寫在前面：

支付寶安卓版APP，到底有沒有自動收集用戶個人信息并上傳至服務器，這需要進行專門的實驗室測試。

但是，從實際使用來看，支付寶安卓版APP，特定版本在特定系統之內，確實存在未登陸狀態、頻繁彈出申請調用相關系統權限（拍照、錄音等）的現象，而這種不當行為，確實可能給用戶個人信息保護產生不利影響，亟待支付寶及時調整相關產品設計。

支付寶又上頭條了！

春節期間支付寶、微信支付的紅包大戰硝煙尚未散盡，如今，支付寶再度迎來“隱私門”拷問。

日前，據媒體報道，有用戶發文稱，“支付寶安卓版每隔X分鐘(服務器指定)會在后臺開啟攝像頭拍照，錄音X秒，然后上傳到服務器上，同時也會有通訊錄，通話記錄，附近基站和WiFi等信息。”

對此，支付寶通過官方微博回應稱，調用攝像頭拍照、錄音這樣的權限，是因為掃描二維碼、給好友發送語音時需要用到。所謂的“每隔X分鐘會在后臺開啟攝像頭拍照、錄音X秒”，是毫無根據的造謠，申請攝像頭權限不等于實際啟動攝像頭。

與此同時，支付寶還強調，支付寶只申請業務需要的權限，不會做額外的信息采集和后臺操作，更不會侵犯、泄露任何用戶隱私信息。

言下之意，支付寶并不承認自己的安卓版APP存在權限申請不當或涉嫌侵犯用戶隱私的可能，也不承認APP做了“過多”的信息收集。

那么，支付寶APP在安卓手機上頻繁自動申請調用相關系統權限（拍照、錄音等），是否存在不當？會否存在涉嫌侵犯用戶隱私的可能？對于各類APP應用又該如何加強監管？

　　　　1權限調用：是安卓系統瑕疵還是支付寶不當？

支付寶通過官方微博介紹說，支付寶在用戶登錄后，會提前觸發相關權限的授權申請，這樣用戶在使用時，不會被系統提示的授權申請打斷，在Android6.0以下，系統沒有提供標準的權限提示和檢查接口，因此采用提前觸發權限的方式，這種設置，會形成帖子里出現的啟動時申請攝像頭和錄音權限的情況。與此同時，支付寶稱，會在接下來的版本中優化這個體驗，避免用戶誤解。

顯然，根據支付寶的介紹或說明，支付寶安卓版APP觸發系統權限申請的條件或前提是，1）用戶登錄支付寶之后；2）用戶系統為Android6.0以下版本。

換言之，如果不滿足上述兩個條件，支付寶安卓版APP是不會主動申請獲得相應系統權限的。

作為安卓手機用戶，筆者（微信公眾號：lijunhui0507）的實際使用體驗與支付寶的回應或說明，有幾點偏差。

首先，“權限調用”請求頻發發出并非只發生在支付寶登陸時。筆者有一臺備用的智能手機（系統為Android5.1.1版本）主要用于觀看視頻且未安裝SIM卡，因此，該手機里下載或預裝的支付寶APP（版本號為9.5.1.011302）從未使用過。

但筆者在打開優酷APP準備觀看視頻時，手機會彈出有關支付寶申請調用“拍照、錄音”權限的申請，如果選擇“拒絕”，下次打開優酷APP時還是彈出類似權限調用請求。

其次，“權限調用”請求發出時并未使用相應功能。支付寶回應稱，調用攝像頭拍照、錄音這樣的權限，是因為掃描二維碼、給好友發送語音時需要用到。

誠如前述，筆者備用的智能手機，從未登陸過支付寶APP，也未使用支付寶有關“掃碼或發送語音”功能，但是，支付寶還是在頻繁申請調用“拍照、錄音”等系統權限，所謂頻繁就是打開優酷APP時，不定時會彈出相關調用“拍照、錄音”權限的申請提示。

簡單說，按照支付寶的提示，權限調用發生的時間應該是在用戶使用支付寶相關功能時，如此前未獲得授權則彈出權限申請請求。但實際情況與支付寶官方回應的情形還是有一些差別。

　　　　2信息收集：應守住“合法、正當、必要”底線

根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，類似支付寶等網絡服務提供者在業務活動中收集、使用公民個人電子信息，應當遵循“合法、正當、必要的原則”、“明示收集、使用信息的目的、方式和范圍”、“并經被收集者同意”等。

