 每个人手机上都会装有APP,然而在使用这些智能软件时,你有没有想过它到底在获取我们的哪些隐私?它提供的服务到底值不值得拿隐私去换?有没有一个既能享用便利又能保护隐私的解决办法? “移动网络隐私泄露的4个渠道中,最主要的还是手机APP,其次是公共WiFi和旧手机,以及企业数据。”8月3日,腾讯社会研究中心与DCCI互联网数据中心联合推出的《2018年上半年网络隐私及网络欺诈行为研究报告》发布会上,DCCI互联网数据研究中心创始人胡延平详解了Android系统和iOS系统对用户的个人信息获取情况;腾讯“守护者计划”安全专家蒋海锋分析了网络欺诈新趋势;来自中国社科院和法律界的相关专家则针对APP越界获取行为和用户隐私保护,给出了相关建议。 以下内容由腾云整理发布。  胡延平 DCCI互联网数据研究中心创始人 我们每年不止一次对上千个移动APP的每个数据获取行为进行检测和监测,并进行历史对照和分析,从而发现其中重要的变化和趋势。 2018年上半年,隐私安全调查数据反馈出六个变化: ● 移动端、手机端对于用户数据隐私获取的比例与往年相比整体上升。 ● 越界获取的比例在下降。 ● 短信、手机号码这样的传统重要权限获取比例在下降。 ● 位置、录音这样的权限获取比例在上升。 ● 过去是重灾区的一些应用,比如工具类、游戏类,隐私获取比例在下降。 ● 网络诈骗依然高发,网络链接诈骗流行。 移动网络隐私泄露的4个渠道中,最主要的还是手机APP,其次是公共WiFi和旧手机,以及企业数据。 - 01 - 几乎所有的 Android端手机APP 都会获取隐私权限 2018年上半年和2017年下半年相比,Android端获取用户隐私权限的手机APP占比提高了1.4%,达到99.9%,不获取隐私权限的只有0.1%。可以说几乎所有的Android端手机APP都会获取用户的隐私权限。 在获取隐私权限的APP类型中,网游类APP占比最高,生活购物类APP占比明显增大,同时,有一些获取隐私权限的APP比例在下降。  - 02 - Android端手机APP 对三种隐私权限 获取比例大幅提高 我们把Android手机APP所获取的隐私权限根据重要程度分为三类:核心隐私权限、重要隐私权限、普通隐私权限。  相对于2017年下半年,2018年上半年的核心隐私权限中读取位置信息和读取联系人的获取比例显著增长。 同样,重要隐私权限中,越重要的权限获取的比例增长越明显。比如获取打开摄像头和使用话筒录音权限的APP比例都有增长,这跟我们手机里视频类、音频类、短视频类的应用比例的显著提高有很大关系。 普通隐私权限里面,获取设备信息、打开WiFi开关、打开数据网络、打开蓝牙开关的权限的APP比例,都有明显增长。 总体来看,Android手机里获取三种隐私权限的APP比例都有明显提高。 - 03 - Android端 越界获取隐私权限的APP 比例进一步下降 Android端越界获取隐私权限的APP比例逐年下降。这跟治理环境的变化和行业本身的自律有很大关系。在发布2017年下半年数据的时候,我们发现大公司的APP越界获取比例要比中小企业的APP越界获取比例少很多。  2017年上半年有25.3%的APP存在越界获取数据隐私行为,2018年上半年降到5.1%。2017年上半年是一个重要的拐点,之前越界获取的比例一直在增长,但从2017年上半年开始,越界获取的比例就下降了。这是六个变化里最重要的一个变化。 2018年上半年,多数类别的APP越界获取隐私权限的比例明显下降。其中出行地图类APP和办公学习类APP的下降幅度最大。而图像美化类APP的越界获取的情况略有增长。  我们分析隐私权限被越界获取的情况时发现,2018年上半年Android端各种隐私权限被越界获取的情况有进一步改善。尤其是越界获取核心隐私权限的比例跟以往相比,下降幅度最大。  - 04 - iOS端获取隐私权限的APP 比例继续上升 绝大部分iOS端APP都开始更多地去获取用户的隐私权限,通过隐私权限获取用户相关数据。虽说这一比例略低于Android端,但是也在逐年增长。  因为APP Store的提交审核更严格,以及iPhone本身的安全政策对用户隐私的保护更为规范,所以说iOS端手机获取隐私权限的APP比例比Android端要低。 