多款应用被指频繁定位实测王者荣耀支付宝美团有类似行为

“太恐怖了，美团App连续24小时定位我，每5分钟一次，这是要干什么？”近日，一名数码博主在微博上发帖写道。

微博截图。来源：@轩宁轩Sir

继前几日微信被网友曝出频繁读取用户相册后，美团也被指频繁访问位置信息。10月11日，美团一名工程师回应媒体称，系该隐私记录App读取系统操作日志后进行了选择性展示，还表示对大部分主流App监测也会得到相似结果。南都记者实测发现，除这两款App外，支付宝、中国农业银行、王者荣耀、大众点评等App均有连续访问用户位置信息的记录。对此，有专家分析认为，企业此举可能是为了“预处理”，及时反馈客户需要，但高频率收集地理位置信息可能会形成行踪轨迹，使数据变得更敏感。

1

微信、美团分别被指频繁访问相册、地理位置

10月10日，数码博主@轩宁轩Sir发帖称美团“24小时”读取位置信息。“太恐怖了，美团App连续24小时定位我，每5分钟一次，这是要干什么？”

@轩宁轩Sir录屏截图。

从该博主录制的视频中可以看到，第三方检测软件隐私洞见App读取系统操作日志后显示，从10月6日10时起到10月8日15时许，美团连续访问其位置信息，访问的频次从1分钟到5分钟不等，即便是10月8日凌晨亦存在访问记录。对此，10月11日，据新快报报道，美团的一位技术工程师接受采访时表示，之所以出现这种情况，是因为这类软件在单方面读取系统操作日之后，进行了选择性展示。上述工程师称，经测试，在相关权限开启且App后台仍处于活跃状态时，大部分主流App均会被该软件检测出频繁读取用户信息，且监测结果高度相似。他还提醒，其未对检测软件的安全性和保密性做测试，建议大家谨慎下载。博主@轩宁轩Sir似乎对美团工程师的回应“不买账”。他反驳称，隐私洞见App只是把iOS15的数据可视化而已，并贴出了iOS15的App行为日志作为证明。

博主@轩宁轩Sir贴出的iOS15的App行为日志。

而就在上周，微信、QQ、淘宝等多款App被爆在后台反复读取用户相册。博主@Hackl0us称，发现微信App在用户未主动激活的情况下数次读取相册，每次读取时间40秒至1分钟，且QQ、淘宝等App也存在后台频繁读取用户相册的行为。

微信方面在10月8日通过媒体回应称，iOS系统为App开发者提供相册更新通知标准能力，为便于用户在微信聊天中按‘ ’时可以快速发图，微信使用了该系统能力，使用户发送图片体验更快速流畅。微信方面还强调，上述行为均仅在手机本地完成，最新版本中将取消对该系统能力的使用，优化快速发图功能。

实测：不止2 微信美团，多款App均频繁访问位置信息美团，多款App均频繁访问位置信息

南都记者了解到，当iPhone更新到iOS15后，隐私设置中多了一项功能——记录App活动。据介绍页面显示，该功能“可以记录App何时访问了用户的位置或麦克风等数据，同时了解App或用户在App内访问的网站何时联系了域”，并存储记录结果。南都记者发现，点击iOS15中的记录App活动中的“存储App活动”可以选择多种导出方式，既可以选择像隐私洞见App这样的第三方软件打开，也可以直接导出文档，将后缀更改为“txt”格式后，可以看到代码形式的App访问记录。

多种导出方式。

代码形式的App访问记录。

值得注意的是，除美团外，其他App是否存在频繁访问用户个人信息的情况？开启iOS15中的记录App活动功能后，10月12日下午，南都记者测试发现，不止美团，多款App均有连续访问用户个人信息的记录。仅就访问地理位置信息来说，测试结果显示，美团在10月12日19时24分、19时25分、19时32分等时间获取定位；支付宝在11日17时34分、17时35分、17时40分等时间获取定位；中国农业银行在9日13时46分、13时48分、13时50分获取定位。

