奇安盘古隐私安全业务负责人赵帅表示 ， 在个人信息保护方面 ， 操作系统的权限设计是为了让App收集使用个人信息的行为受到限制 ， 让用户能够主动去控制App能否采集特定类型的个人信息 ， 如通讯录、地理位置等 。 后台调用权限的行为在特定场景下是合理的 ， 比如我们用手机导航的场景 ， 虽然切换到后台 ， 但我们仍在使用这个App；也有一些场景是非必要的 ， 比如我们将App切换到后台 ， 暂时不用这个App提供服务 ， 那么这种情况下的后台调用权限可能就已经超出正常需求的范围 。
民间互联网安全组织网络尖刀创始人曲子龙认为 ， 从技术角度来讲 ， 调用次数其实并不能直接说明问题 ， 还是以它的应用场景实际做了什么才能确认是否合规 。
【频繁调取个人数据 软件后台在干啥】软件收集用户隐私权限的边界在哪？
关于App手机用户数据 ， 赵帅表示 ， 从技术角度上看应分为几种不同的情况：包括系统权限保护的个人信息 ， 如通讯录、录音、定位等；未受用户权限保护的个人信息 ， 如用户主动录入的身份证号码、病历、婚姻状况等；用户在使用App过程中产生的一些使用偏好信息 ， 这些可能由App主动记录产生 ， 如喜欢听的歌曲、经常去的餐馆等 。
对于系统权限保护的个人信息 ， 软件应充分明示并征得用户同意后 ， 才能调用这些权限获取个人信息 ， 并应确保获取的范围、频率、方式符合最小必要的原则 。 对于用户主动录入的信息 ， 应当充分说明录入的合理性及可能造成的影响 ， 给予用户选择是否录入的权利 。 对于软件使用过程中收集的数据 ， 应该做到明确告知用户 ， 并说明后续的用处 。
用户信息被收集有哪些风险？
曲子龙说 ， 隐私泄露之后被精准推送广告并不是最大的风险 ， 不良企业会通过大数据杀熟 ， 甚至不法软件装入手机后获取通讯录及相册权限 ， 经过分析提取用于实现“个人身份信息盗用”、“定向网络诈骗”等用途 。 建议用户不要轻易让第三方软件获取通讯录及相册权限 ， 相册中也尽量不要存放身份证、银行卡等包含敏感信息的照片内容 。
曲子龙认为 ， 必要权限按照行业区分 ， 法律上国家已经规定得很明确了 ， 大部分产生争议的是一些个性化的内容 ， 比如支付宝是一个支付软件 ， 但是里面加了小程序后就变成了“公众应用平台” ， 属性发生变化获取的权限也自然跟着发生变化 ， 最好的方式是应用内的第三方服务如果仅是偶尔使用的应用 ， 都采用二次授权 ， 并且即用即授权原则 ， 如果长期使用的应用则制定权限开关 ， 用户随时可以手动关闭停止授权 ， 可能会是一个较好的解决方案 。
文/本报采访人员 董振杰 宋霞
供图/视觉中国 统筹/白龙
说法
调权限属正常行为 但平台要掌握好度
中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲表示 ， 此前权限强制、滥用的问题突出 ， 用户不想用这个功能 ， 平台却强制使用 ， 个人信息保护法出台以后 ， 这个问题基本解决了 ， 用户可以自由选择 。 他表示 ， 如果权限被开通后 ， 获取的信息是否在合理范围内使用 ， 是需要考虑的问题 。
App索要相机权限一般是为了拍照、扫二维码 ， 要地理位置就是定位导航 ， 这些在相关隐私协议里都写得很清楚 。 但目前仍有些细节确实存在问题 ， 比如读取的次数 ， 本来可能只需要10次 ， 最后获取了20次 。
此前的情况更严重 ， 读取次数能达到几百次上千次 ， 如今次数只是个位数和十位数之间 ， 这在检测过程中一般不会被判定成违规 ， “需要调权限有很多是因为安全风控的问题 ， 比如账户异地登录 ， 平台会拿这个去判断 ， 原因非常复杂 ， 只要控制在十几次内 ， 基本上都不是什么问题 。 ”何延哲表示 ， 后台读取也是同样的道理 ， 也是需要看频率 ， 如果账户存在异常会通过后台读取进行探测 ， 不一定会将数据读走 。 “这要看是单纯验证位置 ， 还是上传数据 ， 后台的事情不合理因素更多 ， 需要具体问题具体分析 。 ”