為什麼安裝一個APP要求這麼多的許可權?免費的Wi-Fi到底還能不能連?我們享受著智慧手機帶來的便利, 同時也總被隱私洩露的擔憂困擾。
2018年1月17日, 騰訊社會研究中心與DCCI互聯網資料中心, 聯合舉辦2017年度《網路隱私安全及網路欺詐行為研究分析報告》發佈會, 通過統計上千款APP獲取用戶手機隱私許可權的情況, 評估移動端隱私安全性, 並提出應對措施。
以下內容由騰雲整理發佈。
胡延平
DCCI資料中心創始人
我們都安裝了手機管家, 但是有多少人會定期對自己APP的功能許可權進行管理, 把不必要的功能許可權, 比如讀取通訊錄和短信內容等功能關掉呢?答案是少數, 這就是問題。
每年我們都會對主流1000多款APP, 逐一做測評, 看每一個APP的功能許可權和它們在手機裡做什麼, 哪些是不要的, 哪些是不必要的。 回看過去幾年, 一些關鍵指標有改善, 但個人資訊安全問題其實正在變得更加複雜。
01
隱私洩露的四大管道
■ 手機裡的應用軟體。 很多1000多款主流APP以外的應用軟體, 越不知名、越是小公司做出來的APP越是會在你手機上渾水摸魚。
■ 上網場所。 公共場所的Wi-Fi, 比如網吧裡或某個咖啡廳的免費Wi-Fi等, 釣魚或者趁機獲取資料資訊, 拿走你的二維碼為了做各種各樣所謂精准行銷以及互相買賣資料。
■ 舊設備的處理。 很多人認為把手機的個人資訊刪除一下,
■ 網路駭客。 手機在網路訪問過程中, 道高一尺, 魔高一丈, 駭客技術手段在提升。 除了個人資訊安全以外, 包括政企單位的大資料安全問題, 也正在變得越來越突出。
02
Android和iOS誰更安全?
應用軟體依然是個人資訊洩露裡最關鍵、最重要的部分。 2017年下半年, 獲取用戶隱私許可權的Android應用的比例是98.5%, 這裡的98.5%是“越界+不越界”獲取資訊的總合。 也就是裝100個APP, 有98.5個APP在手機裡獲取一些隱私資訊, 不獲取的只有一個半。 與2017年上半年以及過去2016、2015、2014、2013年相比這個比例都是在增長的。
Android獲取手機裡各種隱私資訊的相關應用裡, 網路遊戲APP是重災區, 比例最高, 由上半年的22%增長到下半年的24.4%, 其次是常用工具, 同時增長的還有像抖音、快手等一些直播軟體的影音娛樂以及投資理財。
與Android相反, 遊戲在iPhone獲取個人資訊隱私資料的APP裡是比例最低的。 因為iPhone整個APP的提交、審核、認證相對比較嚴謹, 所以iPhone遊戲反而相對安全。
Android手機應用裡, 2017年下半年獲取用戶核心的、重要的隱私許可權比例有所降低,尤其讀取手機號碼的比例有顯著下降,但打開攝像頭、使用話筒錄音等許可權比例都有明顯增長。
在越界獲取用戶隱私許可權的Android應用裡, 2017年下半年主要有影音娛樂、資訊閱讀、生活購物、常用工具、網路遊戲等等。2017年下半年,出行地圖類應用越界獲取隱私許可權情況也沒有得到根本改善。
在不同功能許可權中,獲取位置資訊的APP裡主要是通訊類和社區類,這與它的應用特性本身有關係。除了位置資訊發送短信以外,有很多地圖類的APP也在讀取連絡人、短信記錄,獲取這些資訊的目的也讓人十分費解。
獲取使用者資訊的iOS APP的比例從上半年的69.3%上升到下半年的81.9%。不獲取使用者資訊的iOS APP的比例從上半年額30.7%下降到下半年額18.1%。iOS純粹不獲取使用者隱私資料的APP的比例,是Android的10倍多。
獲取用戶手機隱私許可權的iOS應用裡,影音娛樂是最重要的,然後是生活購物等,從結構來講,大致分佈同Android差不太多,只有網路遊戲這項差別比較大,遊戲排在最後一位,上半年是25.3%,下半年是43.1%。
總體上看,2017年下半年相對於上半年的情況有顯著改善,這跟媒體輿論的呼籲和努力分不開,跟一些惡性事件的警醒、行業的自律,以及跟政府出面進行多管齊下的治理都緊密相關。與iOS相比,Android的整個生態還有較大差距。
03
詐騙犯罪的溫床
根據騰訊安全實驗室所提供的資料,詐騙案件的發生數量可以用“龐大”兩個字形容,從手機裡獲取資料是犯罪的土壤、溫床,給詐騙創造了便利條件。
