iOS 15成“照妖鏡”　App過度收集用戶信息何時休?

王子涵

每次iOS的更新都會帶來新一輪熱議，而近期iOS 15更新后的熱度和持續時間卻超出過往——這是因為“App隱私報告”的出現，如同“照妖鏡”將App過度讀取用戶信息的問題再次曝光在大眾面前。當手機已成為大多數人手中掌握衣食住行的工具之時，用戶信息被如此輕易地獲得，不得不讓人擔憂：各種App在帶給我們方便之余，為何屢成用戶隱私的黑洞？

iOS 15變身“照妖鏡”

沒有硬件產品發布的WWDC 2021被人們調侃為近年來蘋果最“軟”的發布會，沒有底層邏輯變化的iOS，iPad OS和Mac OS的迭代更新似乎也未能在終端市場激起太多7水花。不過隨著近期iOS 15的推送和大量用戶升級，它的熱度突然爆表。

這得從蘋果在iOS 15中引入“App隱私報告”（App Privacy Report）說起。通過它用戶可以查看App在何時收集自己的數據，這些數據包括：位置信息、麥克風、照片、過去一周內的聯系人，以及該App訪問這些數據的頻率。不僅如此，用戶還可以找出這些App與哪些第三方共享了自己的數據?？梢哉f在iOS 15的這項功能下，所有App的行為將一目了然。

當蘋果在WWDC 2021上介紹這項功能時，并沒有激起太多水花，但隨著越來越多蘋果用戶將手中的設備升級到iOS 15，美團、QQ、微信等“國民級”App過度讀取用戶信息的行為開始引發社會熱議。以美團為例，有網友透過iOS 15中的“記錄App活動”選項，發現美團連續24小時對其定位，每5分鐘—次，讓人忍不住發問：“這到底是要干什么？”。

擁有12億用戶的微信同樣被發現在后臺反復讀取用戶相冊。此外，多名用戶還通過“記錄App活動”發現淘寶、QQ、微博、搜狗輸入法等都在后臺對用戶反復定位或讀取相冊。

這些App讀取用戶信息的行為大多是在“用戶不知情”的情況下進行，頻繁地讀取讓用戶非常反感，沒有任何人希望自己保存在手機相冊中的照片、當下定位信息等數據被App長期持續讀取。當這些App的行為被公開后，自然引發大眾對它們是否侵犯個人隱私問題的懷疑與擔憂。

App過度收集信息并非“新鮮事兒”

隨著事件關注度的持續上升，被點名的各App官方也不得不站出來對網友和用戶關心的問題進行了解釋。其中微信官方迅速表示，微信使用了讀取“系統相冊權限”，只是方便用戶發送圖片時的體驗更快速流暢，而且上述行為均僅在手機本地完成。同時，微信方面也承諾，“在最新版本中將取消對該系統能力的使用，優化快速發圖功能?！?/p>

一位美團工程師在10月11日公開回應稱，之所以出現這種情況，是因為這類軟件在單方面讀取系統操作日志后，進行了選擇性展示。經美團工程師測試，在相關權限開啟且App后臺仍處于活躍狀態時，大部分主流App均會被該軟件檢測出頻繁讀取用戶信息，且監測結果高度相似。

根據這些回復的邏輯，不考慮用戶成本隨時喚起、隨時收集用戶信息就可以更精準地實現用戶畫像，從而具有針對性地展開服務，但“方便用戶”的初衷并不能劃清與侵犯隱私的界限，消費者知情權與選擇權始終應得到尊重。

事實上，App過度收集用戶信息并非“新鮮事兒”。在iOS 15引入“App隱私報告”以前，小米、魅族等廠商已在自家系統中加入了App行為查看功能，而隱私安全保護也成為小米MIUI和魅族Flyme系統當下的宣傳亮點。只不過在激起公眾的關注與一波討論之后，又歸于沉寂，直到此次在iOS15上被再次點燃。之所以這次能再度引發大量關注，除了果粉及相關App涉及用戶群體數量龐大外，也同之前經過了數次洗禮后，日趨覺醒的用戶個人信息保護意識不無關系。

可以看到，從索要非必要權限到過度讀取信息，手機App這些年—直存在超范圍收集用戶信息、過度使用用戶信息的情況。具體而言，App存在的問題大致分為“違規收集”和“違規使用”用戶個人信息兩個層面?！斑`規收集”是指這些App私自收集、超范圍收集用戶信息。例如，未明確告知收集使用用戶信息的目的、方式和范圍并獲得用戶同意前，App就收集用戶信息;或是在非服務所必需或無合理應用場景，超范圍、超頻次收集用戶信息;“違規使用”則指私自共享用戶信息至第三方、強制用戶使用定向推送功能等。

