主题
第 6 章 智能手机权限
本章导读:智能手机是你最密集的传感器集合——它知道你在哪、和谁联系、看到什么、听到什么。这些感知能力通过"权限"分配给每一个 App。一个 App 一旦获得某项权限,就获得了对应传感器的访问权。本章教你从零开始审查手机里所有 App 的权限,按"用时授权、用完关闭"的原则,把不必要的授权收回,把必须给的权限压到最小。读完本章,你能把手机里相当大比例的过度授权砍掉,显著降低画像精度和泄露面。
🟢 基础:权限是什么,为什么必须审查
权限的本质:一道授权的闸门
操作系统(iOS、Android、HarmonyOS)用"权限"机制,在 App 和敏感资源(定位、相机、麦克风、通讯录、相册等)之间设了一道闸门。App 想访问任何敏感资源,都必须先向系统申请,由你(用户)在弹窗中选择"允许"或"拒绝"。这是除了 App 沙箱之外,保护你隐私最重要的一道防线。
根据《个人信息保护法》第 6 条的必要原则(参见第 1 章),收集个人信息应限于实现处理目的的最小范围。一个手电筒 App 要你的定位,一个计算器要你的通讯录,都明显超出必要。但现实中,很多 App 会想方设法多申请权限——有的用"拒绝就用不了"要挟,有的把授权弹窗设计得让你下意识点"允许"。
关键观念:你点的每一次"允许",在法律意义上都是一次"同意"。撤回它,既是技术操作,也是你在行使个保法第 15 条赋予的撤回同意权(参见第 1 章八项权利)。处理者不得因你撤回同意而拒绝提供基础服务。
优先审查的 5 类权限
下面这 5 类权限,信息密度最高、对画像贡献最大,也是最值得优先审查的。对应第 3 章威胁模型,它们主要抵御的是第②类对手(商业公司过度收集)和第④类对手(熟人窥探)。
1. 定位(行踪轨迹)——属于敏感个人信息
- 信息价值:你的家、公司、常去场所、出行轨迹,可推断身份、关系、习惯、收入水平。
- 防护原则:非必要不给;必须给时优先选"大致位置""仅使用时允许"。
- 容易忽略的过度索取者:天气、输入法、壁纸、资讯类 App——这些通常只需要一个城市级位置就够了。
2. 通讯录(关系网络)
- 信息价值:你认识谁、谁认识你,可构建关系网络,甚至把你通讯录里的联系人也一并拉进对方的画像。
- 防护原则:只给通讯录类、社交类 App;工具类、资讯类、游戏类一律拒绝。
- 容易忽略的过度索取者:游戏、视频、新闻、理财 App。
3. 相册(私人影像)
- 信息价值:身份证照片、家人合影、私密影像、地理位置(照片的 EXIF 信息)。
- 防护原则:只给相机、修图、社交分享类;优先使用"仅选中照片"而非"全部照片"。
- 特别提醒:不要在相册常驻存放身份证、银行卡、护照照片,确需存放请用专门的加密保险箱类 App。
4. 麦克风(语音与环境)
- 信息价值:可采集你的语音特征、环境音、对话内容。
- 防护原则:只给语音、通话、录音类 App;用时再开,不用即关;留意系统的"使用指示器"(iOS 与 Android 都有相机/麦克风使用指示灯)。
5. 相机(影像采集)
- 信息价值:可拍摄你与周围环境,搭配 AI 可识别身份、物品、文字。
- 防护原则:只给拍照、扫码、视频通话类;不用时禁止后台调用。
"用时授权、用完关闭"原则
绝大多数权限的合理使用方式是:需要的时候才给,用完就收回。尤其定位、麦克风、相机这类敏感权限,常驻授权意味着 App 可能在后台持续采集。
操作上:
- iOS 路径:设置 → 隐私与安全性 → [对应权限],把每个 App 的权限改为"永不"或"仅在使用期间"。
- Android 路径:设置 → 隐私 → 权限管理器 → [对应权限],把每个 App 改为"仅允许使用期间"或"每次询问"。
- HarmonyOS 路径:设置 → 隐私 → 权限管理 → [对应权限],逻辑类似。
基础行动:每周抽 10 分钟,打开权限管理界面,逐项扫一遍。你不需要一次到位,养成"想到就翻一翻"的习惯就够了。一旦养成习惯,每次新装 App 时,你也会下意识想清楚"它真的需要这个权限吗"。
一个常见的误区:"反正大公司不会乱用"
