大数据之下如同裸体万字长文解析手机App都在背着你做什么

　　App 们 ＂失控＂了。
　　从拼多多删除用户缓存照片，到 QQ 读取用户浏览器历史访问记录，人们发现，自己的隐私的获取方式会是如此简单、隐蔽，数字时代，个人隐私的保护会如此艰巨。
　　从点进小小的图标起，姓名、电话、相册、位置、通讯录，各类手机权限被 App 一一拿到，点击记录、浏览时长，各类信息化作养料，滋养着算法的演进，维系 App 的正常运转，没有人能比 App 更懂我们。
　　万字长文，全篇阅读大约需要 25 分钟。如果没时间阅读全文，可拉至最下方，阅读千字提要版。
　　搜狐科技《远光》出品——看见更深、更远的科技时代。
　　一、我们的隐私是如何泄露的？
　　获取权限，是 App 拿到我们隐私数据的第一步。
　　不过，通过查阅常用 App 的隐私政策，我们可以发现，App 收集的大部分用户信息是不需要调取用户权限的。
　　以拼多多为例，可以 ＂轻易＂获取的信息包括手机号等注册信息，设备型号、浏览记录、搜索记录等设备信息和日志信息，以及身份证、收货地址、订单号、下单时间等交易信息。
　　不过，拼多多强调，单独的设备信息、日志信息、搜索关键词信息等无法与特定个人直接建立联系，所以不属于个人信息或个人敏感信息。
　　除了 App 可以轻易获取的信息，还有用户可以自主选择是否授权的信息，一般包括位置、摄像头、相册、麦克风、通讯录，用户可以根据需求开启或关闭相关权限。当然，隐私政策、隐私权限设置 ＂躺＂在 App 的 ＂犄角旮旯＂里，＂鲜为人知＂。
　　在上述两种收集方式之外，还有大量的个人信息以更为隐蔽的方式流转着，比如 SDK 和输入法。
　　SDK 是 App 里的第三方工具，可以帮助 App 高效率、低成本地实现地图、支付、统计、广告等功能。与此同时，SDK 可以对 WiFi 热点、位置、手机号、通话记录等个人信息进行收集。
　　《常用第三方 SDK 收集使用个人信息测评报告》中指出，有少数 SDK 会向自己的服务器回传未经加密的个人敏感信息，这些信息在 App 开发者、单个或多个第三方之间流动，增加了个人信息泄露、滥用的风险。
　　有行业人士向搜狐科技透露，做推送服务 SDK 的公司可以实现互相拉活、互相调起，这证明个人信息会通过 SDK 流动。＂如果你做了一个 App，去 SDK 服务商这里买量，只要用户手机中有安装同一 SDK 的 App，该公司就能通过该 App 你的应用调起（后台自启动），或者是能跳转到你的 App 上。＂
　　SDK 收集信息较为隐蔽，用户很难感知。与之相似的则是输入法，用户对输入法往往 ＂灯下黑＂。
　　在 2021 微信公开课 Pro 版的微信之夜上，张小龙的讲话似乎暗示了第三方输入法有过度使用个人信息的嫌疑。他表示，接下来微信将灰度测试输入法，目的不是抢夺这个市场，而是保护用户隐私。
　　＂微信收到了很多用户投诉，称自己聊天输入什么就会看到相应的广告。出于保护用户隐私的目的，微信要自己做一个输入法。＂
　　除了文字输入，App 对于声音的收集，也常常让用户恐惧，许多用户经常反应遇到 ＂监听现象＂。
　　＂刚和朋友聊天提到婴儿车，购物软件立马进行了精准推荐＂、＂刚和女儿聊到纸飞机，抖音就进行了相关视频推荐 ＂——过于精准的广告推送让用户不由得产生疑问：App 会通过偷听、偷窥的方式收集个人信息吗？
　　《App 安全意识公众调查问卷报告》显示，在近 32 万名受访者中，近三分之一的人表示很反感精准推送和个性化广告，感觉自己被窥探或偷听。
　　一位小米安全开发工程师告诉搜狐科技，现在大部分 App 都向用户索取读取文件的权限，从技术上来说，凡是读取文件，比如窃听、偷拍、远程删除照片、收集用户浏览记录等等操作都可以完成。
　　虽然理论上可行，但多位行业人士向搜狐科技表示，偷听、偷拍的行为在成本与收入上不成正比，有较大的法律风险。并且，现在底层的操作系统会对应用调取敏感权限进行限制，告知用户。
