以下文章来源于豹变 ，作者潘涛

本文字数：2848｜预计 5 分钟读完

手机不离身的生活常态，为用户的隐私泄露提供了条件。

来源丨豹变（ID：baobiannews）

作者丨潘涛 编辑丨刘杨

" 平均每部手机每天会被 APP 定位 3691 次，相册和个人文件每天被 APP 访问 2432 次，APP 在后台每天尝试悄悄地启动 783 次，有超过 40 万个 APP 可以直接读取用户的剪切板。"

这是今年 1 月，小米 MIUI 隐私保护能力建设研发团队公布的一组统计数据，各类 APP 对于用户权限的渴望，可能比人们想象的还要夸张。

导航 APP 需要定位权限，无可厚非，但是，你能理解一款手机输入法或是一款简单的手电筒 APP，也想要你的定位权限吗？

30 款 APP，无一例外

从安卓手机的权限管理界面可以发现，所测试的 30 款头部 APP，无一例外都申请了定位权限。

这 30 款 APP 中，除了滴滴出行、美团、高德地图等以 LBS ( 基于位置的服务 ) 为核心，提供服务必须要获得用户定位权限的 APP 外，包括美图秀秀、番茄免费小说、QQ 音乐等 APP 在内，也都申请了定位权限。

拿字节跳动旗下的番茄免费小说为例。

当然，正确的选择通常只有一个，一旦选择 " 不同意 "，APP 将很可能拒绝服务。

在番茄免费小说给出的 " 个人信息保护指引 " 界面，可以看到，APP 申请的权限不仅包括 " 收集、使用设备标识信息 "、相册（储存）权限、电话权限等，还明确包括了位置权限。

关于申请位置权限的理由，番茄免费小说给出的说法是 " 用于丰富推信息推荐维度 "，并且进一步解释，" 城市位置无需使用位置权限，仅通过 IP 地址确定城市及相关信息，不会收集精确位置信息。"

事实好像并非如此。

查询番茄免费小说 APP 的所有权限可以发现，在关于手机的 " 位置信息 " 的权限下面，该APP 申请的权限不仅包括 " 访问大致位置信息 "，同时也包括了 " 访问确切位置信息 "——这一点，在此次测试的 30 款 APP 中，同样无一例外。

用户只是单纯想看个网络小说而已，难道还非得推荐同城作家的作品不成？

喜马拉雅还真的就借了这个幌子。

" 获取您所在地附近的资讯和所在地相关音视频内容和相关电影周边观影场所推荐、经常访问地周边的点餐和其他本地生活服务推荐信息。" 隐私政策中，真正透露出喜马拉雅心思的，是这句话的后半句——为本地生活广告所必要的位置信息服务。

类似的还有知乎。

" 当您开启与位置有关的功能，例如发布带有位置信息的内容，我们在您开启设备定位权限后将获取设备的位置信息。为向您推送与您所在位置相关的内容，我们在您开启设备位置权限时会收集设备的精确定位信息。"

简单来说，知乎 APP 需要定位权限，一是方便你发送带有定位信息的内容；二是可以将和位置有关的信息流内容推荐给你。

这样的解释听起来还算合理，但问题在于这段解释的后面一句：" 如您不同意开启设备位置权限，我们也可能根据您的设备 IP 地址向您提供相关内容。"

也就是说，不管你同不同意，你的位置信息，知乎都要定了。

这样的情况不在少数，有网友在社交媒体上吐槽，自己在没开定位权限的情况下，Soul 还是给他推荐了哈尔滨本地的内容。

关闭了微博的位置信息权限，微博 APP 照样能精准推荐附近的人给你。

在这一点上，应用榜单排名前列的哔哩哔哩、豆瓣、QQ 浏览器等 APP 都未能免俗。

用户画像与 " 裸奔 " 的隐私

2019 年 11 月，上海外国语大学学生陈婷在使用百度贴吧 APP 时发现，在已经明确说 " 不 " ——取消定位权限的情况下，百度贴吧 APP 依然成功给她推荐了能够准确定位到用户所在地区的个性化广告。

