随着互联网的发展以及移动终端的兴起，我们手机上琳琅满目的APP越来越多，电脑上各式各样的应用也层出不穷。这些APP和应用在丰富我们生活的同时可能也在悄悄地收集着我们的个人信息。
你真的了解APP吗？
大部分手机App使用者对于App其实并不了解，不清楚这些App背后都在做些什么。当你下载一款手机APP的时候，是否一直跳出来获取手机权限的提示，一旦你选择禁止某项权限该APP就会提醒你可能无法正常使用。目前市面上App众多，抛开那些恶意的App不谈，其实大量正规运营的APP在安装时，未经用户选择，就自动获取了相关个人信息，例如位置信息、手机通信录、短消息等。

很多人在点击同意使用协议时，并没有认真看过隐私条款，这也为APP非法获取个人信息提供了保护伞，他们穿上高科技的外衣，让你在毫不知情的情况下就将自己的所有信息就交给了大数据公司。而这种过度收集的个人信息，再加上保护措施的缺乏，很可能造成个人信息泄露，被有心者利用进而威胁到消费者个人隐私安全，影响到消费者的正常生活。
一、APP为什么要收集个人信息
在互联网时代，个人信息、用户数据就意味着用户需求和商业风口。APP收集的数据越丰富，对于用户的画像刻画就越精准，例如你用的是什么型号的手机、收入范围、经常搜索的关键词、常用的App、喜欢看的新闻等，这些林林总总的数据就构成了一个立体的精准用户画像，再通过数据信息交叉比对，数据就可以通过广告等商业途径变现，产生巨大的商业价值。

二、个人信息都被拿去做什么了
（1）个人信息被用来给某些APP做用户的精准推送。各种APP依托大数据，给用户的消费行为打上标签，继而有针对性地推送商业信息，比如今日头条总能知道你关注什么内容，网易云音乐主动推送你偏爱的歌曲，大众点评准确的推送你喜欢的美食等。
（2）个人信息被用来推销保险、理财等业务。保健品、保险、理财、房地产中介等行业以及职业倒卖人员是个人信息的主要购买者。在具体用途上,公民个人信息遭贩卖后,往往被购买者用来推销相关公司的业务。在众多公民个人信息中,老人和学生的信息相对来说更受欢迎。老人的信息经常会被相关公司用来推销保健品,而学生的信息则被一些教育机构用来招生宣传。
（3）个人信息被用来虚假注册虚拟身份，为诈骗提供了支撑。我们之前在暗网的文章中讲过，很多虚拟身份的注册都是通过非法渠道购买来的“四件套”完成的。一旦诈骗分子有了这些信息和虚拟身份就可以利用“社会工程学”等心理学理论编写诈骗脚本,利用电信业务规则、流程漏洞实施诈骗;诈骗分子随后通过电话、短信、网络等通讯渠道联络受害者,用恐吓或者诱导的方式,骗取受害者向指定账户转账汇款。

三、个人信息安全与法律适用
个人数据规模持续快速增长，这些数据蕴含着巨大的价值。这就需要首先解决个人信息的安全问题。面对多维度的个人信息，不同行业不同需求的个人信息使用，各企业对个人信息相关的业务线条复杂化，以及随着技术发展所带来的个人信息保护的新挑战，个人信息保护迫在眉睫。从国家、企业到个人，也对个人信息保护愈加重视。在我国，立法部门、执法部门以及社会产业等各界正在持续致力于推动个人信息保护的发展与落实。近年来《网络安全法》、《个人信息保护法(草案)》、《数据安全法》陆续出台。2019年12月底，网信办针对此类情况还专门发布了《App违法违规收集使用个人信息行为认定方法》。其中，9类行为可被认定为“未经用户同意收集使用个人信息”，6类行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”
具体来看，以下9类行为可被认定为“未经用户同意收集使用个人信息”：
　　1．征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；
　　2．用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；
　　3．实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；
　　4．以默认选择同意隐私政策等非明示方式征求用户同意；
　　5．未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；
　　6．利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；
　　7．以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；
　　8．未向用户提供撤回同意收集个人信息的途径、方式；
　　9．违反其所声明的收集使用规则，收集使用个人信息。

　　以下6类行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：
　　1．收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；
　　2．因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；
　　3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
　　4．收集个人信息的频度等超出业务功能实际需要；
　　5．仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；
　　6．要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。
　　此外，《规定》明确了地图导航、网络购物、网络借贷等39类常见类型移动应用程序必要个人信息范围。对于网络借贷类App，《规定》明确其基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”，必要个人信息包括：注册用户移动电话号码；借款人姓名、证件类型和号码、证件有效期限、银行卡号码。在明确App基本功能服务和必要个人信息范围的基础上，《规定》要求APP运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用其基本功能服务，同时确立了“最小必要”原则。