热点点评 | App后台读取相册被曝光引发热议，如何看待该问题的成因？有解决方案吗？

10月8日下午， “微信/QQ /淘宝等多款App在后台反复读取用户相册”的微博引爆热搜。曝光问题的网友发现微信App在用户未主动激活的情况下数次读取相册，每次读取时间40秒至1分钟，且QQ、淘宝等App也存在后台频繁读取用户相册的行为。

当晚，微信方面回应称，该功能系为方便用户快速发图做准备，仅在手机本地完成，不存在扫描相册上传照片的情况，并表示在最新版本中对快速发图进行优化，放弃使用iOS提供的接口。

后续，有技术专家也对该现象进行了分析，指出本次事件其实是iOS的系统机制造成的误解，iOS自己的接口提示App做相册更新预观察，而这个行为被iOS记录成App主动读取相册。

无论如何，这次对隐私的大讨论，凸显了网友们对App在隐私保护方面的不信任，就跟之前曝光的App偷听偷窥、App读取剪切板、App自启动等类似。对于此次事件的报道、讨论已经有很多，笔者对类似观点不再赘述，以下几个观点供参考：

第一，App到底还有多少小动作？能否做到事事都告知同意？

App早已不是一个简单的功能软件，尤其是拥有千万、亿、十亿级别用户的App，早就是一个庞大的平台，上面的功能不计其数，更新不断，开发、维护功能的人员甚至成千上万，平台处理的数据早已成了天文数字。可以说，App可能存在的小动作，也是个天文数字，事事告知显然是不现实的，那么哪些需要向用户提示，哪些不提示，就是个摆在眼前的现实问题。

举个例子，最早的开源安卓系统，所有权限（上百个）都可以被直接申请使用，无需用户点击授权，后来，为了加强隐私保护，才开始要求用户授权后才能使用，如果上百个权限都需要用户一一选择，对用户体验影响太大，那么就面临着如何去挑选敏感权限的问题，最后也就是十来个与隐私密切相关的权限成为安卓系统中用户可主动同意的选项。那么问题来了，剩下的那些权限真的与隐私无关了吗？显然不是，只是影响不大或者暂未发现影响而已，比如后来大家关注的应用程序列表、剪切板、屏幕截图等等还是触动了大家敏感的神经。

那么对于拥有无数小动作的App，这一刀切到哪才算合适呢？我们继续探讨。

第二，是直接平衡好体验和隐私，再进行告知，还是先告知，让用户去选择需要体验还是隐私？

此次这个事件，简单来分析，App为了提升用户体验，用到了一个可能会影响到用户隐私，或者说可能影响到用户安全感的一个功能，然后在决定是否告知同意时，并未考虑进去，而最后被网友发现反过来质问。因为在平衡好体验和隐私的环节，替网友做了决定，大家不买账了。

还是上面第一个问题，这一刀应该怎么切成为决定是不是需要进行先行告知的关键，能第一时间想到的其实就是个人信息保护影响评估的方法，对于如何开展个人信息保护影响评估，已发布的国家标准GB/T39335-2020《信息安全技术 个人信息安全影响评估指南》给出了详细的指导。《评估指南》查阅和下载渠道：TC260主页（www.tc260.org.cn）/标准查询/已发国标查询/具体标准号或名称。

那么，影响评估真能帮助彻底避免出现上述问题吗，恐怕也不尽然，因为影响评估的方法论有以下的逻辑：一是需要进行相关方咨询，也就是征询消费者的意见，但是实践层面还很少有人这么做；第二，评估的结论是轻微影响、低风险的处理活动是可以接受的，也就是说如果评估人员认为App的行为事实上没有侵害到隐私，那么可能也会选择直接上线功能而不事先告知；第三，影响评估本身也是一个自反馈机制，发现问题，解决问题，优化机制也是评估的一部分。这也充分体现了风险管理中的动态平衡机制，合理利用影响评估不是彻底避免隐私问题，而是使其趋向于动态平衡。

还有一个问题，万一影响评估方法在使用过程中本身就有不公正的情况怎么办，其实《个人信息保护法》就给出了一个非常有效的举措，第五十八条指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，那这个独立机构能否成为把关影响评估工作的关键角色呢？

第三，移动操作系统透明化机制是否公正公平，如何优化和监督？

上文也提到，有技术专家也对iOS系统的“相册更新预观察”机制提出了质疑，认为用了这个机制，就会被iOS系统的另外的记录App行为的隐私保护功能所记录，有点自我矛盾的味道。其实，说白了就是一个便捷机制和一个保护机制“杠上了”，可是这次便捷机制看来并未占到上风，因为隐私保护机制展现的现象有点“可怕”，“读取相册”这几个字着实让人无法放心。那么，核心的问题来了，影响用户判断，站到了隐私保护机制这一边的，除了App未能披露一些规则，还有就是透明机制提供的参考是否也足够准确呢？不说别的，单单就“读取相册”几个字，远远没有达到传达真实、准确信息的最终目的。读取时读了一张照片，还是更新的那几张，是上传了还是没上传，是读取了照片的所有信息，还只是照片库的索引、目录等字段，这都不得而知，而对于用户，只是看到“读取”，对于隐私的担忧已经远超过了对于一些细节的推敲了。

还有一种情况，就以透明化机制中，对于App调用权限的频次进行记录的功能为例，完全可以通过人为操作的原因，导致一些数据被刷上去，如果这时候拿这个数据质疑App的行为，恐怕更为离谱了。

那么，我们应不应该相信移动操作系统的透明化机制呢？有一点是肯定的，移动操作系统透明化机制给了广大网民监督App行为的可能，是应该大力支持和推广的，但是目前各个厂家透明化的范围不一致、原理不一致、表述方法不一致，这些都将影响透明化机制本身的权威性和可信度。在2021年全国信息安全标准化技术委员会（TC260）新立项的“移动智能终端App个人信息处理活动管理指南”标准中，已经把大家关心的对App行为进行监测和展示的要求考虑在内，如果从标准层面来进行规范，然后加以推广，那么其可信度和权威性将得到提升，在App个人信息保护方面将发挥不可估量的作用。

也就是说，目前，透明化机制所提供的信息只能成为质疑的参考，而不是得出结论的证据。结论，还得依赖专业的检测机构在完备的检测环境下得出的分析和判断。

有质疑，就有进步，就会有更好的解决方案。但是，如果把技术的黑盒子完全打开透明化，还需要权衡利弊，是否会导致误判，是否会引入安全隐患等等都是需要考虑的问题。就像亲属有时候不会告诉患者所有的疾病真相，其实担心打击患者积极配合治疗的心态。“隐私”是数字社会人们敏感而又脆弱的一根神经，每个企业，每个人都应当思虑周全，审慎对待。当然，技术也不能盲目推崇“中立论”“无罪论”，技术的黑盒子需要一定的透明度，需要事前评估，事中监督，事后弥补，需要被监管，这样才能不断修正技术的合理利用方向，而如何把握好这个“度”正是当下需要探索的重要命题。

（文章来源：CCIA数据安全工作委员会）