近日，國家安全部就發文提醒，手機App非必要不授予位置權限。這兩天，記者對主流電商、外賣、出行、社交、影音、辦公、金融理財、攝影繪畫、游戲娛樂、新聞資訊等不同門類的共計40款App展開位置信息授權路徑測評。經實測發現，其中近半數App在首次啟用后，會在不同環節向用戶告知將申請位置權限，及以征求意見的方式索要不同程度的位置權限。而需要用戶授予位置權限的這些App，以電商、外賣、出行類為主。

　　什么樣的App收集用戶位置信息是合理合法的？中國政法大學知識產權中心特約研究員趙占領解釋，《中華人民共和國網絡安全法》明確規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，2021年發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》中也有明確釋義。

　　趙占領：地理位置信息屬于敏感信息的范圍，收集需要經過用戶的單獨同意，通常來講是通過彈窗等方式明確讓用戶知道，僅僅是在冗長的用戶協議、隱私政策里作相應的約定或說明，顯然不符合單獨同意的要求。而收集地理位置信息，即使經過了單獨同意，但是違反必要原則，并不是國家所規定的常見類型移動互聯網應用程序能收集的必要信息的范圍，顯然就是違法行為。

　　值得一提的是，幾乎實測的所有App在“溫馨提示/隱私政策”彈出后，如果用戶不認可“需要獲取地理位置/可能申請位置權限”等相關內容，點擊“不同意”，那也就無法進一步使用App。中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲表示，這一普遍現象，實際上是各個應用開發企業應對監管的一種“臨時方案”。

　　何延哲：其實從本質來講，它是有瑕疵的。如果沒有“隱私政策”和“同意”，那就相當于它未經同意處理個人信息，自己就違規了，所以很多App索性“偷懶”。當然有些“同意”可能也是有問題的，比如涉嫌捆綁，或者不是在合適的時機，但實際上已經擺脫了“未經同意”這個情形，“未經同意收集”就是非法收集，其他的收集是收得不合理。其實隱私政策起到的是告知作用，并不是點了“同意”之后，所有的信息就都被拿走，比如位置信息是有第二道“開關”的，你會發現雖然隱私政策里寫了要用你的位置信息，但不到該觸發的時機是不會觸發的。

　　那么，“始終允許(某App在用戶并未使用該App時使用位置)”的設置是否合理？趙占領認為，對這一問題的討論還是要回歸到“必要性原則”上來。

　　趙占領：除非有證據證明，始終允許收集用戶地理位置信息是有充分必要性的，否則即使采取了讓用戶選擇“始終允許”的方式來收集用戶的位置信息，它也是違反個人信息保護法所規定的必要原則。

　　網絡安全從業者劉先生對此則表示，要警惕“始終允許”的濫用風險。

　　劉先生：對絕大多數App來說，“始終允許”都不是必要的。這是一個需要極高信任度的權限。真正需要它的場景，兩只手數得過來：持續導航軟件(比如開車時退到后臺還能語音提示)、運動軌跡記錄軟件(記錄跑步路線)，或者像家人位置共享這類特定功能。除此之外，比如電商、社交、視頻App，要這個權限99%的情況都是過度收集。

　　網絡安全從業者劉先生認為，守護數字足跡，既需要監管的持續重拳，也需要每個用戶把自己當成最后一道防線，審慎對待每一次授權。

　　劉先生：作為用戶，我們需要養成幾個習慣——信奉“最小授權”，初次使用時，一律先選“不允許”或“僅使用期間允許”，看看App能不能用，很多時候完全沒問題。善用“模糊定位”，在手機設置里，給絕大多數App關閉“精確位置”開關，給它個大概范圍就夠了。定期“權限大掃除”，每隔一兩個月，檢查一下哪些App很久沒用卻還有位置權限，果斷關掉。警惕二次彈窗，對任何誘導你開啟“始終允許”的彈窗，保持高度警惕。管理社交分享，在社交媒體發照片時，謹慎選擇是否附帶地理位置信息。

　　而在何延哲看來，從個人隱私保護到國家安全守護，還需要上下游、前后端共同發力。

　　何延哲：我們現在把數據也看作成一種生產要素，本身也希望它能夠通過流通的方式進一步促進經濟發展。這個時候就要用到一些其他的技術，比如隱私計算，就是說我可以不把原始數據給到你，但是同時你也可以跟我一起在一個可信的數據空間里計算，在這樣封閉的環境下也能達到相應的數據交換的目的，實際上又保護了原始信息。這樣的技術也在慢慢應用，我們可能需要一段時間之后，才能把后端的這些事情真正梳理好。

　　(中國廣播電視總臺中國之聲)