iOS端APP类型中,获取隐私权限最多的是常用工具类APP,而不是生活购物类。  - 05 - 用户应从多种渠道 防范自身隐私安全 根据各类APP获取用户隐私的情况,以及相关的网络安全意识,我们希望和腾讯的合作能帮助到每个用户。以下为保护自身隐私安全的五个建议。 第一,尽量选择官方正规渠道下载APP,比如应用宝、Android市场等。 第二,谨慎填写个人隐私信息,防止信息被无谓采集。特别要注意避免生物信息(比如人脸信息和指纹)被采集。 第三,防范公共WiFi,转帐与支付时改用数据流量。 第四,三步彻底清理旧手机里面所有信息,恢复出厂设置-格式化-反复拷入大文件并且删除。 第五,管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权。 - 06 - 巨大的诈骗发生数量警示 网络安全环境 仍不容乐观 2018年上半年腾讯安全实验室共拦截恶意网址2694亿次,相当于每天拦截15亿次。  2018年上半年数据显示腾讯手机管家用户举报的垃圾短信中,广告类占比最多,为96.7%。诈骗类和违法类占比共计3.3%,虽然比例较小,但由于其基数较大仍然值得警惕。 上半年诈骗短信的数量,从2月份开始一直到5月份都在持续高速增长,且几乎是在翻番增长,并且在世界杯前夕的5月份达到顶峰。2018年上半年最常见的诈骗短信类型分别为非法贷款、病毒软件及恶意网址、伪基站、高薪招聘和网购。 2018年上半年诈骗电话在骚扰电话里面占比20.8%,即每5个骚扰电话里就有1个是诈骗电话。而且诈骗电话占比也在逐步增长,同样在5月份到达顶峰。 通过对2018年上半年诈骗电话内容的分析,我们发现近3成诈骗电话“要求转账”。 5月份拦截恶意网址数量最高,达465亿个。2018年上半年恶意网址中,色情网站占比最高。  - 07 - 反网络诈骗的建议: 十个凡是、五个一律 十个凡是 ● 凡是问你银行卡号和让你转账的都是骗子; ● 凡是自称公检法工作人员要求核查账户、转账汇款的都是骗子; ● 凡是找工作找兼职让你先掏钱的都是骗子; ● 凡是退票改签要去ATM操作的都是骗子; ● 凡是声称免费退款换货的陌生电话和网址都是骗子; ● 凡是接到170、171、147号段且牵涉到钱的都是骗子; ● 凡是说你中奖要求先交保证金的都是骗子; ● 凡是购买游戏装备要你先汇款的都是骗子; ● 凡是补贴、补助要求去ATM操作的都是骗子; ● 凡是QQ、微信上要求借钱、汇款、充话费的务必电话确认。 五个一律 ● 接电话,不管你是谁,只要一谈到银行卡,一律挂掉; ● 只要一谈到中奖了,一律挂掉; ● 只要一谈到是公检法税务或领导干部的,一律挂掉; ● 所有短信,但凡让你点击链接的,一律删掉; ● 微信不认识的人发来的链接,一律不点。 蒋海锋 腾讯“守护者计划”安全专家 “守护者计划”团队主要的工作是反诈骗领域。荐股诈骗的举报数据不断上升,那为什么骗子屡屡得手?为什么这一类型的犯罪屡打不绝?我们分析了跟警方合作破获的案件,最终找到答案。 - 01 - 四种主流的诈骗手法 诈骗手法会随着技术和股市的发展不断演化,不断变更。目前有四种主流的诈骗手法。 第一,玩概率。概率是荐股诈骗的理论基础。最开始移动互联网不发达的时候,很多骗子是通过短信、电话寻觅受害人。 第二,炒软件。移动互联网盛行时,很多人会迷信技术层面的分析,骗子为减少人工投入、提高效率,就衍生出了这种诈骗手法。 第三,谈感情。现在社交工具非常发达。大家时常会接到陌生人添加好友的要求。其实这里面套路非常深。骗子会对股民嘘寒问暖,进而了解他们的经济情况,最终获得信任。 第四,黑平台。黑平台本质上就是虚假交易平台。很多时候骗子直接下载一个T4平台,做一些更改,打上自己的标签,然后进行所谓的内盘交易。 - 02 - 荐股诈骗的四大环节 第一阶段,准备阶段。行骗开始前,骗子也需要一些投入,比如寻找固定的场所、招聘员工、购买黑产工具。 第二阶段,推广阶段。一方面骗子会通过软文来推广,比如推送一些95后怎么样暴富或者炒股怎么样成功的故事。另一方面,骗子通过群发短信来推广,比如通过106平台群发短信。 第三阶段,行骗。很多时候最终实施诈骗的俗称“键盘手”。骗子会冒充身份进行行骗,比如跟股民聊天的白富美可能是电脑前的抠脚大叔。