" 不停止侵权，不同意调解。" 一怒之下，她将百度告上法庭。

用户反应激烈，政策也在施压。

早在 2017 年，国家网信办、工信部、公安部以及国家标准委等四部门就联合启动了 " 个人信息保护提升行动 "，并重点对微信、新浪微博等 10 款网络产品和服务的隐私条款进行了评审。此后，APP 整改、下架的新闻便时常出现。

今年 2 月 5 日，工信部还对 26 家存在违规调用麦克风、通讯录、相册等 APP 权限的企业名单进行了通报。

APP 背后的企业们为何仍然不惜 " 冒险 "？

原因并不复杂。对用户来说，定位、电话、相册等信息关系个人隐私、不愿外泄，但对互联网企业来说，这些资料却是能源源不断生财的密码，并且只需要设置一个个权限便能获得，何乐而不为？

" 我们叫数据埋点。" 陈洁是国内某互联网公司的产品运营，在他看来，权限滥用的情况已经成了行业趋势，除了支持产品迭代，" 用户画像肯定也会做，企业有自己的数据库。"

以定位权限为例，APP 掌握了用户的定位信息，知道的可远不只是简单的地理位置那么简单。

对一个定位信息泄露的用户来说，他白天停留的地方，很有可能就是他的工作单位；晚上停留的地方，可能就是住所；连接两个场景的路线，可能会了解他通勤的必经之路；而有了工作单位和日常停驻地点等信息，还能进一步推测用户的经济状况和消费喜好。

有了这些信息，再结合用户社交关系网络、手机使用轨迹等其他隐私信息，对于一个 APP 来说，推荐一家附近你可能会去的餐厅，或是一件你可能中意的物品，还有什么难度？

背靠灰产，泄露难防

2018 年 8 月，中国消费者协会曾发布《APP 个人信息泄露情况调查报告》，报告显示，当消费者个人信息泄露后，遭遇推销电话和短信骚扰的比例超过 8 成，还出现了个人账户密码被盗的问题。

罪魁祸首就是个人信息背后的灰色产业。

个人信息买卖早已形成一条规模庞大、分工明细的产业链。上游采集到数据后，中游环节对其进行处理和加工，随后再以交换或者买卖等方式形成规模化市场，最后造成的结果就是常见的电话诈骗、恶意营销等。

甚至有人还专门做起了利用定位信息牟利的生意。

有媒体报道，买家在网上购入一款名为 " 观察者 " 的 APP 后，首先在自己手机上安装，然后再将 " 隐藏版 "APP ——可在被控端不显示图标，安装到被监控者手机上。只要在安装的时候，打开该 APP 的定位、授权读取文件等权限，监控者就能实现远程监控。

直接贩卖隐私的生意过于张扬，这样的极端案例并不能代表大部分 APP 对隐私权限的态度。但在那些长篇累牍、艰深晦涩的隐私条款里，透过 APP 对共享用户个人信息的说明，其实也能看出平台的一些小心思。

对于共享信息的对象，APP 们通常都是语焉不详的，用诸如 " 合作伙伴 "" 关联公司 " 进行搪塞，至于究竟是哪些公司，在什么情况下需要共享哪些信息，又如何使用 …… 很多 APP 都缺乏足够详细的交代。

用户蒙在鼓里，企业们还在层层加码。为了名正言顺地获取用户权限，有些 APP 甚至不惜加入一些鸡肋功能滥竽充数。

比如，打开如今的 WiFi 万能钥匙 APP，你不仅能用它来链接 WiFi，闲暇之余浏览包括图文和视频在内的信息流内容，甚至还能在工具箱内找到一个 " 检测摄像头 " 的功能。

总之，不管用户是不是真的有需要，" 全家桶 " 先安排上再说。

" 这个就是功能和实际需求不匹配，我们常说的伪需求。" 陈洁说，" 不授权很多功能不让用，会通过各种渠道让你打开权限。"

结果就是，为了自己的小算盘，企业拿了许多对产品迭代并没有实质性帮助的数据。而一旦涉及到隐私问题，只要及时在隐私条款中规避责任，企业就能甩锅给用户。