2017年,騰訊安全實驗室的檢測資料如下:惡意網址數量是2837萬次,詐騙電話標記數是6717萬,這裡只是標記次數,實際數量只會比這個高;詐騙短信舉報總數是4433萬條;垃圾短信舉報總量是18.3億次,這也只是舉報量,不是實際收到垃圾短信量。
垃圾短信中有3.2%是詐騙類短信,94.3%是廣告,相關其他違法的短信是2.5%,合計有嚴重問題的短信是5.7%。
詐騙短信裡有56.1%是非法貸款;病毒軟體、惡意網址在詐騙短信裡所占的比例是11.7%;偽基站比例9.8%,也就是說收到的詐騙短信裡,每10條中就有1條詐騙短信是從偽基站發出來的。偽基站不只是撒廣告,而且通常和惡意詐騙是綁在一起的,例如冒用銀行的號碼發送的詐騙短信。
在騷擾電話裡,每6個就有1個是詐騙電話。詐騙電話在騷擾電話中標記的總數是16%。有26.8%的詐騙電話會直接要求轉帳,這個比例比2017年上半年的15.4%有顯著的提高;冒充領導的比例,上下半年差不多,都是在17%左右;索要驗證碼比例有所降低,這和前一段時間的集中治理有關;冒充公檢法的比例有百分之三點多的上升,這其中有相當一部分是惡性詐騙。
詐騙電話標記數量,2017年第二季度和一季度還在上升,但三季度有下降,第四季度還有1338萬的標記。
惡意網址,主要是跟色情網站有關。惡意網址四季度檢測數是792萬次,比前三季度有所顯著上升,其次還與博彩網站和資訊詐騙相關。
但是通過包括騰訊在內的業界企業的努力,不僅僅是惡意網址數量在增長,攔截次數也有急劇增長,已經達到1007億次,這相當於平均為每個互聯網用戶攔截了100次之多。
04
“四要”“八不要”
用戶通過“四要”“八不要”防範資料洩露,保護個人隱私,包括避免被捲入到惡意詐騙中。
■ “八不要”:不連接來路不明的Wi-Fi;不透露驗證碼給別人;不把個人身份證資訊存放在手機;不涉及黃賭毒網路行為;不點擊來路不明的連結;不安裝來路不明的程式;不在不同的帳號設置相同的密碼;不使用純數位或生日等簡單密碼。
需要提醒大家的是,除此之外,還有一個不要是:不要把你的生物資訊輕易給到任何一個APP或任何一個服務商。生物資訊包括指紋、面孔、虹膜等唯一性的資訊,不可複製,一旦洩露,你自己也無法更改了。
生物資訊是這一波技術的創新,尤其智慧手機裡正在流行人臉識別,包括很多應用裡刷臉、按指紋等,這的確是未來的趨勢,現在很多應用做得很創新、很好玩,但是相應的安全機制、安全保障、資料保護還沒有達到非常高的程度,一旦指紋、面孔、虹膜等生物資訊被洩露,可能比洩露密碼和身份證更嚴重。
除了生物資訊以外,還有一些新的多發領域,比如基於語音和圖像的識別,以及後端所謂的人工智慧,這些都是以後個人資訊安全的重災區,陸陸續續已經透露出來很多問題。智慧手機、智慧電視、智慧音箱,或個人助理的智慧終端機,那些能實施24小時監控的功能都要留意,裡面的資料是存儲在端側還是在雲側?還是雲端互動?這方面既沒有規則,也沒有行業性的機制,都是在探索或醞釀階段,可以想像會有多不安全。
現在對於個人資訊的保護、線民隱私的保護等等已經到了非常嚴峻的時刻了,大量的新問題已經出現,有些領域有局部改善。相信在各有關部門的支持和治理下,企業和媒體都發揮重要的傳播及推動作用,廣大用戶提高安全意識,我們共建更加安全的網路環境。
李新
騰訊守護者計畫安全專家
公民個人隱私的洩露是詐騙分子能實施精准詐騙的關鍵原因。
守護者計畫是2016年4月由騰訊公司首先推出的一個反電信網路詐騙的公益平臺,針對電信網路詐騙的氾濫,聯合公安、工商、銀行、運營商,互聯網企業和及線民,共同治理,打擊電信網路詐騙。2017年騰訊守護者計畫全面升級,將企業責任上升為社會責任,呼籲全民行動參與其中,共同對抗新型網路違法犯罪。
01
電信網路詐騙新趨勢
2017年,我國電信網路詐騙案件新的形勢嚴峻。據公安機關發佈的權威資料顯示:每個月發生的詐騙案件高達4萬起,受騙金額達到10億。去年一年,全國人民因為電信詐騙造成的損失達到120億,在我國從事詐騙行業的從業人員180萬,由此整個行業的總產值超過1000億。
