酷应用

热点追踪 | 手机操作系统强化隐私设置对今后App个人信息保护带来哪些改变？

百家作者：甜橙安全应急响应中心 2020-05-08 15:47:05

近年来，移动互联网应用程序（App）得到广泛应用的同时，强制授权、过度索权、超范围收集个人信息、个人信息泄露、滥用等问题大量涌现，广大网民对此反应强烈，引起有关部门高度重视。2019年1月，中央网信办、工信部、公安部、市场监督管理总局四部门联合开展“App违法违规收集使用个人信息专项治理”，包括制定相关技术规范，接受问题举报，对常用App进行检测评估，督促整改问题，处罚违法违规行为等。随着治理工作持续推进，相关管理要求、技术规范日益完善，有效指导了App运营者普遍更新了隐私政策、优化了授权方式、设置了注销渠道，提升了个人信息保护措施。就在最近，有安卓手机厂商在推出新版操作系统时，进一步强化了隐私保护相关设置，引起了广泛关注。

MIUI 12系统的更新，很多网友对其加强了隐私保护相关的设置和功能而点赞，比如将App的行为透明化，赋予用户更多选择和控制的权利等等。这些更新的做法与现有管理要求、技术规范有何关联？对安装在该操作系统的App来说意味着什么?本文将一一详解。

No.1

支持App完善

个人信息保护机制方面

支持App申请权限时同步告知

【相关技术规范规定】

《App违法违规收集使用个人信息行为认定方法》第二条第3点指出，在申请打开可收集个人信息的权限时，未同步告知用户其目的，或者目的不明确、难以理解的，可认定为“未明示收集使用个人信息的目的、方式和范围”；

GB/T 35273-2020《个人信息安全规范》第5.4条a)指出，个人信息控制者收集个人信息应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意；

《移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）第4条n）指出，当App申请个人信息相关权限或要求个人信息主体输入个人信息时，App运营者应向个人信息主体同步明示申请权限或收集信息的目的。

部分App申请使用可收集个人信息的权限时，并未对其目的进行明确告知，便直接向用户索要权限，甚至强制反复索要权限，这一方面导致用户对App索要权限行为的不理解或误解，另一方面部分App“浑水摸鱼”，掺杂了索要无关权限的行为。上述技术规范中已经明确指出申请使用权限时告知的要求，iOS系统在系统申请权限弹窗时允许App开发者自定义编辑申请调用权限的目的（见下图1）。

但是，Android原生系统不支持App开发者在权限申请的弹窗页面说明目的，故App只能选择自行设置弹窗说明目的履行告知义务，意味着“一次授权，两次弹窗”，难免让用户感到困扰甚至打扰，App运营者也会产生体验不好导致用户流失的顾虑。

MIUI 12系统的更新，通过对Android原生系统的深度定制，支持了App在权限申请页面说明目的，同时，如应用没有说明权限申请目的，MIUI12系统版本则将会取消权限申请选项中的“始终允许”，仅保留“本次运行允许”及“仅在使用中允许”两种更安全的权限状态选项（见下图2）。

支持App按照业务功能所需最小化授权

【相关技术规范规定】

《App违法违规收集使用个人信息行为认定方法》第四条指出，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关，或收集个人信息的频度等超出业务功能实际需要，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”；

GB/T 35273-2020《个人信息安全规范》第4条指出，最小必要作为个人信息安全基本原则，个人信息控制者应只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。

上述技术规范已明确指出申请使用权限时的要求，部分App在申请权限、使用权限过程中，未能严格执行最小化的原则，一方面是因为其未明确App相应业务功能所需个人信息的最小范围，另一方面是因为手机操作系统提供的选择不够“精细化”，部分可收集个人信息的API接口没有用户进行控制的机制。

MIUI 12系统的更新，为App提供了更多便捷的技术接口，以支持App最小化申请使用权限。从权限使用频率上，与苹果iOS 13系统类似，MIUI 12在Android原生系统的“允许”和“拒绝”外，提供了更丰富的权限控制选项，如“使用App时允许”、“本次运行授权”；从增加个人信息授权控制上， MIUI 12在Android原生系统基础上，新增了可能会影响用户个人信息安全的权限控制，比如将“应用程序列表”、“剪贴板”以“权限控制”的方式允许用户进行设置，避免应用程序列表被随意收集，用户复制身份证号、手机号等敏感信息时而因剪贴板被扫描导致个人信息泄露（见下图3）。

No.2

支持App收集

个人信息行为透明化方面

【相关技术规范规定】

GB/T 35273-2020《个人信息安全规范》第4条指出，公开透明作为个人信息安全基本原则，个人信息控制者开展个人信息处理活动应以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督；第5.2条指出，收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。