　　有资深安卓开发工程师告诉搜狐科技，在新的安卓系统中，窃听、偷拍等现在在技术上也不是很容易实现，如果应用在后台，一般是打不开麦克风、摄像头这种敏感权限。
　　＂安卓 6.0 之前没有‘动态权限’，开发者可以随便用敏感权限。但是现在，你真正需要用的时候，需要弹框提示用户，如果用户点拒绝，你是没办法用的。＂
　　＂我们现在有画像和追踪的技术，完全可以做到知道你想买什么或猜你想买什么，偷听是没有必要的。＂App 专项治理工作组专家何延哲表示，一旦发现 App 偷听，就是绝对意义上的未经用户允许收集个人敏感信息，这是典型的违法行为，＂应该是非常少甚至不存在的＂。
　　除了通过麦克风，App 还可以在用户不知情、无需系统授权的情况下，利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号，实现对用户语音的窃听。何延哲指出，目前上述技术仅发生在实验室里，因为其成本和技术门槛非常高，在商业可行上显得没有那么必要。
　　可以看出，用户数据的收集方式花样繁多、难以被察觉。随着物联网时代的来临，数据安全将面临着更为严峻的考验。智能音箱、智能汽车 ...... 当更多的生活设备接入网络，用户数据被违法收集的风险也随之陡增。
　　在大量收集用户数据的基础上，如果某公司保存的个人信息发生了大量泄露，一般都是有黑客攻击或内外勾结两种情况。
　　2018 年 9 月，英国航空因存在的安全漏洞被攻击者利用发生数据泄露，泄露数量约 50 万人，包括姓名、地址、邮箱、信用卡号码等信息。因违反《通用数据保护条例》，英国航空被英国数据保护协会处以 1.83 亿英镑的罚款，占其 2018 年营收总额的 1.5%。
　　对于遭遇黑客攻击而导致的信息泄露，中国政法大学经济法学副教授吴景明告诉搜狐科技，如果遭遇黑客入侵，公司必须采取及时的补救措施，并且保证以后不再被非法侵入而泄露。同时如果不采取主动措施减少损失，防止的信息进一步扩散的话，那么也要承担相应的的民事和行政责任。
　　小米安全开发工程师向搜狐科技表示，＂当然也存在纯粹的黑客攻击，不过目前一些拥有重要信息的大厂保护措施还是比较完备，如果有大量泄露，一般都有内鬼。＂
　　在国内著名的 ＂圆通内鬼＂事件中，不法分子与圆通快递多位 ＂内鬼＂勾结，通过有偿租用圆通员工系统账号盗取公民个人信息，再倒卖至下游犯罪人员。被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址，被泄露的信息数量超过 40 万条，涉案金额达到 120 余万元。
　　＂事实上，有部分公司不太注重网络安全，或许是因为成本原因。＂一位 360 网络安全相关从业人员告诉搜狐科技，网络安全这个行业在甲方属于成本中心，就是亏钱的，类似于造纸厂、炼钢厂的环境治理。
　　二、精准广告、网络诈骗 ... 隐私是如何被利用的？
　　海量用户数据通过各种途径被收集、流转、汇聚，最终走向之一，是无处不在的精准广告。
　　Mary 是今年 150 万国考大军中的一员。相比于以往参加过的考研和雅思，她接到了更多的推销电话。
　　＂这些网站会诱导你留下个人信息。＂Mary 向搜狐科技吐槽，＂比如大家都等待出成绩的时候，他们会开放一个线上入口，说你可以留下手机号预约查分数，还可以看到具体排名之类的。＂
　　在填写完信息不久后，Mary 就收到了来自教育机构的电话。随后的日子里，每天至少一个电话问候。＂前期还会接，后来我就直接给挂了。＂
　　和 Mary 类似，几乎每个人都或多或少地接到过推销电话：
　　开了 A 股账户后，突然发现宣传理财、财经知识分享的电话越来越多，加了微信后被拉到各种荐股群，看各类 ＂大师＂分享炒股秘籍；在线上咨询了美国留学问题后，英语学习、出国中介甚至留学贷款的推销像潮水般涌入；偶然间和朋友聊起最近新上的楼盘，刚打开详情页不久，免费接送看房的电话就打来了 ......
