App为何频繁读取用户位置信息？会泄露隐私吗？

频繁访问用户地理位置的可能性很多，问题的关键在于，这种提升用户体验的机制，如何避免泄露个人信息及隐私

编辑｜郭丽琴

近期，据部分用户反馈，在使用小红书App过程中，发现该App后台存在持续高频读取用户位置信息的情况。其中，有用户记录显示，在三天时间内，其位置信息被访问次数高达1.7万次。此外，即使用户在凌晨并未使用App，后台依然在获取包括定位、照片与视频、设备状态以及剪贴板等在内的多项信息。

社交平台上，对于小红书的热议焦点在于其App访问用户地理位置，且频次极高。对此，小红书官方账号“小红薯”也做出了回应：“经核查，平台不会在未经授权的情况下读取用户位置信息。读取频次取决于用户使用场景，个别用户遇到的高频读取情形可能与个人使用行为有关。”

3月28日，国家网信办等四部门发布公告，将进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题。其中包括治理App（含小程序、公众号、快应用）和SDK（指辅助开发某一类软件的相关文档、范例和工具的集合）违法违规收集未提供个人信息收集使用规则，未按照个人信息收集使用规则处理个人信息，无相关功能或未使用相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息等问题。

一方面，平台算法推荐服务的升级高度依赖高质量数据作为支撑，如用户偏好获取技术需要调用大量的数据组合，以实现精准化内容推送；另一方面，又易引发公众焦虑，认为该推送机制是以牺牲用户个人信息和隐私为代价（详见：理性看待算法治理：从“算法选择”到“选择算法”｜ 算法E思考之二）。

虽然小红书官方随后作出澄清，但焦虑依然普遍存在。4月7日，在小红书输入“读取位置信息”“位置权限”等关键词，依然可以检索到大量对小红书App频繁读取位置信息的质疑。但这些网友的共识是：在手机设置中关闭小红书的“位置”访问权限后，小红书App频繁获取位置信息的情况就停止了。

小红书官方着重强调，其App读取频次与用户的使用场景和使用行为有关。在不同场景下，App会基于功能需求对位置信息进行采集，并产生频次差异。

“例如，当用户进入跑步场景（同城-探索-跑步）时，会有更高的采集频次，以便持续更新位置确保服务精准性，其目的为提升用户体验。此外，当进入‘搜索附近地点’时，为提高本地生活的服务体验，也会有采集行为。”

其他软件频繁读取位置信息也被网友提出了质疑。

例如，有网友表示，运动软件Keep在七天内读取了近万次位置信息，而该网友在七天内从未使用过Keep锻炼。高德、快手、微信等App也因为频繁读取位置信息被一并质疑。

（有网友表示，高德、快手、Keep等也出现了频繁读取位置信息的情况。图源：作者供图）

那么，为什么App会频繁读取用户的位置信息？

一位不愿具名的App开发者告诉我们，这一现象可能与App集成的SDK有关。

这位开发者表示，为了提升迭代速度、降低开发成本以及拓展业务功能，应用开发者除了自行开发，还会选择内嵌SDK，以便快速接入并实现特定的业务功能。App开发者普遍会使用自研或第三方SDK，一款App一般会集成多款SDK。

中国信通院联合腾讯发布《软件开发包（SDK）安全研究报告（2021年）》（下称《报告》）显示，目前比较成熟的SDK有广告类、推送类、数据统计分析类、地图类等。根据信通院和腾讯数据统计，目前国内一款App平均集成超过20款SDK，其中体育运动类、医疗健康类、时尚购物类App平均使用第三方SDK数量位列前三。

《报告》指出，SDK能够帮助App开发者在无需了解技术细节的情况下快速实现特定功能，但也导致其开发、运营具有一定封闭性，用户和App开发者难以完全掌握第三方SDK收集使用个人信息的范围、方式、用途等。如果SDK收集使用个人信息方面存在合规风险，App集成SDK并应用时将对用户个人信息构成威胁。

前述App开发者表示，高频读取位置信息有可能是自研的SDK所为，也有可能是第三方SDK高频读取。

而一位不愿具名的资深网络安全人士表示，有一种可能是小红书的开发人员在写代码时出现了BUG（程序错误），导致读取位置权限出现了死循环。因为这样的BUG有可能很快被技术人员发现并排除，所以这可能是某一个版本的BUG，用户若未能及时更新就会出现因为BUG，位置权限被频繁调用的情况。

其次，有些手机的统计次数存在争议。如果在不同手机中安装同一版本App，但App的行为表现不一致，那么App读取位置信息次数可能只是跟不同品牌的手机有关系。

另外，如果这个问题不是所有用户在该版本下都能复现，那么可能如小红书所说，是个人原因导致的。但具体的个人原因难以确定，有可能是用户反复开关应用，也可能是故意刷数据。

