神州租车App可监控外拨电话，穷游App可读取联系人，饿了么App可读取通话记录，百度糯米App安装即获取用户12项个人信息授权……上海市消保委分两次测试了39款手机App，首次评测中仅14款App敏感权限与实际功能能够相对应，剩余25款均存在过度索取用户个人信息行为。

神州租车App可监控外拨电话，穷游App可读取联系人，饿了么App可读取通话记录，百度糯米App安装即获取用户12项个人信息授权……2019年3月27日，上海市消费者权益保护委员会通报网购平台、旅游出行、生活服务等手机App涉及个人信息权限评测结果。首次评测中，39款手机App仅14款敏感权限与实际功能能够相对应，剩余25款均存在过度索取用户个人信息权限行为。

上海市消保委当天发布的一项调查显示，仅有0.4%的消费者关注日历权限。对此，上海市消保委发出消费警示：日历权限给消费者带来的可能性风险大于给消费者带来的便利。37家相关企业出席了此次新闻发布会，穷游及百度糯米缺席。

App信息安全问题受到越来越多关注。2018年12月，中消协对100款App开展隐私政策情况调查。2019年1月25日，网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，将针对App强制授权、过度索权、超范围收集个人信息问题进行专项检查。

网购类、社交类、旅游类、生活类等手机App涉及用户日常生活的各个方面，需获取用户较多个人信息完成相应功能。为此，上海市消保委联合《中国消费者报》上海记者站委托北京捷兴信源信息技术有限公司，于2019年1月对网购平台、旅游出行、生活服务等39款手机用开展第三期手机App涉及个人信息权限评测。

上海市消保委测试了39款手机应用。

本次评测主要从四个维度进行：一是App所使用的目标API级别，当目标API级别低于23时，安卓对于权限会采用一揽子授权的模式，存在可规避系统安全机制的漏洞;二是App敏感权限的数量，重点关注安卓系统中与个人信息密切相关的有29权限的申请和使用;三是注敏感权限的授权方式，是否存在一揽子授权的模式，如何向用户提出授权请求;四是查看是否存在无实际功能对应用的权限申请。

评测发现，有14款App敏感权限与实际功能均能对应，剩余25款手机App均存在过度索取用户个人信息权限行为。为推动相关问题的解决，上海市消保委与手机App企业进行技术沟通，相关企业也在排查后对存在的问题作出解释和优化意见。

上海市消保委透露，在前期沟通确认中，有8款应用第一时间进行沟通，并通过删除敏感权限、升级版本等方式快速对存在的问题作出解释和优化。

手机天猫、苏宁易购(12.140, -0.05, -0.41%)等8款App第一时间完成优化。

3月23日之前，上海市消保委再次进行了测试，又有8款应用完成了改进。

1号店、当当等8款App在3月23日之前完成优化。

截至3月23日，仍有9款应用未能就其权限和功能无法对应的问题进行改进，包括聚美(v7.951)、贝贝(v8.2.01)、穷游(v9.2.0)、TripAdvisor猫途鹰(v29.4.1神州租车(v6.4.4)、一嗨租车(v6.2.1)、饿了么(v8.13.1)、百度糯米(v8.4.7)、格瓦拉生活(v9.5.0)，问题涉及发送短信、录音、拨打电话、读取联系人、“监控外拨电话，重新设置外拨电话的路径”、接收讯息(短信)、读取通话记录等敏感权限未找到对应功能及目标API级别低等。

截至3月23日，尚有聚美、贝贝等9款App未进行优化。

界面新闻记者注意到，穷游App可拨打用户电话并读取联系人，这两项授权均无对应功能。神州租车可拨打电话、录音以及监控外拨电话，重新设置外拨电话的路径。

评测发现神州租车App存在3个过度索取授权问题。

饿了么App在第一次评测中涉及拨打电话以及添加或修改日历活动，并在所有者不知情的情况下向邀请对象发送电子邮件，读取日历活动和详情。在第二次测评中，饿了么App删除了前述授权，但新增了读取通话记录授权。饿了么相关负责人在发布会上表示，已于3月22日推出新版App，移除了第二次测评中新发现的权限问题。