点解所有APP都想获取你嘅定位？

转载：本文来自微信公众号“豹变”（ID:baobiannews），作者：潘涛，编辑：刘杨 转载经授权发布。

手机不离身，已经成‌人生活嘅一种常态，但係呢种常态也为用户嘅隐私泄露，尤其系位置信息嘅泄露，提供‌条件。豹变测试‌30款头部APP，发现呢啲APP无一例外都申请‌定位权限。点解所有APP都想要你嘅定位？

“平均每部手机每天会被 APP定位3691次，相册和个人文件每天被APP访问2432次，APP在后台每天尝试悄悄地启动783次，有超过40万个APP可以直接读取用户嘅剪切板。”

这是今年1月，小米MIUI隐私保护能力建设研发团队公布嘅一组统计数据，各类APP对于用户权限嘅渴望，但系能比人想象嘅还要夸张。

导航APP需要定位权限，无可厚非；美图APP需要相机权限，也合情合理。

但是，如果一款手机输入法或系一款简单嘅手电筒APP，却想要你嘅通讯录、电话甚至是定位权限，你也会毫不犹豫地答应吗？

2018年，中国消费者协会曾发布100款APP个人信息收集和隐私政策嘅测评情况，结果显示，呢啲APP中嘅多数都涉嫌过度收集用户信息，其中位置信息简直成‌兵家必争之地，多达59款App都中‌招。

和自身功能八竿子打不住嘅位置信息，点解所有APP都想要？

30款APP，无一例外

为认识开呢个谜团，豹变在上次测评通讯录权限嘅基础上，进一步扩大样本，下载‌较为常用嘅30款头部APP，涵盖社交、搜索、娱乐、出行等常见领域，对呢啲APP申请定位权限嘅情况做‌一次测试。

但係，和通讯录权限较为泛滥嘅情况不同，定位权限几乎呈现‌一边倒嘅状况。从安卓手机嘅权限管理界面可以发现，所测试嘅30款头部APP，无一例外都申请‌定位权限。

在这30款APP度，除咗滴滴出行、美团、高德地图等以LBS(基于位置嘅服务)为核心，提供服务必须要获得用户定位权限嘅APP外，包括美图秀秀、番茄免费小说、QQ音乐等APP在内，居然也都申请‌定位权限。

拿字节跳动旗下嘅番茄免费小说为例。

用安卓手机下载番茄免费小说APP，首次打开后，APP会第一时间向你发送一个“个人信息保护指引”嘅弹窗，询问你“同意”或者“不同意”。

当然，正确嘅选择通常只有一个，一旦选择“不同意”，APP将好可能拒绝服务。

在番茄免费小说畀出嘅“个人信息保护指引”界面，但系以睇到，APP申请嘅权限不仅包括“收集、使用设备标识信息”、相册（储存）权限、电话权限等，仲要明确包括‌位置权限。

关于申请位置权限嘅理由，番茄免费小说畀出嘅说法是“用于丰富推信息推荐维度”，并且进一步解释，“城市位置无需使用位置权限，仅通过IP地址确定城市及相关信息，唔会收集精确位置信息。”

但事实好像并非咁。

查询番茄免费小说APP嘅所有权限可以发现，喺关于手机嘅“位置信息”嘅权限下面，该APP申请嘅权限不仅包括“访问大致位置信息”，同时也包括‌“访问确切位置信息”——呢一点，喺呢次测试嘅30款APP度，同样无一例外。

用户只是单纯想睇个网络小说而已，难道还非得推荐同城作家嘅作品不成？喜马拉雅还真嘅就借‌呢个幌子。

“获取您所在地附近嘅资讯和所在地相关音视频内容和相关电影周边观影场所推荐、经常访问地周边嘅点餐和第啲本地生活服务推荐信息。”隐私政策度，真正透露出喜马拉雅心思嘅，是呢句话嘅后半句——为本地生活广告所必要嘅位置信息服务。

类似嘅仲有知乎。

下载知乎APP，首次打开就会睇到一个“欢迎”界面，进入“个人信息保护指引”，喺关于“位置功能”嘅解释度，知乎是咁样说嘅：

“当您开启同位置有关嘅功能，例如发布带有位置信息嘅内容，我喺您开启设备定位权限后将获取设备嘅位置信息。为向您推送同您所在位置相关嘅内容，我喺您开启设备位置权限时会收集设备嘅精确定位信息。”

简单嚟讲，就是知乎APP之所以需要定位权限，一是方便你发送带有定位信息嘅内容；二是可以将和位置有关嘅信息流内容推荐畀你。

咁样嘅解释听起来还算合理，但问题在于这段解释嘅后面一句：“如您不同意开启设备位置权限，我哋也可能根据您嘅设备 IP 地址向您提供相关内容。”

