手機App權(quán)限索取風(fēng)險評估與改進策略

（浙江財經(jīng)大學(xué),浙江 杭州 310018）

2021年1月，工信部向社會通報了157家存在侵害用戶權(quán)益行為App企業(yè)的名單，并且依據(jù)《網(wǎng)絡(luò)安全法》等法律和規(guī)范性文件要求工信部組織對上述37款A(yù)pp進行下架。這些App過度申請涉及用戶隱私的敏感權(quán)限，但實際功能卻與所申請權(quán)限無關(guān)。國家計算機病毒應(yīng)急處理中心（簡稱“CVERC”）在“凈網(wǎng)2020”專項行動中通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)，多款旅行類移動應(yīng)用存在隱私不合規(guī)行為，違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，涉嫌超范圍采集個人隱私信息。移動應(yīng)用市場的用戶信息泄漏問題頻發(fā)，甚至有疑似App“竊聽”現(xiàn)象，引起了社會的熱議，對此App的使用者也感到十分擔(dān)憂。早在2019年3月15日，國家市場監(jiān)管總局、中央網(wǎng)信辦已聯(lián)合發(fā)布了《關(guān)于開展App安全認證工作的公告》及實施規(guī)則，以規(guī)范App收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護。[1]并在2020年9月20日對18款A(yù)pp頒發(fā)安全認證證書，標志我國App安全認證工作正式開展。

本項目首先運用Python抓取網(wǎng)絡(luò)文本，采用詞云圖、情感分析、語義網(wǎng)絡(luò)分析和魚骨圖等文本挖掘技術(shù)，對App權(quán)限索取問題進行探討，據(jù)此設(shè)計調(diào)查問卷，并采用多階段分層抽樣進行實地問卷調(diào)查。然后通過決策樹、自適應(yīng)提升和隨機森林等機器學(xué)習(xí)方法，將用戶對手機App權(quán)限索取容忍度的影響因素進行比較分析。進一步地，基于因子分析構(gòu)建結(jié)構(gòu)方程模型（SEM）進行授權(quán)行為影響因素分析。最后根據(jù)用戶對App的授權(quán)意愿，運用秩和比法（RSR）和逼近理想解排序法（TOPSIS）對各類App進行綜合評價分析，進而通過SWOT-PEST模型從不同角度提出建議，為解決App過度索取權(quán)限問題提供借鑒。

本項目運用詞云圖、情感分析、語義網(wǎng)絡(luò)分析和魚骨圖進行文本挖掘，采用多階段分層隨機抽樣、等額抽樣和PPS抽樣相結(jié)合的方式，以杭州市主城區(qū)人口為權(quán)重進行分層抽樣，采用不重復(fù)抽樣時的層數(shù)估計確定所需的樣本量，進而發(fā)放問卷調(diào)查杭州市手機App權(quán)限索取與用戶隱私保護現(xiàn)狀。同時采用非概率抽樣，針對部分市民進行實地訪談，更好地發(fā)現(xiàn)手機App權(quán)限索取與用戶隱私保護中的具體問題。

通過問卷的回收與整理，總結(jié)了現(xiàn)階段杭州市市民對App權(quán)限索取行為的評價：

圖1 整體思路圖

（1）杭州市市民大多通過手機自帶的應(yīng)用商城下載App，目前市場上監(jiān)測到的移動應(yīng)用程序總量達到449萬款，手機用戶可以通過多種途徑下載其所需的App；

（2）杭州市市民使用社交類App的頻率最高，使用學(xué)習(xí)類的頻率占比其次，第三為咨詢與搜索引擎類，使用游戲類App的頻率最低；

（3）用戶對于App過度索取權(quán)限時，超七成用戶選擇禁止使用不相關(guān)權(quán)限，說明用戶具有一定的隱私保護意識；

（4）杭州市市民認為立法機關(guān)、業(yè)內(nèi)市場、App運營商和用戶均需承擔(dān)App過度索取用戶隱私權(quán)限的責(zé)任，但主要責(zé)任在于App運營商和業(yè)內(nèi)市場。

