文/本刊记者 史 诗
网络隐私越来越成为一个全球性的重要议题,引发政府部门、互联网企业和广大用户的关注。什么软件会获取我们的隐私信息?哪些获取行为属于越界获取?我们该如何防范隐私泄漏和网络欺诈?
日前,腾讯社会研究中心和DCCI互联网数据研究中心联合发布《网络隐私安全及网络欺诈行为研究分析报告(2018年上半年)》,通过对1144款手机APP获取用户隐私权限情况的统计,评估移动端APP的隐私安全,同时联合腾讯守护者计划项目,分析2018年上半年网络欺诈的新案例和新趋势,并为用户提供简单易操作的应对方案。
报告显示,目前几乎所有手机APP都在获取用户隐私信息,但大多数都能遵循“合法、正当、必要”的原则进行获取,越界获取用户隐私比例持续大幅降低,2018年上半年安卓APP越界获取比例降低到5.1%。
报告和现场专家都认为,《网络安全法》的实施,政府部门对网络安全问题的重视,互联网行业的自律,用户隐私安全意识和技能的提高,都在推动整个网络隐私环境向前发展。
《网络隐私安全及网络欺诈行为研究分析报告》(以下简称《报告》)将用户不知情时个人信息被获取的情况称之为隐私泄露,报告显示移动网络隐私的泄露主要有手机软件获取、免费Wi-Fi窃取、旧手机设备泄露以及黑客攻击企业大数据等渠道。
报告主要针对手机软件获取用户隐私情况进行统计、研究和分析。研究团队共选取了869个Android手机APP、275个iOS手机app,对三类隐私权限的获取情况进行逐一分析:“核心隐私权限”包括获取位置信息、读取手机号、读取短信记录、通话记录等;“重要隐私权限”包括打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话等;“普通隐私权限”则包括打开WiFi开关、打开蓝牙开关、获取设备信息等、打开数据网络等。
《报告》隐私安全测试结果显示,2017年下半年,几乎所有的安卓手机APP都在获取用户隐私权限,869个Android手机APP中未获取的仅占0.1%。其中生活购物类和投资理财类APP占比明显增加,生活购物类由7.6%增加到11.2%,投资理财类由9.1%增加到10%。
值得注意的是,在2018年上半年,获取“打开摄像头”权限的APP比例达到89.9%,获取“使用话筒录音”权限的APP比例达到86.2%,这两个权限也是用户最为关注的隐私信息。
一个良性的变化是,安卓手机APP在越界获取用户隐私权限的比例在大幅降低,相比2017年上半年的25.3%,2018年上半年降到了5.1%。研究团队和现场专家都认为,《网络安全法》的实施,互联网行业的自律,用户隐私安全意识和技能的提升,都促使移动软件开发者在采集用户信息时遵循“合法、正当、必要”的原则。
对隐私权限管理相对完善的iOS系统,也存在隐私泄露问题。《报告》显示,2018年上半年iOS端获取用户隐私权限从69.3%骤增到93.8%,其中图像美化类获取比例高达100%。
来自腾讯安全实验室的数据显示,2018年上半年,腾讯手机管家诈骗电话标记总数2970万个,拦截诈骗短信1833万条,平均每天标记诈骗电话16万个,拦截诈骗短信10万条。在世界杯前夕的5月,诈骗短信暴增超过792万条,是2月的近10倍。
2018年上半年最常见的诈骗短信是非法贷款、病毒软件&恶意网站、伪基站、高薪招聘和网购,其中非法贷款占比32.4%。诈骗电话多为以各种理由要求转账、冒充领导、索要验证码和冒充公检法。恶意网站中色情网站占比高达56.9%,博彩网站增长到34.4%。报告认为,博彩网站数量大增,世界杯开赛是重要的刺激因素。
来自腾讯安全管理部的案例分析显示,6月高考过后,以高考和录取为名义的诈骗手法多为“高考补助金”、“黑客改分”、“保送”、伪造录取通知书,或者发送短信链接植入病毒。世界杯期间的诈骗手法多为赌球竞猜、虚假获奖信息、恶意钓鱼网站等。
姜奇平(中国社科院信息化研究中心秘书长):