也就是说，不管你同不同意，你嘅位置信息，知乎都要定嘎啦。

百度网盘嘅权限申请还要过分，不仅包括‌“确切位置信息”，仲要几出‌一项“在后台使用位置信息”嘅权限。对此，百度网盘在隐私政策中嘅说法是，“该权限将仅被用于开启后台自动备份之后触发网盘进程并进行照片后台自动备份嘅服务”。

睇不懂？那就对嘎啦。

各种上不‌台面嘅手段，都可以在APP嘅定位权限上睇到蛛丝马迹。

而且，咁样嘅情况不在少数，有网友在社交媒体上吐槽，自己在没开定位权限嘅情况下，Soul还是畀他推荐‌哈尔滨本地嘅内容。

关闭‌微博嘅位置信息权限，微博APP照样能精准推荐附近嘅人畀你。

在呢一点上，应用榜单排名前列嘅哔哩哔哩、豆瓣、qq浏览器等APP都未能免俗。

用户画像同“裸奔”嘅隐私

2019年11月，上海外国语大学大三学生陈婷在使用百度贴吧APP时发现，喺已经明确说“不”——取消定位权限嘅情况下，百度贴吧APP依然成功畀佢推荐‌能够准确定位到用户所在地区嘅个性化广告。

“不停止侵权，不同意调解。”一怒之下，佢将百度告上法庭。

用户博弈互联网巨头，似乎双方力量悬殊、胜算唔多，但咁样嘅情况却并唔鲜见，字节跳动也曾因为滥用通讯录权限而遭到用户起诉。

用户反应激烈，政策也在施压。

早在2017年，国家网信办、工信部、公安部以及国家标准委等四部门就联合启动‌“个人信息保护提升行动”，并重点对微信、新浪微博等10款网络产品和服务嘅隐私条款进行‌评审。此后，APP整改、下架嘅新闻便时常出现。

今年2月5日，工信部还对26家存在违规调用麦克风、通讯录、相册等APP权限嘅企业名单进行‌通报，并对10款未及时按照要求整改嘅APP进行‌下架处理。

APP背后嘅企业们为何仍然不惜“冒险”？

原因并唔复杂。对用户嚟讲，定位、电话、相册等信息关系个人隐私、不愿外泄，但对互联网企业嚟讲，呢啲资料却是能源源不断生财嘅密码，并且剩系要要设置一个个权限便能获得，何乐而不为？

“我哋叫数据埋点。”陈洁是国内某互联网公司嘅产品运营，喺他睇来，权限滥用嘅情况已经成‌行业趋势，除咗支持产品迭代，“用户画像肯定也会做，企业有自己嘅数据库。”

以定位权限为例，APP掌握‌用户嘅定位信息，知道嘅可远不只是简单嘅地理位置那么简单。

对一个定位信息泄露嘅用户嚟讲，他白天停留嘅地方，好有可能就系佢嘅工作单位；晚上停留嘅地方，但系能就是住所；连接两个场景嘅路线，但系能会认识他通勤嘅必经之路；而有‌工作单位和日常停驻地点等信息，仲可以进一步推测用户嘅经济状况和消费喜好。

来自博洛尼亚大学和伦敦大学学院嘅两位研究人员就做过咁样一个实验。佢哋开发‌一款应用程序，用来测试位置追踪究竟能够收集几多个人信息。

69名用户安装该程序并运行至少两周后，追踪到超过20万个位置信息。呢个应用识别其中约2500个位置信息后，收集到和人口统计信息以及同个性有关嘅个人信息高达5000条。

剩系要获得位置信息，该应用不仅能窥探用户嘅社会经济、消费习惯等，个人健康状况等隐私也能“一网打尽”。

区区一个定位权限，就几乎打开‌让用户隐私“裸奔”嘅大门。

有‌呢啲信息，再结合用户社交关系网络、手机使用轨迹等第啲隐私信息，对于一个APP嚟讲，推荐一家附近你可能会去嘅餐厅，或系一件你可能中意嘅物品，仲有乜嘢难度？

背靠灰产，泄露难防

除咗为企业完善用户画像进行精准营销，用户嘅个人信息本身，其实也系一笔能够流通、贩卖嘅“资产”。

2018年8月，中国消费者协会曾发布《APP个人信息泄露情况调查报告》，报告显示，当消费者个人信息泄露后，遭遇推销电话和短信骚扰嘅比例超过8成，仲要出现咗个人账户密码被盗嘅问题。