1 實證分析

1.1 手機用戶對App權(quán)限索取容忍度分析——基于機器學(xué)習(xí)

嘗試用性別、年齡、學(xué)歷、月收入和手機系統(tǒng)5個定性變量作為自變量來預(yù)測作為因變量（由完全不容忍→完全接受7個類別）的手機App獲取權(quán)限的類別和變量容忍度的影響程度。[2]選用機器學(xué)習(xí)方法對接受度的影響程度進行分析。本項目運用決策樹、自適應(yīng)提升和隨機森林三種機器方法對手機App權(quán)限索取的容忍度進行分類，并分析受訪者的基本特征變量與容忍度之間的聯(lián)系。

以決策樹內(nèi)容作為自適應(yīng)提升分類器中的弱分類器，將每棵決策樹集合起來，最終構(gòu)成自適應(yīng)提升這一集成分類器。

為進一步進行模型優(yōu)化并更好地與自適應(yīng)提升分類結(jié)果進行比較，我們選用隨機森林模型進行分類得出結(jié)論，月收入和年齡因子與手機App權(quán)限索取容忍度間的關(guān)系最為顯著。[3]

綜合決策樹、自適應(yīng)提升和隨機森林三種模型的分類結(jié)果可知，影響群眾對App權(quán)限索取容忍度的第一因素為月收入，其次為年齡。月收入和學(xué)歷越高的人群，對各類手機App的權(quán)限索取更為介意；年齡在45歲以下的人群更加注重個人隱私保護問題，因此對各類手機App的權(quán)限索取的容忍度較低；使用iOS系統(tǒng)的受訪者對手機App權(quán)限索取的容忍程度高于Android系統(tǒng)的使用者。

1.2 App授權(quán)影響因子分析——基于結(jié)構(gòu)方程模型

為建立估計和檢驗各因子的因果關(guān)系，本文結(jié)合各因子之間的區(qū)別和聯(lián)系，將讀取權(quán)限和感知權(quán)限作為變量，通過結(jié)構(gòu)方程模型來分析模型中各個變量之間的路徑影響，經(jīng)過多次修正后得出最終的模型結(jié)構(gòu)路徑圖，見圖2。[4]

圖2 路徑系數(shù)圖

1.3 用戶對App權(quán)限授予意愿排序——基于RSR法和TOPSIS法

為了建立用戶對App權(quán)限授予意愿評價系，根據(jù)因子分析計算出的結(jié)果，得出用戶對授予不同權(quán)限的介意程度，并由高到低賦予相應(yīng)的權(quán)限和由大至小的權(quán)重，進而運用秩和比（RSR）綜合評價法和逼近理想解排序（TOPSIS）綜合評價法相互印證，得出用戶對App權(quán)限授予意愿排名表，可以看出逼近理想解排序法（TOPSIS）與秩和比法（RSR）的排名基本一致，綜合排名的可信度較高。[5]因此得出結(jié)論，用戶更愿意授予使用頻率高、涉及面廣或針對特定功能索取權(quán)限的App。

2 主要結(jié)論與建議

2.1 主要結(jié)論

（1）用戶對錄音、讀取通話記錄及短信和讀取聯(lián)系人權(quán)限的獲取最為介意。

（2）用戶更愿意授予使用頻率高、涉及面廣或針對特定功能索取權(quán)限的App。

（3）Android系統(tǒng)和蘋果iOS系統(tǒng)對App獲取權(quán)限方式不同。

（4）用戶更在意感知權(quán)限的授予問題。

（5）受訪者的月收入和年齡對手機App的總體評價影響最為突出。

（6）App用戶隱私受侵犯很多時候無選擇權(quán)，且受到侵害后的維權(quán)意識不強。

2.2 主要建議

（1）企業(yè)加強用戶隱私加密技術(shù)。企業(yè)嚴格定義用戶數(shù)據(jù)的訪問者以及訪問方式，在源頭上減少用戶隱私數(shù)據(jù)竊取。

