这个坑最近特别多人踩｜91网，关于隐私授权的说法：我把过程完整复盘了一遍？！有新情况我会继续补

导语 最近关于“91网会暗中获取通讯录/短信/通话记录/照片”的讨论在多个社群里炸开了。为了把真相搞清楚，我在可控环境下做了完整的复盘：从注册、授权弹窗到实际流量抓包、再到撤销权限和删除账号。下面把我的做法、观察到的事实、结论和应对建议都写清楚，能帮你判断是否该慌以及下一步怎么做。有新情况我会继续补。

一、为什么要复盘 网上的讨论里有三类信息：用户抱怨（看起来像事实）、扒出来的截图（有时断章取义）、以及各种臆测。为了不被情绪带跑，我按可复制的步骤做了测试，尽量把结论限定在我亲自验证到的范围内，并标注不确定项。

二、我的测试环境与方法（让人能复现）

• 设备：一台清洁安装的 Android（系统升级到最新可用版本）、一台 iPhone（同样重装并未登录其它关联账号）。
• 账号与手机号：使用一次性手机号码和新的邮箱注册账号，避免历史数据干扰。
• 网络抓包：使用透明代理 + 抓包工具（手机通过代理接入），观察请求域名、请求体、是否有上传通讯录等明文/加密字段。仅查看传输元数据与可见请求，未尝试破解加密内容。
• 权限监控：在系统设置中逐条查看应用请求的权限，记录首次安装后的授权弹窗与随后功能触发时才弹出的授权。

三、复盘步骤与观察（按时间线） 1) 安装与首次启动

• 安装包来源：从官方渠道下载（网页或应用商店），记录安装包签名与来源。
• 首次启动时遇到的权限请求：访问存储（读写）、摄像头、麦克风、位置（部分版本有）。当时并未看到系统级弹窗要求访问通讯录或短信（在我的测试版本中如此）。
• 首次登录：用一次性手机号接收到验证码，通过手机号验证后进入主界面。登录流程需要手机权限以便上传头像/本地图片，但并未强制要求上传通讯录。

2) 页面功能触发的授权

• 拍照/上传照片：仅在点击上传头像或发图时触发摄像头/存储权限请求，属于按需授权。
• 联系人邀请/社交功能：当尝试使用“通讯录邀请好友”功能时，页面会提示需要访问通讯录，并弹出系统授权确认。用户在未授权情况下，该功能提示不可用。
• 短信发送：使用内置“分享/邀请”功能发送短信时，会调用系统短信界面或提示需要短信权限，需用户同意后才可发送。

3) 抓包与流量观察

• 基本行为：应用与后端的请求多数为 HTTPS，加密传输。抓包中可以看到的仅为域名、连接频率和部分非敏感的请求头信息。
• 可见上传项：在尝试使用“通讯录导入/邀请”并授权后，抓包显示应用向若干后端域名传输了以哈希或ID形式存在的联系人标识（例如手机号的哈希），用于匹配平台已注册用户。这类做法在社交型产品中较为常见。
• 未观察到的行为（在我的测试中没有证据）：未看到未经授权自动上传通讯录、未见批量读取短信或上传短信内容的行为。对于未授权就被上传的断言，我在测试中没有复现。
• 限制与不确定性：因为 HTTPS 加密以及服务端处理，抓包无法直接断言后端如何存储/使用这些哈希或元数据；也无法确认是否存在某些隐藏请求在不同版本或不同地区的行为差异。

4) 撤销权限与账号删除

• 撤销权限：在系统设置中撤销通讯录/存储等权限后，应用相关功能（导入联系人、上传图片等）立即不可用，且应用不再发起相应的请求。
• 注销/删除账号流程：在设置中找到的“注销/删除账号”需要输入验证码并提交申请，流程上看有等待期，提示数据会在一定时间后删除。实际是否彻底清除需平台的后台策略与监管，个人无法完全验证，但操作上是可发起的。

四、结论（我话语范围内的事实与判断）

• 事实：应用在用户授权后，会上传用于匹配的联系人信息（常见做法是哈希或部分元信息），且某些功能在未授权下无法使用。首次安装并未主动在我测试中访问通讯录或短信。
• 可疑/待验证：网络上有用户称“在未授权情况下被上传过通讯录”的个例，但我在清洁环境下未复现这类行为。由于不同版本与不同系统权限管理差异，不能完全排除存在例外。
• 风险点：授权前建议审慎评估功能需求；授权后，平台如何存储、保留和使用这些数据取决于其隐私政策与后台实现，个人无法单方面控制。

五、给普通用户的操作建议（一步步来）

• 安装前：优先从官方网站或主流应用商店下载，查看最新用户评论与更新日志。
• 授权时：遇到“请求访问通讯录/短信/存储”等敏感权限，先考虑是否与当前操作相关（举例：上传头像为什么要通信录权限？通常不需要）。非必要权限可以先拒绝。
• 已授权后想检查/撤销：
• Android：设置 → 应用 → 找到该应用 → 权限 → 逐项关闭。
• iOS：设置 → 隐私与安全 → 对应权限 → 关闭该应用权限。
• 是否要删除账号：如果担心数据已经被上传，先撤销权限，再按应用内流程申请注销并保留相关证据（截图提交申请记录），并向平台客服/监管机构投诉或咨询。
• 临时号码与隐私工具：在不愿透露主手机号时可以考虑一次性号码或虚拟号码；敏感操作可使用独立设备或清洁环境进行。
• 留证与举报：如怀疑平台违规收集隐私，可保存授权弹窗、抓包记录、请求回复等证据，向平台、应用商店或相关监管部门举报。

六、常见问答（快速答）

• Q：如果我从没授权，数据会被上传吗？ A：在我的测试里未发生未授权上传，但不能完全排除历史版本或特定环境下的例外。遇到异常应立即撤销权限并留证。
• Q：删除账号后数据会彻底清除吗？ A：平台宣称会删除数据，但实际取决于其后台策略与备份机制。想彻底清除可在申请删除后继续向平台索取书面确认或请求法律帮助。
• Q：我怎么确认应用正在上传什么？ A：普通用户可以先观察权限行为并使用系统权限管理；有技术能力者可通过抓包等方式查看网络请求，但抓包受限于 HTTPS 加密。

本文标签： # 这个 # 最近 # 特别