360借條開啟通訊錄權限,安裝時一攬子索要通訊錄、相機等權限，斗米、虎牙直播等遭舉報-RB螺紋鋼期貨交易網

剛下載安裝App，即要求一攬子同意并默認打開電話、位置信息、麥克風、通訊錄等權限，51信用卡管家、閃送、斗米、Wi-Fi萬能鑰匙、360借條等遭用戶舉報。

4月2日，“App個人信息舉報”微信公眾號發布消息稱，在受理用戶提交的App違法違規收集使用個人信息的舉報中，這是很典型的一類問題。

經過分析，此類問題在于App所聲明的Target SDK Version（目標SDK版本）值小于23，這意味著App使用的是低于6.0版本安卓系統，可以一次性申請所有可能用到的權限，同時安裝App后權限便是默認開啟狀態。

隱私護衛隊了解到，去年電信終端產業協會聯合八大主流應用市場發起自律公約，將拒絕上架和更新低API等級應用，并倡議今年5月1日，新上架和預置應用應基于Android 8.0（API等級26）及以上開發。

十款App涉嫌一攬子申請并默認開啟權限

今年1月28日，中央網信辦、工信部、公安部、市場監管總局等四部門召開新聞發布會，聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》。

根據該公告，受上述四部委委托，全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立App專項治理工作組，并于3月1日上線“App個人信息舉報”微信公眾號，受理對App違法違規收集使用個人信息的舉報。

據App治理工作組介紹，最近收到很多用戶反饋，某些App在用戶安裝時就聲明索要所有權限，一旦安裝，這些權限就默認打開了。

App治理工作組披露，除前述5款外，平安惠普、瓜子二手車、虎牙直播、拉鉤招聘、汽車之家等App也存在這種情況。

App治理工作組對此類問題進行分析，發現共性問題，這些App所聲明的Target SDK Version值小于23。Target SDK Version對應著App開發時設置的API（應用程序編程接口）等級。App對應的API等級越高，通常在權限管理和安全設計機制方面更加完善。

隱私護衛隊了解到，API等級23對應的是安卓系統6.0版本，低于6.0版本安卓系統允許App一次性申請所有可能用到的權限（包括通訊錄、相冊等“危險權限”），同時安裝App后權限便是默認開啟狀態。API等級大于23的，并不會一次性申請所有權限，而會在用戶使用過程中確需用到某項權限時，實時向用戶申請。

從安卓系統6.0版本開始，獲取用戶敏感權限就需要單獨授權。目前國內主流安卓系統已經升級至6.0及更高版本，較新的一個版本是9.0（API等級28），增加了更多的安全設計。

隨著安卓系統的持續升級，為何還有App將API等級設置低于23，繼續延續低于6.0版本時的授權機制呢？據隱私護衛隊了解，安卓系統具有很高的兼容性，即便開發者的應用是針對舊版系統開發的，也能在新版系統上運行。同時新系統很“大度”，會允許應用沿用舊的API 交互方案。

有專家分析，一些應用開發者故意設置較低的目標API等級，而低API 等級應用運行在高版本的安卓系統上，可繞過新系統的信息保護機制。由此一來，用戶若想正常安裝使用，就必須進行打包授權，不能把部分不必要的敏感權限關掉。

不過，也有App開發者回應稱，一些用戶的安卓手機比較老、操作版本低，特別是邊遠貧困地區，這是為了兼容老版本便于更多用戶使用。

對此，App治理工作組建議，既想兼容老版本又真心想對用戶個人信息負責的App，可以提醒用戶在安裝完畢后逐項關閉權限，需要某項權限時再提醒用戶打開。

2018年11月，中國泰爾實驗室、電信終端產業協會和中國互聯網協會聯合發布《智能終端產業個人信息保護白皮書》指出，目前國內應用達到目標 API 等級 26 及以上的比例大致為 10%，低API等級應用規避安卓安全機制、權限申請過度現象嚴重等現象存在的風險值得關注。

其實早在去年7月，電信終端產業協會便發起《移動應用軟件高API等級預置與分發自律公約》，倡議開發者使用 Android 8.0 (API 26)及以上的版本進行應用開發，以保護用戶權益。

上述自律公約規定，自2019年5月1日起，新上架和預置應用應基于Android 8.0（API等級26）及以上開發。自2019年8月1日起，現有應用的更新應基于Android 8.0（API等級26）及以上開發。

OPPO、華為、百度、360、阿里、小米、vivo、騰訊等八家發起單位共同簽約該自律公約并表示將嚴格遵守和履行自律公約規定，拒絕上架和更新低API等級應用。

針對涉嫌一攬子申請并默認開啟權限，或Target SDK Version低于23的App，App治理工作組也表示，請廣大網友繼續反饋情況。

采寫：南都記者李玲