这种想法在两个层面站不住脚:其一,即使是大公司,也可能因内部管理、第三方 SDK、数据二次利用等机制让数据流向超出你想象(详见第 7 章);其二,数据一旦被收集就有泄露、滥用的可能,这是数据生命周期的客观规律。不要把信任当防护——信任是感性的,权限是技术性的,二者不能互相替代。把权限控制好,等同于在你的核心资产(见第 3 章资产清单)外加了第 3 层防线:"权限最小化"。
🟡 进阶:逐项审计路径
iOS 逐项审计清单
iOS 的权限管理相对集中,入口都在"设置 → 隐私与安全性"下。建议按以下顺序逐项过:
| 权限 | 路径 | 建议设置 |
|---|---|---|
| 定位服务 | 隐私与安全性 → 定位服务 | 仅导航/打车类保留"使用期间";其余改"永不"或关闭"精确位置" |
| 跟踪(IDFA) | 隐私与安全性 → 跟踪 | 关闭"允许 App 请求跟踪"(系统级总开关) |
| 相机 | 隐私与安全性 → 相机 | 仅保留拍照/扫码/视频类 |
| 麦克风 | 隐私与安全性 → 麦克风 | 仅保留通话/录音/语音类 |
| 照片 | 隐私与安全性 → 照片 | 优先"选中的照片";确需全部的再分情况 |
| 通讯录 | 隐私与安全性 → 通讯录 | 仅保留通讯录备份、社交类 App |
| 健康记录 | 隐私与安全性 → 健康 | 仅保留运动/医疗类 App |
| Face ID / Touch ID | 隐私与安全性 → 面容 ID 与密码 | 谨慎用于解锁和支付;App 内 Face ID 按需开 |
iOS 的特别利器:App 隐私报告
iOS 15 起内置"App 隐私报告"(设置 → 隐私与安全性 → App 隐私报告),开启后会记录每个 App 在过去 7 天使用过的权限(定位、相机、麦克风、网络等)及网络域名活动。这是发现"过度活跃"App 的最好工具——某个 App 频繁调用定位或麦克风,你一眼就能看到。建议初次开启后用一周,再回头审视哪些 App 的活动明显超出其功能需要。
另一个值得开启的选项:重要位置
iOS 长期记录你常去地点(设置 → 隐私与安全性 → 定位服务 → 系统服务 → 重要地点)。该数据仅保存在本机并端到端加密,但如果你不需要,可关闭并清除历史记录。
Android 逐项审计清单
Android 因厂商定制,各 UI 路径可能略有出入,但大体一致。下面是原生 / 类原生 Android 的通用路径,国行机型请参考下一小节。
| 权限 | 路径 | 建议设置 |
|---|---|---|
| 位置信息 | 设置 → 位置 → 应用权限 | 仅导航/打车类保留"仅在使用时允许";其余改"拒绝";关闭"使用精确位置" |
| 相机 | 设置 → 隐私 → 权限管理器 → 相机 | 仅保留拍照/扫码/视频类 |
| 麦克风 | 设置 → 隐私 → 权限管理器 → 麦克风 | 仅保留通话/录音/语音类 |
| 联系人 | 设置 → 隐私 → 权限管理器 → 联系人 | 仅保留通讯录/社交类 |
| 文件和媒体 | 设置 → 隐私 → 权限管理器 → 文件和媒体 | 优先"仅选中照片"或"仅媒体";禁止"全部文件" |
| 电话 / 短信 | 设置 → 隐私 → 权限管理器 | 极少有正当理由;默认拒绝 |
| 身体传感器 | 设置 → 隐私 → 权限管理器 | 仅运动健康类保留 |
| 附近的设备 | 设置 → 隐私 → 权限管理器 | 仅智能家居、投屏类需要 |
国内主流定制 UI 的对应路径:
- HarmonyOS / EMUI(华为):设置 → 隐私 → 权限管理
- HyperOS / MIUI(小米):设置 → 隐私保护 → 保护隐私 → 权限管理
- ColorOS(OPPO/一加):设置 → 权限与隐私 → 权限管理
- OriginOS(vivo):设置 → 隐私 → 权限管理
- Flyme(魅族):设置 → 应用和通知 → 应用管理 → 权限
Android 隐私指示器:Android 12 起内置权限使用指示器(屏幕右上角会显示绿色/橙色小点,表示相机/麦克风正被调用),下拉通知栏可看到最近调用权限的 App。这是发现"后台偷跑"的简便工具。
定位的三个分级,不要选错
