文章核心观点 - 移动互联网应用程序普遍存在收集用户位置信息的现象，但部分收集行为可能超出“必要”原则，存在合规风险与隐私安全隐患[1] - 位置信息属于敏感个人信息，其收集需遵循合法、正当、必要原则并获得用户单独同意，但实践中存在通过捆绑同意、诱导授权等方式过度收集的情况[3][6] - 位置数据具有极高的商业与潜在军事价值，可能通过第三方代码组件被泄露或滥用，对个人隐私和国家安全构成风险[12][13] - 保护数字足迹需要用户提高安全意识、审慎授权，同时行业需借助隐私计算等新技术，在促进数据流通与经济发展中实现安全平衡[14][15] 行业实践与现状 - 记者实测40款主流App发现，近半数App在首次启用时会以不同方式申请位置权限，其中以电商、外卖、出行类App为主[1] - 部分App（如淘宝、高德、链家、携程）在用户首次打开并同意隐私政策后，会自动弹窗请求位置权限，并提供“允许一次/使用App时允许/不允许”等选项[3] - 另有部分App（如抖音、今日头条、百度、闲鱼）采取触发式授权，仅在用户使用需要位置信息的子功能时才弹出授权请求[3] - 几乎所有被测App均设置“捆绑同意”，即用户若不同意隐私政策中包含的获取位置等条款，则无法使用该App[6] - 少数App在获得“使用期间允许”授权后，会进行二次弹窗，试图诱导用户将授权等级更改为“始终允许”[7] 法规与合规框架 - 《中华人民共和国网络安全法》规定，网络运营者收集、使用个人信息应遵循合法、正当、必要原则[3] - 2021年发布的《常见类型移动互联网应用程序必要个人信息范围规定》对各类App可收集的必要信息范围进行了明确释义[3] - 地理位置信息属于敏感信息，其收集需获得用户的单独同意，仅在冗长的用户协议或隐私政策中说明不符合单独同意的要求[3] - 即使获得用户单独同意，但如果收集行为违反必要原则，超出了国家规定的该类型App可收集的必要信息范围，则仍属违法行为[3] - 对于“始终允许”收集位置信息的行为，除非能证明其具有充分必要性，否则同样违反了《中华人民共和国个人信息保护法》的必要原则[9] 数据价值与潜在风险 - 对于依赖推荐算法的App（如短视频、新闻资讯平台），位置信息是核心数据之一，用于分析用户所处位置的群体特征，以实现更精准的内容投放和营销[12] - 位置信息常与IP地址、设备信息等一同通过App内集成的第三方广告SDK被收集，这些数据组合具有极高的经济价值[13] - 位置数据的价值不仅限于商业用途，还可能被用于军事等目的，存在通过第三方SDK被泄露和兜售的风险[13] - 轨迹数据可能被用于对特定目标进行精准画像、实施策反，或用于威胁关键基础设施、操控社会认知与舆论[13] 用户防护与行业建议 - 用户应养成“最小授权”习惯，初次使用App时可先选择“不允许”或“仅使用期间允许”，测试App基本功能是否可用[14] - 用户可善用“模糊定位”功能，在手机设置中为大多数App关闭“精确位置”开关，仅提供大致范围[14] - 建议用户定期进行“权限大扫除”，检查并关闭长期不使用的App的位置权限[14] - 用户需警惕诱导开启“始终允许”的二次、三次弹窗，并对在社交媒体分享内容时附带地理位置信息保持谨慎[14] - 行业层面，可探索采用隐私计算等技术，实现在不交换原始数据的前提下进行协同计算，从而在保护数据隐私的同时促进数据要素流通和经济发展[15]