测试了1144款手机APP，摄像头和话筒最易泄露隐私？

文／本刊记者 史 诗

网络隐私越来越成为一个全球性的重要议题，引发政府部门、互联网企业和广大用户的关注。什么软件会获取我们的隐私信息？哪些获取行为属于越界获取？我们该如何防范隐私泄漏和网络欺诈？

日前，腾讯社会研究中心和DCCI互联网数据研究中心联合发布《网络隐私安全及网络欺诈行为研究分析报告（2018年上半年）》，通过对1144款手机APP获取用户隐私权限情况的统计，评估移动端APP的隐私安全，同时联合腾讯守护者计划项目，分析2018年上半年网络欺诈的新案例和新趋势，并为用户提供简单易操作的应对方案。

摄影头和话筒是重灾区

报告显示，目前几乎所有手机APP都在获取用户隐私信息，但大多数都能遵循“合法、正当、必要”的原则进行获取，越界获取用户隐私比例持续大幅降低，2018年上半年安卓APP越界获取比例降低到5.1%。

报告和现场专家都认为，《网络安全法》的实施，政府部门对网络安全问题的重视，互联网行业的自律，用户隐私安全意识和技能的提高，都在推动整个网络隐私环境向前发展。

《网络隐私安全及网络欺诈行为研究分析报告》（以下简称《报告》）将用户不知情时个人信息被获取的情况称之为隐私泄露，报告显示移动网络隐私的泄露主要有手机软件获取、免费Wi-Fi窃取、旧手机设备泄露以及黑客攻击企业大数据等渠道。

报告主要针对手机软件获取用户隐私情况进行统计、研究和分析。研究团队共选取了869个Android手机APP、275个iOS手机app，对三类隐私权限的获取情况进行逐一分析：“核心隐私权限”包括获取位置信息、读取手机号、读取短信记录、通话记录等；“重要隐私权限”包括打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话等；“普通隐私权限”则包括打开WiFi开关、打开蓝牙开关、获取设备信息等、打开数据网络等。

《报告》隐私安全测试结果显示，2017年下半年，几乎所有的安卓手机APP都在获取用户隐私权限，869个Android手机APP中未获取的仅占0.1%。其中生活购物类和投资理财类APP占比明显增加，生活购物类由7.6%增加到11.2%，投资理财类由9.1%增加到10%。

值得注意的是，在2018年上半年，获取“打开摄像头”权限的APP比例达到89.9%，获取“使用话筒录音”权限的APP比例达到86.2%，这两个权限也是用户最为关注的隐私信息。

一个良性的变化是，安卓手机APP在越界获取用户隐私权限的比例在大幅降低，相比2017年上半年的25.3%，2018年上半年降到了5.1%。研究团队和现场专家都认为，《网络安全法》的实施，互联网行业的自律，用户隐私安全意识和技能的提升，都促使移动软件开发者在采集用户信息时遵循“合法、正当、必要”的原则。

对隐私权限管理相对完善的iOS系统，也存在隐私泄露问题。《报告》显示，2018年上半年iOS端获取用户隐私权限从69.3%骤增到93.8%，其中图像美化类获取比例高达100%。

每3条诈骗短信就有1条是非法贷款

来自腾讯安全实验室的数据显示，2018年上半年，腾讯手机管家诈骗电话标记总数2970万个，拦截诈骗短信1833万条，平均每天标记诈骗电话16万个，拦截诈骗短信10万条。在世界杯前夕的5月，诈骗短信暴增超过792万条，是2月的近10倍。

2018年上半年最常见的诈骗短信是非法贷款、病毒软件&恶意网站、伪基站、高薪招聘和网购，其中非法贷款占比32.4%。诈骗电话多为以各种理由要求转账、冒充领导、索要验证码和冒充公检法。恶意网站中色情网站占比高达56.9%，博彩网站增长到34.4%。报告认为，博彩网站数量大增，世界杯开赛是重要的刺激因素。

来自腾讯安全管理部的案例分析显示，6月高考过后，以高考和录取为名义的诈骗手法多为“高考补助金”、“黑客改分”、“保送”、伪造录取通知书，或者发送短信链接植入病毒。世界杯期间的诈骗手法多为赌球竞猜、虚假获奖信息、恶意钓鱼网站等。