定位权限的颗粒度,直接决定你的行踪被记录到多细。iOS 和 Android 都提供三层选择,请务必分清楚:
精确位置 vs 大致位置:
- 精确位置精度可达米级,能定位你家中具体房间、单元门口。
- 大致位置精度在约 1–3 平方公里,够给天气、资讯类 App 使用,但不会暴露门牌号。
- 建议:天气、资讯、本地新闻、社区运营类一律关闭精确位置;只有导航、打车、运动记录才保留。
使用期间 vs 始终 vs 从不允许:
- "始终"意味着 App 在后台也能持续获取位置——这是导航类才需要的合法能力,其他 App 几乎都不该开。
- 建议:约 90% 的 App 选"使用期间"或"从不";只有你长期用的导航 App 可选"始终",且定期复查。
单次授权(Android"仅这次询问"):
- 给一次就收回,适合临时场景(比如给一个不熟悉的地图 App 偶尔用一次)。
一个常见陷阱:某个 App 申请"始终"定位,理由是"为你提供附近商家推荐"或"更好的内容推荐"。这通常属于过度收集,个保法第 6 条的必要原则足以支持你拒绝。如果该 App 因此拒绝提供基础服务,可能违反第 16 条(不得以不同意或撤回同意为由拒绝提供基础服务)。
广告标识符(IDFA / Android 广告 ID / OAID)的重置与关闭
iOS 和 Android 都为广告行业内置了一个"跨 App 追踪编号"——它的作用是让不同的 App 知道"这是同一台手机",从而做跨 App 的画像和精准投放。关闭它不影响 App 基本功能,只是让广告不再那么"精准"。这是普通人能做的、性价比最高的降低画像精度措施之一。
iOS 的 IDFA(IDentifier For Advertising)
- iOS 14.5 起,App 想读 IDFA 必须弹窗征得用户同意(此机制称 ATT,App Tracking Transparency)。
- 一次拒绝,该 App 就读不到 IDFA。
- 系统级总开关:设置 → 隐私与安全性 → 跟踪 → 关闭"允许 App 请求跟踪"。
- 关闭后,之前已同意过的 App 也会被撤销。
- 注意:这个开关不会让广告消失,只是让跨 App 追踪变得困难。
Android 的广告 ID 与国内 OAID
- Google 服务(国行外机型):设置 → Google → 广告 → "重置广告 ID"和"删除广告 ID";或设置 → 隐私 → 广告。
- 国内 Android:自 2021 年起,中国信通院联合各厂商推行 **OAID(匿名设备标识符)**作为替代方案,可在各厂商的设置中重置或关闭:
- 华为(HarmonyOS / EMUI):设置 → 隐私 → 广告与隐私 → "重置广告标识符"
- 小米(HyperOS / MIUI):设置 → 隐私保护 → 保护隐私 → 智能设备标识管理
- OPPO / 一加(ColorOS):设置 → 密码与安全 → 身份与设备识别 → "重置设备标识"
- vivo(OriginOS):设置 → 隐私 → 广告与隐私 → "重置设备标识符"
重置与关闭(停用)的区别:
- 重置:生成一个新 ID,旧 ID 作废——广告行业会把它当作"新设备",你之前的画像理论上与旧 ID 绑定,会被断开。可定期(例如每月)重置一次。
- 关闭/停用/删除:App 读到的是一串零或空值,无法跨 App 关联——这是更强的设置。但部分 App 仍可能读取其他标识符(详见下一节 🔴 深度)。
事实标注:IDFA / 广告 ID / OAID 是行业现行追踪机制,具体名称、路径与开关文案随系统版本更新而调整。设置时请以本机系统实际显示为准,本表描述为常见版本的通用路径。
别忘了:卸载不用的 App
权限审查的尽头是"卸载"。一个你半年没打开的 App,即使权限关到最小,仍可能保留你的账号数据、本地缓存和后台拉取能力。彻底卸载是数据最小化最干净的方式——这也是行使个保法第 8 项权利(注销权)的一种形式。卸载后,建议同步在 App 的官网或小程序里发起账号注销,要求处理者删除你的服务器端数据。第 16 章(法律武器)会详细介绍如何正当地行使这项权利。
🔴 深度:系统级标识符作为追踪手段
