几个好友，通过三角定位计算的原理，就可以把这个位置计算得更准确。”东南大学计算机学院副教授凌振告诉记者。

　　如果查询者不是对方好友也能进行定位查找吗？凌振的回答是肯定的。

　　“很多软件提供查找周边的人的功能，我们可以设计一个程序向服务器发起找人的请求，并框定一个大概的位置，比如南京市新街口，服务器就会列出新街口周围的人，反复查询几次后如果找不到想要的人，那就换一个位置继续查询，甚至可以把南京所有的GPS点都逐个找一遍。”凌振说，这是最简单最暴力的方法，也是合法的搜索，因为服务器提供了这样的功能。

　　那么，这款APP定位精度有多高？警方多次实验表明，精确位置只相差20—50米。

　　有空可钻折射网络安全漏洞

　　警方审讯得知，吴某计算机专业毕业后做起了技术员。他喜欢黑客技术，一个偶然机会看到网上有人卖手机聊天工具定位软件，但使用功能很一般，就想自己开发定位精度更高的软件。没多久，他破解了一款手机聊天程序的位置信息防护系统，开发出“APP神探”，通过QQ群、微信群、聊天室等网上渠道销售。

　　目前，各种手机APP在使用时，都要获取个人通讯、位置等信息的授权。这些个人信息是否得到各个平台安全保护，很多人心中是存有疑问的。

　　记者在网上简单搜索，就找到多家号称提供手机定位功能的厂商。有厂商声称只要提供手机、微信或QQ号就可以定位，单次定位几百元，交一部分定金，位置出来后付清尾款。

　　相关专家表示，类似定位软件使用的技术原理可以用在很多APP应用软件上，风险极大。

　　凌振认为：“如果聊天软件提供的增值服务中，有查找陌生人的功能，并且没有对GPS位置进行噪声干扰，或是对大量的重复查询进行限制、验证，那就是服务器的漏洞。”

　　据记者了解，之前国内另一款著名的即时通讯软件也存在这样的问题，经过升级已经堵上了这个漏洞。但是，在黑客界还有一些模拟虚假GPS位置信息的手段，比如用一种可发射GPS、蓝牙WiFi等信号的设备，配置一个程序，就可以发射出虚拟的位置信息，从而欺骗软件服务器，达到一些不可告人的目的。

　　“这个人应该有一些功底，再加上网上的黑客教程很多，潜心钻研一下，开发这款‘APP神探’的确不是什么难事。”凌振说。

　　专家介绍，黑客攻击主要是研究软件或服务器的结构原理，反向分析查找漏洞，通过漏洞盗取所需信息，或者“合法”地发送请求，获取海量数据进行计算分析。

　　根据腾讯安全发布的《2018年度互联网安全报告》显示，2018年曝光了大量利用家庭和工作场所中成千上万的存在安全漏洞的物联网设备，生成流量而发起的大型DDoS攻击，这种情况在今后或将继续。

　　缺乏保护的网民或网上裸奔

　　过去，公民的个人隐私掌握在个人手里；现在，当我们享受互联网的便利时，也将隐私作为交换上传给机房的服务器。如果不加以保护，那么所有人都将在网上裸奔。

　　专家认为，软件的一些权限需要用户自己去判断，提高安全意识、隐私保护意识。此外，相关企业、行业组织和国家机关，应加强对网络安全标准的制定、企业违规行为的处罚。

　　“比如这个案件，你一直关着GPS，他怎么也查不到你。”凌振说，在一些看不到的地方，更需要用户加以注意。不论是手机APP还是其他的智能设备，安全漏洞不可能百分之百杜绝，总会存在被攻击的可能性。

　　专业从事网络安全攻防研究的凌振发现，许多智能设备或多或少都有安全问题存在，“我们会定期对市面上在售的智能设备进行攻防演练，前不久我们分析了一款智能插座，几个月就破解了，就是这么简单。”

　　技术是一把双刃剑，就看是谁在用它。此案中，吴某是计算机专业毕业，但是所学知识没有用在正道上，这也让凌振等教师感到无奈。他认为，高校必须加强科研伦理教育，告诉学生哪些事情可以做，哪些事情不可以做，“虽然你掌握了这个技能，并不代表你可以用它为所欲为。”

　　“目前的数据搜集技术已经非常高效，但是缺少有效的控制和评价手段，这就像一个小孩拿着自动步枪玩耍，谁也不知道危险会在何时以什么样的方式发生。”东南大学伦理学副教授程国斌说。