支持对App后台收集个人信息行为的通知

权限一旦打开，App就有可能随时调用权限收集信息，通常情况下，如果App在后台运行，除了使用语音智能识别、导航等特殊场景，如果私自调用权限进行录音、定位、录像等，往往超出了合理必要范围，将对用户隐私造成巨大威胁，这也成为很多用户担忧的问题。但是，Android原生系统并不支持用户掌握App后台使用权限情况的“一举一动”。由此，一方面，可能导致部分App认为用户既然“无法知情”，便超出合理频率和必要范围收集个人信息，另一方面，部分App的规范化收集个人信息过程也无法得到证明。

MIUI 12系统为上述问题提供两种解决方案，一是，对录音、录像、定位权限被后台使用时，状态栏会进行提醒，以及进行消息提示，若用户认为是异常行为则可以及时关闭。二是，可以直接默认禁止App后台调用摄像头，杜绝偷拍行为（见下图4）。

支持查看App收集个人信息权限调用记录

App调用权限的记录可以一定程度直观反映App收集个人信息的频度，根据上述技术规范，收集个人信息的频度如果超过业务功能实际需要，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，反之，App运营者对于需要高频次收集个人信息的行为，有必要进行充分告知。但是Android原生系统并未提供相关功能，以方便用户了解App调用权限的行为和频率等情况，因此用户难以准确判断权限调用是否合理必要。

MIUI 12系统提供了对可收集个人信息权限调用情况进行历史记录和统计的功能，降低了用户获知的门槛，让用户可以直观了解App使用权限的概况，为判断App权限调用是否与自己日常使用习惯具有合理关联性提供参考，权限使用行为变得更加透明了（见下图5）。

No.3

支持用户加强

对个人信息的控制方面

支持用户提供可变的设备识别符

【相关技术规范规定】

《移动互联网应用程序（App）收集个人信息基本规范》（征求意见稿）第4条h）指出，App运营者不应收集不可变更的设备唯一标识（如IMEI号、MAC地址等），用于保障网络安全或运营安全的除外。

不可变更的设备唯一标识因其被广泛应用成为被App收集最多的个人信息之一，虽然，在防止薅羊毛、防作弊、账户异常监控等保障安全运营方面作用明显，但是，使用其与用户身份信息、与用户在网络上的浏览、活动等记录相关联、打通，又会导致用户隐私“无处遁形”，如果过度使用其进行个性化推荐，势必对个人产生打扰。而上述技术规范的规定，旨在引导App发挥其优点，限制其弊端。

事实上，苹果iOS 6及之后的系统为用户提供了IDFA，以取代唯一不变的设备标识符（UDID），进而提供给用户选择权利，包括重置IDFA以及关闭IDFA。而Android原生系统（10.0/Q以前）支持App获取唯一设备标识符，App可通过请求“电话/设备信息（READ_PHONE_STATE）”权限，用户同意后即可随时获取IMEI、IMSI、ICCID 等设备唯一标识信息。虽然，最新发布的Android 10.0/Q已经支持了不再允许App通过请求“电话/设备信息（READ_PHONE_STATE）”权限获得上述设备标识信息，但大面积推广还需时日。MIUI 12 系统则提供了虚拟身份管理功能，通过虚拟身份ID以替代 IMEI、IMSI、ICCID 等设备唯一标识，允许用户随时按需重置该ID以防止应用跟踪。另外，用户还可以完全禁用应用获取任何身份ID，实现完全匿名。（见下图6）

支持以“空白”权限应对不合理索权行为

【相关技术规范规定】

《App违法违规收集使用个人信息行为认定方法》第四条第2点指出，因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”;

《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》第（三）条第5点指出，APP安装和运行时，向用户索取与当前服务场景无关的权限，用户拒绝授权后，应用退出或关闭（即“不给权限不让用”）属于不合理索取用户权限。

相关技术规范已经指明，索取权限过程应合理，但是，由于业务场景复杂性，权限是否属于必要尚无统一的定论，而实践中部分App仍然强制索取有争议的权限，甚至采取了“尽可能多索要，否则拒绝服务”的方式，违背了最小必要原则。最后，很多用户不得不妥协，只能同意打开权限。

从实际常见的可能被“强制索要”的权限来看，“电话/设备信息”“存储”“通话记录”“联系人”是被投诉举报最多的几类，MIUI 12在App申请“读取设备信息、联系人、短信、通话记录”等权限时，允许用户以“空白通行证”的方式提供空信息给App，避免在首次使用App时因为“不给权限不让用”开启了非必要的权限，从而引发超范围收集问题。当然，当用户认为业务功能需要相应的权限时还可以选择重新开启真实权限给App。（见下图7）

