百度点击软件

1月8日，记者实测了安装百度浏览器所需的授权。手机截图

上周，江苏省消费者权益保护委员会(以下简称江苏省消保委)对百度提起民事诉讼，指控百度的APP“监听电话和定位”。1月8日，百度召开媒体沟通会，再次强调其APP不能也不可能监听电话。同时，百度APP的敏感权限需要授权，用户可以自由关闭。

专业人士告诉新京报记者，只要用户给APP相关权限，监控等操作在技术上是可以实现的。但也有人说没人会做，因为容易被发现。

并非所有安装都会提示授权。

上周，江苏省消保委以手机应用侵犯消费者个人信息为由，对百度公司提起民事诉讼，两次约谈仍无整改。

江苏省消保委表示，在百度公司提交的最终整改方案中，手机百度和百度浏览器两个app中的“监听电话”、“阅读短彩信”、“阅读联系人”等涉及消费者个人信息安全的相关权利未得到整改，未明确提示获取权利的用途、方式和软件应用范围供消费者选择。

百度表示，在过去的几个月里，百度与江苏省消保委就手机APP的隐私保护和用户权限管理机制进行了多轮沟通，百度也多次对江苏省消保委的质疑进行了解释和澄清。百度表示:“我们将继续积极与江苏省消保委沟通，与消保委共同努力，让个人信息安全在互联网等行业得到更广泛的重视和充分的保护。”

百度手机高级经理田彪向媒体展示了一段百度手机安装并获得权限的视频。视频中还原了一部出厂设置的手机。首次下载、安装和使用百度APP时，会弹出窗口提示用户是否授予手机、位置和存储权限。

当然，并不是所有的安卓手机第一次下载百度都会弹出来。演示环节使用的另一部手机，下载手机百度时没有弹窗。田彪指出，一些系统会授予它认为安全的app一些权限。安卓系统的授权非常复杂，授权完全取决于手机系统本身，而不是由app本身来判断和决定。

百度:获取的权限都有使用场景。

江苏省消保委和百度的一个重要区别是手机百度和百度浏览器是否过度调用用户数据。此前，江苏省消保委表示，用户在安装手机百度和百度浏览器前，并未被告知百度获取各种权利的目的。作为搜索和浏览器应用，上述权限并非提供正常服务所必需，已超出合理范围。

用户数据调用过多的问题由来已久。腾讯社会研究中心和DCCI互联网数据中心联合发布的《网络隐私安全与网络诈骗研究分析报告(Q1，2017)》显示，手机APP对个人信息的跨境获取已成为网络诈骗的主要来源。高达96.6%的安卓应用获得了用户手机的隐私权，iOS应用的这一数据高达69.3%。越界获取隐私权是指手机应用在自身功能不必要的情况下获取用户隐私权的行为。

百度方面表示，目前手机百度和百度浏览器常用且敏感的权限包括存储、获取地理位置、读取通讯录、摄像头、麦克风、短信等。这些权限有非常明确的使用场景，只有在用户授权后才能打开，打开后也可以随时关闭。

比如看通讯录，在社交和手机充值场景下就是授权；在提供基于位置的天气信息、手机百度访问百度地图等服务时，需要获得位置许可；读取短信授权的使用场景是在手机钱包绑定银行卡的情况下，帮助用户方便地读取短信验证码进行登录注册。当用户需要使用图像搜索和语音搜索时，弹出窗口提醒用户授予摄像头和麦克风权限。如果用户还需要调用通讯录给手机充值，则需要点击授权同意APP，通过弹出的提示调用通讯录权限。

1提出问题

百度的两个app获得了哪些权限？

1月8日，新京报记者使用安卓手机安装手机百度和百度浏览器APP时发现，打开手机百度时，要求获得“位置权限”和“存储权限”。百度浏览器还要求在打开页面时，除了上述两个权限外，还需要获得“电话状态”权限。上述权限被拒绝后，两个应用程序都无法打开。