　　甚至，有些互联网产品的引流方式，也会造成用户信息泄露。如某些 1 分钱抽手机的活动，报名前，需要用户填写真实的姓名、住址、电话才能参加并寄送手机，一场活动下来，主办方能获取上百万的个人信息。
　　个人信息交易，背后是一套完整的 ＂大数据＂产业链。
　　＂我们有运营商的数据资源，可以通过用户的上网行为和通话行为来鉴别目标客户。＂某位大数据公司的销售人员对搜狐科技表示：＂比如，给我一个同行的推广网页或者固话，我们就可以监测访问过这个推广网页的用户，或者这个固话的呼入呼出记录。＂
　　完成网站或固话监测后，这些大数据公司还不能拿到用户的实际电话号码。＂我们拿到的都是暗码，还需要配合运营商的外呼平台来使用。＂平时我们在接到推销电话后，客服往往会进一步提出索要电话号码或微信的请求，大多都是通过这种方式。＂而使用这样一套系统，坐席费仅需要 20 元 / 人 / 天，不限呼出次数。
　　除了网页浏览记录和通话记录之外，为了让用户是广告更精准的目标群，这家大数据公司还可以根据客户的需求进行定制化的操作，比如限制通话时长、通话次数、地区、性别、年龄段等等。这样经过筛选的用户数据，基本在 5 元一条。
　　当然，除了所谓的 ＂大数据公司＂之外，目前所有开展广告业务的公司都会对用户进行一定程度的数据收集，包括浏览、点击等记录，相关条款往往会出现在各大 App 注册时，界面下方的一行小字——《隐私政策》中，如果勾选不同意，用户将无法继续使用。
　　在获取到这些使用数据后，广告算法开始发挥作用。
　　＂目前的广告算法，大多是通过分别给用户与广告打上标签，进行标签匹配来完成。通过对两者的标签对比，判定这个用户点击某个广告的可能性。＂某广告算法工程师对搜狐科技表示。＂除了预测用户点击广告的可能性外，还要结合推送该广告可能获得的收益，两者综合考虑，预期收益最高的广告就会推送到用户的屏幕上。＂
　　除了标签匹配之外，还可以通过近似最近邻 ANN（Approximate Nearest Neighbor）搜索算法，将广告的投放范围拓展到与目标用户类似的群体。比如，你和好朋友之间因为拥有类似的年龄、兴趣爱好等特征，你关注的内容也有可能出现在他的信息流上。
　　搜狐科技曾尝试登陆过腾讯的广告投放后台，发现可筛选的用户数据除了年龄、性别、地理位置以及学历等人口统计信息外，还包括用户的行为、兴趣、意向等不同的维度。而这些数据的来源，往往都是用户过往的浏览、点击行为。
　　＂如果你点击过某个游戏的链接，那你就会被打上游戏的标签，甚至可以具体到是 RPG 游戏还是 FPS 游戏。＂上述广告算法工程师对搜狐科技表示。＂把标签的颗粒度变的更小，再把细分的标签更准确地对应到相关的广告和用户上，这就是让广告更精准的原因之一。＂
　　在这套广告系统中，仅靠 ＂咖啡＂这一个关键词，广告后台系统就可以衍生对应出拿铁、卡布奇诺、美式、咖啡机、甜点、轻食沙拉等上百个的标签可供广告主精细选择。
　　值得注意的是，在筛选项中还包括有房人士和有车人士。搜狐科技询问了负责腾讯广告投放的公司人员这类数据的准确性，对方表示，房和车的信息都是通过大盘数据来判定的。＂在大数据面前基本上咱们就是个透明人了，聊天需谨慎，莫要暴露银行卡密码。＂她调侃道。
　　目前，大多数的广告主除了可以利用广告平台的数据外，还可以自行提供数据包，这些数据来源一部分是曾经购买过该类产品的老用户，也有可能是广告主从其他渠道甚至非法途径获取的用户数据。
　　当然，广告的精准一定程度上也归结于不同平台的用户特点，＂如快手更倾向于下沉市场，腾讯和字节虽然都是针对于全量用户，但字节不断推出新产品并大量对外买量，用户数据更新。＂资深广告从业人员符祥江对搜狐科技表示。
　　不过，抛开这些让广告做到更精准的正常技术手段，刚聊过什么就被 App 推送什么，也让许多用户怀疑自己是否被 ＂监听＂或 ＂监视＂了。
　　＂不是被监听，只是仿佛被监听。目前还没有证据直接证明 App 是通过开启摄像头监视或开启麦克风监听等方式来完成广告投放的。＂信息安全相关人士翟翟对搜狐科技表示。＂虽然在用户授权 App 摄像头、麦克风等权限后，App 是有能力做到偷听、偷拍的，但主流 App 是不敢这么做的，只有小众的、小众有恶意的 App 才会这么做。＂
　　但 App 的 ＂窃听风云＂并非毫无先例。2018 年 1 月，百度因旗下两款 App 被指控涉嫌监听消费者电话、今日头条因存在 ＂通过麦克风窃取用户隐私＂等问题，被工信部约谈，而这两家公司都是以广告业务见长。
