（浙江财经大学,浙江 杭州 310018）

2021年1月，工信部向社会通报了157家存在侵害用户权益行为App企业的名单，并且依据《网络安全法》等法律和规范性文件要求工信部组织对上述37款App进行下架。这些App过度申请涉及用户隐私的敏感权限，但实际功能却与所申请权限无关。国家计算机病毒应急处理中心（简称“CVERC”）在“净网2020”专项行动中通过互联网监测发现，多款旅行类移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。移动应用市场的用户信息泄漏问题频发，甚至有疑似App“窃听”现象，引起了社会的热议，对此App的使用者也感到十分担忧。早在2019年3月15日，国家市场监管总局、中央网信办已联合发布了《关于开展App安全认证工作的公告》及实施规则，以规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。[1]并在2020年9月20日对18款App颁发安全认证证书，标志我国App安全认证工作正式开展。

本项目首先运用Python抓取网络文本，采用词云图、情感分析、语义网络分析和鱼骨图等文本挖掘技术，对App权限索取问题进行探讨，据此设计调查问卷，并采用多阶段分层抽样进行实地问卷调查。然后通过决策树、自适应提升和随机森林等机器学习方法，将用户对手机App权限索取容忍度的影响因素进行比较分析。进一步地，基于因子分析构建结构方程模型（SEM）进行授权行为影响因素分析。最后根据用户对App的授权意愿，运用秩和比法（RSR）和逼近理想解排序法（TOPSIS）对各类App进行综合评价分析，进而通过SWOT-PEST模型从不同角度提出建议，为解决App过度索取权限问题提供借鉴。

本项目运用词云图、情感分析、语义网络分析和鱼骨图进行文本挖掘，采用多阶段分层随机抽样、等额抽样和PPS抽样相结合的方式，以杭州市主城区人口为权重进行分层抽样，采用不重复抽样时的层数估计确定所需的样本量，进而发放问卷调查杭州市手机App权限索取与用户隐私保护现状。同时采用非概率抽样，针对部分市民进行实地访谈，更好地发现手机App权限索取与用户隐私保护中的具体问题。

通过问卷的回收与整理，总结了现阶段杭州市市民对App权限索取行为的评价：

图1 整体思路图

（1）杭州市市民大多通过手机自带的应用商城下载App，目前市场上监测到的移动应用程序总量达到449万款，手机用户可以通过多种途径下载其所需的App；

（2）杭州市市民使用社交类App的频率最高，使用学习类的频率占比其次，第三为咨询与搜索引擎类，使用游戏类App的频率最低；

（3）用户对于App过度索取权限时，超七成用户选择禁止使用不相关权限，说明用户具有一定的隐私保护意识；

（4）杭州市市民认为立法机关、业内市场、App运营商和用户均需承担App过度索取用户隐私权限的责任，但主要责任在于App运营商和业内市场。

1 实证分析

1.1 手机用户对App权限索取容忍度分析——基于机器学习

尝试用性别、年龄、学历、月收入和手机系统5个定性变量作为自变量来预测作为因变量（由完全不容忍→完全接受7个类别）的手机App获取权限的类别和变量容忍度的影响程度。[2]选用机器学习方法对接受度的影响程度进行分析。本项目运用决策树、自适应提升和随机森林三种机器方法对手机App权限索取的容忍度进行分类，并分析受访者的基本特征变量与容忍度之间的联系。

以决策树内容作为自适应提升分类器中的弱分类器，将每棵决策树集合起来，最终构成自适应提升这一集成分类器。

为进一步进行模型优化并更好地与自适应提升分类结果进行比较，我们选用随机森林模型进行分类得出结论，月收入和年龄因子与手机App权限索取容忍度间的关系最为显著。[3]

综合决策树、自适应提升和随机森林三种模型的分类结果可知，影响群众对App权限索取容忍度的第一因素为月收入，其次为年龄。月收入和学历越高的人群，对各类手机App的权限索取更为介意；年龄在45岁以下的人群更加注重个人隐私保护问题，因此对各类手机App的权限索取的容忍度较低；使用iOS系统的受访者对手机App权限索取的容忍程度高于Android系统的使用者。

1.2 App授权影响因子分析——基于结构方程模型

为建立估计和检验各因子的因果关系，本文结合各因子之间的区别和联系，将读取权限和感知权限作为变量，通过结构方程模型来分析模型中各个变量之间的路径影响，经过多次修正后得出最终的模型结构路径图，见图2。[4]

