支付宝陷“隐私门”：加强监管避免隐私不当收集

支付宝又上头条了！

春节期间支付宝、微信支付的红包大战硝烟尚未散尽，如今，支付宝再度迎来“隐私门”拷问。

日前，据媒体报道，有用户发文称，“支付宝安卓版每隔X分钟(服务器指定)会在后台开启摄像头拍照，录音X秒，然后上传到服务器上，同时也会有通讯录，通话记录，附近基站和WiFi等信息。”

对此，支付宝通过官方微博回应称，调用摄像头拍照、录音这样的权限，是因为扫描二维码、给好友发送语音时需要用到。所谓的“每隔X分钟会在后台开启摄像头拍照、录音X秒”，是毫无根据的造谣，申请摄像头权限不等于实际启动摄像头。

与此同时，支付宝还强调，支付宝只申请业务需要的权限，不会做额外的信息采集和后台操作，更不会侵犯、泄露任何用户隐私信息。

言下之意，支付宝并不承认自己的安卓版APP存在涉嫌侵犯用户隐私的可能，也不承认APP做了“过多”的信息收集。

那么，支付宝APP在安卓手机上频繁自动申请调用相关系统权限（拍照、录音等），是否存在不当？会否存在涉嫌侵犯用户隐私可能？该如何加强监管？

权限调用：是安卓系统瑕疵还是支付宝不当？

据悉，支付宝在用户登录后，会提前触发相关权限的授权申请，这样用户在使用时，不会被系统提示的授权申请打断，在Android6.0以下，系统没有提供标准的权限提示和检查接口，因此采用提前触发权限的方式，这种设置，会形成帖子里出现的启动时申请摄像头和录音权限的情况。支付宝称，会在接下来的版本中优化这个体验，避免用户误解。

作为安卓手机用户，笔者的实际体验与支付宝的回应或说明，有几点偏差。首先，“权限调用”请求频发发出并非只发生在支付宝登陆时。笔者有一台备用的智能手机主要用于观看视频且未安装SIM卡，因此，该手机里下载安装的支付宝APP基本没使用过。

但笔者在打开优酷APP准备观看视频时，手机会弹出有关支付宝申请调用“拍照、录音”权限的申请，如果选择“拒绝”，下次打开优酷APP时还是弹出类似权限调用请求。

其次，“权限调用”请求发出时并未使用相应功能。支付宝回应称，调用摄像头拍照、录音这样的权限，是因为扫描二维码、给好友发送语音时需要用到。

诚如前述，笔者备用的智能手机，从未登陆过支付宝APP，也未使用支付宝有关“扫码或发送语音”功能，但是，支付宝还是在频繁申请调用“拍照、录音”等系统权限。

简单说，按照支付宝的提示，权限调用发生的时间应该是在用户使用支付宝相关功能时，如此前未获得授权则弹出权限申请请求。但实际情况并非如此。

信息收集：应守住“合法、正当、必要”底线

根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》，类似支付宝等网络服务提供者在业务活动中收集、使用公民个人电子信息，应当遵循“合法、正当、必要的原则”、“明示收集、使用信息的目的、方式和范围”、“并经被收集者同意”等。

从实际情况来看，支付宝调用手机相关权益，弹出权限使用提示，似乎满足了“经被申请者同意”的条件。

但是，是否遵循了“合法、正当、必要”的原则，则存在很大争议。尤其是，支付宝安卓版APP在用户未开启或未使用相应功能时，支付宝自动触发“拍照、录音”等与用户个人信息甚至隐私信息密切的功能权限请求，不知情的用户很容易因为误点击，不小心开启了相应权限调用，而且此时的涉隐私信息的系统权限申请是否“正当、必要”，值得进一步探讨。

此外，支付宝在调用智能手机系统权限时，对可能产生的用户信息“收集、使用”的方式和范围，存在明示不全面或说明不充分。

简单说，如果没有这次“隐私门”事件，支付宝此番未出面正式回应，大多数人不清楚作为一个支付工具，支付宝为什么需要调用“相机、录音”等系统权限、为什么可能自动拍照或录音等收集用户信息。

由此可见，按照有关个人信息收集、使用需遵循“合法、正当、必要”原则的要求，包括支付宝在内的很多APP都需要调整自身的权限调用请求策略，让用户更加清晰的明白“什么时候授权”、“什么情况调用”、“采集那些信息”、“信息如何使用”等等。

加强监管：避免APP成为侵害用户权益利器

当前，国内对于APP的监管还有一些空白亟待填补，很多有关APP的监管要求散落在一些指导意见或通知之中。

比如，2013年11月1日起执行的工业和信息化部《关于加强移动智能终端进网管理的通知》中规定，“生产企业申请移动智能终端进网许可时，应当在申请材料中提供操作系统版本、预置应用软件基本配置信息”。

此外，2015年11月18日，工业和信息化部发布《移动智能终端应用软件（APP）预置和分发管理暂行规定》（征求意见稿），面向公众征求意见。

该规定重点从备受关注的“预装”和“分发”（下载）环节提出管理要求，根据《移动智能终端应用软件（APP）预置和分发管理暂行规定》（征求意见稿），在权限调用方面，“移动智能终端应用软件必须符合相关标准要求，不得调用与所提供服务无关的终端功能”；在应用开启方面；“未经明示且经用户同意，不得强制开启应用软件”；在明示规则方面，“应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。”

显然，对照相关要求，当前支付宝安卓版APP确实存在一些有待改进的地方。与此同时，由于相关监管要求不明确或立法规格不高，并未引起广大APP开发者的重视，使得APP乱象持续上演。

事实上，如何规范APP权限管理及监督也应成为加强监管的方向，提前限定禁区避免APP滥用权限规则，诱导用户授予其相应权限，成为用户隐私或个人信息被不当收集的入口。