你钟爱的那款APP，也在“钟爱”你吗？每天登陆的APP可能在一开始的时候就让你无条件地被“追踪”，你的隐私信息正在暴露……

近日，上海市网信办对此前被约谈的23个APP开展“回头看”复测工作，要求各企业按照整改报告切实做好整改工作。2018年10月，上海市网信办对本地最常用的23个App获取用户个人信息等权限申请情况开展安全抽查，并就抽查中发现的申请权限不合理、过度索取用户个人信息等问题依法对23家App运营企业进行约谈。

根据安全抽查结果，结合运营企业发展实际，最终确定整改前的“不合理权限”数量为164项，“合理但存在风险权限”数量为113项。

此次复测结果显示，截止1月中旬，各App共整改158个“不合理权限”和98个“合理但存在风险权限”。整改后剩余6个“不合理权限”因企业战略调整等原因还未整改，但都已列出详细整改计划，剩余15个“合理但存在风险权限”因安卓系统的限制，无法完成“修改为一次性授权”的整改，但会对此类权限加强网络安全管控，严防个人信息泄露风险。

上海市网信办表示，下一步将根据《关于开展App违法违规收集使用个人信息专项治理的公告》要求，加强对App运营企业违法违规申请权限、收集用户个人信息等行为的监管和处罚，对未完成整改的企业进行再检查。

根据《信息安全技术个人信息安全规范》的“最少够用原则”，即除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。

这意味着，APP收集用户个人信息化的最小原则要求“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现；自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。”

事实上，表面上来看，APP所收集的个人信息本身也具备保密性、完整性、可用性三大特征。

对于用户而言，点击“信任此应用”(即允许此应用的所有权限)一栏，即可能同意A PP收集用户的多项资料；而用户若采取手动点击各项权限，则可以有选择性地避免该款APP过度收集用户手机信息和个人信息。

对于APP的所有者而言，在获取个人信息、处理个人信息等活动当中亦需要关注对用户权益的影响。因此，APP应遵守个人信息最小化收集原则，获取对与实现产品或服务的业务功能有直接关联的个人信息，尽量避免过度收集个人信息，并合规合法处理个人信息，保护用户的隐私安全和人身财产安全等权益。

来源：

• TechWeb

• 南方都市报

推荐阅读

谷歌Play应用商店又现恶意软件 窃取用户的虚拟货币 | 看雪·19

Android系统新漏洞现身：黑客可利用特制的.PNG图片文件执行攻击 | 看雪·19

iOS 12.1.4发布前，谷歌提醒已有黑客利用零日漏洞攻击iPhone用户 | 看雪·19

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com