App為何頻繁讀取用户位置信息？會泄露隱私嗎？

近期，據部分用户反饋，在使用小紅書App過程中，發現該App后臺存在持續高頻讀取用户位置信息的情況。其中，有用户記錄顯示，在三天時間內，其位置信息被訪問次數高達1.7萬次。此外，即使用户在凌晨並未使用App，后臺依然在獲取包括定位、照片與視頻、設備狀態以及剪貼板等在內的多項信息。

社交平臺上，對於小紅書的熱議焦點在於其App訪問用户地理位置，且頻次極高。對此，小紅書官方賬號「小紅薯」也做出了迴應：「經覈查，平臺不會在未經授權的情況下讀取用户位置信息。讀取頻次取決於用户使用場景，個別用户遇到的高頻讀取情形可能與個人使用行為有關。」

3月28日，國家網信辦等四部門發佈公告，將進一步深入治理常用服務產品和常見生活場景中存在的違法違規收集使用個人信息典型問題。其中包括治理App（含小程序、公眾號、快應用）和SDK（指輔助開發某一類軟件的相關文檔、範例和工具的集合）違法違規收集未提供個人信息收集使用規則，未按照個人信息收集使用規則處理個人信息，無相關功能或未使用相關功能時調用位置、媒體文件、通訊錄、設備等非必要權限或收集非必要個人信息等問題。

一方面，平臺算法推薦服務的升級高度依賴高質量數據作為支撐，如用户偏好獲取技術需要調用大量的數據組合，以實現精準化內容推送；另一方面，又易引發公眾焦慮，認為該推送機制是以犧牲用户個人信息和隱私為代價。

應用開發者應當如何做好平衡，仍是一個難以回答的問題。

為何頻繁讀取用户位置信息

雖然小紅書官方隨后作出澄清，但焦慮依然普遍存在。4月7日，在小紅書輸入「讀取位置信息」「位置權限」等關鍵詞，依然可以檢索到大量對小紅書App頻繁讀取位置信息的質疑。但這些網友的共識是：在手機設置中關閉小紅書的「位置」訪問權限后，小紅書App頻繁獲取位置信息的情況就停止了。

（在小紅書輸入「讀取位置信息」「位置權限」等關鍵詞，依然可以檢索到大量用户對App頻繁讀取位置信息的質疑。圖源：作者供圖）

小紅書官方着重強調，其App讀取頻次與用户的使用場景和使用行為有關。在不同場景下，App會基於功能需求對位置信息進行採集，併產生頻次差異。

「例如，當用户進入跑步場景（同城-探索-跑步）時，會有更高的採集頻次，以便持續更新位置確保服務精準性，其目的為提升用户體驗。此外，當進入‘搜索附近地點’時，為提高本地生活的服務體驗，也會有采集行為。」

其他軟件頻繁讀取位置信息也被網友提出了質疑。

例如，有網友表示，運動軟件Keep在七天內讀取了近萬次位置信息，而該網友在七天內從未使用過Keep鍛鍊。高德、快手、微信等App也因為頻繁讀取位置信息被一併質疑。

那麼，為什麼App會頻繁讀取用户的位置信息？

一位不願具名的App開發者告訴我們，這一現象可能與App集成的SDK有關。

這位開發者表示，爲了提升迭代速度、降低開發成本以及拓展業務功能，應用開發者除了自行開發，還會選擇內嵌SDK，以便快速接入並實現特定的業務功能。App開發者普遍會使用自研或第三方SDK，一款App一般會集成多款SDK。

中國信通院聯合騰訊發佈《軟件開發包（SDK）安全研究報告（2021年）》（下稱《報告》）顯示，目前比較成熟的SDK有廣告類、推送類、數據統計分析類、地圖類等。根據信通院和騰訊數據統計，目前國內一款App平均集成超過20款SDK，其中體育運動類、醫療健康類、時尚購物類App平均使用第三方SDK數量位列前三。

《報告》指出，SDK能夠幫助App開發者在無需瞭解技術細節的情況下快速實現特定功能，但也導致其開發、運營具有一定封閉性，用户和App開發者難以完全掌握第三方SDK收集使用個人信息的範圍、方式、用途等。如果SDK收集使用個人信息方面存在合規風險，App集成SDK並應用時將對用户個人信息構成威脅。

前述App開發者表示，高頻讀取位置信息有可能是自研的SDK所為，也有可能是第三方SDK高頻讀取。

而一位不願具名的資深網絡安全人士表示，有一種可能是小紅書的開發人員在寫代碼時出現了BUG（程序錯誤），導致讀取位置權限出現了死循環。因為這樣的BUG有可能很快被技術人員發現並排除，所以這可能是某一個版本的BUG，用户若未能及時更新就會出現因為BUG，位置權限被頻繁調用的情況。

其次，有些手機的統計次數存在爭議。如果在不同手機中安裝同一版本App，但App的行為表現不一致，那麼App讀取位置信息次數可能只是跟不同品牌的手機有關係。

另外，如果這個問題不是所有用户在該版本下都能復現，那麼可能如小紅書所説，是個人原因導致的。但具體的個人原因難以確定，有可能是用户反覆開關應用，也可能是故意刷數據。

網絡安全機構「知道創宇404實驗室」總監隋剛表示，部分用户在使用網絡代理時，位置可以通過代理跳變，這可能也會導致用户的位置頻繁變化，App不斷訪問用户最新的位置信息。

