原標題:記者實測：同款App，不同平臺索取手機權限大不同

近日，有媒體爆出國內不少App存在強制向用戶索取隱私權限的行為。《IT時報》記者調查發現，來自不同應用商店的同一款App對用戶隱私權限讀取要求竟截然不同——在安卓平臺上要求讀取的通訊錄、通話記錄等權限到了蘋果應用商店竟全都不見了蹤影，是這款應用的功能改變了嗎？并不是。

據了解，目前國內手機App審核上線是一種企業行為，由平臺制定審查規則，而App開發者在申請地理位置、通訊錄、通話記錄等涉及用戶隱私的權限時，無需提供任何資質備案，上線后還可隨時開通，因此想要獲取涉及用戶隱私權限幾乎沒有阻礙，這種情況在安卓應用市場尤為嚴重。

事實上，根據2017年7月1日實施的《移動智能終端應用軟件預置和分發管理暫行規定》，移動智能終端應用軟件不得調用與所提供服務無關的終端功能，但由于并無細則落地，不少App都在“渾水摸魚”。

記者實測：

對用戶隱私權限的索取 因平臺而異

同一款App為何在安卓手機應用商店和蘋果應用商店內提出截然不同的權限要求？記者對比了來自金融、公共服務、搜索、娛樂四個領域的十款App后發現，絕大部分App對用戶隱私權限的索取都因平臺而異。

從華為手機自帶的應用商店內下載的“百度”App，在默認狀態下，不僅被“允許”讀取用戶聯系人、通話記錄、位置信息，同時還被允許新建／修改通話記錄。作為一款瀏覽器，百度是否需要調用這么多與用戶隱私相關權限？記者又打開從蘋果商店內下載的“百度”，根據系統顯示，“允許百度訪問”的權限僅包括：照片（讀取與寫入）、位置、麥克風、無線數據、Siri與搜索、后臺應用刷新等七項權限，并不涉及用戶通話、聯系人等隱私權限。同時為獲得用戶對其位置服務信息授權，百度還明確備注了“為了你使用天氣、本地資訊及個性化搜索等服務，請允許百度App訪問位置信息。”

同樣的情況也發生在支付寶。從OPPO手機的安卓商店下載支付寶，默認狀態下，被允許讀取用戶電話、通訊錄、短信、位置信息、相機、麥克風等近二十項權限。而從蘋果商店內下載的支付寶App，初始狀態下，僅允許訪問“位置、面容ID、Siri與搜索、通知、無線數據、后臺應用刷新”七項權限。在實際使用中一旦涉及轉賬等功能，系統會彈出窗口詢問用戶“是否允許訪問您的通訊錄”。

為何在蘋果應用商店內不需要調用的通訊錄、通話記錄等隱私權限，到了安卓應用商店就成了必選項呢？記者在一位華為手機用戶的權限設置項中看到，總計45個應用中，默認狀態下，被允許讀取聯系人權限的應用達36個，允許讀取短信權限達到28個，允許讀取通話記錄權限達到15個，允許讀取位置信息達到44個，允許讀取本機識別碼達到45個，而在要求開放通訊錄等隱私權限的App中，九成以上并未在蘋果應用商店內索取同類權限。

與蘋果商店對App的權限審核相比，安卓應用商店的大部分應用對用戶隱私的調用不僅涉嫌“越權”，同時缺少明確交代，比如一款音樂類App究竟會在什么應用場景下需要獲取用戶的通訊錄？

在記者調查的數十款App中，鐵路12306火車票平臺的做法最為規范，不僅在安卓應用商店和蘋果應用商店內申請讀取權限一致，同時對調用權限的用途進行了明確說明，比如對于申請開啟的電話權限，12306的說明是“為方便撥打客服電話”， 同時在最后注明“不使用這些功能，可不開啟權限，不影響正常購票。”在鐵路12306申請開通的4項權限中，默認狀態都為關閉。

應用商店對隱私權限管理寬松

“這些權限都不是應用商店審查的重點。”據業內人士透露，目前App上線審核由各家應用商店自行完成。不同商店對審核的規則各有不同，除了對涉及金融理財、支付類App有明確資質審核外，其余權限都非重點審核，同時由于類似地理位置、通訊錄、通話記錄等涉及用戶隱私的權限申請，開發者不需要提供相關資質，因此在審核過程中很難做到有據可查。

“審查最為嚴格的蘋果商店也只能根據應用軟件在申請時進行的功能說明來判斷是否需要開通涉及用戶隱私權限功能。”上述人士透露，為了規避審查風險，在市場上還存在違規應用軟件事后補上線的做法。

據了解，為了通過審核，不少App在審查初期故意隱蔽相關違規功能或者違規權限的開放，一旦通過審核，再進行補上線，由于平臺管理方缺乏有效追溯體系，導致一大批違規應用堂而皇之地出現在市場上。在金融、理財、互聯網彩票類App中，此類情況最為常見。

“如果你能通過蘋果應用市場的審核，那么安卓應用商店就不會有問題。”在這位業內人士看來，安卓應用商店對App上線審查更為“寬松”，到目前為止，幾乎沒有一款應用軟件會因為“越權”開通通訊錄、通話記錄的權限無法過審或下架。

隱私調用需依法

2016年12月23日，工信部印發了《移動智能終端應用軟件預置和分發管理暫行規定》的通知，該規定自2017年7月1日起實施。根據《規定》第五條要求，生產企業和互聯網信息服務提供者所提供移動智能終端應用軟件不得調用與所提供服務無關的終端功能、違法發送商業性電子信息；未經明示且經用戶同意，不得實施收集使用用戶個人信息、開啟應用軟件、捆綁推廣其他應用軟件等侵害用戶合法權益或危害網絡安全的行為。　　

但在眾人科技創始人談劍峰看來，盡管工信部已經出臺了明確的規定和要求，當前很多App其實是行走在監管的邊緣，打著提升用戶體驗的幌子、過多申請用戶權限已成為常態。“很多App往往存在‘不用白不用’的心態。” 談劍峰認為，由于缺乏相關權限讀取的明確說明，導致大多數用戶在缺乏清晰判斷依據的情況下，向App開放了大量讀取隱私的權限。

盡管上述《規定》第十一條提出了懲罰要求：通信主管部門依據職權責令改正，依法進行處罰，并將生產企業、互聯網信息服務提供者違反本規定受到行政處罰的情況記入信譽檔案，向社會公布，對涉嫌違法犯罪的應用軟件線索，各單位應及時報告公安機關。

但在實際執行過程中，由于對于隱私調用權限制定缺乏相配套的細則要求，管理很難落到實處。有業內人士建議，在細則出臺的同時，監管方應該將此要求落實到應用商店，并防止濫用，而監管方只需對應用商店資質和數量進行控制，甚至不排除以發牌作為手段，“只有管理制度跟上了，App開發者才會真正重視個人隱私。”