　　而对于技术使用者的伦理和法规要求，现阶段仍是支离破碎和虚弱无力。例如，去年支付宝收到罚单，因其存在个人金融信息收集不符合最少、必需原则，以及存在对个人金融信息使用不当的行为。但是，其付出的代价只有区区5万元。难怪有网友称，“这处罚也就是罚酒一杯”。

　　法律人士指出，除非是依照法定的需要进行调取，或者说经过当事者本人的同意，除此以外，任何人、组织获取公民的定位信息，都是一种违法行为，达到了一定的数量之后，就可能涉嫌构成违法犯罪。APP的运营商、生产商，如果研制出这样的定位软件，软件本身存在技术上的漏洞和安全隐患，使用者定位信息能轻易被黑客破解、盗取，那么，由此给消费者造成的相关损失，APP的生产者和运营商要承担相关的法律责任。

　　如果不是南京警方抓到了犯罪嫌疑人，陈庆（化名）可能到现在不清楚“自己是如何被找到的”。

　　2018年1月20日，在南京做生意的陈庆在一家饭店吃夜宵时，被几名讨债人团团围住，于是报警。民警到现场之后了解到，陈庆平时喜欢用一款知名手机聊天工具，讨债人就去网上购买了一款针对该聊天工具的定位软件，实时定位了陈庆的聊天账号位置。

　　果然，民警在讨债人的手机里发现这款名叫“App神探”的定位软件，能对多款主流聊天工具进行实时定位。该案件引起南京警方网安部门重视，立刻对其开发者、销售者、使用者等展开侦查。随后，警方将开发“App神探”定位软件的吴强（化名），以及用该软件非法定位的其他9人抓获。

　　据悉，这是国内破获的首例非法侵入手机App获取用户位置信息，为调查公司、讨债公司乃至涉黑涉恶团伙提供人员追踪、技术定位的侵犯公民个人信息刑事案件。

　　“定位软件”精确位置只相差20~50米

　　2018年3月26日，南京警方派员赶往青海省海东市，在当地警方支持下，从一处工棚里抓获了“App神探”开发销售者吴强，现场缴获电脑、银行卡等作案工具。此外，还有9人因频繁使用该软件非法定位他人位置，也被南京警方抓获。

　　鼓楼分局网安大队副大队长杨桂年说，从初步调查看，这款App软件是针对手机即时通讯工具开发的，通过破解聊天应用程序的安全防护系统，侵入并从中非法获取了被定位对象的经纬度信息，从而非法获知某个人的具体位置，已经涉嫌侵犯公民个人信息犯罪。

　　30岁的吴强是江西上饶人，计算机专业毕业后成为一名技术员。因为喜欢黑客技术，偶然机会，他在网上看到有人卖手机聊天工具定位软件，但使用功能很一般，于是他就想自己开发定位精度更高的软件。

　　没多久，他破解了一款手机聊天程序的位置信息防护系统，捣鼓出一款新的定位软件，并命名为“App神探”，通过QQ群、微信群、聊天室等网上渠道销售。

　　“用户要先在App软件上注册成为会员，充值后才能使用定位功能。如果对方在线，定位一次只要1元；如果对方不在线，定位一次要10元。他后来还开发出针对多款主流聊天工具的定位功能，定位一次100元。”杨桂年介绍。

　　据警方多次侦查实验发现：精确位置只相差20~50米。案发时，定位软件在两年间吸引了4000多名注册用户，其中充值金额在1000元以上的有近200人，涉案金额40余万元。

　　定位软件被多个涉黑涉恶团伙使用

　　让人惊讶的是，这款定位软件不光被个人非法使用，还成为国内80余家调查公司、讨债公司实施不法行为的帮凶，帮其对目标人物实时定位。

　　更让人震惊的是，国内多个涉黑、涉恶团伙也在用这款定位软件，定位这些团伙要下手的目标人物位置信息，进而实施非法拘禁、故意伤害等违法犯罪行为。

　　南京鼓楼警方梳理了4000多名注册使用者，成功串并到另一起在南京使用这款定位软件的案件。这是一家涉恶性质的讨债公司，目前已被南京警方捣毁。

　　“这款手机App定位软件的出现，给众多手机App软件服务商带来巨大风险。”杨桂年说，当前手机上的App应用软件多数开发原理是基于使用者的地理位置而提供的增值服务。这款定位软件使用的定位技术原理，可以在很多App应用软件上使用，风险极大。

　　目前，吴强因涉嫌提供侵入计算机信息系统、程序工具罪被移送审查起诉；另有两人因频繁非法使用该软件定位他人位置信息，被以涉嫌侵犯公民个人信息罪被移送审查起诉。使用该软件非法定位并找到陈庆的3名“讨债人”，也被依法给予批评教育。

