□潘涛

“平均每部手机每天会被APP定位3691次，相册和个人文件每天被APP访问2432次，APP在后台每天尝试悄悄地启动783次，有超过40万个APP可以直接读取用户的剪切板。”这是今年1月，小米MIUI隐私保护能力建设研发团队公布的一组统计数据，各类APP对于用户权限的渴望，可能比人们想象的还要夸张。

导航APP需要定位权限，无可厚非；美图APP需要相机权限，也合情合理。但是，如果一款手机输入法或是一款简单的手电筒APP，却想要你的通讯录、电话甚至是定位权限，你也会毫不犹豫地答应吗？

和自身功能八竿子打不着的位置信息，为什么所有APP都想要？

除滴滴出行、美团、高德地图等以LBS（基于位置的服务）为核心，提供服务必须要获得用户定位权限的APP外，包括美图秀秀、QQ音乐等APP居然也都申请了定位权限。当然，你可以选择，但一旦选择“不同意”，APP将很可能拒绝服务。

而如果你下载知乎APP，它还会通知你：“如您不同意开启设备位置权限，我们也可能根据您的设备IP地址向您提供相关内容。”也就是说，不管你同不同意，你的位置信息，知乎都要定了。

百度网盘的权限申请还要过分，不仅包括了“确切位置信息”，还多出了一项“在后台使用位置信息”的权限。百度网盘在隐私政策中的说法是“该权限将仅被用于开启后台自动备份之后触发网盘进程并进行照片后台自动备份的服务”。

看不懂？那就对了。各种上不了台面的手段，都能在APP的定位权限上看到蛛丝马迹。而且，这样的情况不在少数，有网友在社交媒体上吐槽，自己在没开定位权限的情况下，Soul还是给他推荐了本地的内容；关闭了微博的位置信息权限，微博APP照样能精准推荐附近的人给你。

在这一点上，应用榜单排名前列的哔哩哔哩、豆瓣、QQ浏览器等APP都一样。

用户画像与“裸奔”的隐私

2019年11月，上海外国语大学大三学生陈婷在使用百度贴吧APP时发现，在已经明确说“不”——取消定位权限的情况下，百度贴吧APP依然成功给她推荐了能够准确定位到用户所在地区的个性化广告。“不停止侵权，不同意调解。”一怒之下，她将百度告上法庭。

用户博弈互联网巨头，似乎双方力量悬殊、胜算不大，但这样的情况却并不鲜见，字节跳动也曾因为滥用通讯录权限而遭到用户起诉。

用户反应激烈，政策也在推进。

早在2017年，国家网信办、工信部、公安部以及国家标准委等四部门就联合启动了“个人信息保护提升行动”，并重点对微信、新浪微博等10款网络产品和服务的隐私条款进行了评审。此后，APP整改、下架的新闻便时常出现。今年2月5日，工信部还对26家存在违规调用麦克风、通讯录、相册等APP权限的企业名单进行了通报，并对10款未及时按照要求整改的APP进行了下架处理。

APP背后的企业们为何仍然不惜“冒险”？原因并不复杂。对用户来说，定位、电话、相册等信息关系个人隐私、不愿外泄，但对互联网企业来说，这些资料却是能源源不断生财的密码，并且只需要设置一个权限便能获得，何乐而不为？

“我们叫数据埋点。”国内某互联网公司的产品运营认为，权限滥用的情况已经成了行业趋势，除了支持产品迭代，“用户画像肯定也会做，企业有自己的数据库。”

以定位权限为例，APP掌握了用户的定位信息，知道的可远不只是简单的地理位置那么简单。

对一个定位信息泄露的用户来说，他白天停留的地方，很有可能就是他的工作单位；晚上停留的地方，可能就是住所；连接两个场景的路线，可能会了解他通勤的必经之路；而有了工作单位和日常停驻地点等信息，还能进一步推测用户的经济状况和消费喜好。

