1月17日,腾讯社会研究中心与DCCI互联网数据中心联合发布了《2017年度网络隐私安全及网络欺诈行为分析报告》(以下简称《报告》)。
DCCI互联网数据中心创始人胡延平在接受21世纪经济报道记者采访时表示,对于个人用户的隐私安全现状,目前更多的是需要依靠行业自律以及提升用户隐私安全意识。
2017年6月1日,《中华人民共和国网络安全法》开始正式实施。其中明确提出要加强个人信息保护,并对网络运营者收集、使用用户信息的相关行为做出了规定,这也为个人信息保护提供了法律依据。
胡延平表示,国家网络安全法的实施对整个社会的网络信息安全保护起到了非常重要的促进作用,可对于个人用户来说,该法案还是过于宏观,个人隐私安全的形势仍然不容乐观。
手机软件越界获取信息
腾讯守护者计划安全专家李新告诉记者,目前,八成的网络欺诈场景都来自移动端。移动网络隐私的泄露主要有手机软件获取、免费Wi-Fi窃取、旧手机设备泄露,以及黑客盗取企业大数据等渠道。
这其中,手机软件是绝大多数人几乎每天都会高频使用的产品,在使用过程中,用户往往需要给软件开放各项权限。但是,由于手机应用软件的开发者众多,以及监管平台在很多方面都难以覆盖周全,这使得手机软件良莠不齐,越界获取隐私权限的问题时有发生。
《报告》显示,2017年下半年,Android手机APP中有98.5%都在获取用户隐私权限,这相较于上半年增长2%。而获取用户手机隐私权限的iOS应用在2017年下半年比例有所上升,达到81.9%,较上半年提高了12.6%。
其中,虽然绝大多数软件获取用户隐私是出于用户正常使用产品的目的,但报告也指出,有9%的Android应用在2017下半年存在越界获取用户隐私权限的现象。虽然这一比例较上半年的25.3%有所下降,但胡延平表示,“对于用户来说,原本不用给别人的数据,现在被别人拿走了,这实际上就增加了隐私泄露的风险。”
中国社会科学院文化法制研究中心研究员刘明认为,很多时候,消费者和商家之间也可能存在一种误会,消费者自己觉得收集这个数据没有用,但是从商家角度来说,确实是他提供服务的组成部分或必要部分,这时一个简单的告知就不够了,不止要告诉消费者收集了哪些信息,还要告知这些信息用于哪些服务。
生物信息要谨慎提供
在胡延平看来,可以将目前互联网上的个人数据分为四个阶段,分别是数据获取、数据市场、数据黑市以及数据黑产。其中,前两个部分可以理解为对数据的正常获取和使用,而后两个部分则涉及到数据的违法交易及使用。
《报告》显示,2017年下半年,有26.8%的骗子要求用户把钱转账到所谓的“安全账户”;有16.5%是冒充领导;另有13.1%冒充公检法部门,以用户违法犯罪等理由让用户缴纳各种名目的费用。此外还有15%的骚扰电话涉及到索要验证码、11.1%会以网购订单有问题为借口、6.9%的电话提到包裹被扣押的虚假信息。
通过上述电话诈骗的案例可以看出,诈骗人员都是在掌握了一定用户信息以后,有针对性的进行诈骗。实际上,数据黑市交易及网络黑产的出现与发展,导火索就是个人隐私在正常的使用过程中被泄露出去。
一位法律专家告诉记者,在现有的法律中,目前并没有对互联网产品能够获取哪些用户数据做出明确规定。这也导致很多用户并不知道手机软件获取了自己哪些信息,更不知道哪些信息是使用软件需要的。
因此,中国法学会网络与信息法学研究会副秘书长周辉认为,除了期待应用软件服务商自身能够有自律的行为,政府加强有关立法、加强有关执法,其实在面对网络隐私和网络欺诈行为,最关键还是用户自身保护意识的提升。
对此,胡延平还提出,不要轻易把生物信息给到任何一个APP或服务商。生物信息是指指纹、脸、头像、虹膜等。他认为这些信息是唯一的,一旦泄露出去,根本无法更改。
“生物信息是这一波技术的创新,尤其是智能手机里流行的人脸识别,这是未来趋势,但现在的安全机制、安全保障、数据保护还没有完全跟上,一旦这样的信息泄露出去,比密码和身份证号泄露后果要可怕得多。” 胡延平说。