获权限却无对应功能

　　这18款评测的应用包括：输入法（搜狗输入法、百度输入法、讯飞输入法、QQ输入法、触宝输入法）；浏览器（UC浏览器、QQ浏览器、360浏览器、搜狗浏览器、猎豹浏览器、百度浏览器、2个版本的华为浏览器）；综合视频（优酷视频、腾讯视频、爱奇艺视频、芒果TV、哔哩哔哩）。评测内容包括“应用敏感权限的授权请求方式”及“申请的敏感权限是否存在与之对应的服务功能”。

　　评测发现，部分应用所申请的敏感权限，并不存在实际对应的功能。167项与个人信息密切相关的“敏感权限”中，25项没有实际功能对照的权限申请，包括电话权限、短信权限、定位权限、日历权限、读取附件等。

　　此外，有4款应用的Android API版本设定过低，在权限管理方面存在用户可知而不可控问题，也存在可规避系统安全机制的漏洞，易造成用户个人信息泄漏，引发大量终端安全和个人信息保护风险。

　　3款新版本仍未规范

　　为此，市消保委经过3个多月、300多次多维度测试，与企业进行50多次沟通，就企业提供的数十份报告进行了审评。10月，消保委与手机App企业进行技术沟通，相关企业在排查后对存在的问题作出解释和优化意见。在一个月内，各厂商剔除无用权限23个，3款App提升了API版本，目前全新修正版本已向社会发布。

　　11月，市消保委对最新版本进行验证，15款应用在敏感权限的申请、使用方面做到了合理申请、自主授权，充分保证了用户的知情权、选择权。

　　然而，仍有猎豹浏览器、触宝输入法和芒果TV三款应用的新版本中，存在部分用途不明的敏感权限申请行为，猎豹甚至还可以监听外拨电话。

　　让消费者拥有选择权

　　为何规范权限管理如此重要？专家称，若App获取了短信权限，理论上讲就可通过用户手机来发送、读取短信，订阅扣费业务等。“我们曾接到反映称莫名其妙订购了某个收费服务。经查询，运营商有发送短信记录，在用户手机里却没有记录。这可能就是手机中某个应用接收到后台指令后发送的。”上海市消保委副秘书长唐健盛说。

　　部分应用也对为何需要这些权限作了解释。比如读取手机识别码，百度浏览器解释称为了给用户推荐个性化资讯；而相机权限则被商家解释为可以制作AR表情包或提供扫描识别的功能。不过对此消费者质疑称，这些“精准推送信息”，自己是否真的需要？用户是否应有选择权，在需要时打开这些权限，而不是在安装时就默认打开？

　　唐健盛说，手机App在开发时必须让消费者拥有选择权。而敏感权限一旦获取，一定要有功能相匹配且妥善使用。我国对个人信息的保护和立法尚不完善，很多保护仅用“必要、正当、合理”模糊性词语来解释，因此各家App开发全凭觉悟在做。

　　本报记者 金旻矣