　　国外也有相似案例，根据《纽约时报》在 2017 年的报道，谷歌商店上有超过 250 款安卓手游会通过麦克风 ＂监听＂用户，这其中也有不少游戏同时上架 App Store。这些软件通过窃听行为来记录用户的使用习惯，继而推送相应广告。
　　为了验证 ＂用户是否被监听＂的传言，IT时报曾通过 3 个多月的时间，模拟用户真实使用场景，在点餐前聊起某种食物关键词，如披萨、鳗鱼饭等，并对安卓手机、苹果手机、苹果平板电脑上 App 进行多轮关键词测试。从测试情况来看，在说出关键词后的数分钟到数小时的时间里，出现相关关键词推荐的概率高达 60%-70%。
　　值得注意的是，在测试 iOS 版的时候，饿了么、美团 App 的麦克风权限没有打开，天猫、微信则是打开麦克风权限的，这种情况下，饿了么、美团依然会出现网友所述 ＂窃听＂现象；而把天猫和微信的麦克风权限关掉之后，相关的情况则没有出现。当时，美团和饿了么都做出了回应，美团表示这种行为并不存在，饿了么则表示是无端猜测。
　　在这个实验中，除了监听问题外，也涉及到了跨 App 的广告投放问题。
　　以 iOS 生态为例，IDFA（Identifier For Advertising）是苹果系统特有的广告标识符，在联盟广告中发挥了重要的 ＂桥梁＂作用。相比与 iOS 设备的唯一识别码 UDID（被苹果禁止用于追踪广告效果），IDFA 更像是一张为了追踪广告效果所做的 ＂临时身份证＂。
　　将不同 App 获取到的 IDFA 相对应，就可以确定用户身份，广告也就能够轻易地实现跨 App 的定向推送了。如你可能刚刚在电商平台上浏览过某品牌的衬衫，在随后的新闻资讯中就出现了同一衬衫的广告，这也是许多用户疑惑为什么被精准广告从一个 App＂追杀＂至另外一个 App 的原因。
　　IDFA 允许用户更换，不过大部分的用户对此并不知情，进行更换的用户更是少之又少。
　　当然，除了广告系统之外，用户个人信息也常常被不法分子用做电信网络诈骗的基础。
　　当对方完整地报出你的姓名、身份证号、就读学校乃至具体专业等隐私信息时，大多数人都会选择相信对方的权威身份。2020 年，公安部破获了电信网络诈骗案件 25.6 万起，拦截诈骗电话 1.4 亿个、诈骗短信 8.7 亿条，为群众直接避免经济损失 1200 亿元。而电信网络诈骗的起源，就在于用户隐私信息的泄露问题。
　　三、法律监管、手机厂商、操作系统做了哪些努力？
　　实际上，为了保护用户隐私，从法律监管到手机厂商再到操作系统，各方都在发展和限制中尽力实现平衡。
　　追溯到互联网大爆发的 2000 年前后。2002 年，《互联网信息服务管理办法》刚刚出台，但其中未涉及个人信息保护。直到 2011 年，工信部才上述办法追加了有关互联网个人信息的明确限定，规定除法律、法规规定外，未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息。
　　到了近几年，移动互联网的流量红利殆尽，App 对于用户画像的挖掘越来越深，窥探个人隐私的问题也在逐渐被曝光。
　　去年 7 月，中央网信办、工业和信息化部、公安部、国家市场监管总局等四部门在京召开会议，启动 2020 年 App 违法违规收集使用个人信息治理工作。此前，工信部曾重点整治了 ＂私自收集个人信息＂、＂超范围收集个人信息＂、＂不给权就不让使用 App＂和 ＂过度索取权限＂等 8 类损害用户权益的行为。
　　在 2020 年的计划里，则加强了对 App 常使用的 SDK 以及应用分发平台的监管，同时也重点关注了包括对面部特征等生物特征信息收集使用不规范、App 后台自启动、关联启动、私自调用权限上传个人信息，录音、拍照等敏感权限滥用等问题。
　　一名安卓开发工程师告诉搜狐科技，近一年国内对数据安全、个人隐私等问题的处置力度明显加强了。＂我们最近经常收到工信部的整改通知。＂
　　中国政法大学经济法学副教授吴景明表示，目前《民法典》、《消费者权益保护法》、《电子商务法》、《网络安全法》等均有有相关条款保护个人隐私，还有《个人信息安全规范》等规范。《个人信息保护法》正在制定过程中，还没有生效。
　　对于个人信息的范畴，吴景明认为，个人信息分为原始信息和派生信息，比如消费者的搜索记录等属于派生信息，同样是受法律保护的。