顯然，支付寶APP調用手機相關權限，申請權限獲得用戶同意后，必然會在用戶使用過程中收集、使用個人信息。

從實際情況來看，支付寶APP彈出權限使用提示，似乎滿足了“經被申請者同意”的條件。

但是，是否遵循了“合法、正當、必要”的原則，則存在很大爭議。尤其是，支付寶安卓版APP在用戶未開啟或未使用相應功能時，支付寶自動觸發“拍照、錄音”等與用戶個人信息甚至隱私信息密切的功能權限請求，不知情的用戶很容易因為誤點擊，不小心開啟了相應權限調用，而且此時的涉隱私信息的系統權限申請是否“正當、必要”，值得進一步探討。

此外，支付寶在調用智能手機系統權限時，對可能產生的用戶信息“收集、使用”的方式和范圍，存在明示不全面或說明不充分。

簡單說，如果沒有這次“隱私門”事件，支付寶此番未出面正式回應，大多數人不清楚作為一個支付工具，支付寶為什么需要調用“相機、錄音”等系統權限、為什么可能自動拍照或錄音等收集用戶信息。

由此可見，按照有關個人信息收集、使用需遵循“合法、正當、必要”原則的要求，包括支付寶在內的很多APP都需要調整自身的權限調用請求策略，讓用戶更加清晰的明白“什么時候授權”、“什么情況調用”、“采集那些信息”、“信息如何使用”等等。

　　　　3加強監管：避免APP成為侵害用戶權益工具

當前，國內對于APP的監管還有一些空白亟待填補，很多有關APP的監管要求散落在一些指導意見或通知之中。

我國最早關于APP（官方稱為“移動智能終端應用軟件”）的管理要求，可以追溯到2012年。

由工業和信息化部制定、2012年1月1日起施行的《移動互聯網惡意程序監測與處置機制》，首度從“惡意程序”角度對各類不當APP應用加以規范。.

按照此機制，“存在竊聽用戶通話、竊取用戶信息、破壞用戶數據、擅自使用付費業務、發送垃圾信息、推送廣告或欺詐信息、影響移動終端運行、危害互聯網網絡安全等惡意行為”視為“惡意程序”。

隨后，2013年11月1日起執行的工業和信息化部《關于加強移動智能終端進網管理的通知》中規定，“生產企業申請移動智能終端進網許可時，應當在申請材料中提供操作系統版本、預置應用軟件基本配置信息”，并對“預裝應用軟件”劃定“紅線”，要求“不得在移動智能終端中預置5類應用軟件，包括：

（一）未向用戶明示并經用戶同意，擅自收集、修改用戶個人信息的；

（二）未向用戶明示并經用戶同意，擅自調用終端通信功能，造成流量消耗、費用損失、信息泄露等不良后果的；

（三）影響移動智能終端正常功能或通信網絡安全運行的；

（四）含有《中華人民共和國電信條例》禁止發布、傳播的信息內容的；

（五）其他侵害用戶個人信息安全和合法權益以及危害網絡與信息安全的。

此外，2015年11月18日，工業和信息化部發布《移動智能終端應用軟件（APP）預置和分發管理暫行規定》（征求意見稿），面向公眾征求意見，該規定重點從備受關注的APP“預裝”和“分發”（下載）環節提出管理要求。

根據《移動智能終端應用軟件（APP）預置和分發管理暫行規定》（征求意見稿），在權限調用方面，“移動智能終端應用軟件必須符合相關標準要求，不得調用與所提供服務無關的終端功能”；在應用開啟方面；“未經明示且經用戶同意，不得強制開啟應用軟件”；在明示規則方面，“應通過用戶提示、企業網站等方式明示所提供移動智能終端應用軟件的信息，包括名稱、功能描述、卸載方法、開發者信息、軟件安裝及運行所需權限列表等，明確告知用戶應用軟件收集、使用用戶個人信息的內容、目的、方式和范圍等。”

顯然，對照上述要求，當前支付寶安卓版APP確實存在一些有待改進的地方。與此同時，由于相關監管要求不明確或立法規格不高，使得的并未引起廣大APP開發者的重視，此外，當前對APP申請系統權限或調用相應功能的范圍及正當性、必要性缺乏必要標準或管理要求，也使得各類APP亂象持續上演。

而這些問題，一方面，亟待相關部門加快監管政策或法律制定，加強對各類APP應用的規范和管理。另一方面，也需要各類APP廠商加強自律，參照相應要求，或以更高的要求不斷改善用戶體驗，讓用戶更加放心的使用各類新應用或新功能。