图2 路径系数图

1.3 用户对App权限授予意愿排序——基于RSR法和TOPSIS法

为了建立用户对App权限授予意愿评价系，根据因子分析计算出的结果，得出用户对授予不同权限的介意程度，并由高到低赋予相应的权限和由大至小的权重，进而运用秩和比（RSR）综合评价法和逼近理想解排序（TOPSIS）综合评价法相互印证，得出用户对App权限授予意愿排名表，可以看出逼近理想解排序法（TOPSIS）与秩和比法（RSR）的排名基本一致，综合排名的可信度较高。[5]因此得出结论，用户更愿意授予使用频率高、涉及面广或针对特定功能索取权限的App。

2 主要结论与建议

2.1 主要结论

（1）用户对录音、读取通话记录及短信和读取联系人权限的获取最为介意。

（2）用户更愿意授予使用频率高、涉及面广或针对特定功能索取权限的App。

（3）Android系统和苹果iOS系统对App获取权限方式不同。

（4）用户更在意感知权限的授予问题。

（5）受访者的月收入和年龄对手机App的总体评价影响最为突出。

（6）App用户隐私受侵犯很多时候无选择权，且受到侵害后的维权意识不强。

2.2 主要建议

（1）企业加强用户隐私加密技术。企业严格定义用户数据的访问者以及访问方式，在源头上减少用户隐私数据窃取。

（2）企业形成对用户隐私负责的企业文化。对于经常接触到用户隐私信息岗位的员工进行针对培训。[6]

表1 综合排名对比分析表

（3）用法律保障企业和用户的权益，加强隐私保护宣传。政府直接对应用商店的资质进行监管，将要求落实到应用商店的管理审核。[7]政府应积极开展中老年人智能手机功能培训，并普及手机个人隐私安全知识。

（4）加强App上架初期审核，建立有效追溯体系。应用商店应该在上架APP时就做好筛选工作，把那些违规App及时淘汰。建立有效的追溯体系，定期审核。[8]

（5）用户提高隐私保护意识，当隐私遭到侵害时，勇于维权。尽量选择知名APP商店下载应用软件，下载之后对App做权限管理。在被运营商索取权限时，仔细查看内容，不盲目开放权限。

3 项目特色与创新之处

（1）从研究问题看，本项目以社会热点问题——手机App过度索取权限为切入点，分析杭州市手机App权限索取和用户隐私保护现状及相关问题，切合当下大数据时代下个人隐私保护的热门话题，具有重要的研究意义。2019年3月，上海市消保委对常用App评测发现，有超六成App过度索取用户隐私权限。针对此问题，《个人信息保护法》已被提上全国人大立法日程；2019年3月15日，国家市场监管总局、中央网信办也联合发布了《关于开展App安全认证工作的公告》及实施细则，来规范App收集、使用用户信息的行为，加强个人信息安全保护。解决手机App权限过度索取和加强用户隐私保护势在必行，使得本项目更具研究价值及挑战性。

（2）从研究角度看，本调查在前文研究的基础上，从“用户对手机App权限索取容忍度”和“用户对App权限授予意愿评价”两个角度进行分析，推陈出新。搜索国内外关于手机App权限索取和用户隐私保护的相关文献，可以看到多以定性研究为主，实践性较强的定量研究较为缺乏。与传统思辨式路径相比，内容翔实的实证分析更有助于项目研究的系统化和创新性。

（3）从研究方法看，本项目研究方法多种多样，首先构建词云图、情感分析、语义网络分析和鱼骨图模型，建立App权限索取现状分析的整体思路，得出调查问卷。其次运用决策树、自适应提升和随机森林等比较前沿的机器学习方法对手机App权限索取容忍度进行分类和影响因子分析，进一步地采用结构方程模型进行授权因素分析。最后选用较为新颖的秩和比法（RSR）和逼近理想解排序法（TOPSIS）对用户App权限授予意愿进行总体评价排序，同时采用SWOTPEST方法对研究结果提出更具针对性的建议，具有较强的创新性和逻辑性。

本项目对杭州市手机App权限索取和用户隐私保护现状及相关问题的改进和突破具有现实性、可操作性及可实施性。深度挖掘App过度索取权限和用户隐私保护困难的实质问题，具有较高的社会意义和研究价值。