专家说法：

姜奇平（中国社科院信息化研究中心秘书长）：

我觉得在网络隐私领域应该把用户主权用市场化的方式落地。在隐私保护上，我们现在只是给用户说允许采集或者不允许采集，这个不够，这个是在信息开发领域，在应用领域也要赋权。举两个例子，一是我们的软件机制是否可以让消费者建立黑名单。比如我接到一个陌生电话，这个电话没接，上面就显示是骚扰电话，是有人认为它是骚扰电话并进行了标记，设置成了黑名单，这样其他用户也就知道了这是骚扰电话。二是社交媒体查证，，社交媒体如果有一个机制，我1秒钟就可以查到某个不明底细的人的信息，就可以让用户权益更能得到保证。

胡延平（DCCI互联网数据研究中心创始人）：

大多数互联网用户对隐私问题是真关注，假在意，不行动。相对而言，关注度很高，一个新闻热点事件过来以后，大家都觉得是个事儿，都觉得很严重，但采取实际行动的人比例很低。比如说手机APP的隐私权限，70%、80%权限关掉以后，并不影响APP使用，但很多用户根本不去管。

我提供一个对所有用户来说都简单易操作的方案，在手机里面只要把类似腾讯手机管家这样的安全软件用好，就可以解决每个用户移动隐私方面的大多数问题，不论是垃圾短信，还是骚扰电话、诈骗电话、恶意网址，都可以进行提醒和防范。还有你的手机上的APP，好多功能权限真的可以关掉而不影响使用。

王新锐（北京浩天安理律师事务所高级合伙人）：

第一，在隐私保护领域，比较有价值的案例是美国一些大公司，比如Facebook公司做的隐私表盘，用可视化方法管理隐私，把隐私赋权给用户。而中国很多互联网产品特点是集成，里面包含娱乐、支付、社交等等很复杂。隐私表盘把隐私权限设置落实，可以让你更直观看到到底用了哪些信息，也能更好地管理个人隐私，而且是一个梯度管理。

第二，隐私是什么，隐私和个人信息的边界在哪里，企业获取用户信息和隐私的标准是什么，我想中国的互联网公司是否可以形成某种共识，大家一起来推动行业自律。此外，政府部门、法律界、社会学界等也要逐渐形成自己的共识，让这些共识在相互碰撞中不断改善和前进。

蒋海锋（腾讯守护者计划安全专家）：

今年上半年开始，荐股诈骗在举报数据中不断上升。腾讯守护者计划对相关的数据进行了分析，协助重庆和福建警方进行专项打击，在重庆、南昌、上海、深圳一共打到了8个犯罪团伙，涉及窝点20个，抓获嫌疑人585人，现场缴获的股民个人信息600多万条。

荐股诈骗的手法有玩概率、朝软件、谈感情、黑平台，诈骗环节分为5步：准备场所、员工和诈骗工具，用软文、短信、广告做推广，冒充白富美组团忽悠受骗人交推荐费或会员费，以盈利的假象拉拢受骗人入一个更大的骗局，让受骗人把巨额炒股费用打入骗子私人账户。

现在网络诈骗已经产业化，最早的时候一个犯罪团伙要做一个诈骗案件，需要一系列成员分别做一些事情，分工配合，然后达成诈骗目标。现在产业化了，各种犯罪的技术门槛都很低，只要一个人有相应的黑产资源，就能够进行诈骗。前几天我们配合福建警方打掉了一个荐股的窝点，进去的时候发现只有一个人，对着十台电脑操作。

左洪涛（腾讯手机管家安全专家）：

大家第一次安装软件要有一个习惯，必要的权限开放，不必要的权限完全不开放，它可能有小的功能需要这个权限，但是用的时候要提醒我用不用，这样不能随意开放给第三方用。

除了APP的读取手机联系人、短信、打开摄像头、使用麦克风等隐私权限，我们的身份证号、银行帐号、电商帐号密码、社交网站的帐号密码，也是特别核心特别重要的隐私，一定要给予足够重视。

黄晓林（腾讯法务数据和隐私中心负责人）：

腾讯有隐私方面的投诉渠道，每月都有200万条的投诉，说明中国用户是真的很关注和在意隐私的。

作为一家“科技+文化”公司，腾讯会在内部理清哪些权限是敏感权限，哪些是非敏感权限，什么样的条件下才能获取用户隐私权限。我们有内部一套完整的规范给到业务和产品，让产品侧按照规则进行操作，不必要的隐私就不要获取。

王晓冰（腾讯社会研究中心总监）：

我们经常看到的所谓一揽子协议，一揽子协议告诉用户可能企业收集数据用于干什么，那个环节一般来讲是比较抽象的规定，通常很多应用都是倾向于把这个应用范畴划的越大越好，避免将来受到诉讼的可能。但是对用户来讲，虽然公布了用途，但没有太大意义。如果将来这个方面也可以变成一个透明的、可查询的过程，对用户来说就更有意义，更容易查询个人数据去向。