如果说 IDFA / 广告 ID / OAID 是"用户可见、可关闭"的标识符,那么手机里还存在一批系统级标识符,它们的生成目的本不是广告追踪,但客观上能起到识别"同一台设备"的作用。本节介绍这些标识符的机制、为什么它们难以彻底隐藏,以及普通人能合法采取的降低可识别度措施。
主要的系统级标识符
| 标识符 | 生成方 | 性质 | 现行访问限制(约 2024–2026) |
|---|---|---|---|
| IMEI(国际移动设备识别号) | 设备厂商 | 硬件级,每台手机唯一 | iOS:第三方不可读;Android 10+:第三方不可读 |
| 序列号(SN) | 设备厂商 | 硬件级,设备唯一 | iOS / Android 均限制第三方读取 |
| Android ID(SSAID) | 系统 | 系统级,与 App 签名相关 | 不同签名的 App 看到不同值(Android 8+) |
| IDFA / 广告 ID / OAID | 系统 | 广告专用 | 用户可重置或关闭(见上节) |
| MAC 地址 | 网卡 | 硬件级,网卡唯一 | Android 9+ / iOS 14+ 默认随机化 |
| IMSI | SIM 卡 | 与手机号绑定 | 系统级,第三方不可直接读 |
追踪机制的演变:从硬 ID 到软 ID
历史上,IMEI 和 MAC 地址曾是跨 App 追踪的"金标准"。iOS 自早期就不允许第三方读 IMEI;Android 自 10 版本起也全面禁用第三方读 IMEI 和序列号。这一监管—厂商协同的限制,把广告行业推向了 IDFA(用户可见可关)、Android 广告 ID、OAID 等"用户可控制"的标识符。
这是过去十年移动隐私最重要的一次进步:把标识符的控制权部分还给了用户。但追踪并未停止,而是变得更隐蔽:
- 设备指纹(Device Fingerprint):不依赖单一标识符,而是组合几十个属性——屏幕分辨率、系统版本、字体列表、传感器微小偏差、电池状态、时区、语言、已安装 App 列表等——生成一个"足够独特"的指纹。即使你重置了广告 ID,指纹仍可能识别出同一台设备。
- 网络层关联:同一公网 IP 上出现的设备、同一 Wi-Fi 的 BSSID、蓝牙信标(Beacon)、超声音频水印等,都可用于跨设备、跨场景关联。
- 跨 App SDK 关联:多家 App 共用同一 SDK(详见第 7 章),SDK 在不同 App 中读取同一台设备上的本地存储或共享密钥,从而跨 App 关联同一用户的行为。
为什么"彻底隐藏"几乎不可能
对系统级标识符而言,"彻底隐藏"在普通用户层面有几层根本困难:
- 通信必需性:手机要与基站通信,必须向运营商发送 IMEI 和 IMSI;这是移动通信协议的物理层要求,与 App 无关,但运营商层面天然可识别。
- 指纹的零和性:即使你把所有标识符都关闭,设备指纹仍然存在;而要"伪化"指纹,每改一项都可能引入新的可识别异常——异常本身就是指纹的一部分。
- 生态约束:许多 App(尤其支付、银行、政务、电商)依赖设备识别做风控,刻意"匿名化"可能触发风控、限制功能甚至无法使用。
- 法律边界:中国法律未禁止设备标识符的合规采集,而是通过个保法、工信部 App 专项整治等机制,要求"告知—同意—必要"。在合法框架内,普通人不需要追求"技术上彻底匿名",而应追求"显著降低可识别度"。
本书诚实声明:面对有充足资源、跨多个数据源进行关联分析的对手(参见第 3 章"对手能力矩阵"),普通人可用的标识符控制手段有效性有限。本节的目标是降低日常商业画像的精度,而非对抗国家级定向分析。建立合理预期,是把精力投在刀刃上的前提。
合法降低可识别度的实用措施
在法律允许、不破坏正常功能的前提下,普通人可以采取以下措施,把"日常商业追踪"的精度显著降低:
- 重置广告 ID / OAID 到新值(每月一次):让旧画像与新 ID 脱钩。
- 关闭"允许 App 请求跟踪"(iOS)/ 停用广告 ID(Android / OAID):让广告标识符失效。
- 开启 MAC 地址随机化:iOS 14+、Android 10+ 默认开启,请确认未被关闭(设置 → Wi-Fi → 私人无线局域网地址 / 使用随机 MAC)。