我觉得在网络隐私领域应该把用户主权用市场化的方式落地。在隐私保护上,我们现在只是给用户说允许采集或者不允许采集,这个不够,这个是在信息开发领域,在应用领域也要赋权。举两个例子,一是我们的软件机制是否可以让消费者建立黑名单。比如我接到一个陌生电话,这个电话没接,上面就显示是骚扰电话,是有人认为它是骚扰电话并进行了标记,设置成了黑名单,这样其他用户也就知道了这是骚扰电话。二是社交媒体查证,,社交媒体如果有一个机制,我1秒钟就可以查到某个不明底细的人的信息,就可以让用户权益更能得到保证。
胡延平(DCCI互联网数据研究中心创始人):
大多数互联网用户对隐私问题是真关注,假在意,不行动。相对而言,关注度很高,一个新闻热点事件过来以后,大家都觉得是个事儿,都觉得很严重,但采取实际行动的人比例很低。比如说手机APP的隐私权限,70%、80%权限关掉以后,并不影响APP使用,但很多用户根本不去管。
我提供一个对所有用户来说都简单易操作的方案,在手机里面只要把类似腾讯手机管家这样的安全软件用好,就可以解决每个用户移动隐私方面的大多数问题,不论是垃圾短信,还是骚扰电话、诈骗电话、恶意网址,都可以进行提醒和防范。还有你的手机上的APP,好多功能权限真的可以关掉而不影响使用。
王新锐(北京浩天安理律师事务所高级合伙人):
第一,在隐私保护领域,比较有价值的案例是美国一些大公司,比如Facebook公司做的隐私表盘,用可视化方法管理隐私,把隐私赋权给用户。而中国很多互联网产品特点是集成,里面包含娱乐、支付、社交等等很复杂。隐私表盘把隐私权限设置落实,可以让你更直观看到到底用了哪些信息,也能更好地管理个人隐私,而且是一个梯度管理。
第二,隐私是什么,隐私和个人信息的边界在哪里,企业获取用户信息和隐私的标准是什么,我想中国的互联网公司是否可以形成某种共识,大家一起来推动行业自律。此外,政府部门、法律界、社会学界等也要逐渐形成自己的共识,让这些共识在相互碰撞中不断改善和前进。
蒋海锋(腾讯守护者计划安全专家):
今年上半年开始,荐股诈骗在举报数据中不断上升。腾讯守护者计划对相关的数据进行了分析,协助重庆和福建警方进行专项打击,在重庆、南昌、上海、深圳一共打到了8个犯罪团伙,涉及窝点20个,抓获嫌疑人585人,现场缴获的股民个人信息600多万条。
荐股诈骗的手法有玩概率、朝软件、谈感情、黑平台,诈骗环节分为5步:准备场所、员工和诈骗工具,用软文、短信、广告做推广,冒充白富美组团忽悠受骗人交推荐费或会员费,以盈利的假象拉拢受骗人入一个更大的骗局,让受骗人把巨额炒股费用打入骗子私人账户。
现在网络诈骗已经产业化,最早的时候一个犯罪团伙要做一个诈骗案件,需要一系列成员分别做一些事情,分工配合,然后达成诈骗目标。现在产业化了,各种犯罪的技术门槛都很低,只要一个人有相应的黑产资源,就能够进行诈骗。前几天我们配合福建警方打掉了一个荐股的窝点,进去的时候发现只有一个人,对着十台电脑操作。
左洪涛(腾讯手机管家安全专家):
大家第一次安装软件要有一个习惯,必要的权限开放,不必要的权限完全不开放,它可能有小的功能需要这个权限,但是用的时候要提醒我用不用,这样不能随意开放给第三方用。
除了APP的读取手机联系人、短信、打开摄像头、使用麦克风等隐私权限,我们的身份证号、银行帐号、电商帐号密码、社交网站的帐号密码,也是特别核心特别重要的隐私,一定要给予足够重视。
黄晓林(腾讯法务数据和隐私中心负责人):
腾讯有隐私方面的投诉渠道,每月都有200万条的投诉,说明中国用户是真的很关注和在意隐私的。
作为一家“科技+文化”公司,腾讯会在内部理清哪些权限是敏感权限,哪些是非敏感权限,什么样的条件下才能获取用户隐私权限。我们有内部一套完整的规范给到业务和产品,让产品侧按照规则进行操作,不必要的隐私就不要获取。
王晓冰(腾讯社会研究中心总监):
我们经常看到的所谓一揽子协议,一揽子协议告诉用户可能企业收集数据用于干什么,那个环节一般来讲是比较抽象的规定,通常很多应用都是倾向于把这个应用范畴划的越大越好,避免将来受到诉讼的可能。但是对用户来讲,虽然公布了用途,但没有太大意义。如果将来这个方面也可以变成一个透明的、可查询的过程,对用户来说就更有意义,更容易查询个人数据去向。