排名前三的地區是廣西、廣東和海南,這是根據公安部門在最近發佈的重點詐騙地區進行的分類。現在電信網路詐騙呈現區域性特徵,即某一個區域出現某一類詐騙高發的態勢。第一,廣西賓陽縣是整個電信網路詐騙中“冒充公司領導”詐騙財務類犯罪最高發的地方,這一類犯罪是僅次於“仿冒公檢法”詐騙,因為這一類針對的主要是財務人員,所以每一筆案件的詐騙金額都非常高。第二,廣東饒平是遊戲幣詐騙。通過在遊戲平臺裡發佈遊戲充值或遊戲代練類詐騙資訊,引導使用者加為好友之後實施詐騙。第三,海南有機票改簽類詐騙。源頭也是公民個人資訊洩露,訂了機票之後,詐騙分子用最快捷的手段獲取使用者的航班資訊,給使用者發短信,編造用戶的航班因機械原因或天氣原因,需要改簽,通過這樣的方式一步一步引導你來實施詐騙。
02
受害人集中在移動端
因為現在移動互聯的發展,八成欺詐場景集中在移動端。2017年,我國手機移動用戶已經超過14億,隨著智慧手機的普及以及移動4G網路的發展,大家基本上都會用手機進行上網和日常生活操作。
廣東、江蘇、浙江這一區域成為詐騙重災區,主要因為這三個區域是我國經濟最為發達的地方,詐騙分子也是緊盯這一類區域的人員,通過精准資訊獲取三個地區潛在受害人資訊,再實施下一步犯罪。
男性及90後最容易上當受騙。為什麼男性最容易上當受騙?因為中間有一類詐騙是專門針對男性的,就是色情詐騙。之前我們協助公安機關打掉一個色情APP的詐騙,通過一個APP,層層誘導你去註冊、充值,最終整個環節全部走完可能還是只能看到那10秒的視頻。這種詐騙涉及金額很小,可能就一兩百元,但受眾非常廣,90後和男性是最容易上當受騙。
騙子會緊盯著哪一類人員?第一,賓陽地區最關注的是財務人員;第二,海外用戶,原因是跟國內的溝通不順暢,可以利用時間差實施詐騙;第三,遊戲用戶,廣東饒平地區針對遊戲用戶實施詐騙。
03
臺灣巨額詐騙
臺灣冒充公檢法詐騙,是所有詐騙裡危害最大的,也是詐騙金額最高的一類犯罪,也是我們深惡痛絕的。
每年分佈在全球各地的臺灣電信網路詐騙分子往國內打的電話超過100億個。臺灣從事電信網路詐騙的從業人員有10萬人,占全國電信網路詐騙從業人員180萬人的6%不到,每年能夠抓捕回大陸的只有2000人左右。在我們國家每年立案的案件數中,臺灣冒充公檢法詐騙的案件數隻占整個案件數的10%,然而詐騙金額,卻高達全年電信網路詐騙金額的50%,去年是120億,可見其危害之巨大。
臺灣電信網路詐騙的頭目會在臺灣或內地招募一些話務人員,把這些話務人員按照劇本分類,分為一線、二線和三線。一線負責冒充郵政部門、銀行部門來給你打電話,說你的包裹可能涉嫌藏毒,或你的銀行卡涉嫌被人冒用,涉及到非常嚴重的案件。二線負責冒充員警,冒充內地公安,說你涉及到非常嚴重的刑事犯罪,需要你來證明你自己沒有參與。三線就是所謂的檢察官和法官,給你一個通緝令,讓你對自己身陷刑事犯罪的境況深信不疑,之後他們會給你提供一個安全帳戶,把你的錢轉到安全帳戶,等這個案件調查完畢之後,證明你的清白,就會把錢返還給你。
這個騙局並不嚴謹,但是臺灣電信網路詐騙分子不停跟內地法律進行對抗,編造新的劇本,變化話術,實施詐騙行為。最關鍵的問題是,臺灣電信網路詐騙分子把詐騙基地已經從以往的東南亞國家向歐洲轉移,第一是離大陸更遠,第二是法律體系不同的原因。“西班牙案件”抓獲120多人,是當時在境外抓獲臺灣詐騙人數最多的一個案件,但是西班牙法律是首先要有法官的拘捕令,過程非常繁雜,經過一年多,現在終於可以把他們引渡回大陸。
04
其他詐騙手段
在2016年時,清華大學教授被騙1800萬;去年廣東一個退休大學教授被騙1100萬;一個星期前,廣州一個博士生被騙了90萬。現在這種手法不但騙你的積蓄,最終會讓你傾家蕩產。此類騙局是騙你的房產去抵押、變賣、貸款,這類詐騙的危害非常大。
還有兩類危害很大的詐騙手法就是紅包詐騙和法師詐騙。
紅包詐騙是在社交網路中、社交群體裡出現一個詐騙手法。首先群主會拉很多人進一個群裡面,然後發佈一個資訊,“只要支付0.01元就可以獲得299元的紅包”,他把自己收款二維碼和一個紅包PS在一起,變成一個所謂的“二維碼紅包”,發到群裡面,讓群成員進行掃碼支付。應用一個社工手段,在用戶名上做了特殊的處理,讓人覺得真的只要支付0.01元就能獲得299元。
