APP們“失控”了。

從拼多多刪除用戶緩存照片，到QQ讀取用戶瀏覽器歷史訪問記錄，人們發現，自己的隱私的獲取方式會是如此簡單、隱蔽，數字時代，個人隱私的保護會如此艱巨。

從點進小小的圖標起，香港免備案主機，姓名、電話、相冊、位置、通訊錄，各類手機權限被APP一一拿到，點擊記錄、瀏覽時長，各類信息化作養料，滋養著算法的演進，維系APP的正常運轉，沒有人能比APP更懂我們。

萬字長文，全篇閱讀大約需要25分鐘。如果沒時間閱讀全文，可拉至最下方，閱讀千字提要版。

搜狐科技《遠光》出品——看見更深、更遠的科技時代。

一、我們的隱私是如何泄露的？

獲取權限，是APP拿到我們隱私數據的第一步。

不過，通過查閱常用APP的隱私政策，我們可以發現，APP收集的大部分用戶信息是不需要調取用戶權限的。

以拼多多為例，可以“輕易”獲取的信息包括手機號等注冊信息，設備型號、瀏覽記錄、搜索記錄等設備信息和日志信息，以及身份證、收貨地址、訂單號、下單時間等交易信息。

不過，拼多多強調，單獨的設備信息、日志信息、搜索關鍵詞信息等無法與特定個人直接建立聯系，所以不屬于個人信息或個人敏感信息。

除了APP可以輕易獲取的信息，還有用戶可以自主選擇是否授權的信息，一般包括位置、攝像頭、相冊、麥克風、通訊錄，用戶可以根據需求開啟或關閉相關權限。當然，隱私政策、隱私權限設置“躺”在APP的“犄角旮旯”里，“鮮為人知”。

在上述兩種收集方式之外，還有大量的個人信息以更為隱蔽的方式流轉著，比如SDK和輸入法。

SDK是APP里的第三方工具，可以幫助APP高效率、低成本地實現地圖、支付、統計、廣告等功能。與此同時，SDK可以對WiFi熱點、位置、手機號、通話記錄等個人信息進行收集。

《常用第三方SDK收集使用個人信息測評報告》中指出，有少數SDK會向自己的服務器回傳未經加密的個人敏感信息，這些信息在APP開發者、單個或多個第三方之間流動，增加了個人信息泄露、濫用的風險。

有行業人士向搜狐科技透露，做推送服務SDK的公司可以實現互相拉活、互相調起，這證明個人信息會通過SDK流動。“如果你做了一個APP，去SDK服務商這里買量，只要用戶手機中有安裝同一SDK的APP，該公司就能通過該APP你的應用調起（后臺自啟動），或者是能跳轉到你的APP上。”

SDK收集信息較為隱蔽，用戶很難感知。與之相似的則是輸入法，用戶對輸入法往往“燈下黑”。

在2021微信公開課Pro版的微信之夜上，張小龍的講話似乎暗示了第三方輸入法有過度使用個人信息的嫌疑。他表示，接下來微信將灰度測試輸入法，目的不是搶奪這個市場，而是保護用戶隱私。

“微信收到了很多用戶投訴，稱自己聊天輸入什么就會看到相應的廣告。出于保護用戶隱私的目的，微信要自己做一個輸入法。”

除了文字輸入，APP對于聲音的收集，也常常讓用戶恐懼，許多用戶經常反應遇到“監聽現象”。

“剛和朋友聊天提到嬰兒車，購物軟件立馬進行了精準推薦”、“剛和女兒聊到紙飛機，抖音就進行了相關視頻推薦“——過于精準的廣告推送讓用戶不由得產生疑問：APP會通過偷聽、偷窺的方式收集個人信息嗎？

《APP安全意識公眾調查問卷報告》顯示，在近32萬名受訪者中，近三分之一的人表示很反感精準推送和個性化廣告，感覺自己被窺探或偷聽。

一位小米安全開發工程師告訴搜狐科技，現在大部分APP都向用戶索取讀取文件的權限，從技術上來說，凡是讀取文件，比如竊聽、偷拍、遠程刪除照片、收集用戶瀏覽記錄等等操作都可以完成。

雖然理論上可行，但多位行業人士向搜狐科技表示，偷聽、偷拍的行為在成本與收入上不成正比，有較大的法律風險。并且，現在底層的操作系統會對應用調取敏感權限進行限制，告知用戶。

有資深安卓開發工程師告訴搜狐科技，在新的安卓系統中，竊聽、偷拍等現在在技術上也不是很容易實現，如果應用在后臺，一般是打不開麥克風、攝像頭這種敏感權限。

“安卓6.0之前沒有‘動態權限’，開發者可以隨便用敏感權限。但是現在，你真正需要用的時候，需要彈框提示用戶，如果用戶點拒絕，你是沒辦法用的。”

“我們現在有畫像和追蹤的技術，完全可以做到知道你想買什么或猜你想買什么，偷聽是沒有必要的。”APP專項治理工作組專家何延哲表示，一旦發現APP偷聽，就是絕對意義上的未經用戶允許收集個人敏感信息，這是典型的違法行為，“應該是非常少甚至不存在的”。