注：上述结果为新京报记者罗亦丹、李大伟于6月10日至17日使用安卓系统华为手机测试结果，权限开启状况以第一次安装APP打开并同意权限申请后，后台权限开启情况为准。

　　6月初，全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（以下简称《信息规范》），依据个人信息收集最少够用的原则以及不同种类APP的业务范围，对地图导航、网上购物、餐饮外卖等16类APP收集个人信息的范围给出了参考。

　　6月10日至17日，新京报记者依照《信息规范》中的分类选取了50款常用APP，对其索取的权限以及收集信息的范围进行实测，发现若严格按照《信息规范》中划定的信息收集范围，这50个APP中有24个APP索取的权限超出范围，如智联招聘索取了相机、位置、通讯录权限，百合婚恋收集了通讯录权限。

　　“《信息规范》对于现在某些APP过度收集个人信息是有帮助的，是一个非常好的方向，但另一方面，很多时候并不是特别好去判断什么是企业应当收集的个人信息。对于这种情况我认为更重要的是要看企业对数据后续的处理和利用是否规范，是否合规，这应是监管的重点。”6月11日，中国人民大学法学院副教授丁晓东对新京报记者表示。

　　对此，丁晓东对新京报记者表示，《信息规范》对于现在某些APP过度收集个人信息是有帮助的，是一个非常好的方向，但另一方面，对于什么是企业应当收集的个人信息，很多时候并不是特别好去判断，因为APP很多业务功能会扩展，很多业务的使用场景也都不同，而且很多时候APP提示用户同意收集，其实也是给了消费者选择权。

　　需要注意的是，不论是当用户需要时再提示开启权限，还是在一开始就开启权限，一旦当安卓用户开启权限后，该权限就会一直处于“开启”状态，除非用户再手动关闭。这是因为相比于苹果ios系统具有权限“只在APP运行时开启”、“始终开启”、“不开启”的三个选项，安卓系统的隐私选项颗粒较粗，绝大多数用户只能选择“开启”或“关闭”，这意味着一旦授予后，该权限并不会随应用状态的改变(进入或退出使用状态)而发生变化。

　　有安全专家向新京报记者介绍华为手机找不到whatsapp，随着市场上APP的功能越来越丰富，申请的权限也越来越多，但另一方面，以窃取泄露用户信息为目的的恶意APP和仅是提供服务的非恶意APP申请的权限交集也更大了。“例如目前许多APP都有‘语音搜索’功能，即便这并非其核心功能，开启与否区别不大，但一旦开启，就意味着APP有了窥探用户隐私的能力。”

　　目前，由权限开启与否来判断企业是否窃取隐私确实存在一定争议。新京报记者发现，目前APP为正常运行基本都需要获取储存权限，但根据APP治理工作组5月14日发布的文章，给予APP储存权限后，APP将可以访问安卓手机的“公共储存区”，按照安卓系统的设计，“公共储存区”包括手机拍照的照片、拍摄的视频；各种下载的文件；微信、QQ等即时通信接收的文件等。因此，获取存储权限后，APP理论上就可以收集用户存储在手机上的所有照片、文件等个人的数据和文件，“不排除APP申请该权限后进行滥用的可能。”

　　“事实上，如果一些应用程序涉嫌非法收集、使用加工用户隐私信息，通过深度数据解析、网络通讯行为分析、相关操作访问等技术手段是可以监测到的。因此，个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规，否则，一旦涉嫌用户信息不当使用都要承担相应后果。”北京邮电大学移动互联网与大数据安全联合实验室主任马兆丰博士告诉新京报记者，“个人信息的使用、保存、委托处理、共享、转让或公开披露等必须满足个人信息安全基本原则和规范，个人信息的不当获取、使用、加工处理涉嫌违法犯罪要负法律责任。”

　　如5月28日，网信办发布《数据安全管理办法（征求意见稿）》，其中第十七条规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。并规定“数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

　　在他看来，如果规定过细的事先预防规则，网络运营者或难以做到。且监管成本与监管者的选择也是难题之一。此外，要求网络运营者做太多或会压制技术创新和商业模式的创新。“是不是不用规定这么细，而是通过事后的惩戒和给予权利人（个人信息主体）的隐私权或一般人格权遭受损害后的救济途径能更好地解决问题，并能平衡各方利益？”

　　而在丁晓东看来，与其把注意力完全放在对APP收集信息上进行限制，更重要的可能是看企业对于数据的处理和利用是否符合全流程的周期，或者说使用是不是规范。“大数据的发展本身就依赖于数据的合理使用，而且消费者也会感到很多困扰，例如很多时候弄不清哪些时候需要开启权限，哪些时候不需要开启，所以应该给企业一定的收集信息的自主性。另一方面，在给予自主性的同时，要更加严格地去看企业对信息的收集和使用的流程，是否有数据伦理，或者对数据后续的处理和利用是否规范，是否合规，这才是监管的重点。”

　　“现在监管重点放在了消费者对APP开启权限的知情和同意上，但实际上知情同意原则在学界中批判声音非常多。若国家对企业开启哪些权限有强制性的要求，这其实已经超越了知情同意的原则，所以，某种程度上把注意力放在权限上本身就是一种问题，应该把注意力更多地放在后续的环节上。”丁晓东对新京报记者表示。