当举报人允许这两个应用获得位置权限和存储权限时，这两个应用可以正常使用。但记者在手机的“应用权限”一栏发现，百度浏览器除了在记者同意的情况下开放存储和位置权限外，还自动开放了摄像头权限、电话权限和麦克风权限；在“单一权限”一栏中，打开的权限还包括调用摄像头、启用录音、获取浏览器在线记录。百度手机自动开启通讯录权限和电话权限。“单一权限”中开启的权限包括读取本地识别码、读取联系人、自动启动应用。事实上，上述授权记者在打开应用时没有一个人授权，应用是“偷偷打开”的。

百度昨日表示，部分系统会对其认为安全的app授予部分权限，授予的权限取决于手机系统本身，而不是app自己的判断和决定。

相比安卓系统，手机百度和百度浏览器对iOS系统权限的要求“低调”了不少。用户只要下载安装即可立即使用，并且没有在Android环境下安装时弹出的权限请求提示。在iOS系统的“允许访问”界面，这两款app并没有自动开启其他权限。记者使用APP中的“图片搜索”和“语音搜索”功能时，才会跳出打开相应权限的选项。

南洋理工大学互联网相关专业人士对新京报记者表示，APP对权限的要求与Android和iOS不同。其中一个主要原因是iOS使用了沙盒机制。

记者发现，沙盒机制指的是计算机领域的一种安全机制，它为程序运行提供一个隔离的环境，保证应用程序只能读取为应用程序创建的文件夹中的文件。据上述专业人士介绍，iOS系统之前一直被用户诟病，不能像Android一样方便地传输数据或者在app之间跳转。部分原因是受限于沙盒机制的安全考虑。

2问问题

手机APP可以监听用户的手机吗？

对于手机百度和百度浏览器“电话监听”的问题，手机百度昨日表示，“无论是苹果还是安卓，都无法为应用开发者提供可以监听用户电话的接口或权限。百度手机应用没有能力也永远不会申请这个权利。"

不过，互联网安全专家刘海(化名)表示，只要用户给APP相关权限，从技术上是可以监听手机等操作的。至于做不做，就看APP要不要了。

“电话许可至少可以分为四种:电话通讯录、通话记录、录音许可、读取本地识别码。”1月8日，北京互联网从业者赵倩(化名)对新京报记者表示，“监听电话涉及的是录音权限。如果在开启电话权限的基础上开启录音权限，APP就可以对手机进行技术监控。”

没有开放接口或者没有许可，系统可以监控吗？赵倩说，“APP端也可以通过录音，然后存储录音文件，再上传文件，达到监听用户通话的效果。”一位白帽黑客也对新京报记者直言“录音和调用接口不是一回事”。

猎豹移动安全专家李铁军对新京报记者表示，实际上很少有人这么做。“这种数据监控然后上传很容易被发现。这个过程需要APP有调用录音的动作，APP代码可以识别。如果出现这种情况，手机上的安全软件都能发现，任何能逆向分析程序的人都能发现。”

赵倩还表示，在Android中，APP方可以通过获取相应的权限来获取相应的信息。“手机管家和应用宝上都可以显示权限。如果用户不给予批准，app PC上的内容会显示为空白色，但如果用户同意(通讯录)权限，那么上百个联系人的信息马上就没了。”

其实目前大部分手机用户都不知道开放相关权限后会暴露哪些信息的风险。

举个例子，某互联网公司的架构工程师说，如果用户给APP打开相应的权限，就可以读到一个叫“MAC地址”的东西。MAC地址指向手机中负责WiFi通信的一块芯片。它有一个ID来识别移动电话的唯一身份。它的初衷是帮助手机连接WiFi信号，但它也有一个“副作用”，就是让附近的WiFi基站知道谁在附近。"

