【见习记者 谭丽平】

《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（下称《规范》）近日在全国信息安全标准化技术委员会官网公布。

尚法新闻（ID：zgsbfzzk）发现，该《规范》界定了社交、金融借贷、网约车、短视频等16类常用移动APP收集用户必要信息的范围，要求即时通讯社交、社区社交、金融借贷APP不应强制读取用户通讯录。

（图片来源：网络）

“越界”的APP权限

随着移动互联网的快速发展，各种APP呈爆发式增长。手机APP在给人们带来便利的同时，也带来了许多困扰。部分手机APP过度收集、违规使用个人信息一直被诟病。

央视“3·15”晚会上，一款名为“社保掌上通”的APP被点名批评。经主持人测试，用户填写各种资料注册这款APP后，电脑就能够远程接收到用户的所有信息。这款APP通过隐藏的用户条款窃取用户社保信息，并且未得到官方授权。

不仅如此，据经济导报报道，一款定位为视频软件的APP“咪咕视频”，有着多达40多项权限要求，除了读取通讯录、修改通讯录、监听新安装应用、读取通话记录、写入通话记录、读取日历活动和机密信息，最关键的，这款APP还能强行重新启动手机、将系统恢复到出厂设置、清除SD卡内容，甚至还有人体传感器的权限要求。

2018年，中消协发布《100款App个人信息收集与隐私政策测评报告》，对100款App进行测评后发现，47款App隐私条款内容不达标；多达91款App列出的权限存在涉嫌“越界”，即存在过度收集用户个人信息的问题。在综合评分中，金融理财App评分最低。

“对厂商来讲，能拿到的用户信息越多越好，这有利于分析用户的使用习惯，知道了用户习惯就能更好地推送产品。”中国网络空间安全人才教育联盟秘书长鲁辉表示。

北京志霖律师事务所副主任赵占领律师曾表示，现有法律法规没有针对各个细分领域单独进行规定，比如视频APP只能收集哪些信息、电商APP只能收集哪些信息，主要原因在于行业和软件类型众多，很难逐一规定收集个人信息的范围，只能通过必要性原则来判断。

定位软件被涉黑涉恶团伙利用

读取用户信息似乎已成为手机APP的“标配”，而海量的用户信息泄露事件也在不断发生：前程无忧的195万条用户求职简历泄露；圆通快递10亿条快递数据被售卖；顺丰快递3亿用户数据被兜售；5亿条华住旗下酒店客户开房数据被出售；万豪集团5亿名客人的信息被泄露……

首例非法侵入手机App获取位置信息刑事案件，能更直观的揭露嫌疑人们的犯罪事实。

2018年3月26日，南京警方在青海省海东市抓获了“App神探”开发销售者吴强。30岁的吴强是江西上饶人，计算机专业毕业后成为一名技术员。因为喜欢黑客技术，偶然机会，他在网上看到有人卖手机聊天工具定位软件，但使用功能很一般，于是他就想自己开发定位精度更高的软件。

没多久，他破解了一款手机聊天程序的位置信息防护系统，捣鼓出一款新的定位软件，并命名为“App神探”，通过QQ群、微信群、聊天室等网上渠道销售。

“用户要先在App软件上注册成为会员，充值后才能使用定位功能。如果对方在线，定位一次只要1元；如果对方不在线，定位一次要10元。他后来还开发出针对多款主流聊天工具的定位功能，定位一次100元。”警方介绍。

据警方多次侦查实验发现：精确位置只相差20~50米。案发时，定位软件在两年间吸引了4000多名注册用户，其中充值金额在1000元以上的有近200人，涉案金额40余万元。

然而，这款定位软件不光被个人非法使用，还成为国内80余家调查公司、讨债公司实施不法行为的帮凶，帮其对目标人物实时定位。

此外，国内多个涉黑、涉恶团伙也在用这款定位软件，定位这些团伙要下手的目标人物位置信息，进而实施非法拘禁、故意伤害等违法犯罪行为。

江苏警方表示，作为一种新型犯罪案件，该案的出现对如何有效防范黑客攻击，如何有效保护每个App用户合法权益，既敲响了警钟，又提出全新挑战。

明确规范16大类APP的收集权限

尚法新闻（ID：zgsbfzzk）注意到，APP的信息安全已经引起监管部门重视。今年1月底，中央网信办联合工信部、公安部、市场监管总局等四部门表态，今年将在全国范围内发起专项治理活动。严重违法违规收集个人信息的APP运营者，将被依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

此外，去年5月1日生效的《信息安全技术个人信息安全规范》规定，收集个人信息时需要得到用户授权，而且收集的如果是个人敏感信息，还需明示同意。

而《规范》的公布，更加详细的规范了16大类型APP，可收集的个人信息类别及使用要求。落实了《网络安全法》第四十一条相关条例。

《规范》指出，APP收集信息遵循权责一致、目的明确、最少够用、选择同意、公开透明、确保安全6个原则。依据个人信息收集“最少够用”的原则，《规范》给出了16类APP实现基本业务功能可收集的必要信息范围。

比如，即时通讯社交类APP要实现基本业务功能，可收集的必要信息包括手机号码、账号信息、好友列表、好友信息、群列表。

但对收集的信息做出了相应要求：手机号码仅可用于用户注册、实名认证；账号信息仅用于标识即时通讯用户、保护账号信息安全和用户聊天交流；好友列表，仅用于建立和管理用户在即时通讯社交应用的联系人关系，应允许用户在即时通讯社交应用中手动添加好友，而不应强制读取用户的通讯录；好友信息仅用于向用户好友展示基本信息，或经本人同意后授权第三方平台登录使用；群列表则仅用于实现群组聊天功能。

资料来源：经济导报、每日经济新闻、北京晨报、中国青年网