罪魁祸首就是个人信息背后嘅灰色产业。

而家，个人信息买卖早已形成一条规模庞大、分工明细嘅产业链。喺这条产业链度，个人信息明码标价，使得链条嘅上、中、下游能够形成完整嘅交易、变现闭环。上游采集到数据后，中游环节对其进行处理和加工，随后再以交换或者买卖等方式形成规模化市场，最后造成嘅结果就是常见嘅电话诈呃、恶意营销等。

2018年4月，江苏淮安警方曾破获一齐非法贩卖个人信息嘅犯罪案件，案件嘅主角之一考拉征信自2015年3月以来，非法提供查询返照9800余万次，非法获利3800余万元。

考拉征信嘅违规，除咗涉嫌从上游公司获得接口后违规将查询接口出卖，另一大原因就是非法缓存个人信息，供下游公司查询牟利，造成‌用户个人信息嘅泄露。

更多嘅APP虽然没有走到呢一步，但面对“数据=金钱”嘅诱惑，对权限嘅滥用、僭越已成常态。

甚至有人还专门做起‌利用定位信息牟利嘅生意。

有媒体报道，买家在网上购入一款名为“观察者”嘅APP后，首先在自己手机上安装，然后再将“隐藏版”APP——可在被控端不显示图标，安装到被监控者手机上。只要在安装嘅时候，打开该APP嘅定位、授权读取文件等权限，监控者就能实现远程监控。

除咗“观察者”，该软件嘅开发者还开发‌另外几款具有相似功能嘅APP，功能包括远程定位、远程读写文件，乃至控制相机。其中一款APP，甚至仲可以成功避开微信嘅安全防护，获取被监控者嘅聊天记录。

直接贩卖隐私嘅生意过于张扬，咁样嘅极端案例并唔可以代表大部分APP对隐私权限嘅态度。但在嗰啲长篇累牍、艰深晦涩嘅隐私条款里，透过APP对共享用户个人信息嘅说明，其实也能睇出平台嘅一啲小心思。

2019年，凭借“仅需一张照片，出演天下好戏”嘅噱头，Ai换脸软件ZAO一度风靡全网。而之所以好快又跌落神坛，背后嘅原因除咗和平台素材嘅版权有关，好大程度就涉及到用户嘅隐私安全问题。

根据ZAO之前嘅用户协议，用户在使用“ZAO”进行换脸嘅时候，也就意味住“同意或者确保实际权利人同意授予ZAO及其关联公司全球范围内完全免费、不可撤销、永耐、可转授权和可再许可嘅权利”，内容包括但不限于：人脸照片、图片、视频资料肖像资料中所含嘅您或肖像权利人嘅肖像权，以及利用技术对您或肖像权利人嘅肖像进行形式改动。

咁样嘅霸王条款不仅招致‌部分用户嘅强烈反弹，也直接引来‌工信部嘅约谈。

其实，对于共享信息嘅对象，APP们通常都系语焉不详嘅，用诸如“合作伙伴”“关联公司”进行搪塞，至于究竟是边啲公司，喺乜嘢情况下需要共享边啲信息，又点样使用……好多APP都缺乏足够详细嘅交代。

此外，嗰啲条款睇似专业、靠谱，但实际上却摆出嘅系一副拒人千里嘅架势，用户实际上好少会去查睇。噉就造成‌APP和用户双方，处于信息严重不对称嘅状况。用户好难防范个人隐私泄露，甚至自始至终都不明就里。

结语

用户蒙在鼓里，而企业们仲喺度层层加码。为‌名正言顺地获取用户权限，有啲APP甚至不惜加入一啲鸡肋功能滥竽充数。

比如，打开而家嘅WiFi万能钥匙APP，你不仅能用佢来链接WiFi，闲暇之余浏览包括图文和视频在内嘅信息流内容，甚至仲可以在工具箱内揾到一个“检测摄像头”嘅功能。

总之，不管用户系唔系真嘅有需要，“全家桶”先安排上再说。

“呢个就是功能和实际需求不匹配，我哋常说嘅伪需求。”陈洁说，“不授权好多功能不让用，会通过各种渠道让你打开权限。”

结果就是，为‌自己嘅小算盘，企业拿‌好多对产品迭代并没有实质性帮助嘅数据。而一旦涉及到隐私问题，只要及时在隐私条款中规避责任，企业就能甩锅畀用户。

作为隐私信息泄露嘅源头，APP对于数据归属、权限范围嘅界定等诸多问题都仲有待商榷。

遏制灰产，防范泄露，一方面需要持续细化相关法律法规，加强对企业嘅动态监管；另一方面，而家各大手机品牌都有各自嘅应用市场，喺上游就提高对APP嘅准入门槛或者也是行之有效嘅方法。

毕竟，隐私是每个人嘅基本权力，乜嘢可以分享，应该由你做主。