其实，点个外卖，有必要获取语音权限或者通讯录好友权限吗？这是不是属于过度授权呢？

在今年315晚会上，有关手机APP过度收集用户信息而导致个人隐私泄露的问题再次成为公众关注的焦点。这些信息泄露，带来的后果不仅仅是骚扰。据消协发布的报告称，手机App软件过度采集个人信息已成为网络诈骗的主要源头之一。 

对于个人而言，在使用APP时，会填写真实姓名、电话号码、身份证号码、社保密码等私密信息。而这些数据极可能被受截获并发至大数据公司，被别有用心之人所利用。可以说，在大数据面前，不管是学生、家庭主妇或公司高管，人人皆裸奔，毫无隐私可言。 

对于企业而言，每个企业难免需要收集、储存、使用个人身份信息（如姓名、电话、地址等）。哪怕不是互联网企业，最老派的企业也对客户、供应商、公司高管的个人信息有着必然需要。面对这样的情况，不仅外部有着个人信息的泄露风险，。在企业内部还有员工的大量个人隐私信息（如身份证、工资单、银行账号等）。企业需要妥善收集和管理这些隐私数据，否则可能会因此受到损失。带来巨大的经济损失，并损害企业的声誉，甚至会导致一个企业倒闭。

在我国，尚无统一的个人信息保护，相关的立法散见于《宪法》《刑法》、《网络安全法》、《电子商务法》、《民法总则》、《消费者权益保护法》、《居民身份证法》《中华人民共和国护照法》等法律法规中

（一）关于个人信息受法律保护：

1.《宪法》之“公民的人格尊严不受侵犯”、“公民住宅不受侵犯”’、“公民享有通信自由和通信秘密的权利”、“国家尊重和保障人权”等相关条款均可解释为个人信息应当受到法律保护的宪法依据。

2.《民法总则》有着明确规定，自然人的个人信息受法律保护。不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 

3.触犯了刑法中的侵犯公民个人信息罪，则会被判处有期徒刑，并处罚金。 

（二）关于数据保护：

企业作为运营者，承担着数据保护的安全义务。同时，有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全。

（三）关于授权

网络安全法规定APP提供者需要收集用户信息功能的，应当向用户明示并取得同意。意味着APP不能采用窃听等手段来非法获取用户个人信息。

(四)关于网络运营者的法律责任： 

网络运营者不履行网络安全保护义务的，会有责令改正、给予警告、罚款等后果，同时直接负责的主管人员也会承担罚款的后果。情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。触犯刑事法律的，相关人员会被追究刑事责任。

（一）在个人方面

（1）首先，对APP不要过度授权。确实有需求再开通权限（如外卖APP的语音、拍照功能等）。

（2）个人发现网络运营者违反法律规定的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。

（二）在企业方面（尤其是具有网络运营者身份的企业）

（1）制定企业内部数据使用策略：制定企业所收集到的信息里有哪些属于需要保护的。如客户的电话、住址等。

（2）制定内部管理制度，对员工进行全面的培训：制定如员工手册或者保密守则等内部制度，同时组织关于信息保护的培训（特别是管理重要数据岗位的员工），并让员工签署声明：承诺遵守相关内部管理制度守则与政策。这能促进每个员工雇员投身执行个人隐私数据使用制度策略，并让整个组织做好预防数据丢失的工作。

（3）做好系统加密与威胁保护措施：是保证数据的安全、预防数据丢失的有效举措。同时企业内部要注意工作系统不受病毒、，网络钓鱼和其他威胁。

（4）对于有着网络运营者身份的企业，在制定手机APP或者电商平台相关的授权与免责条款时，建议聘请需要专业人士进行设计制定，因为了解相关法规政策，制定完善的条款有助于规避风险。

相关法规：

▼

1.《中华人民共和国宪法》

第四十条

中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 

2.《中华人民共和国民法总则》

第一百一十一条

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 

3.《中华人民共和国刑法》

【侵犯公民个人信息罪】

第二百五十三条

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。 

4.《公安机关互联网安全监督检查规定》

第二十二条

公安机关在互联网安全监督检查中，发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。

5.《中华人民共和国电子商务法》

第二十五条

有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

6.《中华人民共和国网络安全法》

第二十二条

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第三十四条

除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第六十四条

网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

4.刑法

【侵犯公民个人信息罪】

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚

5. 《中华人民共和国民法总则》

第一百一十一条

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。