【娜迪娅】实测！APP“偷看”短信也以“老板加薪了”的名义上传。

“没有人知道，此时此刻我多么害怕第二天。”

2月20日凌晨1点多，素媛在微博上写了这样的文章。天亮后，等待她的将是网贷平台发起的“狂风骤雨”。

果然，8点53分，多人用“骚扰电话”标记的号码进来了，催债。9点31分，另一个标志显示家乡江西赣州的座机号码也在问候。9点54分以后，素媛的手机开始不停地响，威胁、辱骂和辱骂接连不断。

更让人担心的是，这种手机轰炸并不是针对本人，通讯录里的亲戚朋友也陆续收到催债电话和短信，在别人眼里，自己的形象破产了，完全没有尊严。(威廉莎士比亚，尊严，尊严，尊严，尊严，尊严。

事实上，从小院下载网贷app，让他们读自己的通讯录，似乎已经是命运了。只是在使用包括网贷在内的应用程序之前，很少考虑提交该手机权限可能产生的影响，直到催收的骚扰范围扩大到整个通讯录，波及无辜的第三方，我才后悔。

贷款类App获得授权后会做什么是很明显的。可以真切地感受到通讯录内对家人朋友的轰炸型督促。除此之外，我们授权的权限如何被App使用？非贷款应用程序如何处理我们的个人信息？

最近，南岛记者试图利用技术测量143个应用程序，研究如果我们将收集权限移交给App会发生什么。结果我们在App行为测试结果中清楚地看到App获取并上传用户的短信内容。此外，App向多个第三方服务器发送用户信息也令人震惊。

过期通讯录爆炸，名誉毁于一旦

27岁的小圆没想到生活会这么失控。回想当初，债务从1万韩元滚到近30万韩元，只有28天。

三年前，她和丈夫离婚，带着9个月大的女儿回到娘家。孩子一天天长大，由于生活的细节支出，月薪只有3600元的单亲无法背负沉重的负担。(莎士比亚)。

在最困难的时候，小元想到了信用卡，但担心收入不会影响个人信用记录。所以她用最笨的方法通过网贷偿还了信用卡债务。20多天来，她下了90多个贷款应用程序，一点钱到手了，但是网贷的漏洞一打开，意想不到的“无底洞”就来了。

“网贷贷款基本上决定以7天为周期，贷款金额为4250元，实际存款金额仅为2921元。”素媛告诉南岛记者，还款期一到，当天就打来了催款电话。之后通讯录爆炸，家人朋友接连受到电话威胁恐吓。这意味着，逾期者通讯录中的所有人、家人朋友、甚至不熟悉的联系方式都可能成为督促对象。

打爆小媛手机的催收电话。受访者供图。

更让她吃惊的是，侮辱性的短信和淫秽的PA也到处传播。当个人通信等隐私信息出现在网贷平台和催收公司面前时，愿望现在不尽如人意的生活人都知道，名誉被毁，隐私和尊严就更谈不上了。

催收者发送的侮辱短信。受访者供图。

，袁媛，近三个月来，来自河北石家庄的王老师也在经历这样的生活。安装在iphone上的250个贷款应用程序总是提醒他，他欠了55万韩元的债。最多的时候，他每天接到400个催款电话。

所有陷入网贷泥潭的人的故事背后大致都有类似的处境。这是贷款贷款后喘不过气来的2000%年利率。一旦过期，通讯录被打爆，经常受到督促和骚扰，日子就不平静了，但无能为力。(莎士比亚)。

授权页面“flash”

据集所平台发布的年度报告显示，2018年，集所平台最大的投诉行业是互联网消费金融，有效投诉量总计20.9万件，占全部投诉的66.4%。消费者提出不满的两个突出问题仍然是恶性催债和利率超标。

那么，通过爆炸通讯录揭露借款人个人隐私的催收怪圈是如何形成的呢？实际上，在下载现金贷款应用程序之前，就开始批准“地址簿读取权限”、“同意提交通话记录”，使得愿望、王老师、地址簿上所有人的信息都变得透明了。这种同意许可往往始于借款人的潜意识和疏忽。

“打开App的时候，读取联系方式、读取位置等的页面掠过后，才进入贷款申请。”愿望说。

王老师使用的250个qual(QR)代码应用程序中，有些不是从应用商店下载的，而是通过扫描指定的互联网绕过iphone的应用程序审计机制安装在他的手机上的。从扫描码下载贷款应用程序后，用户必须在手机上选择“信任”设置才能打开。

他对南岛记者说：进入贷款应用程序后，要经过信用评价才能结算。信用评估已填写

自己的个人信息，大都包括个人信息如姓名、身份证、学历、婚姻状况、紧急联系人、手机运营商网上营业厅的账号信息、银行卡、芝麻分授权等。

数据一旦交出，意味着王先生的个人隐私尽被网贷平台掌握，而且有可能分享给催债公司或是其它第三方。

一揽子协议，App过度收集信息严重

需要关注的是，即便用户足够重视信息安全，或许也难逃App收集个人信息的套路。

近日，南都个人信息保护研究中心实测143个App ，从有无隐私政策、内文是否存在霸王条款、收集个人信息前是否公示收集使用规则、有无强制同意非必要权限、收集个人敏感信息时是否再次获取明示同意、有无注销功能等方面，实际考察App获取个人信息的情况。

