凭什么读书也要交出摄像头权限
如今,手机越来越智能,拍照越来越清晰,然而,用户在下载安装手机应用时,却往往被要求开启摄像头权限。日前,一份报告统计了1144款手机应用获取用户隐私权限情况,发现10个手机应用中有9个要开摄像头权限……
记者采访发现,小小摄像头的背后,隐藏着隐私、安全等诸多风险。一些手机应用在设计和上架时更是打着擦边球,随意搜集用户数据。安装手机应用时,点击“同意”,则意味着你的个人隐私可能透明。
惊诧
“它能随时使用我的相机
居然还不需要我确认”
“我只是下载了一个读书软件,为什么需要我交出摄像头权限?”谈起前几天的经历,上班族白晶晶仍愤愤不平。
白晶晶在手机应用市场下载了、读书软件,应用市场声称“已通过安全检测”。但当她准备安装软件时,系统左上方的“全部”字样吸引了她的眼睛。点开一看,该读书软件需要获取的用户权限一一列开:“读取手机状态和身份”、“(基于网络的)大概位置”、“精准的位置”、“拍照和视频”以及“录音”。而当她进一步点击“拍照和视频”时,该权限说明内容为:“允许应用使用相机拍摄照片和视频。此权限可让该应用随时使用相机,而无需您的确认。”
“随时使用我的相机,居然还不需要我确认,以后一点提示都不给了,这是让我交出手机相册里的全部内容吗?”白晶晶说,自己之前使用过其他读书软件,也存在类似权限获取行为,但在软件的使用过程中,并没有发现软件有需要用到摄像头功能的地方。“既不能拍照上传读书的精彩内容,也不能发自拍打卡纪念,要摄像头权限做什么呢?”
更让白晶晶恼火的是,当她试着不同意“拍照和视频”权限时,手机便取消了该软件的安装。“荒唐!不同意一堆权限里的某一个,整个软件就不能用了,这并不合理。只有‘取消’或者‘同意安装’,只能查看某个权限的说明,而无法勾选或删除相应权限,这难道不是霸王条款?软件制造商应该修改设计,让用户自己决定可以交出哪些权限。”
记者在应用市场下载安装多个App发现,白晶晶的经历并不是个案。除了读书类软件,一些运动类应用、游戏应用、甚至房贷车贷计算器应用软件等,都会要求获取用户的摄像头权限。而一旦用户选择“不同意”或者“取消”,就不能安装使用相关App软件。
探因
开源代码被简单“拿来”
创业者只想用数据换投资
为什么一些手机应用要获取用户的摄像头权限?长期致力于App研究的移动安全专家彭根告诉记者,“第一种是成熟的大型软件,比如快递公司、短视频平台等,获取用户摄像头权限方便实现‘扫码’、视频录像等业务;第二种是小型App,尤其是创业公司,对获取权限也有很大需求。”
彭根特别谈到,手机应用获取摄像头权限很普遍,还有一个重要原因——网上的开源代码。技术上而言,“现在网络上有一些开放源代码,这些都是公开的,谁都可以使用。一些新兴的App或者小型软件创业者,直接在自己的手机应用中使用这些开源的代码或者开源框架。”彭根透露,很多开源代码或者框架原本就申请了一大把用户权限,新软件的设计者也基本没修改,只求把软件功能做出来就行了。“相关开发人员一般不会去检测某个代码有没有安全问题,一些公司也没有这方面的要求。”
而不论软件体量和规模大小,点击“同意”安装后,相关软件就可以对其个人信息和隐私进行调取查看。彭根提醒,不论哪种操作系统,用户安装某软件后,该App获取和掌握个人信息的方式,就是多样的。“可以不开启你的摄像头,直接通过读取相册即可获知相关信息。”
记者了解到,从行业的研究观察来看,各类手机应用获取相关权限后,需要读取的信息以用户个人的行为数据居多。比如,用户安装了哪些App、用户的通讯录内容、用户使用App的习惯等。“通过行为数据的比对,可以对用户进行画像,然后定向给用户推送不同类型的广告和资源。”
也有业内人士指出,“一些不法手机应用可能会通过这些权限来抓取用户数据,而后进行贩卖。这就涉及用户个人隐私的保护问题。”对此,彭根表示认可,但他同时认为,之所以手机应用倾向于获取用户诸多权限,背后也有软件盈利模式限制方面的原因。“现在下载和使用手机应用都是免费的,如果收费很多人将不愿意使用,App开发商就没有用户流量了。于是,一些App生产者就会想着获取权限来搜集用户信息。这些信息未必会直接拿去贩卖,但有可能打包去给投资人‘讲故事’。”彭根说,App软件一旦获取了大量用户信息后,便可以在拉投资融资时候声称,有海量用户的通讯录数据、用户行为数据等大数据资源,而后进行商业运作。
建议
不能搞一揽子授权
该让用户自行设置
“因可能涉及敏感个人信息的获取,App软件怎样获取用户权限、应该获取哪些权限,需受到严格限制。”中国电子商务研究,特聘研究员、浙江垦丁律师事务所律师麻策认为,关键要看互联网产品所提供的核心业务功能是什么。如果软件本身的主营业务跟这一类权限没有直接关联,那么应当在软件设计和上架时,遵循两个原则:第一,软件不能默认开启这些权限;第二,应该允许用户自行设置权限的内容。“现在很多软件,其实是为了更多地获取用户的数据,所以它会去开启摄像头,而且是安装后即处于默认开启状态,代替用户去开启权限。”
麻策说,手机App对用户权限进行获取时,必须要有相应说明,不能搞一揽子授权。“目前从渠道来看,应用商店在审核应用上架时本身也有这个限制。如果说某产品没有经过用户同意,自己单方面开启获取和调研用户数据,是不合规的。除非是这些产品本身对某个权限有非常强烈的需求,而且是业务的,核心。”
而在现实中,当用户拒绝应用软件获取自己的某个权限时,往往就失去了对它的安装权。对于这一现象,麻策认为应具体问题具体分析。如果获取手机摄像头权限只是某应用软件的一个辅助权限功能,那么App拒绝用户安装就是不合理和不合法的;如果是诸如短视频或拍照类明确需要摄像头权限的软件,若因用户不开启权限而拒绝用户安装,则是合理的。“还是要回到第一个问题,它的核心业务功能是不是必须对某个权限强烈依赖。”
麻策认为,对于App权限获取的管理,多个部门负有职责。比如,工信部对互联网产品的服务以及权限负责制定相关标准;类似消费者权益保护组织等机构也有监督权利。第三,目前非常重要的应用分发入口——应用商店。“关于应用商店的职责,其实有明确法律规定。一旦这个手机应用进入某应用商店,应用商店就应当”督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现“,虽然应用商店的法定职责只是督促,但现实中很多应用商店本身在App上传时就会做一些恶意软件的评测,以提升它的安全性。
麻策建议,对于手机应用获取用户权限的情况,可以归类到个人信息保护的领域里去。“一旦归类到这个领域,我认为除了类似于网信办、工信部这一类的主管部门外,用户也可以去中国互联网违法和不良信息举报,举报。”
本报记者 李松林 制图 宋溪