支付宝在11日17时34分、17时35分、17时40分等时间获取定位。

另外，测试结果显示，王者荣耀和大众点评曾在2分钟内连续获取3次位置信息。淘宝、闲鱼均曾有多次读取用户相册的记录。

大众点评曾在2分钟内连续获取3次位置信息。

3

专家：频繁定位或成行踪轨迹，技术黑盒需透明度

为何这么多App频繁访问用户个人信息？这种做法合规吗？企业如何权衡“便利”与“隐私”？在中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲看来，App收集个人信息的频率需要控制在个人保护法所规定的必要性范畴之下，高频率收集个人信息可能会让数据变得更敏感。“比如地理位置本身不是敏感个人信息，但是高频率地收集地理位置信息后可能会形成行踪轨迹，用户的行踪轨迹就是敏感个人信息。”他说。至于企业为何频繁访问用户信息，何延哲分析认为，App为了提升用户体验，用到了一个可能会影响到用户隐私，或者说可能影响到用户安全感的一个功能，然后在决定是否告知同意时，并未考虑进去，而最后被网友发现反过来质问。因为在平衡好体验和隐私的环节，企业替网友做了决定，大家不买账了。“所有互联网企业在技术层面上都会面临一个问题，即客户需要及时性的反馈。事实上，如果没有预处理，这种反馈效率会很低，因此通过读取数据进行预处理是有必要的。”对外经济贸易大学数字经济与法律创新研究中心执行主任许可说。许可认为，分析这类事件都要基于事实认定。如果App在读取数据之后没有上传、泄露，那就是合法的；如果将数据上传了但并未做出后续处理，这类情况在国内法律中尚无定论，但他认为是合理的，毕竟没有给个人带来真正意义上的损害。但如果不仅上传备份了，还做了进一步的处理，那无论企业怎么声称是为了用户的利益或便利进行该操作，都违反了相关规定。在何延哲看来，企业通过评估保护个人信息，可以有三个方面需要考虑：一是需要进行相关方咨询，也就是征询消费者的意见，但是实践层面还很少有人这么做；第二，评估的结论是轻微影响、低风险的处理活动是可以接受的，也就是说如果评估人员认为App的行为事实上没有侵害到隐私，那么可能也会选择直接上线功能而不事先告知；第三，影响评估本身也是一个自反馈机制，发现问题，解决问题，优化机制也是评估的一部分。这也充分体现了风险管理中的动态平衡机制，合理利用影响评估不是彻底避免隐私问题，而是使其趋向于动态平衡。许可提出企业可以采取告知措施。比如告知用户为何要读取数据进行预先处理。“很重要的一点是，用户的知情权通常都应该得到保障，透明是最好的‘防腐剂’；倘若不告知用户，这个问题就变成了一种欺诈。因此，如果企业操作的目的确实是为了给用户更好的体验和便利，就应当明确告知用户。”他说。“隐私是数字社会人们敏感而又脆弱的一根神经，每个企业，每个人都应当思虑周全，审慎对待。”何延哲认为，技术也不能盲目推崇“中立论”“无罪论”，技术的黑盒子需要一定的透明度，需要事前评估，事中监督，事后弥补，需要被监管，这样才能不断修正技术的合理利用方向，而如何把握好这个“度”正是当下需要探索的重要命题。采写：南都记者孙朝

爆出美团APP私自定位用户，除了美团还有哪些APP?

有网友通过检测软件发现，美团APP一直在定位自己，平均每隔5分钟一次，不知道是在做什么。除此之外，还有知乎等相关软件，只是频率没有美团那么规律化。不过这仅仅是网友爆料，并不能确定是美团主动发起的定位。现在相关公司的工程师和有关专家都进行了回应，还需要通过具体的调查才能得出答案。

 

1、事情经过

网上有一个用户晒出相关录屏，他发现通过隐私软件可以观察到相关软件对隐私的访问，其中美团APP每5分钟就对其定位一次。其他APP也是一样，平均每天获取信息上千次。因为现在大家都比较关注手机隐私，所以这个消息出现后，迅速在网上走红，不少人都对此提出质疑，希望美团官方能够做出回应。

 

2、美团工程师的回应

随着热度越来越多，美团公司的工程师站出来进行了回答，他表示不断定位是用户使用的隐私软件问题。这类软件在获得相关权限后，会选择性展示工作日志，如果APP处于后台状态，就会被一直检测。工程师还晒出了其他软件截图，表示大家都是同样的情况。用户应该警惕自己使用的软件，而并非美团本身。

 

3、中间的疑点

用户使用的相关软件，不一定是大公司开发的，极有可能存在美团工程师所说的情况。不过这里还有一个疑点，那就是平均五分钟一次过于规律化，其他APP并没有像美团这样。是不是美团也存在问题，值得我们去思考。随着网络时代的崛起，各大公司都开始制作APP，其中还有一些不尊重法律，肆意偷取用户隐私。一直到近些年，人们才开始重视这个问题，国家相关部门也大力监管。无论有没有问题，我们都应该当心，隐私的事情可大可小，有关公司应该给出合理的解释。

