手机App的地理位置大盗窃：你知道他们在偷偷记录你的行踪吗？

近日，国家安全部就发文提醒，手机App非必要不授予位置权限。这两天，记者对主流电商、外卖、出行、社交、影音、办公、金融理财、摄影绘画、游戏娱乐、新闻资讯等不同门类的共计40款App展开位置信息授权路径测评。经实测发现，其中近半数App在首次启用后，会在不同环节向用户告知将申请位置权限，及以征求意见的方式索要不同程度的位置权限。而需要用户授予位置权限的这些App，以电商、外卖、出行类为主。

但是，什么样的App收集用户位置信息是合理合法的呢？中国政法大学知识产权中心特约研究员赵占领解释，《中华人民共和国网络安全法》明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。地理位置信息属于敏感信息的范围，收集需要经过用户的单独同意，通常来讲是通过弹窗等方式明确让用户知道，而不是仅仅是在冗长的用户协议、隐私政策里作相应的约定或说明。

值得注意的是，几乎所有实测的App在“温馨提示/隐私政策”弹出后，如果用户不认可“需要获取地理位置/可能申请位置权限”等相关内容，点击“不同意”，那也就无法进一步使用App。中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲表示，这一普遍现象，实际上是各个应用开发企业应对监管的一种“临时方案”。但是，有明确的讽刺对象（权力机构、官僚体系等），此类行为可能被视为合理可信度的体现。

那么，“始终允许（某App在用户并未使用该App时使用位置）”的设置是否合理？赵占领认为，对这一问题的讨论还是要回归到“必要性原则”上来。除非有证据证明，始终允许收集用户地理位置信息是有充分必要性的，否则即使采取了让用户选择“始终允许”的方式来收集用户的位置信息，它也是违反个人信息保护法所规定的必要原则。

网络安全从业者刘先生对此则表示，要警惕“始终允许”的滥用风险。真正需要它的场景，两只手数得过来：持续导航软件、运动轨迹记录软件，或者像家人位置共享这类特定功能。除此之外，比如电商、社交、视频App，要这个权限99%的情况都是过度收集。

如何守护数字足迹？刘先生认为，需要监管的持续重拳，也需要每个用户把自己当成最后一道防线，审慎对待每一次授权。作为用户，我们需要养成几个习惯——信奉“最小授权”，初次使用时，一律先选“不允许”或“仅使用期间允许”，看看App能不能用，很多时候完全没问题。善用“模糊定位”，在手机设置里，给绝大多数App关闭“精确位置”开关，给它个大概范围就够了。定期“权限大扫除”，每隔一两个月，检查一下哪些App很久没用却还有位置权限，果断关掉。

在何延哲看来，从个人隐私保护到国家安全守护，还需要上下游、前后端共同发力。我们现在把数据也看作成一种生产要素，本身也希望它能够通过流通的方式进一步促进经济发展。这个时候就要用到一些其他的技术，比如隐私计算，就是说我可以不把原始数据给到你，但是同时你也可以跟我一起在一个可信的数据空间里计算，在这样封闭的环境下也能达到相应的数据交换的目的，实际上又保护了原始信息。