No.4

对手机操作系统更新的评价

系统更新对App个人信息保护的积极意义

以上针对MIUI 12的分析，只是以Android原生系统为基础国产手机厂商进行深度定制开发的案例之一，EMUI、ColorOS等最新版的手机操作系统也都在隐私保护的相关功能上推陈出新。比如，EMUI支持查看权限访问记录、进行全盘加密，ColorOS可提供空信息、防止截屏录屏等等。（如下图8）

从以上分析，不难看出：

一是，专项治理工作持续开展和技术规范的成熟推动了移动互联网生态个人信息保护水平持续提升。手机操作系统在隐私保护功能上日益强大，其采取的方案与相关监管措施、技术规范“如出一辙”，随着有关监管部门不断完善立法立规工作，持续开展治理，之前推动App整改问题的模式将逐步演化为推动改善移动互联网生态，以起到事半功倍、全面覆盖的效果，形成良性循环。与此同时，国产手机厂商主动在Android原生系统基础上，深度定制化的做法弥补了一些隐私保护方面的“先天不足”“陈年顽疾”，既响应了监管要求和民众诉求，也着实是一次硬实力和竞争力的提升。

二是，隐私保护友好型手机操作系统乃大势所趋，App必须做好适配的计划。从手机操作系统加强隐私保护功能的网评舆情来看，用户纷纷表示“期盼已久”。在个人信息保护监管常态化、精细化的背景下，App不得不在个人信息保护问题上不断强化责任意识，提升能力水平，而手机厂商提供隐私保护的设置、功能，其实本质是为各方“赋能”，一方面协助App更加方便地落地个人信息保护要求，另一方面协助用户更加简单地监督App收集使用个人信息行为。对此，如果部分App在开发、运营等环节，未能将个人信息保护的相关举措实质化，还停留在“隐私政策”一纸声明、取得用户同意便无所忌惮的状态，恐怕无法适应今后的操作系统环境，更无法适应今后的监管要求。

一些待继续探讨的问题

但是，隐私保护技术的发展，也并非不会带来新的问题，手机操作系统既然对App提出了更高的要求，其实也是对用户提出了更高的要求，以下几点尚有待继续探讨。

一是，操作系统提供的透明机制并非完全透明。如上文所述，很多国产Android手机操作系统支持了对App使用权限状况的查看。近期，就有某网友爆料，截图说明某App一段时间内读写存储空间1万余次，某自媒体便以此为标题进行报道，引发热议。表面看，这款App似乎超出常理有过度收集个人信息的行为，然而，一张图所反映的信息实在是少的可怜。且不论图片是否有PS过的嫌疑，即便是真实的图片，通过不断打开、关闭App，不断在App里选择可能使用存储空间的行为，均可以在短时间内把数据“恶意刷上去”，而且无论哪个App均能实现。若如此，本来手机操作系统透明化的良好机制也就可能会被不怀好意的人员所利用。

反观自媒体，虽然后来也澄清网友删除了爆料，但其事先并未对相关事实进行核实基础上，采用“后台”“万次”等不准确的标题进行报道，如果造成不良后果，恐怕有失职之疑。

由此可见，这种透明化机制所提供的数据仅是一种参考，而非事实全貌。对于用户自己而言，自然不会“没事干刷数据玩”，该功能足以为用户进行App行为判断提供参考。但是，如果要去评判App是否存在不合理行为，还是只能依靠专业机构的检测与分析的结论。

二是，把更多选择权交给用户，意味着什么？如上文所述，不管是透明化还是加强对个人信息的控制，最后的结果就是把选择权给了用户。面对越来越完善的隐私保护机制，用户不得不面临越来越多的选择。对于一位了解个人信息保护、了解互联网的人士来讲，或许可以从容应对，做出有利于自己、也最适合于自己的设置；但是，对于大多数普通网民，面对大量的告知、选择，是否能做出合理的判断恐怕要打个问号，是否因为过多的担心丧失了享受便捷的服务，是否因为一味的拒绝选择新的方案使得账户安全性等方面有所减损都是未知数。虽然常说“自己的选择自己负责”，但前提恐怕还是需要具备必要的知识和技能才是最优解。

No.5

结语

有人说，互联网时代，信任是“奢侈品”。确实，频发的个人信息泄露、滥用等事件，不断摧毁着网民对App个人信息收集使用行为的信任感，而通过治理工作，通过透明化机制的不断深入，本质上是在推动重建信任，重塑移动互联网生态，只有重建信任，才能让我们掌握化繁为简的力量，让网络空间变得更加安全有序、精彩纷呈。虽然长路漫漫，但未来可期，手机操作系统不断优化隐私保护机制就是迈出的可贵而坚实的一步。

— END —