百度被起诉，支付宝陷争议，360关水滴直播，为啥全都因为它？

文/李俊慧 校对/陈莉

百度是摊上事儿了？还是被冤枉了？

据媒体报道，2017年12月11日，江苏省消费者权益保护委员会（以下简称“江苏省消保委”）就北京百度网讯科技有限公司（以下简称“百度”）涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。

2018年1月2日，南京市中级人民法院已正式立案。

据称，“手机百度”、“百度浏览器”两款手机APP在消费者安装前，未告知其所获取的各种权限及目的，在未取得用户同意的情况下，获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。

江苏省消保委认为，作为搜索及浏览器类应用，上述权限并非提供正常服务所必需，已超出合理的范围。

关于APP可能不当调用或使用智能手机应用或功能权限问题，一直是一个老大难的问题，也是一个事关每一个手机用户个人安全和个人信息安全的核心问题。

那么，到底该如何规范各类APP权限使用？又该如何保护用户的个人信息安全？

前车之鉴：支付宝陷“隐私门”，360被迫关停水滴直播

2016年2月（春节期间），有媒体报道称，有用户发文表示，“支付宝安卓版每隔X分钟(服务器指定)会在后台开启摄像头拍照，录音X秒，然后上传到服务器上，同时也会有通讯录，通话记录，附近基站和WiFi等信息。”

当时，支付宝曾通过自己的官方微博进行回应，“调用摄像头拍照、录音这样的权限，是因为扫描二维码、给好友发送语音时需要用到。”

并对所谓的“每隔X分钟会在后台开启摄像头拍照、录音X秒”说法，给予强烈回应，指称是毫无根据的造谣，申请摄像头权限不等于实际启动摄像头。

与此同时，支付宝还特别强调，支付宝只申请业务需要的权限，不会做额外的信息采集和后台操作，更不会侵犯、泄露任何用户隐私信息。

2017年12月，因为360智能摄像机关联水滴直播服务，可将主要用于监控安防场景的智能摄像机简单设置用于直播，也引发了社会各界的广泛关注和对个人信息泄露的担忧。

随后，鉴于业务的风险性和用户权益考虑，360很快对外宣布永久关停水滴直播服务。

但从APP权限调用到智能硬件功能延展，相关厂商可以在何时何种场景收集何种信息？相关硬件可以在何时何种场景何种授权下可以用做它途？

现在依旧是引发各方焦虑的核心问题。

百度回应：对“监听用户电话”没能力，也从来不会

2017年7月，江苏省消保委结合手机应用侵犯消费者个人隐私情况，对涉及视听应用、图文阅读、金融支付、旅游出行等用户较多且具有一定代表性的27家手机软件所属企业进行调查和约谈。

2017年7月4日，江苏省消保委向百度发送《关于手机应用程序获取权限问题的调查函》，要求其就旗下“手机百度”、“百度浏览器”等两款手机软件存在的相关问题派员前来接受约谈。经过两次约谈，百度方面没有实质性整改，“江苏省消保委”以百度为被告提起民事公益诉讼，目前已获立案。

对此，百度方面在接受媒体采访时称，已经获悉江苏省消保委提起诉讼一事。不过，百度表示，在保护公民个人信息方面，百度与江苏省消保委“立场和根本出发点是一致的”。

据称，在过去几个月间，百度与江苏省消保委就手机应用产品的隐私保护和用户权限管理机制问题，进行了多轮沟通，对江苏省消保委方面的疑问进行了说明和澄清。

百度说明了各项权限的使用场景，并强调百度相关应用获取地理位置、短信、通讯录等授权“都是在合理使用范围内”，且会弹窗提示用户是否授权使用权限，“如果用户不授权则百度不会使用该权限，而用户授权使用之后也随时可以自主选择关闭相应权限”。

而对于备受关注的被指 “监听电话”一事，百度称，旗下手机应用“没有能力、也从来不会”申请这一权限。

问题根源：APP何时、何应用场景可调用何权限？

《网络安全法》第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

简单说，根据相关法律规定，各类APP等网络服务提供者在业务活动中收集、使用公民个人电子信息，应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。

而根据2015年7月1日实施的《移动智能终端应用软件（APP）预置和分发管理暂行规定》相关规定，

1）在权限调用方面，“移动智能终端应用软件必须符合相关标准要求，不得调用与所提供服务无关的终端功能”；

2）在应用开启方面，“未经明示且经用户同意，不得强制开启应用软件”；

3）在明示规则方面，“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”

但如何监督和落实“不得调用与所提供服务无关的终端功能”，也就是如何落实“权限调用”适当性、必要性和授权性问题，是一个现实难题。

现在消费者协会或消保委的介入，给此类问题的解决提供了一种解决路径，一方面，超范围的权限调用一定是损害用户合法权益的，另一方面，监管监督时，到底是前置准入、检测、测试防控，还是安装后使用过程中，动态监测，本身都是难题所在。

如何监管：手机厂商不应缺位，多方共治机制不可或缺

在智能手机权限调用方面，硬件、系统是不可或缺的两大“抓手”。

在硬件层面，那些软件可以启动相关硬件功能，比如启动录音、拍摄、通话等，涉及相应的权限管理或启动管理设置。

在系统方面，非系统软件的各类APP，在调用智能手机硬件使用功能时，其场景如何规范和限制，比如，APP后台运转时不得调用录音、拍摄、通话功能等。

可以说，对于规范APP对智能手机各种涉及用户隐私或个人信息的权限调用监督和管理，需要多层面共同发力，包括：

首先，亟待进一步健全和完善相关法律法规，明确界限或底线。现在很多APP都有调用用户通讯录的权限，这些APP有些是资讯分发类的，但是，通过调用通讯录，以手机号码为注册用户识别机制，在APP端显示其好友注册情况。

但是，值得注意的是，这种通讯录权限调用，是在安装APP时，笼统性的获得用户许可，或用户不许可无法开启软件，但在其匹配注册用户关系与用户通讯录关系时，并未再次提示或获得授权。

其次，亟待各大APP厂商加强自律。根据相应的法律法规，给用户提供更安全更明确的使用环境。

其三，手机厂商也不应该缺位。应在手机系统中提供隐私防火墙，保护用户的隐私。或者对APP权限调用管理说明，予以更加具体、清晰的说明，包括权限管理和权限调用场景识别等。

最后，也需要包括类似消费者协会在内的各类权益保护组织及监管部门或个人，加大对不当调用智能手机权限的APP的曝光、谴责力度，并适时启动相应法律责任的追究。

否则，基于业务边界拓展的考量，任性的APP们恐怕很难轻易自主“收手”。

(中国政法大学知识产权研究中心特约研究员李俊慧，长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。邮箱：lijunhui0602#163.com，微信号：lijunhui0602，微信公号：lijunhui0507)返回搜狐，查看更多