只需获得位置信息，该应用不仅能窥探用户的社会经济、消费习惯等，个人健康状况等隐私也能“一网打尽”。区区一个定位权限，就几乎打开了让用户隐私“裸奔”的大门。

有了这些信息，再结合用户社交关系网络、手机使用轨迹等其他隐私信息，对于一个APP来说，推荐一家附近你可能会去的餐厅，或是一件你可能中意的物品，还有什么难度？

背靠灰产，泄露难防

除了为企业完善用户画像进行精准营销，用户的个人信息本身，其实也是一笔能够流通、贩卖的“资产”。

2018年8月，中国消费者协会曾发布《APP个人信息泄露情况调查报告》，报告显示，当消费者个人信息泄露后，遭遇推销电话和短信骚扰的比例超过8成，还出现了个人账户密码被盗的问题。罪魁祸首就是个人信息背后的灰色产业。

如今，个人信息买卖早已形成一条规模庞大、分工明细的产业链。在这条产业链中，个人信息明码标价，使得链条的上、中、下游能够形成完整的交易、变现闭环。上游采集到数据后，中游环节对其进行处理和加工，随后再以交换或者买卖等方式形成规模化市场，最后造成的结果就是常见的电话诈骗、恶意营销等。

但面对“数据=金钱”的诱惑，APP对权限的滥用、僭越已成常态，甚至有人还专门做起了利用定位信息牟利的生意。

有媒体报道，买家在网上购入一款名为“观察者”的APP后，首先在自己手机上安装，然后再将“隐藏版”APP——可在被控端不显示图标，安装到被监控者手机上。只要在安装的时候，打开该APP的定位、授权读取文件等权限，监控者就能实现远程监控。除了“观察者”，该软件的开发者还开发了另外几款具有相似功能的APP，功能包括远程定位、远程读写文件，乃至控制相机。其中一款APP，甚至还能成功避开微信的安全防护，获取被监控者的聊天记录。

这样的极端案例并不能代表大部分APP对隐私权限的态度。但在那些长篇累牍、艰深晦涩的隐私条款里，透过APP对共享用户个人信息的说明，其实也能看出平台的一些小心思。

2019年，凭借“仅需一张照片，出演天下好戏”的噱头，AI换脸软件ZAO一度风靡全网。而之所以很快又跌落神坛，背后的原因除了和平台素材的版权有关，很大程度就涉及用户的隐私安全问题。

根据ZAO此前的用户协议，用户在使用“ZAO”进行换脸的时候，也就意味着“同意或者确保实际权利人同意授予ZAO及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”，内容包括但不限于：人脸照片、图片、视频资料肖像资料中所含的您或肖像权利人的肖像权，以及利用技术对您或肖像权利人的肖像进行形式改动。

这样的霸王条款不仅招致了部分用户的强烈反对，也直接引来了工信部的约谈。

其实，对于共享信息的对象，APP们通常都是语焉不详的，用诸如“合作伙伴”“关联公司”进行搪塞，至于究竟是哪些公司，在什么情况下需要共享哪些信息，又如何使用……很多APP都缺乏足够详细的交代。

此外，那些条款看似专业、靠谱，但实际上却摆出的是一副拒人千里的架势，用户实际上很少会去查看。这就造成了APP和用户双方，处于信息严重不对称的状况。用户很难防范个人隐私泄露，甚至自始至终都不明就里。

用户蒙在鼓里，而企业们还在层层加码。为了名正言顺地获取用户权限，有些APP甚至不惜加入一些鸡肋功能滥竽充数。比如，打开如今的WiFi万能钥匙APP，你不仅能用它来链接WiFi，闲暇之余浏览包括图文和视频在内的信息流内容，甚至还能在工具箱内找到一个“检测摄像头”的功能。

总之，不管用户是不是真的有需要，“全家桶”先安排上再说。不授权，很多功能不让用，会通过各种渠道让你打开权限。而一旦涉及隐私问题，只要及时在隐私条款中规避责任，企业就能甩锅给用户。

作为隐私信息泄露的源头，APP对于数据归属、权限范围的界定等诸多问题都还有待商榷。