测评发现，App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。

一款名为“贝壳钱包”的App在用户协议中提及，“您授权贝壳钱包在业务运营中获悉您的手机通话详单、手机服务密码、第三方网络平台的账户和密码信息。”也就是说，用户同意这份个人信息收集的协议后，即代表允许平台获取你的通话记录，你常用联系人，通话时长等信息可能都被知晓。

贝壳钱包服务协议。

另一款名为“盈盈有钱”的借贷App在《隐私权保护声明》中提到, 会收集来自第三方的信息，其中包括认证芝麻分和运营商。上述声明提及，“一旦开始使用该 APP 的服务并提交本隐私保护声明所示信息材料，我们即有权根据您提供的运营商信息，获取您最近6个月的信息记录，包括但不限于通话、短信、流量记录、运营商报告等。

盈盈有钱隐私权保护声明。

单从隐私政策或用户协议看，这些App需要获取的用户信息范围广泛，但与哪些核心功能相关，适用于何种场景，并未作过多说明，更有App甚至要求用户确认位置信息并非个人隐私。

一个名为“在外”的旅游交通类App在明确条款中写道：“用户确认其地理位置信息为非个人隐私信息，用户成功注册‘在外’账号视为确认授权公司提取、公开及适用地理位置信息。”

在外用户协议。

而根据两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，行踪轨迹信息、通讯内容、征信信息、财产信息均属于个人敏感信息，非法获取、出售或者提供50条以上即算“情节严重”。

不给说“不”的权利，App强制索权遭诟病

在测评中，南都记者还发现，部分移动金融App通过捆绑甚至强制获取的方式，要求用户一次性同意多项敏感权限。

以“融360”和“钱站”为例，当使用华为手机（安卓版本8.0）在华为应用商店下载安装这两款App时，页面弹窗需要获取用户的以下权限：存储、电话、位置信息、相机、麦克风、通讯录、信息、通话记录、其他等九大类敏感权限，并要求用户一揽子选择“允许”或“取消”。

通过华为应用商店安装融360和钱站时出现的提示。

另一款名为“金信宝”的App捆绑索取的权限也较多，当初次打开应用时，要求获得“存储”权限并提示有版本更新，更新安装后申请获取用户GPS信息、读取通讯录、拍摄照片和视频等12项权限。

金信宝要求安装新版本。

一旦点击“取消”，用户即无法正常安装这款App。南都记者在测评中发现，类似的问题至少出现在16款App内，其中近一半为移动金融类App。

另有部分App存在不同意授权个别权限，无法正常使用的情况。比如“LOHAS乐活”，如果用户不同意授权摄像头、录音权限便会出现频繁弹出，无法使用的情况，“新浪有借”在用户初次打开App时要求获得存储、电话权限，拒绝后也出现无法打开的问题。

“不同意就退出”，不授予权限连打开App的可能都没有，这实际上是一种变相的强迫同意。

上海市信息安全行业息会副主任张威告诉南都记者，Android 5.0应用系统基本采用一揽子授权的方式，但随着Android版本的升高，开始对权限的管理进行区分，获取用户敏感权限需经过同意，但现阶段仍有部分App存在这种打擦边球的行为，模糊授权的界限。

根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循必要的原则，不得收集与其提供的服务无关的个人信息。南都记者关注到，今年2月，《个人信息安全规范》修订草案中特别新增了“不得强迫收集个人信息的要求”。

App行为测试：用户短信“老板该给我涨工资了”明文可见

在现实情况中，一款App在应用商店或首次开启后显示申请的权限并不意味着实际只调取这些权限。对用户而言，也很难知晓相关代码是否被执行，或者有无足够必要性。

为此，除了考察被测App隐私政策透明度，用户端实际操作行为合规外，在此次测评中，南都个人信息保护研究中心分别通过两个途径，利用技术手段对部分App的iOS客户端和Android客户端个人信息收集情况进行分析。这两种渠道分别是利用“直节隐私合规助手”进行测评分析，以及联合第三方机构中国金融认证中心（CFCA）技术检测手段进行分析。

根据CFCA的测试结果，Android版本号为3.4.6的“融360”存在如下问题：如果用第三方账号登录，App会将用户第三方平台上的社保与公积金查询账号密码发送至己方的业务服务器，由后台代为查询，并且使用的是明文传输。

CFCA认为，如果明文传输，黑客很容易就能通过网络嗅探和劫持的方法获得这些信息，存在安全风险。

测试结果显示融360在后台明文传输社保账号。

另一款名为“榕树贷款”的Android 3.3.3版本App，除了存在上述行为，还被检测捕捉到应用调用系统接口获取通话记录、联系人信息、短信记录等行为，并在数据流量中发现上送信息。在对“榕树贷款”的短信记录权限进行检测时，类似“老板该给我涨工资了”的短信内容明文可见。