另一種紅包詐騙是“歐陽大善人”的詐騙,首先會添加很多好友,每天會在自己朋友圈分享自己比較奢華的生活,如曬一下名表、名車,發自己在全球各地旅遊資訊,突然有一天他在朋友圈發一條資訊,“現在做一個活動,叫以一返十,你給我發10元紅包,給你返100元。”無數好友上當受騙給他發紅包。
紅包類詐騙有一個共同特性,金額非常少,但是受騙的人群非常多。
法師詐騙本來是傳統線下犯罪,封建迷信。隨著互聯網發展,這一類詐騙也開始通過網路、社交平臺來實施這一類違法犯罪活動。很多人會因為婚姻不合、自己事業不順,在網上搜,請一個法師做法或請一個法器回來,道士會跟你講有一些開光法器或給你做法事,發各種各樣檔次的紅包,如果開始沒有效果,他可能繼續下一步騙局,說你這一段時間有“殺身”等運勢。
現在在互聯網上各類犯罪層出不窮,很多背後全是公司化運作的團夥。
周漢華
中國社會科學院法學研究所研究員
2016年,徐玉玉案之後,多部委聯合治理打擊電信網路詐騙,工作力度非常大,去年6月1號實施《網路安全法》,在《網路安全法》實施前後,四部委又進行10款重要應用隱私政策的評估。通過一系列在國家層面上的舉措,整個社會被動員了起來,公權力機關積極的制度推進和積極執法,以一個決定性的變數,使得網路安全的形勢有明顯改觀。
儘管多部委最近幾年聯合打擊網路詐騙行為,公安部門為保護個人資訊採取了相關行動,以及《網路安全法》實施前後高密度的制度推進,總體上這個領域面臨的挑戰還是具有長期性的。確實基數太高,儘管下降了一倍多,但依然不能低估。
前一段時間,全國人大常委會“一法一決定”的執法檢查裡,有些吸收了學者的觀點,包括網路實名制。但是《網路安全法》執法檢查剛啟動時,法工委召開專家座談會,當時我們內部又提出這個問題,一定要檢討實名制可能也會帶來相應的風險。因為只要把身份證號和電話號告訴任何人,只要有這兩個碼,以後任何人的重要資訊,花750元,都能買到。所以實名制一旦氾濫,後果很嚴重。這次人大常委會“一法一決定”的執法檢查,其中特意提出“要研究實名制的範圍”,最高立法機關能夠對這個問題提出振聾發聵的警示,意義很深遠。現在很多地方都搭車實名制,最後把風險外溢。同時,這次人大常委會執法檢查提出了“加快個人資訊保護法的制定”,可見國家層面對公民個人隱私問題的重視。
大資料的核心就是個人資料,隨著大資料的發展,這其中的風險也是同步增長的。未來人工智慧一定會遇到重大的資訊安全方面的挑戰,關注個人資料安全問題其實是整個資料治理最核心環節。
劉明
中國社會科學院文化法制研究中心研究員
每打開、安裝一個應用,會彈出很多對話方塊,讓你點各種各樣的“同意”。經過你的同意之後,理論上來說,APP對資訊的使用和收集就有了一定合法性的保障。但這種理論上結果的前提應該是消費者確實充分認知自己的同意會產生什麼樣後果。現在的問題是用戶對於自己作出同意之後的後果其實並不非常瞭解。“同意”本來這應該是使用者對自己個人資訊授權的一個選擇權和知情權的程式,卻越來越成為經營者或資訊收集者的擋箭牌。
有些時候,消費者和商家之間也可能存在一種誤會,收集某個資料,消費者認為沒用,但商家認為是他提供服務的組成部分或必要部分,這時一個簡單的告知就不夠了,不止要告訴消費者收集了哪些資訊,還要告知這些資訊用於哪些服務。比如很多APP都收集IMEI手機碼,卻不告知我們收集那個碼到底有什麼用處。只有告知相關的具體用途和服務,才是對消費者知情權最有力的保障。否則只是告訴你我收集了你的資訊,除了同意以外也沒有其他選擇。
這是以後無論是在行政檢查還是市場競爭方面,應該注意的一個點,誰能夠更好、更清晰地向消費者傳達資訊的收集範圍和用途,可能對消費者來說是更有意義或更友好的一種體現。
周輝
中國法學會網路
與資訊法學研究會副秘書長
2017年網信辦主要針對隱私政策的文本做了一個評價,那段時間很多應用都會在集中更新自己的隱私政策文本。隱私調用許可權問題已經受到了各界的關注,網信辦未來如果繼續做隱私政策或對隱私評估和評價,還有更進一步的空間去改進和完善。協力廠商監督或者評價,在技術上也是可行的。期待監管部門能夠吸收我們目前在做的研究的思路和方法。
在面對網路隱私和網路欺詐行為,最關鍵還是用戶自身保護意識的提升。在這種情況下,怎麼發揮像騰訊這樣大的網路平臺企業在使用者教育方面的功能,也是未來可以進一步去探討的話題。
