這是一個信息時代，這是一個大數(shù)據(jù)時代！

市面上很多APP，也不管自己是否真的需求，各種權(quán)限無底線的索取。強制授權(quán)、過度索權(quán)、超范圍收集個人信息等現(xiàn)象也大量存在，違法違規(guī)使用個人信息的問題十分突出，成為全社會普遍擔(dān)憂的問題。拿題主說的“讀取視頻、照片”為例：“讀取信息和照片，視頻”，實際上就是獲取“讀存儲空間”的權(quán)限，對于有的APP，如，因為你要從手機上傳的視頻、圖片，所以這個權(quán)限是必需的，可以理解。但對于某些APP，不讀取存儲空間完全不影響你的功能實現(xiàn)，那你憑什么索取這些權(quán)限。我看了一款安卓手機的應(yīng)用，居然有不少APP都想索取一個權(quán)限：“后臺截屏/錄屏”，什么？偷偷摸摸截屏、錄屏，你究竟想干什么？

說到底，APP對權(quán)限的索取，就是在玩“跑馬圈地”，盡可能多的占據(jù)用戶的數(shù)據(jù)資源，進(jìn)一步分析得到更多的有價值信息，最終對你進(jìn)行一個相對詳細(xì)的人物畫像，使得自己的產(chǎn)品、營銷策略更有針對性，同時，也可能通過某些權(quán)限分析競品APP的情況。更有甚者，還有從事販賣個人信息的黑產(chǎn)。

在《移動應(yīng)用（App）數(shù)據(jù)安全與個人信息保護(hù)白皮書（2019年）》中，列舉出的當(dāng)前主流App在數(shù)據(jù)安全與用戶個人信息保護(hù)方面存在的風(fēng)險如下：

（一）默示征詢個人情況多，存在數(shù)據(jù)違規(guī)收集風(fēng)險

（二）過度索取個人權(quán)限多，存在數(shù)據(jù)惡意濫用風(fēng)險

（三）明文存儲個人信息多，存在數(shù)據(jù)非法獲取風(fēng)險

（四）私自共享用戶數(shù)據(jù)多，存在數(shù)據(jù)惡意散播風(fēng)險

（五）設(shè)置注銷限制條件多，存在數(shù)據(jù)過度留存風(fēng)險

南方都市報大數(shù)據(jù)研究院與南都個人信息保護(hù)研究中心聯(lián)合發(fā)布了《2019個人信息安全報告》，來自10個行業(yè)的100款頭部App進(jìn)行測評，借此反映目前主流App的隱私保護(hù)現(xiàn)狀。根據(jù)測評，有83款A(yù)pp隱私政策透明度在60分以上，達(dá)到了合格水平。報告還顯示：95.02%的受訪者表示自己遭遇過信息泄露，其中約15%的受訪者表示，從未對此采取行動。依據(jù)受訪者反饋，中介服務(wù)類的App隱私泄露最為嚴(yán)重，有52.46%的用戶反映這一問題，其次是網(wǎng)上購物（49.14%）和金融借貸（46.15%）。

可以看到，個人信息安全形勢依然嚴(yán)峻！

2018年，歐盟生效了一部個人數(shù)據(jù)保護(hù)法，GDPR中，將傳統(tǒng)意義上的如姓名、身份證、電話號碼銀行帳號等個人數(shù)據(jù)，擴大到包括“已識別”（identified）和“可識別”(identifiable)的數(shù)據(jù)信息。如位置數(shù)據(jù)，手機識別信息等。

GDPR賦予個人七大權(quán)利：

一、知情權(quán)：如你收集我的哪些數(shù)據(jù)，用來干什么？

二、訪問權(quán)：有權(quán)訪問個人數(shù)據(jù)及相關(guān)的處理信息。

三、修正權(quán)：可以及時修改，糾正不準(zhǔn)確的個人數(shù)據(jù)。

四、被遺忘權(quán)：如我注銷時，可以要求刪除所有相關(guān)的個人數(shù)據(jù)。

五、限制處理權(quán)：運營商有我的位置信息，但我可以限制你使用。

六、可攜帶權(quán)：我可以要求某貓將我的購物習(xí)慣共享給某東，從而使某東對我的習(xí)慣更快了解。

七、拒絕權(quán)：個人可以根據(jù)條款拒絕數(shù)據(jù)控制著對個人數(shù)據(jù)的處理。

對照著這七個權(quán)利，看看手機中的APP，只能“呵呵”了。當(dāng)然，GDPR對于行業(yè)確實是個不小的挑戰(zhàn)，F(xiàn)acebook、推特、微軟、蘋果、谷歌等美帝科技巨頭無一幸免，或多或少都有些違反GDPR，并遭遇了不同程度的處罰。

要知道，GDPR的處罰是相當(dāng)嚴(yán)厲的，按照規(guī)定，最高可處以2000萬歐元的罰款,或上一會計年度年收入的4%，估計很多企業(yè)看到這個，已經(jīng)開始瑟瑟發(fā)抖了。

而且，GDPR不僅對企業(yè)有約束，對政府機關(guān)同樣有效力，2019年保加利亞數(shù)據(jù)保護(hù)委員會向其國家稅務(wù)局開具了近300萬美元的罰單，因后者沒有采取適當(dāng)?shù)谋Ｗo(hù)措施致使公民個人數(shù)據(jù)泄露。

我國針對個人數(shù)據(jù)保護(hù)也出臺了相關(guān)的規(guī)范和標(biāo)準(zhǔn)：

• 早期法規(guī)有《網(wǎng)絡(luò)安全法》、《消費者權(quán)益保護(hù)法》。
• 2019年發(fā)布的《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》，對相關(guān)法律和國家標(biāo)準(zhǔn)進(jìn)行了細(xì)化，也為APP經(jīng)營者過度收集使用個人信息敲響了警鐘。
• 2019年發(fā)布《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用（App）收集個人信息基本規(guī)范（草案）》，向相關(guān)單位征求意見。
• 2020年發(fā)布了移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息安全防范指引（征求意見稿）。

在行業(yè)規(guī)范及法規(guī)沒有很完善的時候，我們只好盡量減少各種授權(quán)：如：

1）安裝APP后，把能禁用的權(quán)限都禁用，保留保證APP可用的最小權(quán)限集即可。

2）對于長期不用的APP，直接卸載掉。

當(dāng)然更多的責(zé)任在于APP企業(yè)，如何正當(dāng)、必要、最少夠用地收集用戶信息，如何進(jìn)行加密，脫敏等操作，如何跟發(fā)達(dá)國家的相關(guān)法律法規(guī)接軌，任重而道遠(yuǎn)。

我是科技狗，感謝您的閱讀，歡迎指正，評論和關(guān)注！