测试结果显示榕树贷款获取了用户短信。

值得一提的是，检测显示，铁友火车票在运行过程中会不断获取系统的剪切板内容。

测试结果显示铁友火车票不断获取手机剪切板内容。

此外，这款App还存在向第三方服务器明文传输用户个人信息的行为。比如传输能够标记到个人的用户与设备之间的绑定信息，在运行中不断获取的地理位置信息不仅上传到自身服务器，还向数个第三方服务器发送，过程中包含其他隐私信息。

铁友火车票存在向第三方服务器明文传输用户的个人信息行为。

直节隐私合规助手的测试结果显示，铁友火车票App向系统申请了17个敏感权限，但安装包里存在敏感权限相关的API调用（有使用可能）则有19个，其中，读取短信、接收短信等敏感权限是App中未申请但调用API的相关权限。这意味着，这款App自身或者集成的第三方工具包代码中存在冗余代码。冗余代码具备在App版本更新时，在用户不知情的情况下调用敏感权限的可能。

铁友火车票获取多项敏感权限。

此外，直节隐私合规助手测评结果显示，一些App会使用大量的SDK（软件开发工具包，可以理解为一种植入App的第三方工具包），这些SDK也会获取使用权限，例如铁友火车票App嵌入了56款SDK，融360也嵌入了49款SDK。不少SDK需要获取用户的网络连接、精确地理位置、手机状态与身份等用户信息。

铁友火车票A嵌入56款SDK。

融360嵌入49款SDK。

专家指出，获取权限首先应该符合必要性原则，即与一定的场景与功能相关，没有该项权限这一功能无法实现；其次应该获取用户的知情同意。但第三方SDK获取的权限往往不会在一款App的隐私政策中提及，更不用说告知用户具体使用的场景和功能，因此很难说已经获取了用户的同意。

如何破解一揽子授权？专家意见不一

不难理解，在经济利益的驱使下，网络运营者有着天然的冲动最大限度地收集个人信息。

“对厂商来讲，能拿到的用户信息越多越好，这有利于分析用户的使用习惯。而知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长，广州大学鲁辉副研究员告诉南都记者，“但是绝对不能以牺牲用户的隐私为前提。”

“从根本上说，这些为了占有更多数据的不合理的权限申请是对消费者基本权益的严重侵害，也是垄断和不正当竞争无限孵化的温床。”南京信息工程大学法政学院教授蒋洁直言。

如何打破一揽子授权，解决App过度收集个人信息的问题？有观点认为，应对App调用的权限进行动态的单独授权，以达到用户信息最小化授权的效果。

南都记者注意到，这也是此次《个人信息安全规范》修订草案提出的新方案，即当产品或服务提供多项需收集个人信息的业务功能时，平台不得违背用户的自主意愿，强迫用户接受信息收集请求，不得通过捆绑各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。

如何理解？鲁辉对南都记者解释，以某些需要身份识别的App为例，用户在App上办理业务时，需要用户的人脸信息或者语音信息，这时就需要获得手机的拍照和录音权限。这个听起来是合理的，使用的时候可能也是必须的。“但是问题在于，用户是否有必要一直给予这种权限，还是说只需要在用到拍照或录音功能的那几分钟临时授权就行。”

在鲁辉看来，从保护用户隐私角度，应该是临时授权，并且这在技术上实现起来并不难，但是很多App并未做到。

鲁辉还表示，用户在安装App时需要有保护隐私的意识，不要随意输入自己的姓名、证件号、住址等信息，而诸如定位、通讯录、通话记录、摄像头和录音等敏感权限，在授予平台时，需要格外谨慎。“当用户的安全意识提高了，App开发者自然不敢随便索权了。”鲁辉说。

“如果一概要求重新授权，可能会降低用户体验。但一揽子的授权方式又会给个人信息安全带来较大风险。”蒋洁对南都记者表示，目前获得较多赞同的说法是区分功能性质，对于App的基本功能或主体功能及其更新，可以进行一揽子授权，而对于拓展功能或辅助功能，则需要再次授权。

值得一提的是，App的信息安全已经引起官方重视。今年1月底，中央网信办联合工信部、公安部、市场监管总局等四部门表态，今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的App运营者，将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

在蒋洁看来，除了大幅提升违法违规企业的惩罚力度，还需制定App过度索权的评估标准和有力的监管体系，并健全救济机制。

鲁辉则表示，用户在安装App时需要有保护隐私的意识，不要随意输入自己的姓名、证件号信息，诸如定位、通讯录、通话记录、摄像头和录音等敏感权限在授予平台时，需格外谨慎。

“当用户的安全意识提高了，App开发者自然不敢随便索权了。”鲁辉说。

（文中小媛为化名）

统筹：南都记者 娜迪娅

采写：南都记者 李玲 蒋琳 冯群星 尤一炜 钱柳君

技术支持：中国金融认证中心（CFCA）

直节隐私合规助手