　　江苏警方表示，作为一种新型犯罪案件，该案的出现对如何有效防范黑客攻击，如何有效保护每个App用户合法权益，既敲响了警钟，又提出全新挑战，应该引起监管部门、App服务商和手机用户的高度重视。

　　信息泄露的源头在哪里

　　现实中经常面临这样的问题，安装App时未经用户选择，会自动获取个人信息，比如精确定位、通讯录、发送短消息等。这种App过度收集的个人信息，易被“黑客”找到漏洞开发定位软件，这也是信息泄露的真正来源。

　　2018年8月23日，江苏省消费者协会发布“关于手机应用程序侵犯消费者个人信息安全”的发布会。现场软件检测显示，手机下载了100多个手机应用，其中79个应用可获取定位权限。“短信和彩信”这一项，有23个应用可直接向通讯录上联系人发送短信，有96个应用可直接发送彩信。点开“电话与联系人”一项，有14个应用可以监听电话和挂断电话。

　　值得一提的是，所有获取的个人信息中，“位置信息”和“读取通讯录和短信”最容易被读取。

　　“现在大多数App都有获取位置的权限，而且是精确定位，GPS定位可精确到10米。各个开发企业给予的理由是，需要进行一系列社交模块的功能。”江苏致邦律师事务所律师陶若晨介绍，比如，一款阅读软件解释，定位后可看到周围人在读什么书，“但我们认为，想要实现这个功能，获取大致位置权限就可，不需要GPS精确定位。”

　　对于“读取通讯录和软件”信息，陶若晨介绍，大部分公司解释，需要验证码，避免用户重复注册，同时可以对软件推荐使用，“但这种情况，用户通讯录和短信，在软件公司面前是完全透明的，建议消费者不要以这样的权限获取。”

　　“其实我们能看到的权限设置并不是全部，还有很多消费者完全看不到手机的权限设置，软件就已自动安装完毕。”江苏省消协法援部工作人员傅铮说。

　　江苏省消协投诉部主任张昊舒认为，绝大多数手机App在安装前后，没有明确告知消费者会获取哪些权限，以及获取权限后收集、使用个人信息的目的、方式、范围和风险。同时，软件获取权限时，也没有给消费者选择的机会，存在默认选择的现象，这些都侵犯了消费者的选择权。

　　定位软件背后滋生犯罪

　　中国青年报·中青在线记者在中国裁判文书网以“虚拟定位”为关键词进行检索，发现共有90条结果，包括诈骗、组织卖淫、敲诈勒索等各类案件。其中2015年1个案件，2016年16个案件，2017年25个案件，2018年47个案件，2019年1个案件。

　　中国裁判文书网显示，2016年7月，湖北恩施土家族苗族自治州的90后苗涛在网上认识李某后建立“恋爱”关系。交往期间谎称是北京人，长期生活在美国，并通过“虚拟定位”软件与李某共享地理位置。取得信任后，编造在美国出车祸、为李某购买电脑和手机等物、为其奶奶及自己治病等理由，多次向李某借钱超过34万元。法院判决显示，苗涛犯诈骗罪，判处有期徒刑八年十一个月，并处罚金人民币3万元。

　　还有一个案例发生在广东佛山市。判决书显示，从2017年4月到7月，出生于1994年的齐某伙同多人，以网络招嫖方式介绍卖淫。其中，他们利用“天下游”软件虚拟定位到上述酒店附近，并通过微信中“附近的人”功能让嫖客添加其为微信好友，通过微信向嫖客发布招嫖信息、与嫖客商谈嫖资等事项，介绍卖淫人员进行性交易。截至抓获，齐某等人共介绍卖淫人员性交易900余次，共同获利人民币18万余元。

　　记者梳理发现，犯罪人员犯罪多是利用“虚拟定位”软件招揽陌生人或得到陌生人的信任，从而实施诈骗、敲诈勒索、组织卖淫等犯罪行为。犯罪嫌疑人多为无业游民，也有大学生，年龄不等，获利金额从几千元到几十万元不等。

　　江苏张家港市人民检察院检察官杨扬琴指出，由于“虚拟定位”功能技术含量较低，使得网络上相关软件泛滥，很容易成为犯罪人员实施各类犯罪行为的“工具”。

　　她建议，公安机关应加大对“虚拟定位”软件的监管力度。对于各类程序提供者而言，应提高对自身权益的保护意识，“不能等到有实质性的损失才引起重视，此时已产生许多较大社会危害。”