荣耀30S允许淘宝读取相存权限哪设置？

6月13日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（以下简称《指南》）并公开征求意见。
信安标委官网
《指南》拟根据App生命周期，要求移动智能终端为用户提供敏感数据访问提示和控制功能，并拟将应用程序列表和剪切板纳入敏感数据/能力。《指南》还拟引入权限自动重置机制——对于长期不用的App，用户可以选择自动解除其敏感权限授权。
应用程序列表和剪切板属于敏感数据/能力
随着移动互联网的迅速发展，移动互联网应用程序给人们生活带来便利、越来越多地处理人们的个人信息的同时，也存在个人信息收集、使用不合理的问题。据悉，《指南》旨在提出移动智能终端的个人信息安全管理措施，增强App处理个人信息行为明示程度，为App用户提供更多个人信息保护控制机制。
《指南》将App在移动智能终端上的生命周期分为安装、启动、运行、更新、退出、停用/卸载六大节点，拟要求App个人信息处理活动的管理遵循公开透明、方便管理、确保安全、细致管控、合理适度的原则。
App在移动智能终端上的生命周期。图自《指南》
南都记者注意到，《指南》拟提出，移动智能终端应记录App行为，并为用户直观呈现个人信息调用情况。其中统计和记录的行为除了常见的敏感权限调用如定位、通讯录、麦克风、照相机、媒体影音数据等外，还包括读取唯一设备识别码（如IMEI、WLAN MAC地址）以及App自启动和被关联启动的行为。
目前，小米、苹果等国内外多款手机厂商都上线了App行为统计功能，而统计结果常常引发用户担忧。去年10月，微信被发现频繁读取手机相册、定位，随后南都记者实测发现，王者荣耀、支付宝、中国农业银行、大众点评、闲鱼等App也有类似行为。
去年底，南都个人信息保护课题组发布《个人信息安全年度报告（2021）》（下称《南都报告》），披露了150款App的权限获取合规情况。其中128款App在运行过程中读取IMEI号超出一次，有的甚至每分钟读取超过200次。
对此，有专家曾向南都记者表示，企业可能是为了实现一些功能的“预处理”，及时反馈用户需要，但高频率收集个人信息可能会使数据变得更敏感。
值得一提的是，虽然《指南》中仅将统计和记录App读取应用程序列表、剪切板的行为列为可选项，但根据附录B，应用程序列表和剪切板被纳入了敏感数据/能力。《指南》还拟要求移动智能终端增加剪切板访问提示机制，在App读取剪切板时向用户提示。
《指南》附录B
根据《南都报告》的测评结果，150款受测App中有多达48款App默认获取非必要权限，主要就是应用程序列表和剪切板。App频繁访问剪切板也曾引发国内外对于隐私泄露的担忧有关——国外的TikTok、CNN、纽约时报，国内的QQ、微博、网易云音乐、淘宝等都被发现有上述行为。
多位专家表示，App可以通过访问剪切板打击垃圾评论、恶意刷评论，还可以识别指令，比如在不同App内跳转到对应页面或复制验证码。不过，由于剪切板内容可能包含身份证号、短信验证码、银行账号等敏感个人信息，泄露风险也不容忽视。
而应用程序列表是一个通常被忽略实则可以获取敏感数据的权限。2021年11月，广东省消委会在“常见类型App非必要个人信息收集情况调查活动”回头看中发现，下载量排名前20的App几乎均默认读取了手机的应用程序列表。
此外，《指南》拟要求，移动智能终端保存App调用个人信息行为的周期不少于7天，同时根据终端配置水平的差异，设定调用行为保存次数阈值。
长期不用的App可被自动解除敏感权限授权
除了频繁访问敏感权限，App的自启动或者关联启动也一直受到诟病——在用户不知情的情况下，这些“被唤醒”的App很有可能擅自在后台收集个人信息。
2021年4月，工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》，拟要求明确在非服务所必需或者无合理场景下，不得自启动或者关联启动其他App，并要求移动智能终端生产企业为用户提供关闭选项。
《指南》则更进一步，拟要求移动智能终端为用户提供管理App自启动、被关联启动等行为的控制选项，且选项默认设置为关闭状态；或在App首次自启动、被关联启动时提示用户，由用户选择是否允许自启动、被关联启动。
在敏感数据访问提示和控制方面，《指南》还对唯一设备识别码、短信和通话记录拟提出要求。
针对唯一设备识别码，《指南》拟要求移动智能终端建立访问控制机制，包括限制App 获取不可变更唯一设备识别码，为用户提供可便捷地重置可变唯一设备识别码（如广告标识符）的机制，支持用户选择是否允许向App开放不可变更唯一设备识别码。
对于短信和通话记录，《指南》拟限制App向用户申请短信、通话记录权限，除非基本功能所需。若确有需要，移动智能终端应提供拨打电话与发送短信的公共接口，App调用后跳转到系统交互界面，由用户主动操作。
值得注意的是，《指南》拟引入权限自动重置机制，系国内个人信息保护相关法律法规、标准规范中的首次。
具体来说，移动智能终端应提供相应选项，使得用户可以选择当自己长期（如3个月）未使用某App时，是否自动将该App已开启的敏感系统权限重置为禁止状态。南都记者了解到，谷歌已经在Android 11及更高版本中引入该功能。
据了解，《指南》将首先在牵头公司中进行应用试点，并逐渐推广到其他终端厂家。
采写：实习生程雨祺 南都记者蒋琳