　　《个人信息安全规范》提到，判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是 关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如 个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。
　　（《个人信息安全规范》中关于个人信息的判定方法和类型）
　　而对于 App 收集用户信息的合法性，去年 12 月，网信办公等四部门曾联合印发了《App 违法违规收集使用个人信息行为认定方法》，其中明确了 6 种违法收集用户信息的行为，包括：
　　1、未公开收集使用规则，如 App 没有隐私政策，或隐私政策提示不明显，难以访问、难以阅读等；
　　2、未明示收集使用个人信息的目的、方式和范围，包括委托的第三方或嵌入的第三方代码、插件等也需明示。另外，也包括在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确，难以理解，如使用大量专业术语等；
　　3、未经用户同意收集使用个人信息，或更改用户使用权限、默认用户选择同意。另外也包括在用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用等；
　　4、违反必要原则，收集与其提供的服务无关的个人信息，如收集个人信息的权限、内容、频度等超出业务功能实际需要；
　　5、未经同意向他人提供个人信息，包括向第三方代码、插件公司、第三方应用等提供的信息未做匿名化处理。
　　6、未按法律规定提供删除或更正个人信息功能＂或 ＂未公布投诉、举报方式等信息＂，包括未提供有效的更正、删除个人信息及注销用户账号功能或为此设置不必要或不合理条件，或未在承诺期间完成。
　　在北京岳成律师事务所高级合伙人岳屾山看来，用户的授权不能作为判断 App 采集用户数据的行为合法与否的标准，＂所谓的‘个人的同意’可能沦为一种纯粹的形式，而不是真实地反映个人自主意思的‘同意’。＂
　　他进一步解释称，《民法典》规定个人信息是可以基于个人信息主体的同意，授权他人进行处理。但实际上，在 App 注册登录阶段，用户为了使用该 App 可能不得不 ＂同意＂某些条款并且提供一些个人信息，这导致 App 的管理者在获得用户同意这一问题上，可以很容易地做到形式上的合规。
　　对于 App 的监听、监视行为，吴景明强调，＂除非法律授权的国家机关，而且在一定范围内对特定的人，比如说有犯罪嫌疑等的，可以监听监视。其他作为一般经营主体或者个人，无权对任何人进行私下的监听监视。＂
　　据了解，《治安管理处罚法》第四十二条中，对于偷窥、偷拍、窃听、散布他人隐私的，将被处 5 日以下拘留或者 500 元以下罚款；情节较重的，处 5 日以上 10 日以下拘留，可以并处 500 元以下罚款。在《刑法》第二百八十四条中，非法使用窃听、窃照专用器材，造成严重后果的，处二年以下有期徒刑、拘役或者管制。
　　对于 App 违法采集或出售用户数据所面临的法律处罚，岳屾山表示，根据《中华人民共和国网络安全法》第四十四条的规定，＂任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。＂第六十四条第二款的规定，＂违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。＂
　　另外，根据《中华人民共和国刑法》第二百五十三条之一关于 ＂侵犯公民个人信息罪＂的规定，＂违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
　　而对于企业未能按照规定实行网络安全等级保护制度或在对于系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险处置不利时，根据《中华人民共和国网络安全法》的规定，有关主管部门将责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。＂
　　总得来说，非法获取用户隐私的行为，除了面临刑事上得处罚外，也将面临罚款等行政处罚。
　　不止是法律，在去年 9 月发布的 iOS14 中，有一条新的隐私政策引发了人们的关注。
