測試了1144款手機APP，攝像頭和話筒最易泄露隱私？

文／本刊記者 史 詩

網絡隱私越來越成為一個全球性的重要議題，引發政府部門、互聯網企業和廣大用戶的關注。什么軟件會獲取我們的隱私信息？哪些獲取行為屬于越界獲??？我們該如何防范隱私泄漏和網絡欺詐？

日前，騰訊社會研究中心和DCCI互聯網數據研究中心聯合發布《網絡隱私安全及網絡欺詐行為研究分析報告（2018年上半年）》，通過對1144款手機APP獲取用戶隱私權限情況的統計，評估移動端APP的隱私安全，同時聯合騰訊守護者計劃項目，分析2018年上半年網絡欺詐的新案例和新趨勢，并為用戶提供簡單易操作的應對方案。

攝影頭和話筒是重災區

報告顯示，目前幾乎所有手機APP都在獲取用戶隱私信息，但大多數都能遵循“合法、正當、必要”的原則進行獲取，越界獲取用戶隱私比例持續大幅降低，2018年上半年安卓APP越界獲取比例降低到5.1%。

報告和現場專家都認為，《網絡安全法》的實施，政府部門對網絡安全問題的重視，互聯網行業的自律，用戶隱私安全意識和技能的提高，都在推動整個網絡隱私環境向前發展。

《網絡隱私安全及網絡欺詐行為研究分析報告》（以下簡稱《報告》）將用戶不知情時個人信息被獲取的情況稱之為隱私泄露，報告顯示移動網絡隱私的泄露主要有手機軟件獲取、免費Wi-Fi竊取、舊手機設備泄露以及黑客攻擊企業大數據等渠道。

報告主要針對手機軟件獲取用戶隱私情況進行統計、研究和分析。研究團隊共選取了869個Android手機APP、275個iOS手機app，對三類隱私權限的獲取情況進行逐一分析：“核心隱私權限”包括獲取位置信息、讀取手機號、讀取短信記錄、通話記錄等；“重要隱私權限”包括打開攝像頭、使用話筒錄音、發送短信、發送彩信、撥打電話等；“普通隱私權限”則包括打開WiFi開關、打開藍牙開關、獲取設備信息等、打開數據網絡等。

《報告》隱私安全測試結果顯示，2017年下半年，幾乎所有的安卓手機APP都在獲取用戶隱私權限，869個Android手機APP中未獲取的僅占0.1%。其中生活購物類和投資理財類APP占比明顯增加，生活購物類由7.6%增加到11.2%，投資理財類由9.1%增加到10%。

值得注意的是，在2018年上半年，獲取“打開攝像頭”權限的APP比例達到89.9%，獲取“使用話筒錄音”權限的APP比例達到86.2%，這兩個權限也是用戶最為關注的隱私信息。

一個良性的變化是，安卓手機APP在越界獲取用戶隱私權限的比例在大幅降低，相比2017年上半年的25.3%，2018年上半年降到了5.1%。研究團隊和現場專家都認為，《網絡安全法》的實施，互聯網行業的自律，用戶隱私安全意識和技能的提升，都促使移動軟件開發者在采集用戶信息時遵循“合法、正當、必要”的原則。

對隱私權限管理相對完善的iOS系統，也存在隱私泄露問題?！秷蟾妗凤@示，2018年上半年iOS端獲取用戶隱私權限從69.3%驟增到93.8%，其中圖像美化類獲取比例高達100%。

每3條詐騙短信就有1條是非法貸款

來自騰訊安全實驗室的數據顯示，2018年上半年，騰訊手機管家詐騙電話標記總數2970萬個，攔截詐騙短信1833萬條，平均每天標記詐騙電話16萬個，攔截詐騙短信10萬條。在世界杯前夕的5月，詐騙短信暴增超過792萬條，是2月的近10倍。

2018年上半年最常見的詐騙短信是非法貸款、病毒軟件&惡意網站、偽基站、高薪招聘和網購，其中非法貸款占比32.4%。詐騙電話多為以各種理由要求轉賬、冒充領導、索要驗證碼和冒充公檢法。惡意網站中色情網站占比高達56.9%，博彩網站增長到34.4%。報告認為，博彩網站數量大增，世界杯開賽是重要的刺激因素。

來自騰訊安全管理部的案例分析顯示，6月高考過后，以高考和錄取為名義的詐騙手法多為“高考補助金”、“黑客改分”、“保送”、偽造錄取通知書，或者發送短信鏈接植入病毒。世界杯期間的詐騙手法多為賭球競猜、虛假獲獎信息、惡意釣魚網站等。