（2）企業(yè)形成對用戶隱私負責(zé)的企業(yè)文化。對于經(jīng)常接觸到用戶隱私信息崗位的員工進行針對培訓(xùn)。[6]

表1 綜合排名對比分析表

（3）用法律保障企業(yè)和用戶的權(quán)益，加強隱私保護宣傳。政府直接對應(yīng)用商店的資質(zhì)進行監(jiān)管，將要求落實到應(yīng)用商店的管理審核。[7]政府應(yīng)積極開展中老年人智能手機功能培訓(xùn)，并普及手機個人隱私安全知識。

（4）加強App上架初期審核，建立有效追溯體系。應(yīng)用商店應(yīng)該在上架APP時就做好篩選工作，把那些違規(guī)App及時淘汰。建立有效的追溯體系，定期審核。[8]

（5）用戶提高隱私保護意識，當(dāng)隱私遭到侵害時，勇于維權(quán)。盡量選擇知名APP商店下載應(yīng)用軟件，下載之后對App做權(quán)限管理。在被運營商索取權(quán)限時，仔細查看內(nèi)容，不盲目開放權(quán)限。

3 項目特色與創(chuàng)新之處

（1）從研究問題看，本項目以社會熱點問題——手機App過度索取權(quán)限為切入點，分析杭州市手機App權(quán)限索取和用戶隱私保護現(xiàn)狀及相關(guān)問題，切合當(dāng)下大數(shù)據(jù)時代下個人隱私保護的熱門話題，具有重要的研究意義。2019年3月，上海市消保委對常用App評測發(fā)現(xiàn)，有超六成App過度索取用戶隱私權(quán)限。針對此問題，《個人信息保護法》已被提上全國人大立法日程；2019年3月15日，國家市場監(jiān)管總局、中央網(wǎng)信辦也聯(lián)合發(fā)布了《關(guān)于開展App安全認證工作的公告》及實施細則，來規(guī)范App收集、使用用戶信息的行為，加強個人信息安全保護。解決手機App權(quán)限過度索取和加強用戶隱私保護勢在必行，使得本項目更具研究價值及挑戰(zhàn)性。

（2）從研究角度看，本調(diào)查在前文研究的基礎(chǔ)上，從“用戶對手機App權(quán)限索取容忍度”和“用戶對App權(quán)限授予意愿評價”兩個角度進行分析，推陳出新。搜索國內(nèi)外關(guān)于手機App權(quán)限索取和用戶隱私保護的相關(guān)文獻，可以看到多以定性研究為主，實踐性較強的定量研究較為缺乏。與傳統(tǒng)思辨式路徑相比，內(nèi)容翔實的實證分析更有助于項目研究的系統(tǒng)化和創(chuàng)新性。

（3）從研究方法看，本項目研究方法多種多樣，首先構(gòu)建詞云圖、情感分析、語義網(wǎng)絡(luò)分析和魚骨圖模型，建立App權(quán)限索取現(xiàn)狀分析的整體思路，得出調(diào)查問卷。其次運用決策樹、自適應(yīng)提升和隨機森林等比較前沿的機器學(xué)習(xí)方法對手機App權(quán)限索取容忍度進行分類和影響因子分析，進一步地采用結(jié)構(gòu)方程模型進行授權(quán)因素分析。最后選用較為新穎的秩和比法（RSR）和逼近理想解排序法（TOPSIS）對用戶App權(quán)限授予意愿進行總體評價排序，同時采用SWOTPEST方法對研究結(jié)果提出更具針對性的建議，具有較強的創(chuàng)新性和邏輯性。

本項目對杭州市手機App權(quán)限索取和用戶隱私保護現(xiàn)狀及相關(guān)問題的改進和突破具有現(xiàn)實性、可操作性及可實施性。深度挖掘App過度索取權(quán)限和用戶隱私保護困難的實質(zhì)問題，具有較高的社會意義和研究價值。