南都实测应用获权：拒绝十次还弹窗，五分钟内读定位超两千次

南都实测应用获权：拒绝十次还弹窗，五分钟内读定位超两千次

对于很多人来说，手机权限是一个不知道该不该给、给了可能会后悔、不给又有些功能用不了的东西。其实，App获取权限通常都是为了更好地提供服务，但究竟什么时候该给，给的频率多少才合理呢？

12月17日，由南方都市报个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京召开。会上，南都个人信息保护课题组发布《个人信息安全年度报告（2021）》（下称“报告”），披露了150款App的权限获取合规情况。

结果发现，89款都在用户首次使用时申请了非必要权限，30款在用户明确拒绝后仍频繁弹窗申请，最夸张的弹窗11次。还有九成被测App调用敏感权限超出实现其业务功能所必需的最低频率，有的App五分钟内调用定位权限超过2000次。

1

有App需拒绝11次权限申请才可使用

报告分析今年监管部门关于App违法违规收集使用个人信息的通报发现，国家网信办通报的问题中，“违反必要原则”占比高达53.3%；工信部也通报“App强制、频繁、过度索取权限”问题228次，占比21.6%。可见，App超范围收集个人信息、获取权限的情况十分严重。

今年3月印发的《常见类型移动互联网应用程序必要个人信息范围规定》（下称《规定》）为39类App划定了满足基本功能服务所需的必要个人信息范围。报告以《规定》为标准，对十大行业的150款App进行了权限获取合规度测评。

测评结果显示，只有“新氧医美”“360借条”“学而思网校”三款App得分高于90分，整体平均分仅有57.9分。其中近半App得分集中在60-70分，不及格的App则有60款，占比40%。

频繁获取敏感权限的App数量分布

其中情况较为严重的如“莉景天气”，平均每分钟调用定位权限约153次；“网易新闻”平均每分钟内调用定位权限近17次。此外，“腾讯视频”平均每分钟读取IMEI号约202次，“网易新闻”平均每分钟读取约48次。

此外，“高德地图”“微信”“抖音”等58款App在用户未主动触发相关功能时读取剪切板，其中“DJ音乐库”每分钟读取约8次。“钉钉”“柚卡”等App则在测评期间多次调用了日历权限。

上述实测情况是App处于前台的情况下。当处于后台时，调用权限的频率整体上有所下降，只有“莉景天气”五分钟内读取了2286次位置信息，频率甚至超过处于前台时。

除了15款仍频繁调用定位权限的App，处于后台的“腾讯视频”平均一分钟读取IMEI号46次。同样在后台且没有发生需要读取剪切板的操作的情况下，“新浪新闻”仍访问了1次剪切板。

2019年，南都个人信息保护研究中心曾在《2019个人信息安全年度报告》中提到，100款移动金融类App中，59款App每分钟调用设备识别码超过100次。其中“招联金融”一分钟内调用了6109次，“融360”调用了2586次，“51信用卡管家”“51人品贷”“还呗”“国美易卡”“360借条”调用超过1000次。

相比之下，尽管今年频繁获取权限的认定标准更加严格，情况依然大幅改善。超范围获权方面，2021年只有“学舍”一款App强制获权，远远低于2019年的22款，默认获取非必要权限的App占比也比2019年少了近9个百分点。

出品：南都个人信息保护课题组

采写：南都见习记者樊文扬