李霞
中國社會科學院文化法制研究中心秘書長
互聯網背景下的個人資訊的保護是需要多方共同推動的,包括企業、媒體、NGO、公眾等一些私部門的重要參與。
第一,要創造互聯網安全潔淨的環境,需要監管部門加強和提高監管能力、監管技術和監管意識,確立各種標準,發佈指南,進行違法的糾正和處罰;
第二,互聯網企業要強調自律、自我規範、自我賦能,培養一種內生的動力,從企業生命線的角度來看待和保護個人資訊;
第三,普通公眾也需要不斷端正意識、更新觀念,養成一種規範的、衛生的使用網路習慣,掌握有效防範的一些技能;
最後,研究機構和研究者需要更多關注和深度參與這個領域一些前沿和重要的問題,發揮自己的作用。
王曉冰
騰訊社會研究中心總監
騰訊社會研究中心邀請專家跟我們一起來做這樣一個探討,包括推出《網路隱私及網路欺詐行為分析研究報告》,最大的原因是希望能夠推動整個網路空間自我進化,形成一個更加完善的生態。但這個生態確實需要方方面面共同努力,不僅是企業,可能非常主體的一方需要作出更積極的回應和應對,展現對於用戶對於個人隱私的關切。
另一方面用戶自己應該給自己建立一套自保的藩籬,這是共同學習和提高的過程。希望研究中心能夠促成用戶自我學習、互相學習,以及社會各個層面給予用戶更多的保護,從這個層面上我們做更多的工作。
2017年下半年獲取用戶核心的、重要的隱私許可權比例有所降低,尤其讀取手機號碼的比例有顯著下降,但打開攝像頭、使用話筒錄音等許可權比例都有明顯增長。在越界獲取用戶隱私許可權的Android應用裡, 2017年下半年主要有影音娛樂、資訊閱讀、生活購物、常用工具、網路遊戲等等。2017年下半年,出行地圖類應用越界獲取隱私許可權情況也沒有得到根本改善。
在不同功能許可權中,獲取位置資訊的APP裡主要是通訊類和社區類,這與它的應用特性本身有關係。除了位置資訊發送短信以外,有很多地圖類的APP也在讀取連絡人、短信記錄,獲取這些資訊的目的也讓人十分費解。
獲取使用者資訊的iOS APP的比例從上半年的69.3%上升到下半年的81.9%。不獲取使用者資訊的iOS APP的比例從上半年額30.7%下降到下半年額18.1%。iOS純粹不獲取使用者隱私資料的APP的比例,是Android的10倍多。
獲取用戶手機隱私許可權的iOS應用裡,影音娛樂是最重要的,然後是生活購物等,從結構來講,大致分佈同Android差不太多,只有網路遊戲這項差別比較大,遊戲排在最後一位,上半年是25.3%,下半年是43.1%。
總體上看,2017年下半年相對於上半年的情況有顯著改善,這跟媒體輿論的呼籲和努力分不開,跟一些惡性事件的警醒、行業的自律,以及跟政府出面進行多管齊下的治理都緊密相關。與iOS相比,Android的整個生態還有較大差距。
03
詐騙犯罪的溫床
根據騰訊安全實驗室所提供的資料,詐騙案件的發生數量可以用“龐大”兩個字形容,從手機裡獲取資料是犯罪的土壤、溫床,給詐騙創造了便利條件。
2017年,騰訊安全實驗室的檢測資料如下:惡意網址數量是2837萬次,詐騙電話標記數是6717萬,這裡只是標記次數,實際數量只會比這個高;詐騙短信舉報總數是4433萬條;垃圾短信舉報總量是18.3億次,這也只是舉報量,不是實際收到垃圾短信量。
垃圾短信中有3.2%是詐騙類短信,94.3%是廣告,相關其他違法的短信是2.5%,合計有嚴重問題的短信是5.7%。
詐騙短信裡有56.1%是非法貸款;病毒軟體、惡意網址在詐騙短信裡所占的比例是11.7%;偽基站比例9.8%,也就是說收到的詐騙短信裡,每10條中就有1條詐騙短信是從偽基站發出來的。偽基站不只是撒廣告,而且通常和惡意詐騙是綁在一起的,例如冒用銀行的號碼發送的詐騙短信。
在騷擾電話裡,每6個就有1個是詐騙電話。詐騙電話在騷擾電話中標記的總數是16%。有26.8%的詐騙電話會直接要求轉帳,這個比例比2017年上半年的15.4%有顯著的提高;冒充領導的比例,上下半年差不多,都是在17%左右;索要驗證碼比例有所降低,這和前一段時間的集中治理有關;冒充公檢法的比例有百分之三點多的上升,這其中有相當一部分是惡性詐騙。
詐騙電話標記數量,2017年第二季度和一季度還在上升,但三季度有下降,第四季度還有1338萬的標記。
