在 2018 年这个阶段，用户数据的产生，都需要用户自身在某种信息终端上交互。智能手机是目前人们使用最多的信息终端，因此个人数据被获取的途径，其实大部分是通过手机 APP。我整理了现阶段一个 APP 可能会请求获取的权限，并解释这些权限可能带来的影响。

之前关于 Facebook 数据被人滥用的看法

Facebook 这周仍然深陷隐私数据泄露的舆论泥潭中，但它的股价已经涨回来了一点。无论观点上大家多么抵制，垄断级的社交流量入口的影响力还是摆在那里，投资者也是用脚投票。

正如我在之前的文章里所说，我们的数据被企业用于牟利是无可避免的必然，而国内的公司只会比太平洋对面的同行更加变本加厉。

话音刚落，这周国内企业就接连爆了多起新闻：百度李彦宏演讲称中国用户更愿用隐私换便利、央视指控WiFi万能钥匙窃取用户隐私和国家机密、今日头条投放虚假广告。

加上前段时间滴滴被质疑利用大数据杀熟，舆论表明大众的焦虑：数据有没有被滥用？

数据被泄露被滥用的根源，在于你的数据已经被企业通过各种各样的方式获取了。

在2018年这个阶段，目前用户数据的产生，都需要用户自身主动在某种信息终端上交互，然后被企业通过客户端埋点、网络请求日志等方式读取。

智能手机是目前人们使用最多的信息终端，因此个人数据被获取的途径，其实大部分是通过手机APP。

当你第一次使用APP时，APP会向你请求获得你手机的部分权限，然后才能向你提供某些功能，并且获得你的部分数据。这些权限，有些是必要的，有些则没那么必要。

我整理了现阶段大部分APP可能会请求获取的权限，并提供了我对这些权限授权的建议：

1. 访问网络
除了离线软件，对于大部分APP来说这个权限都是必要的，因为没有它就无法联网。

2. 推送信息
APP会给你发送推送。除了部分涉及到在线聊天功能的APP外，都可以不授权。

3. 访问相机/麦克风
如果你不需要使用这个APP去扫二维码、录音、拍照、拍视频，可以不授权。

4. 获取地理位置
大部分APP都可以手动选择地理位置，除非你需要使用地图导航功能，否则都可以不授权。

5. 获取通话权限
常见于你通过APP点击某个餐厅的呼叫按钮，然后APP自动帮你拨出这种场景。坦白地说，大部分情况下你都可以手动复制自己打出去。

6. 访问文件
除非你要利用这个APP上传或者下载文件，否则可以不授权。

7. 短信/通讯录
这是一类重灾区权限，最好永远不要授权。

APP请求的授权应该和它要提供的功能相关

APP在索要这些权限的时候，常见的话术是：「为了给您提供更好的服务，我们请求获取这些权限……」

坦白地说，我们使用APP所想获得的服务，大部分都只需要联网就足够了。 授权了诸如位置、通讯录、访问文件这些权限以后，最有可能的结果就是：

1. APP老给你发送唬人的标题推送，或者在图标上展示一个小红点，利用你的强迫症促使你打开APP。

2. 你以为他索要你的通讯录和社交账号是为了帮你推荐认识的人/屏蔽你认识的人，实际上利用你的名义疯狂向你认识的人推销。

3. 知道了你的位置以后，除了一开始的定位和推荐附近内容以外，他们做得最多的就是定时获取你的位置，并给你做精准化推销，或者将你的资料卖给第三方让他们做精准化推销。

4. 悄悄在后台下载一些东西，鬼知道这些东西是什么。

所以，除非是确实缺了这个权限就无法正常使用功能，比如不让微博联网你就刷不了微博，最好一开始就不要授权。很多时候APP就算拿了这些授权，也并没有给你「更好的服务」。

遗憾的是，相比起太平洋对面的同行，国内的权限管理简直是重灾区。

如果你是iOS用户，那好歹还有封闭系统带来的天然的权限保护。Android 本身就是一个开源系统，权限管理上没有那么严格，国内各种手机厂商自己魔改的定制系统更是从一开始就接管了所有权限。

更不用说国内还有很多不给权限就不服务的APP。Google Play对于一个应用，如果认为它请求了「没有必要请求的权限」，会进行下架处理。但国内各种大大小小的应用商店，做的是渠道的生意，关心的是流量的价钱，才不关心这个APP是否流氓。

应对这种情况，用户除了自己做权限控制以外，更聪明的办法是伪造自己的权限。

在Android系统，可以使用Xposed框架的Xprivacy，或者App Ops，当APP请求应用时，提供一个伪造的权限信息。它自己以为收到了权限正常运行，实际上里面的信息是空白的。国内亦有LBE这类工具。

遗憾的是，越是细致的定制保护，越是有着相当的知识门槛和学习成本。因为数据泄露受害最深的大众用户，往往无法保护他们自己的信息。

历史其实是相似的。当个人电脑普及以后，病毒和流氓软件开始猖獗，之后便会有比如360这种做傻瓜式安全的公司抓住市场。智能手机的安全市场，随着数据安全被大众重视，也会有想抓住市场的人提供相应的产品。

这又是另一个问题了：你相信360吗？

搜索“手机权限管理”，大部分还是靠用户自行设置

我之前说过，现阶段个人数据的被获取，大部分是通过智能手机。

但是一两年后，更严峻的问题会随着5G时代到来。5G在速度上没有太大的突破，但是会带来更大的带宽，它为物联网而生。

目前用户数据的产生，都需要用户自身主动在某种信息终端上交互。但随着物联网的成熟，我们的周围会出现更多的传感器，和更多地被主动收集数据。人变成数据的范围会变大，速度会加快，企业如何使用个人数据，就变成更重要的问题。

企业利用数据牟利而不顾公众道德这件事，在经济学上是一个外部性问题，因为公众道德不在这些公司的KPI里，遵守公众道德不会带来更多的流量，更不用说帮助他们自己上市或者股价上升。

解决外部性问题，需要一个新的机制将外部性内部化。政府2015年就已经修改过刑法将非法获取公民个人信息入罪（中华人民共和国刑法修正案（九）），我身边也有不怕死的公司高管因为买了一批用户手机号码做销售洗客被人举报被抓去坐牢，但被执行的案例毕竟还是少数。

关于个人数据，用户同意授权一部分数据以换取更好的产品服务是一回事，企业将这部分数据用于用户自己授权时不知道的用途上又是另一回事。大概明年315或者两会就会有人提如何限制企业滥用个人数据这个问题了。

规则的变化相比世界的变化总是滞后的。