提问3

APP有必要获取这么多权限吗？

去年7月，江苏省消保委对12306、爱奇艺、去哪儿、腾讯视频、蜻蜓FM、百度浏览器、手机百度等27家用户众多、具有一定行业代表性的APP所属企业进行了调查采访。

1月8日，新京报记者使用安卓系统体验了一起采访过的12306、去哪儿旅行、腾讯视频、蜻蜓FM的用户权限请求。发现12306、去哪儿旅行、蜻蜓FM都是在开机前向记者要求相关许可。其中，12306要求提供位置、相册、电话状态等五项权限。去哪儿旅行需要存储许可，蜻蜓FM需要电话许可。腾讯没有就该视频征求任何许可。

除了APP打开界面中的“明示”权限外，在后台“应用权限”列表中，记者发现Qunar.com和腾讯视频都直接打开了电话权限。去哪儿网的电话权限包括拨打和读取本地识别码两种权限，而腾讯视频只有读取本地识别码一种权限。

“你为什么需要这么多权限？有些应用显然不需要它们。”刘海说。

北京支林律师事务所律师、中国互联网协会信用评价中心法律顾问赵占领认为，收集个人信息是否必要，要看产品的功能和定位。“部分新闻客户端收集用户访问记录，分析用户兴趣和偏好，以达到精准推荐的目的，不违反必要原则”。

新京报记者查询了不少手机用户的app，发现大部分app都有“读取本地识别码”的权限。公开资料显示，很多app需要从手机中读取一个标识符来识别用户，相当于在用户未登录的情况下，让服务器知道了用户的身份。要读取这个标识符，需要申请电话许可，这也是为什么大部分app都需要获得电话许可的原因。

需要注意的是，以上四款app虽然都开启了电话权限，但都没有开启录音权限。

据记者梳理，在安卓手机中，应用要求最多的权限是:读取本地id、读取已安装应用列表、读取位置信息、调用摄像头、悬浮窗、启用录音。

4问问题

如何保护用户的个人信息？

首次安装手机百度后打开APP，页面下方一行小字会默认勾选“我已阅读并同意手机百度的服务协议和隐私政策”。如果未选中，则不能使用手机百度。

记者查阅了这两份协议。根据服务协议，百度搜索软件将对用户的短信、通话记录、通讯录等进行索引。以便用户可以找到信息，但在此服务期间不会上传用户的信息。隐私政策以粗体和下划线的形式强调数据信息是匿名的。同时会对信息进行加密，保证信息的安全性。该政策承诺，在一般情况下，未经用户同意，不会将用户的信息共享给任何第三方。

一位互联网从业者对《新京报》表示，大多数应用都会要求用户同意类似百度的服务协议和隐私政策的许可协议，但很少有用户会仔细阅读该协议。“如果你仔细阅读，会发现根据协议，用户使用APP产生的数据归APP方所有。这样，APP就获得了一种‘合理合法’获取用户信息的途径。”

“根据相关法律规定，网络服务提供者收集个人信息需要遵循公正、合法、必要的原则，明示收集、使用信息的目的、方式和范围，并征得被收集人的同意。”赵占领表示，江苏省消保委起诉百度有两个关键点。一个是百度是否获得了许可，在用户同意的情况下收集用户信息，另一个是是否有必要收集这些个人信息。

按照赵占领的说法，手机百度用户“已经阅读并同意手机百度的服务协议和隐私政策”，可以视为用户同意收集个人信息。“只有部分个人信息未被单独弹窗授权，但目前法律并未明确规定获得用户同意的方式，实践中绝大多数是通过用户协议的方式进行申请”。

据赵占领介绍，目前，我国制定了多部与个人信息保护相关的法律；江苏省消保委起诉百度是一起涉及个人信息保护的公益诉讼，有助于社会各界更好地明确个人信息的范围和收集个人信息的法律边界，有助于各界增强个人信息保护意识。

新京报记者马伊丹朱

更多详情，请访问新京报网www.bjnews.com.cn。