APP和Cookie并非洪水猛兽

生活中避不开的APP

在上海，任何年轻人的身上都可能发生这样的情况：和朋友走在路上，临时起意，想要找家咖啡店坐下来喝个下午茶。第一时间打开“大众点评” 搜索附近有哪些咖啡馆。找到合适的咖啡馆之后，再打开谷歌地图，导览一下路线;到了咖啡馆坐定，看见精致的蛋糕，可口的咖啡，忍不住拍些照片上传到微博秀一秀……只要一眨眼的时间，这些位置信息先是上传到“大众点评”的服务器上，通过这一位置信息，服务器处理出符合条件的咖啡店，并以列表形式发回到手机上;紧接着，谷歌服务器也接收到了搜集并处理位置信息的请求，服务器上同时“知道”的还有接下来将要去的位置信息;或许听起来更糟糕的是，微博的服务器已经“深入”到了手机的相册，得到了读取相册的权限……

类似的使用体验大多数人都会有，但并不是所有人了解这些应用是如何搜集个人信息并使用的。回顾央视3·15晚会上点名的几款手机应用，从功能上看，难免让人有似曾相识的感觉，“重庆小面”是重庆当地一款搜索服务类APP，主要功能就是帮助用户搜索到就近的特色面店;“高德地图”是一款导航类APP，为使用者进行从起点到目的地的导航……生活中，谁都有可能会与这些APP应用狭路相逢。

从目前来看，如果用户觉得这些APP应用涉嫌侵犯隐私，唯一的做法就是，放弃安装。

拿数据：可行善，亦可作恶

赵斌，北京一网络技术有限公司深度OS部安卓开发工程师，作为一个业内人士，他认为，设备拿到的数据，可以用来做好事，也可以做坏事。“这种利用用户的部分个人信息提供服务的情形并非互联网时代的新鲜事物，比如常去的饭店、理发店、服装店，一定会对常去顾客的喜好、三围、生日，甚至家庭成员等隐秘的个人信息有一定了解，关键是用户能接受向他们公开自己的部分个人信息甚至是隐私，以换得更贴心的服务。当然你也必须承担风险，关键在于用户能否接受。”

在移动互联网时代，问题的本质是一样的，赵斌打了这样一个比方，搜狗输入法提供了一个智能通讯录的功能，用户可以输入联系人拼音的前几个字符，或首字母，输入法就能自动呈现相关联系人的名字。为了实现这个功能，输入法必须声明它需要读取手机中联系人的能力。“但是用户不一定知道，他只会简单地认为，你怎么能读取我的通讯录呢?”从某种程度上，对普通用户而言，有些主动善意地提醒，很容易被毫无区分地视为危机。“这样做，或许对用户和开发者来说，都不是最好的办法。”

业内普遍的看法是，目前，要让一半的应用程序做到在Android官方市场强制要求外再去主动告知用户权限的使用，都是不可能的。“应用程序需要通过收集用户信息，如程序的错误日志和用户喜好来改进程序，这属于拿着权限办好事。当然，另一方面，发送精确广告但不追溯到用户身份信息，也是许多免费APP应用赖以生存的主要收入来源。” 赵斌说，咨询公司报告中的不同型号手机占有率、应用软件流行度等数据其实都是这样统计得来的。

用户要承担的风险究竟有多大?

“60%的APP依旧处于行为不当的范围，毕竟他们本身不是以此目的来做软件的。”杨珉，复旦大学移动互联网数据安全技术研究中心的副教授，作为今年央视3·15晚会的被访者，从2011年开始，他们团队对安卓平台所存在的安全隐患开展研究，接触了数万款APP，并对其中在国内几家大型应用商城内最热门的数千款应用进行了精细监测，监测的内容包括对SIM卡、通讯录、短信、手机号码、定位等涉及个人信息权限的使用。

“从结果看，至少超过60%的APP存在超越权限的情况，但已经构成实际威胁的却还是集中在手机游戏类APP，游戏APP需要通过利用用户的短信账户来达到定制收费的目的，情况比较严重。”杨珉所说的也就是“恶意扣费”现象。

当记者问及，是否对腾讯、360、CNTV(中国网络电视台)等APP进行检测时，杨珉表示，“没有测，不在我们的职责范围。这次是央视主动找到我们的，提供给我几款行货手机，并对指定APP，如蓝盒子等进行监测。”

杨珉对APP监管的未来表示乐观。“目前没有机构去监察，但只要公安机关封存服务器和原始代码，总归会有痕迹留下，这个软件在设计中，文档怎么实现，有明文可以追溯，做过了总是会有人知道。”