惡意網址,主要是跟色情網站有關。惡意網址四季度檢測數是792萬次,比前三季度有所顯著上升,其次還與博彩網站和資訊詐騙相關。
但是通過包括騰訊在內的業界企業的努力,不僅僅是惡意網址數量在增長,攔截次數也有急劇增長,已經達到1007億次,這相當於平均為每個互聯網用戶攔截了100次之多。
04
“四要”“八不要”
用戶通過“四要”“八不要”防範資料洩露,保護個人隱私,包括避免被捲入到惡意詐騙中。
■ “八不要”:不連接來路不明的Wi-Fi;不透露驗證碼給別人;不把個人身份證資訊存放在手機;不涉及黃賭毒網路行為;不點擊來路不明的連結;不安裝來路不明的程式;不在不同的帳號設置相同的密碼;不使用純數位或生日等簡單密碼。
需要提醒大家的是,除此之外,還有一個不要是:不要把你的生物資訊輕易給到任何一個APP或任何一個服務商。生物資訊包括指紋、面孔、虹膜等唯一性的資訊,不可複製,一旦洩露,你自己也無法更改了。
生物資訊是這一波技術的創新,尤其智慧手機裡正在流行人臉識別,包括很多應用裡刷臉、按指紋等,這的確是未來的趨勢,現在很多應用做得很創新、很好玩,但是相應的安全機制、安全保障、資料保護還沒有達到非常高的程度,一旦指紋、面孔、虹膜等生物資訊被洩露,可能比洩露密碼和身份證更嚴重。
除了生物資訊以外,還有一些新的多發領域,比如基於語音和圖像的識別,以及後端所謂的人工智慧,這些都是以後個人資訊安全的重災區,陸陸續續已經透露出來很多問題。智慧手機、智慧電視、智慧音箱,或個人助理的智慧終端機,那些能實施24小時監控的功能都要留意,裡面的資料是存儲在端側還是在雲側?還是雲端互動?這方面既沒有規則,也沒有行業性的機制,都是在探索或醞釀階段,可以想像會有多不安全。
現在對於個人資訊的保護、線民隱私的保護等等已經到了非常嚴峻的時刻了,大量的新問題已經出現,有些領域有局部改善。相信在各有關部門的支持和治理下,企業和媒體都發揮重要的傳播及推動作用,廣大用戶提高安全意識,我們共建更加安全的網路環境。
李新
騰訊守護者計畫安全專家
公民個人隱私的洩露是詐騙分子能實施精准詐騙的關鍵原因。
守護者計畫是2016年4月由騰訊公司首先推出的一個反電信網路詐騙的公益平臺,針對電信網路詐騙的氾濫,聯合公安、工商、銀行、運營商,互聯網企業和及線民,共同治理,打擊電信網路詐騙。2017年騰訊守護者計畫全面升級,將企業責任上升為社會責任,呼籲全民行動參與其中,共同對抗新型網路違法犯罪。
01
電信網路詐騙新趨勢
2017年,我國電信網路詐騙案件新的形勢嚴峻。據公安機關發佈的權威資料顯示:每個月發生的詐騙案件高達4萬起,受騙金額達到10億。去年一年,全國人民因為電信詐騙造成的損失達到120億,在我國從事詐騙行業的從業人員180萬,由此整個行業的總產值超過1000億。
排名前三的地區是廣西、廣東和海南,這是根據公安部門在最近發佈的重點詐騙地區進行的分類。現在電信網路詐騙呈現區域性特徵,即某一個區域出現某一類詐騙高發的態勢。第一,廣西賓陽縣是整個電信網路詐騙中“冒充公司領導”詐騙財務類犯罪最高發的地方,這一類犯罪是僅次於“仿冒公檢法”詐騙,因為這一類針對的主要是財務人員,所以每一筆案件的詐騙金額都非常高。第二,廣東饒平是遊戲幣詐騙。通過在遊戲平臺裡發佈遊戲充值或遊戲代練類詐騙資訊,引導使用者加為好友之後實施詐騙。第三,海南有機票改簽類詐騙。源頭也是公民個人資訊洩露,訂了機票之後,詐騙分子用最快捷的手段獲取使用者的航班資訊,給使用者發短信,編造用戶的航班因機械原因或天氣原因,需要改簽,通過這樣的方式一步一步引導你來實施詐騙。
02
受害人集中在移動端
因為現在移動互聯的發展,八成欺詐場景集中在移動端。2017年,我國手機移動用戶已經超過14億,隨著智慧手機的普及以及移動4G網路的發展,大家基本上都會用手機進行上網和日常生活操作。
廣東、江蘇、浙江這一區域成為詐騙重災區,主要因為這三個區域是我國經濟最為發達的地方,詐騙分子也是緊盯這一類區域的人員,通過精准資訊獲取三個地區潛在受害人資訊,再實施下一步犯罪。