此外,骗子还会组团忽悠,比如把股民拉到一个社交群,里面除了股民自己,其余的都是骗子。 第四阶段,洗钱。比如外汇的市场交易,交易过程中会有权威第三方的参与,如果让股民打钱到私人帐户,基本就是黑平台。 - 03 - 荐股诈骗的三大趋势 在配合警方破获此类案件的过程当中,我们发现荐股诈骗的一些趋势:公司化、产业化、平台化。 第一个趋势,公司化。很多骗子对外宣称他们是投资公司或科技公司。他们会对员工做培训,有的诈骗公司甚至人事、财务、业务等部门一应俱全,比一些小公司还要正规。 第二个趋势,产业化。各种类型的犯罪都有产业化的趋势。随着技术的进步,骗子会发展推广团伙、引流团伙、黑产工具。 第三个趋势,平台化。现在很多做外汇、现货、期货、文玩的黑平台,骗子会有官方网站,把自己宣传包装成大公司,甚至是跨国公司,并宣称受到国外某某监管公司的监管。 腾讯“守护者计划”团队希望大家对荐股类诈骗有更深入的了解,远离这些骗局。 姜奇平 中国社科院信息研究中心秘书长 对于如何抑制APP越界获取隐私的行为,我觉得应该把消费者的选择权用市场化的方式落地。在隐私保护上,只跟用户说哪些隐私权限可以授权,哪些不可以授权是不够的,信息开发领域和应用领域也要赋权。举两个例子:一是有没有软件机制可以让消费者建立黑名单,就是说当诈骗电话打来时,能否有个机制将其加入黑名单,以后不会再有人受其骚扰。二是朋友圈查证,朋友圈能否有一个机制可以让我们很快查到这个人是不是骗子。 总之,消费者授权要落到实处,而不只是简单地选择权限授权的开和关。 王新锐 北京安理律师事务所管理合伙人 从2015年到现在,由于受到相关新闻媒体报道的影响,很多用户隐私观念发生了很大变化。但一二线城市用户和三四线城市用户的关注度是不一样的。一二线城市用户常受到这种新闻事件的轰炸,他们对隐私的关注度比较高。 对于如何抑制APP越界获取隐私的行为,我有两个看法: 第一,在隐私保护领域赋权给用户。借鉴国外大公司有价值的案例,比如FACEBOOK的隐私表盘,开发可视化管理隐私的软件,可以让用户更直观看到到底哪些信息被获取了,这样才能更好地管理隐私。 第二,越界获取权限要有统一标准。业界获得共识后,如果有的APP需要获取业界认为不用获取的权限,就要在隐私政策上面加以说明。 黄晓林 腾讯法务数据及隐私中心负责人 中国用户也很在意隐私,我们每月都会收到200万条隐私方面的投诉。腾讯更多的是从产品层面来保护用户隐私,在用户教育层面,也要培养用户的权限管理意识。 我发现在安装APP时,有很多APP会存在这两种情况。一是不给APP授权某个权限,就用不了APP;二是不同意授权某个权限时可以使用APP,但是会不断跳出要求授权的弹窗。比如,我有一款商务出行软件,没有授予它读取位置信息权限,但是每次打开后,会不断弹出要求授权的弹窗。这其实跟互联网公司本身产品的态度有关,如果每个公司都能做到自律,相信会更有利于用户的隐私权限管理。 左洪涛 腾讯手机管家安全专家 大家在第一次安装软件时要有一个习惯,必要的权限开放,不必要的权限关闭。此外,我觉得用户在不同的维度、不同的场景当中,对隐私的关注程度是不一样的。除了要重视手机隐私权限的授权,也要足够重视身份证号、银行账号、电商账号密码、社交网站的账号密码等隐私。诈骗分子会通过多种路径得到用户信息,做用户画像,然后获取用户信任。 其实调用摄像权限是比较常见的,比如说扫描二维码和一些社交软件的头像设置,都需要用到照相权限。我们要关注的是调用之后做了什么,如果调用了摄像头之后,偷拍用户隐私上传到云盘,就是触犯了用户隐私。 王晓冰腾讯社会研究中心总监 市场赋权层面,不仅要关注用户学习和使用的便利性,也要考虑个体差异。重要的是要通过应用产品保持用户自由选择的弹性。比如微信在这方面的探索走在了前列,朋友圈是选择三天可见、半年可见,还是全部可见,这个权限在用户手里。 我们经常会看到所谓的一揽子协议,里面只说了收集用户信息数据,但具体到用这些数据做什么,里面的规定都比较抽象,企业会为了避免卷入诉讼,把这个应用范畴说得越大越好。对用户来讲,这种太抽象的协议其实没什么实际意义。希望将来这种协议可以更加细化、具体化,变成透明的、可查询的环节,这对用户提升隐私意识和管理隐私技能非常重要。 小编说 |
|
|
