凤凰时尚网移动版

　　王先生使用过的250个网贷A pp中，有些并非从应用商店下载来的，而是通过扫描指定的二维码，绕过苹果手机的A pp审核机制安装到他手机上的。在扫码下载借贷A pp后，用户需在手机里选择“可信任”设置才能打开。

　　他告诉南都记者，进入借贷A pp之后，还需经过信用评估才能借款。信用评估即填写自己的个人信息，大都包括如姓名、身份证、学历、婚姻状况、紧急联系人、手机运营商网上营业厅的账号信息、银行卡、芝麻分授权等。

　　数据一旦交出，意味着王先生的个人隐私尽被网贷平台掌握，而且有可能分享给催债公司或是其它第三方。

　　一揽子协议

　　App过度收集信息严重

　　需要关注的是，即便用户足够重视信息安全，或许也难逃App收集个人信息的套路。

　　近日，南都个人信息保护研究中心实测143个App，从有无隐私政策、内文是否存在霸王条款、收集个人信息前是否公示收集使用规则、有无强制同意非必要权限、收集个人敏感信息时是否再次获取明示同意、有无注销功能等方面，实际考察A pp获取个人信息的情况。

　　测评发现，App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。

　　一款名为“贝壳钱包”的App在用户协议中提及，“您授权贝壳钱包在业务运营中获悉您的手机通话详单、手机服务密码、第三方网络平台的账户和密码信息。”也就是说，用户同意这份个人信息收集的协议后，即代表允许平台获取你的通话记录，你常用联系人、通话时长等信息可能都被知晓。

　　另一款名为“盈盈有钱”的借贷A pp在《隐私权保护声明》中提到，会收集来自第三方的信息，其中包括认证芝麻分和运营商。上述声明提及，“一旦开始使用该A pp的服务并提交本隐私保护声明所示信息材料，我们即有权根据您提供的运营商信息，获取您最近6个月的信息记录，包括但不限于通话、短信、流量记录、运营商报告等。”

　　单从隐私政策或用户协议看，这些A pp需要获取的用户信息范围广泛，但与哪些核心功能相关、适用于何种场景，并未作过多说明，更有A pp甚至要求用户确认位置信息并非个人隐私。

　　一个名为“在外”的旅游交通类A pp在明确条款中写道：“用户确认其地理位置信息为非个人隐私信息，用户成功注册‘在外’账号视为确认授权公司提取、公开及适用地理位置信息。”

　　而根据两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，行踪轨迹信息、通讯内容、征信信息、财产信息均属于个人敏感信息，非法获取、出售或者提供50条以上即算“情节严重”。

　　不给说不

　　App强制索权遭诟病

　　在测评中，南都记者还发现，部分移动金融A pp通过捆绑甚至强制获取的方式，要求用户一次性同意多项敏感权限。

　　以“融360”和“钱站”为例，当使用华为手机（安卓版本8.0）在华为应用商店下载安装这两款A pp时，页面弹窗需要获取用户的以下权限：存储、电话、位置信息、相机、麦克风、通讯录、信息、通话记录、其他等九大类敏感权限，并要求用户一揽子选择“允许”或“取消”。

　　另一款名为“金信宝”的App捆绑索取的权限也较多，当初次打开应用时，要求获得“存储”权限并提示有版本更新，更新安装后申请获取用户GPS信息、读取通讯录、拍摄照片和视频等12项权限。

　　一旦点击“取消”，用户即无法正常安装这款App.南都记者在测评中发现，类似的问题至少出现在16款App内，其中近一半为移动金融类App.

　　另有部分App存在不同意授权个别权限，无法正常使用的情况。比如“LOHAS乐活”，如果用户不同意授权摄像头、录音权限便会出现频繁弹出，无法使用的情况，“新浪有借”在用户初次打开App时要求获得存储、电话权限，拒绝后也出现无法打开的问题。

　　“不同意就退出”，不授予权限连打开App的可能都没有，这实际上是一种变相的强迫同意。

　　上海市信息安全行业协会副主任张威告诉南都记者，Android5.0应用系统基本采用一揽子授权的方式，但随着Android版本的升高，开始对权限的管理进行区分，获取用户敏感权限需经过同意，但现阶段仍有部分App存在这种打擦边球的行为，模糊授权的界限。

　　根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循必要的原则，不得收集与其提供的服务无关的个人信息。南都记者关注到，今年2月，《个人信息安全规范》修订草案中特别新增了“不得强迫收集个人信息”的要求。

　　App行为测试

　　用户短信明文可见