男性及90後最容易上當受騙。為什麼男性最容易上當受騙?因為中間有一類詐騙是專門針對男性的,就是色情詐騙。之前我們協助公安機關打掉一個色情APP的詐騙,通過一個APP,層層誘導你去註冊、充值,最終整個環節全部走完可能還是只能看到那10秒的視頻。這種詐騙涉及金額很小,可能就一兩百元,但受眾非常廣,90後和男性是最容易上當受騙。
騙子會緊盯著哪一類人員?第一,賓陽地區最關注的是財務人員;第二,海外用戶,原因是跟國內的溝通不順暢,可以利用時間差實施詐騙;第三,遊戲用戶,廣東饒平地區針對遊戲用戶實施詐騙。
03
臺灣巨額詐騙
臺灣冒充公檢法詐騙,是所有詐騙裡危害最大的,也是詐騙金額最高的一類犯罪,也是我們深惡痛絕的。
每年分佈在全球各地的臺灣電信網路詐騙分子往國內打的電話超過100億個。臺灣從事電信網路詐騙的從業人員有10萬人,占全國電信網路詐騙從業人員180萬人的6%不到,每年能夠抓捕回大陸的只有2000人左右。在我們國家每年立案的案件數中,臺灣冒充公檢法詐騙的案件數隻占整個案件數的10%,然而詐騙金額,卻高達全年電信網路詐騙金額的50%,去年是120億,可見其危害之巨大。
臺灣電信網路詐騙的頭目會在臺灣或內地招募一些話務人員,把這些話務人員按照劇本分類,分為一線、二線和三線。一線負責冒充郵政部門、銀行部門來給你打電話,說你的包裹可能涉嫌藏毒,或你的銀行卡涉嫌被人冒用,涉及到非常嚴重的案件。二線負責冒充員警,冒充內地公安,說你涉及到非常嚴重的刑事犯罪,需要你來證明你自己沒有參與。三線就是所謂的檢察官和法官,給你一個通緝令,讓你對自己身陷刑事犯罪的境況深信不疑,之後他們會給你提供一個安全帳戶,把你的錢轉到安全帳戶,等這個案件調查完畢之後,證明你的清白,就會把錢返還給你。
這個騙局並不嚴謹,但是臺灣電信網路詐騙分子不停跟內地法律進行對抗,編造新的劇本,變化話術,實施詐騙行為。最關鍵的問題是,臺灣電信網路詐騙分子把詐騙基地已經從以往的東南亞國家向歐洲轉移,第一是離大陸更遠,第二是法律體系不同的原因。“西班牙案件”抓獲120多人,是當時在境外抓獲臺灣詐騙人數最多的一個案件,但是西班牙法律是首先要有法官的拘捕令,過程非常繁雜,經過一年多,現在終於可以把他們引渡回大陸。
04
其他詐騙手段
在2016年時,清華大學教授被騙1800萬;去年廣東一個退休大學教授被騙1100萬;一個星期前,廣州一個博士生被騙了90萬。現在這種手法不但騙你的積蓄,最終會讓你傾家蕩產。此類騙局是騙你的房產去抵押、變賣、貸款,這類詐騙的危害非常大。
還有兩類危害很大的詐騙手法就是紅包詐騙和法師詐騙。
紅包詐騙是在社交網路中、社交群體裡出現一個詐騙手法。首先群主會拉很多人進一個群裡面,然後發佈一個資訊,“只要支付0.01元就可以獲得299元的紅包”,他把自己收款二維碼和一個紅包PS在一起,變成一個所謂的“二維碼紅包”,發到群裡面,讓群成員進行掃碼支付。應用一個社工手段,在用戶名上做了特殊的處理,讓人覺得真的只要支付0.01元就能獲得299元。
另一種紅包詐騙是“歐陽大善人”的詐騙,首先會添加很多好友,每天會在自己朋友圈分享自己比較奢華的生活,如曬一下名表、名車,發自己在全球各地旅遊資訊,突然有一天他在朋友圈發一條資訊,“現在做一個活動,叫以一返十,你給我發10元紅包,給你返100元。”無數好友上當受騙給他發紅包。
紅包類詐騙有一個共同特性,金額非常少,但是受騙的人群非常多。
法師詐騙本來是傳統線下犯罪,封建迷信。隨著互聯網發展,這一類詐騙也開始通過網路、社交平臺來實施這一類違法犯罪活動。很多人會因為婚姻不合、自己事業不順,在網上搜,請一個法師做法或請一個法器回來,道士會跟你講有一些開光法器或給你做法事,發各種各樣檔次的紅包,如果開始沒有效果,他可能繼續下一步騙局,說你這一段時間有“殺身”等運勢。
現在在互聯網上各類犯罪層出不窮,很多背後全是公司化運作的團夥。
周漢華
中國社會科學院法學研究所研究員
2016年,徐玉玉案之後,多部委聯合治理打擊電信網路詐騙,工作力度非常大,去年6月1號實施《網路安全法》,在《網路安全法》實施前後,四部委又進行10款重要應用隱私政策的評估。通過一系列在國家層面上的舉措,整個社會被動員了起來,公權力機關積極的制度推進和積極執法,以一個決定性的變數,使得網路安全的形勢有明顯改觀。