- 限制剪贴板访问:iOS 16+ / Android 12+ 默认限制 App 读取剪贴板,确保第三方 App 不能常驻读取——剪贴板是跨 App 传递数据(包括识别符、密码、验证码)的隐蔽通道。
- 浏览器层防指纹:用 Safari 的"防止跨站跟踪"、Chrome 的"隐私沙箱"或注重隐私的浏览器(如 Brave、Firefox),减少 Web 层指纹精度。
- 多账号隔离:用一个专门的"二手机号 + 邮箱"注册资讯、社区、工具类 App,把高敏感(支付、政务、社交)与低敏感(资讯、工具)分隔到不同身份。
- 关掉不必要的传感器权限:陀螺仪、加速度计、气压计这些看似无害的传感器,也可贡献指纹;不用的 App 一律不给。
- 定期卸载 + 重装核心 App:重装会重置部分本地存储中的 SDK 标识;只对非关键 App 这样做,避免误删重要数据。
这些措施单独看都只是"一点",叠加起来能让普通商业追踪的画像精度显著下降——这已经是一个普通人合理的目标。
隐私沙箱与"群组化":行业方向的演变
值得了解的趋势是,Google 推动的 Android **隐私沙箱(Privacy Sandbox)**与 Apple 的 SKAdNetwork 等方案,正试图把"跨 App 个人级追踪"过渡到"群组(Cohort)级兴趣推断"——即系统不再把你的标识符给广告主,而是把你归入某个兴趣群组,广告主只知道"这个用户大概属于哪类人群"。这一方向若逐步落地,会从系统架构层面降低个体追踪精度。普通人无需深入实现细节,只需知道:未来几年,广告追踪的"颗粒度"在监管和厂商协同下正在变粗——这是好的方向,意味着你做的每一项权限设置,效果都会被系统级机制放大。
本章检查清单
读完本章,请逐项自检:
- [ ] 我能说出最该优先审查的 5 类权限:定位、通讯录、相册、麦克风、相机
- [ ] 我理解"用时授权、用完关闭"的原则,并已养成定期审查习惯
- [ ] 我已在手机上完成第一轮权限审计,把不必要的授权收回
- [ ] 我知道定位的三个分级(大致/精确、使用期间/始终、单次),并按场景设置
- [ ] 我已关闭/重置广告标识符(iOS 跟踪总开关 / Android 广告 ID / OAID)
- [ ] 我开启了 MAC 地址随机化,并限制剪贴板访问
- [ ] 我会用 iOS App 隐私报告 / Android 隐私指示器 发现异常活跃的 App
- [ ] 我理解系统级标识符(IMEI / Android ID / MAC 等)的追踪机制,知道"彻底隐藏"几乎不可能
- [ ] 我明白降低可识别度的目标是降低商业画像精度,不是对抗高级别对手
- [ ] 我已卸载长期不用的 App,并尝试注销账号要求处理者删除数据
延伸阅读
- 第 1 章 隐私与法律框架:本章引用的"撤回同意""必要原则""八项权利"等口径,详见第 1 章对应小节。
- 第 3 章 威胁模型入门:本章主要针对第②类对手(商业公司过度收集)和第④类对手(熟人窥探);纵深防御的第 3 层"权限最小化"即在本章落地。
- 第 7 章 应用与 SDK:权限背后的真正数据采集者往往是 SDK,下一章将深入。
- 官方与权威来源:
- 国家互联网信息办公室《App 违法违规收集使用个人信息行为认定方法》
- 工业和信息化部 App 侵害用户权益专项整治相关通报
- 中国信息通信研究院《移动智能终端应用软件预置和分发管理暂行规定》等技术规范
- Apple《平台安全指南》与 Android 官方《安全与隐私》文档(用于理解系统机制)
- GB/T 35273《信息安全技术 个人信息安全规范》
⚠️ 本章涉及的权限名称、设置路径、广告标识符机制会随 iOS / Android / HarmonyOS 版本更新而调整,具体请以你本机系统设置界面为准。本书描述为常见版本的通用路径,部分厂商定制 UI 可能有差异。本书仅作防御科普,不构成法律建议;关闭部分权限可能影响 App 部分功能,请读者自行评估。
⬅ 上一章 第 5 章 密码与认证 | ➡ 下一章 第 7 章 应用与 SDK