要平息焦虑心情，首先需要回答，频繁获取用户位置信息会泄露个人信息及隐私吗？

前述网安人士表示，获取位置信息的次数是指App可能触发了调用位置权限行为的次数，但是调用之后是否调用成功，是否上传，才是问题的关键。这位人士表示，信息收集和泄露其实是两回事，即使App收集了数据，也不一定意味着会泄露。通常情况下，这种收集行为的影响并不大。

“高频次调用位置权限意味着该App是个可疑的对象，我们需要密切关注，但它是否在’监视’我们，拿走我们的信息，还需要进一步的专业测试。”这位网安人士说。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲此前在接受贝壳财经采访时也表示，读取定位是否意味着侵犯隐私，一定要搞清楚App访问隐私之后到底有没有上传。一些App会进行定期巡检，例如巡检一下用户有没有最近换位置，以推送一些更加精确的附近新闻或附近的个人视频。如果只是巡检而没有上传，就并不是大问题。

此外，要进一步平息焦虑，用户需要知晓，目前对搜集个人信息的监管边界在哪里，以及如何衡量企业是否合规运营？

目前，中国法律法规对个人信息收集和处理有着明确的规定。

《中华人民共和国网络安全法》第四十一条规定，收集个人信息应当符合合法、正当和必要的原则，不得收集与业务无关的个人信息。

《中华人民共和国个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。这也是个人信息收集的“最小必要”原则，即信息控制者在收集个人信息时，应仅收集实现特定目的所必需的最少信息，避免不必要的信息收集，从而减少对信息主体隐私的干扰和侵犯。

上海市华诚律师事务所高级合伙人吴月琴表示，在数字时代，《中华人民共和国个人信息保护法》确立的“最小必要”原则为数据治理提供基本框架，要求信息处理行为须具备目的正当性、直接相关性及影响最小化三重要件。

此外，部分部门规章也对App获取位置等个人信息做出了细化指导。

2019年，国家网信办、工信部、公安部和市场监管总局联合印发《App违法违规收集使用个人信息行为认定方法》（下称《认定方法》），其中规定收集个人信息的频度适度，与业务功能实际需要相匹配。不能仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息。

全国信息安全标准化技术委员会发布的《网络安全标准实践指南 —移动互联网应用程序（App）系统权限申请使用指南》对App位置权限的情形进行了较为详细的规定：

一、所提供业务功能与用户所在位置无关的App不应申请位置权限；

二、如操作系统支持，应允许用户在始终允许（前台和后台）、 使用应用时允许（仅限前台）、单次允许（临时单次授权）、禁止获取位置信息四种位置状态中进行选择授权；

三、除地图导航、运动健身等可能需要后台持续获取位置的服务类型外，其他服务类型不宜申请后台位置权限；

四、借助访问粗略位置权限即可实现相关业务功能的App，不建议申请精准位置权限。

吴月琴坦言，由于法律对“高频调用”缺乏量化标准，导致实践中出现两种倾向：部分平台以“用户场景需要”为由扩大数据采集边界，而另一些主体则因标准模糊面临合规执行困惑。同时，《认定方法》已明确将“频繁申请权限”纳入负面清单，这要求企业在功能设计与权限调用间建立严格对应关系。例如，内容推荐类功能应区分“城市级”与“精准定位”需求，前者可通过每日定时更新实现，后者则需绑定用户主动触发动作。

吴月琴介绍，为应对这些合规挑战，行业最佳实践是实施“场景化”合规方案，具体包括构建“功能-数据-频率”三维校准模型和技术优化路径。

具体而言，在三维校准模型中，建立分级管控矩阵，可清晰界定不同场景的数据需求：基础级如天气推送仅需城市级数据每日更新；进阶级如本地化服务需商圈级精度且绑定用户触发动作；专业级如导航功能则可实时调用。

技术优化路径包括建立缓存机制，静态场景如城市定位，设置24小时有效期；动态场景引入差分隐私技术，将经纬度转换为1km×1km区域编码的模糊定位，以及动态降频，根据用户行为模式如夜间休眠状态，自动调整采集密度，形成“技术约束+场景适配”的双保险。。

场景化授权允许用户按需设置权限边界，如导航类“始终允许”、本地服务“仅使用时允许”、社交功能“禁止访问”（默认关闭后台定位），并配套开发的隐私仪表盘，通过时间戳关联展示数据调用轨迹，功能模块统计生成权限热力图，并引入第三方审计报告摘要作为合规背书，形成“用户可控+过程可视”的闭环体系。

前述网安人士认为，小红书等有争议的平台可以通过个人信息保护合规审计的方式自证清白。

2025年2月，国家网信办公布了《个人信息保护合规审计管理办法》（下称《办法》），自2025年5月1日起施行。《办法》规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

“个人信息保护审计可以倒逼平台合规。现在合规工作并不好做，尤其是在企业内部，如果没有监管部门的推动，很难开展。”前述网安人士说。

责编 | 秦李欣