用户體驗與隱私安全，如何兩全？

要平息焦慮心情，首先需要回答，頻繁獲取用户位置信息會泄露個人信息及隱私嗎？

前述網安人士表示，獲取位置信息的次數是指App可能觸發了調用位置權限行為的次數，但是調用之后是否調用成功，是否上傳，纔是問題的關鍵。這位人士表示，信息收集和泄露其實是兩回事，即使App收集了數據，也不一定意味着會泄露。通常情況下，這種收集行為的影響並不大。

「高頻次調用位置權限意味着該App是個可疑的對象，我們需要密切關注，但它是否在’監視’我們，拿走我們的信息，還需要進一步的專業測試。」這位網安人士説。

中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲此前在接受貝殼財經採訪時也表示，讀取定位是否意味着侵犯隱私，一定要搞清楚App訪問隱私之后到底有沒有上傳。一些App會進行定期巡檢，例如巡檢一下用户有沒有最近換位置，以推送一些更加精確的附近新聞或附近的個人視頻。如果只是巡檢而沒有上傳，就並不是大問題。

此外，要進一步平息焦慮，用户需要知曉，目前對蒐集個人信息的監管邊界在哪里，以及如何衡量企業是否合規運營？

目前，中國法律法規對個人信息收集和處理有着明確的規定。

《中華人民共和國網絡安全法》第四十一條規定，收集個人信息應當符合合法、正當和必要的原則，不得收集與業務無關的個人信息。

《中華人民共和國個人信息保護法》第六條規定，處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。這也是個人信息收集的「最小必要」原則，即信息控制者在收集個人信息時，應僅收集實現特定目的所必需的最少信息，避免不必要的信息收集，從而減少對信息主體隱私的干擾和侵犯。

上海市華誠律師事務所高級合夥人吳月琴表示，在數字時代，《中華人民共和國個人信息保護法》確立的「最小必要」原則為數據治理提供基本框架，要求信息處理行為須具備目的正當性、直接相關性及影響最小化三重要件。

此外，部分部門規章也對App獲取位置等個人信息做出了細化指導。

2019年，國家網信辦、工信部、公安部和市場監管總局聯合印發《App違法違規收集使用個人信息行為認定方法》（下稱《認定方法》），其中規定收集個人信息的頻度適度，與業務功能實際需要相匹配。不能僅以改善服務質量、提升用户體驗、定向推送信息、研發新產品等為由，強制要求用户同意收集個人信息。

全國信息安全標準化技術委員會發布的《網絡安全標準實踐指南 —移動互聯網應用程序（App）系統權限申請使用指南》對App位置權限的情形進行了較為詳細的規定：

一、所提供業務功能與用户所在位置無關的App不應申請位置權限；

二、如操作系統支持，應允許用户在始終允許（前臺和后臺）、 使用應用時允許（僅限前臺）、單次允許（臨時單次授權）、禁止獲取位置信息四種位置狀態中進行選擇授權；

三、除地圖導航、運動健身等可能需要后臺持續獲取位置的服務類型外，其他服務類型不宜申請后臺位置權限；

四、藉助訪問粗略位置權限即可實現相關業務功能的App，不建議申請精準位置權限。

吳月琴坦言，由於法律對「高頻調用」缺乏量化標準，導致實踐中出現兩種傾向：部分平臺以「用户場景需要」為由擴大數據採集邊界，而另一些主體則因標準模糊面臨合規執行困惑。同時，《認定方法》已明確將「頻繁申請權限」納入負面清單，這要求企業在功能設計與權限調用間建立嚴格對應關係。例如，內容推薦類功能應區分「城市級」與「精準定位」需求，前者可通過每日定時更新實現，后者則需綁定用户主動觸發動作。

吳月琴介紹，為應對這些合規挑戰，行業最佳實踐是實施「場景化」合規方案，具體包括構建「功能-數據-頻率」三維校準模型和技術優化路徑。

具體而言，在三維校準模型中，建立分級管控矩陣，可清晰界定不同場景的數據需求：基礎級如天氣推送僅需城市級數據每日更新；進階級如本地化服務需商圈級精度且綁定用户觸發動作；專業級如導航功能則可實時調用。

技術優化路徑包括建立緩存機制，靜態場景如城市定位，設置24小時有效期；動態場景引入差分隱私技術，將經緯度轉換為1km×1km區域編碼的模糊定位，以及動態降頻，根據用户行為模式如夜間休眠狀態，自動調整採集密度，形成「技術約束+場景適配」的雙保險。。

場景化授權允許用户按需設置權限邊界，如導航類「始終允許」、本地服務「僅使用時允許」、社交功能「禁止訪問」（默認關閉后臺定位），並配套開發的隱私儀表盤，通過時間戳關聯展示數據調用軌跡，功能模塊統計生成權限熱力圖，並引入第三方審計報告摘要作為合規背書，形成「用户可控+過程可視」的閉環體系。

前述網安人士認為，小紅書等有爭議的平臺可以通過個人信息保護合規審計的方式自證清白。

2025年2月，國家網信辦公佈了《個人信息保護合規審計管理辦法》（下稱《辦法》），自2025年5月1日起施行。《辦法》規定，處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規審計。

「個人信息保護審計可以倒逼平臺合規。現在合規工作並不好做，尤其是在企業內部，如果沒有監管部門的推動，很難開展。」前述網安人士説。