　　在 App 对用户的地理位置进行获取时，iOS14 允许用户授予应用程序获取大致位置（非精确），并在用户在首次打开每个 App 应用程序时，将提示用户选择禁用 / 启用 IDFA 跟踪，尽管苹果提供了新的 SKAdNetwork 作为解决方案，但精细程度和适用范围仍然不及 IDFA。
　　不过，由于受到了众多广告平台的施压，苹果方面表示 iOS14 的这项隐私政策将延期至 2021 年初，目前仍未施行。
　　另外一边，安卓系统在近期的更新中也引入了许多新功能来保护用户数据安全，以及对隐私的控制权。
　　去年 9 月，谷歌发布了 Android 11，进一步对 App 滥用权限进行限制。比如引入 ＂单次授权＂功能，用户可授权应用访问设备的麦克风、摄像头或位置信息，但该访问权限仅在授权时有效。Android 11 还引入了权限自动重置功能，如果某 App 用户长期未使用，那么操作系统将会自动重置该 App 的敏感权限，用户在再次使用时可以进行重新授予。
　　国内手机厂商方面，国产定制的操作系统也在安卓的基础上对用户隐私保护进行了相关升级，推出了个性化的功能，用户可以限制 App 获取敏感权限等。
　　比如小米的 MIUI 12 推出了照明弹、拦截网和隐匿面具三项功能，系统可以完整地记录 App 的敏感行为并且进行拦截，而且可以向应用提供空信息，联系人、日历、通话记录等 5 项权限均支持设置为 ＂空白通行证＂。
　　法律监管、操作系统、手机厂商之间正在形成了一个巨大的网，逐渐弥合起此前用户隐私被侵犯的漏洞。
　　但做到这些还远远不够，从 ＂被删缓存照片＂到精准广告的跨平台 ＂追杀＂，随着越来越多的用户隐私泄露的事件被曝光，人们逐渐意识到，大数据时代，我们都只不过是 App 监视下的透明人。在保护用户隐私的道路上，更多的事还在等待被完成。
　　据了解，目前相关部门高度重视信息安全工作，以及个人隐私保护，未来将在大数据和用户运营方面加强管理。
　　以下为本文内容提要：
　　1、PC 时代由于电脑无法与个人身份挂钩，因此对于收集个人信息没有现在这么热衷，移动互联网时代，每个手机都对应一个电话号码，在与个人身份挂钩后，产生的广告价值倍增，因此相关公司对于数据的需求也急剧提升。
　　2、App 收集的大部分用户信息是不需要调取用户权限，以拼多多为例，这部分包括手机号等注册信息，浏览记录、搜索记录等日志信息，以及收货地址、订单号等交易信息。
　　3、从技术上来说，用户只要向 App 授权读取文件的权限，窃听、偷拍、远程删除照片、收集用户浏览记录等等操作都可以完成。
　　4、信息泄露可能通过输入法、SDK 非常隐蔽的途径发生，但 App 会进行偷听、偷拍的几率极小，收入与成本上不成正比，有较大的法律风险。并且，现在底层的操作系统会对应用调取敏感权限进行限制，告知用户。
　　5、如果你经常收到电话推销广告，除了手机号码被泄露之外，还有可能是你向某个公司拨打电话的记录被他的恶意同行监测到。这些恶意同行们再通过运营商外呼坐席向你拨打电话。
　　6、各大广告公司给用户和广告分别贴上标签，根据标签的匹配程度判定用户点击广告的可能性，同时综合考虑广告主的出价，预期收益最高的广告将被展示。
　　7、广告系统能够采集到的用户信息颗粒度超乎你的想象。仅 ＂咖啡＂这一个关键词，就能够对应出上百个细分标签可供广告主选择，这也是广告能够做到如此精准的原因之一。
　　8、精准广告能够实现跨 App 的投放，如你在电商系统中曾看过的某商品，在浏览新闻资讯网站时有可能会看到一模一样的商品被再次推送。这是因为他们处于同一个广告联盟，通过设备号、广告标识符等确认登陆两个 App 的是同一用户。
　　9、网信办、工信部、公安部、国家市场监管总局等四部委对于个人隐私保护工作十分重视，此前曾重点整治了 ＂私自收集个人信息＂、＂超范围收集个人信息＂、＂不给权就不让使用 App＂和 ＂过度索取权限＂等 8 类损害用户权益的行为。
　　10、四部委最近的计划中，加强了对 App 常使用的 SDK 以及应用分发平台的监管，面部特征等生物特征信息收集使用不规范、App 后台自启动、关联启动、私自调用权限上传个人信息，录音、拍照等敏感权限滥用等问题。
　　11、操作系统、手机厂商也在努力保护用户隐私，苹果限制精准广告追踪，安卓引入 ＂单次授权＂、＂权限重置＂等功能保护用户隐私，国内手机厂商最近发布的新一代操作系统中也有进行相应的隐私功能升级。