App為何頻繁越界

App過度收集用戶信息飽受詬病，但為何各大App仍然在這個問題上頻繁越界？在討論這個問題之前，得先對個人信息的分類有一個了解。一般來說用戶信息可分為兩類，一類是準靜態信息，比如用戶姓名、年齡、住址等，通常不會頻繁變更，App采集一次后，信息便可長期使用。另一類是動態信息，比如用戶的位置、移動支付情況、個人健康狀態等信息，經?；螂S時處于變化之中。動態信息就需要App頻繁訪問方可獲取。從技術上來看，App頻繁訪問用戶信息確有業務需要的因素，比如導航路徑規劃，自然需要了解用戶的實時位置;健康監測業務，則需要隨時獲取用戶的運動數據以及身體狀況等信息。

技術并無立場傾向，但技術的應用不可不講倫理。對于App背后的企業來說，可能一開始獲取用戶信息確實是想勾勒用戶群像，讓后續功能的研發乃至廣告投放更精準。從這方面來看，適度獲取用戶信息無可厚非，畢竟App功能要優化，軟件開發企業也需盈利。但在合理收集信息之外，“順便”收集App所需信息之外的數據，最根本的原因還在于用戶信息具有重要價值。在今天，人人皆是“大數據”，即便企業在當下分不清哪些信息重要哪些信息不重要，甚至還不知道這些信息該怎么開發利用，但他們相信總有一天這些信息資源會派上用場所以需要盡可能多地收集、占據這些信息資源。更別提那些已經具備平臺化、流量思維的巨無霸企業，更會習慣性地收集盡可能多的信息，進而構筑信息壁壘。

用戶信息應如何更好地被保護？

當App過度收集用戶信息被越來越頻繁地曝光在人們面前，接下來要做的則是如何保護用戶的信息。當下越來越多的人已經意識到個人信息的價值，從關注討論到謹慎授權，越來越多用戶在安裝、使用App時的“三思而后行”表明個人信息保護意識正在增強。除此之外，監管機構對于App過度讀取信息的行為也在積極行動。

近幾年，國家連續出臺了一系列保護個人信息和數據安全的法律法規?！稊祿踩ā芬延诮衲?月1日起施行，《個人信息保護法》將于11月1日起施行，其中明確表示“收集個人信息，應當限于實現處理目的的最小范圍”，同時“處理個人信息應當與處理目的直接相關，采取對個人權益影響最小的方式?！蹦壳癆pp在獲取權限時存在“始終允許”選項，即使用戶授權“始終允許”App收集信息，但用戶不可能時刻看照片，也不會一直點外賣，并不需要App隨時待命，App要求的“始終允許”實際上違背了上述“最小”原則這些存疑的選項，在法律正式生效后是否有所變化，還有待觀察。此外，2021年7月6日，深圳公布《深圳經濟特區數據條例》，確立以“告知一同意”為基礎的個人數據處理規則開全國數據領域立法先可。從全國到地方，可以看到監管機構正在從各個方面持續完善對用戶信息的保護，規范App使用中的行為。

另一方面，目前將App收集用戶信息行為曝光在大家面前的主要還是各大手機廠商的系統功能，但是這類以廠商為主的檢測功能，其公正性、合理性依舊存在不少問題。以iOS15的“App隱私報告”為例，其只提供記錄App行為的日志，蘋果官方并沒有相應功能幫助用戶讀取它，用戶目前只能通過第三方App讀取，這就存在一些問題。此次事件中用戶讀取“App隱私報告”的第三方App根據公開報道顯示系境外人員研發，并未對該App的安全性和保密性做測試，這就帶來了新的隱私風險。

站在App企業的角度來說，無論是蘋果還是其他手機廠商，其在系統中加入的App行為報告功能在技術原理、判定標準，以及相關信息的讀取原理、方式上并未公開，也沒有同眾多App企業進行技術溝通，其得出的結論可信度有多少值得質疑。而站在消費者的角度，手機廠商本身也會入股一些App企業，其背后同樣存在利益瓜葛。在面對客觀存在的App過度收集用戶信息的問題上，由不存在利益關系的第三方或監管部門推出相應的檢測程序更值得信賴，這或許是未來手機App行為監管的可行方向之一。

絕不能放松的用戶信息保護

在大數據時代下，我們確實享受著信息數據化之后所帶來的各種便利。但這種便利不能將自己的信息置于不可控的風險之下。一方面，用戶的個人信息保護意識需要持續增強，另一方面監管層面通過完善法律法規來進一步規范市場。而以各大App企業為主的市場參與者也應該“按需獲取”用戶信息，在過程中做到合法合規，維護好用戶的利益。