儘管多部委最近幾年聯合打擊網路詐騙行為,公安部門為保護個人資訊採取了相關行動,以及《網路安全法》實施前後高密度的制度推進,總體上這個領域面臨的挑戰還是具有長期性的。確實基數太高,儘管下降了一倍多,但依然不能低估。
前一段時間,全國人大常委會“一法一決定”的執法檢查裡,有些吸收了學者的觀點,包括網路實名制。但是《網路安全法》執法檢查剛啟動時,法工委召開專家座談會,當時我們內部又提出這個問題,一定要檢討實名制可能也會帶來相應的風險。因為只要把身份證號和電話號告訴任何人,只要有這兩個碼,以後任何人的重要資訊,花750元,都能買到。所以實名制一旦氾濫,後果很嚴重。這次人大常委會“一法一決定”的執法檢查,其中特意提出“要研究實名制的範圍”,最高立法機關能夠對這個問題提出振聾發聵的警示,意義很深遠。現在很多地方都搭車實名制,最後把風險外溢。同時,這次人大常委會執法檢查提出了“加快個人資訊保護法的制定”,可見國家層面對公民個人隱私問題的重視。
大資料的核心就是個人資料,隨著大資料的發展,這其中的風險也是同步增長的。未來人工智慧一定會遇到重大的資訊安全方面的挑戰,關注個人資料安全問題其實是整個資料治理最核心環節。
劉明
中國社會科學院文化法制研究中心研究員
每打開、安裝一個應用,會彈出很多對話方塊,讓你點各種各樣的“同意”。經過你的同意之後,理論上來說,APP對資訊的使用和收集就有了一定合法性的保障。但這種理論上結果的前提應該是消費者確實充分認知自己的同意會產生什麼樣後果。現在的問題是用戶對於自己作出同意之後的後果其實並不非常瞭解。“同意”本來這應該是使用者對自己個人資訊授權的一個選擇權和知情權的程式,卻越來越成為經營者或資訊收集者的擋箭牌。
有些時候,消費者和商家之間也可能存在一種誤會,收集某個資料,消費者認為沒用,但商家認為是他提供服務的組成部分或必要部分,這時一個簡單的告知就不夠了,不止要告訴消費者收集了哪些資訊,還要告知這些資訊用於哪些服務。比如很多APP都收集IMEI手機碼,卻不告知我們收集那個碼到底有什麼用處。只有告知相關的具體用途和服務,才是對消費者知情權最有力的保障。否則只是告訴你我收集了你的資訊,除了同意以外也沒有其他選擇。
這是以後無論是在行政檢查還是市場競爭方面,應該注意的一個點,誰能夠更好、更清晰地向消費者傳達資訊的收集範圍和用途,可能對消費者來說是更有意義或更友好的一種體現。
周輝
中國法學會網路
與資訊法學研究會副秘書長
2017年網信辦主要針對隱私政策的文本做了一個評價,那段時間很多應用都會在集中更新自己的隱私政策文本。隱私調用許可權問題已經受到了各界的關注,網信辦未來如果繼續做隱私政策或對隱私評估和評價,還有更進一步的空間去改進和完善。協力廠商監督或者評價,在技術上也是可行的。期待監管部門能夠吸收我們目前在做的研究的思路和方法。
在面對網路隱私和網路欺詐行為,最關鍵還是用戶自身保護意識的提升。在這種情況下,怎麼發揮像騰訊這樣大的網路平臺企業在使用者教育方面的功能,也是未來可以進一步去探討的話題。
李霞
中國社會科學院文化法制研究中心秘書長
互聯網背景下的個人資訊的保護是需要多方共同推動的,包括企業、媒體、NGO、公眾等一些私部門的重要參與。
第一,要創造互聯網安全潔淨的環境,需要監管部門加強和提高監管能力、監管技術和監管意識,確立各種標準,發佈指南,進行違法的糾正和處罰;
第二,互聯網企業要強調自律、自我規範、自我賦能,培養一種內生的動力,從企業生命線的角度來看待和保護個人資訊;
第三,普通公眾也需要不斷端正意識、更新觀念,養成一種規範的、衛生的使用網路習慣,掌握有效防範的一些技能;
最後,研究機構和研究者需要更多關注和深度參與這個領域一些前沿和重要的問題,發揮自己的作用。
王曉冰
騰訊社會研究中心總監
騰訊社會研究中心邀請專家跟我們一起來做這樣一個探討,包括推出《網路隱私及網路欺詐行為分析研究報告》,最大的原因是希望能夠推動整個網路空間自我進化,形成一個更加完善的生態。但這個生態確實需要方方面面共同努力,不僅是企業,可能非常主體的一方需要作出更積極的回應和應對,展現對於用戶對於個人隱私的關切。
另一方面用戶自己應該給自己建立一套自保的藩籬,這是共同學習和提高的過程。希望研究中心能夠促成用戶自我學習、互相學習,以及社會各個層面給予用戶更多的保護,從這個層面上我們做更多的工作。