專家說法：

姜奇平（中國社科院信息化研究中心秘書長）：

我覺得在網絡隱私領域應該把用戶主權用市場化的方式落地。在隱私保護上，我們現在只是給用戶說允許采集或者不允許采集，這個不夠，這個是在信息開發領域，在應用領域也要賦權。舉兩個例子，一是我們的軟件機制是否可以讓消費者建立黑名單。比如我接到一個陌生電話，這個電話沒接，上面就顯示是騷擾電話，是有人認為它是騷擾電話并進行了標記，設置成了黑名單，這樣其他用戶也就知道了這是騷擾電話。二是社交媒體查證，，社交媒體如果有一個機制，我1秒鐘就可以查到某個不明底細的人的信息，就可以讓用戶權益更能得到保證。

胡延平（DCCI互聯網數據研究中心創始人）：

大多數互聯網用戶對隱私問題是真關注，假在意，不行動。相對而言，關注度很高，一個新聞熱點事件過來以后，大家都覺得是個事兒，都覺得很嚴重，但采取實際行動的人比例很低。比如說手機APP的隱私權限，70%、80%權限關掉以后，并不影響APP使用，但很多用戶根本不去管。

我提供一個對所有用戶來說都簡單易操作的方案，在手機里面只要把類似騰訊手機管家這樣的安全軟件用好，就可以解決每個用戶移動隱私方面的大多數問題，不論是垃圾短信，還是騷擾電話、詐騙電話、惡意網址，都可以進行提醒和防范。還有你的手機上的APP，好多功能權限真的可以關掉而不影響使用。

王新銳（北京浩天安理律師事務所高級合伙人）：

第一，在隱私保護領域，比較有價值的案例是美國一些大公司，比如Facebook公司做的隱私表盤，用可視化方法管理隱私，把隱私賦權給用戶。而中國很多互聯網產品特點是集成，里面包含娛樂、支付、社交等等很復雜。隱私表盤把隱私權限設置落實，可以讓你更直觀看到到底用了哪些信息，也能更好地管理個人隱私，而且是一個梯度管理。

第二，隱私是什么，隱私和個人信息的邊界在哪里，企業獲取用戶信息和隱私的標準是什么，我想中國的互聯網公司是否可以形成某種共識，大家一起來推動行業自律。此外，政府部門、法律界、社會學界等也要逐漸形成自己的共識，讓這些共識在相互碰撞中不斷改善和前進。

蔣海鋒（騰訊守護者計劃安全專家）：

今年上半年開始，薦股詐騙在舉報數據中不斷上升。騰訊守護者計劃對相關的數據進行了分析，協助重慶和福建警方進行專項打擊，在重慶、南昌、上海、深圳一共打到了8個犯罪團伙，涉及窩點20個，抓獲嫌疑人585人，現場繳獲的股民個人信息600多萬條。

薦股詐騙的手法有玩概率、朝軟件、談感情、黑平臺，詐騙環節分為5步：準備場所、員工和詐騙工具，用軟文、短信、廣告做推廣，冒充白富美組團忽悠受騙人交推薦費或會員費，以盈利的假象拉攏受騙人入一個更大的騙局，讓受騙人把巨額炒股費用打入騙子私人賬戶。

現在網絡詐騙已經產業化，最早的時候一個犯罪團伙要做一個詐騙案件，需要一系列成員分別做一些事情，分工配合，然后達成詐騙目標。現在產業化了，各種犯罪的技術門檻都很低，只要一個人有相應的黑產資源，就能夠進行詐騙。前幾天我們配合福建警方打掉了一個薦股的窩點，進去的時候發現只有一個人，對著十臺電腦操作。

左洪濤（騰訊手機管家安全專家）：

大家第一次安裝軟件要有一個習慣，必要的權限開放，不必要的權限完全不開放，它可能有小的功能需要這個權限，但是用的時候要提醒我用不用，這樣不能隨意開放給第三方用。

除了APP的讀取手機聯系人、短信、打開攝像頭、使用麥克風等隱私權限，我們的身份證號、銀行帳號、電商帳號密碼、社交網站的帳號密碼，也是特別核心特別重要的隱私，一定要給予足夠重視。

黃曉林（騰訊法務數據和隱私中心負責人）：

騰訊有隱私方面的投訴渠道，每月都有200萬條的投訴，說明中國用戶是真的很關注和在意隱私的。

作為一家“科技+文化”公司，騰訊會在內部理清哪些權限是敏感權限，哪些是非敏感權限，什么樣的條件下才能獲取用戶隱私權限。我們有內部一套完整的規范給到業務和產品，讓產品側按照規則進行操作，不必要的隱私就不要獲取。

王曉冰（騰訊社會研究中心總監）：

我們經?？吹降乃^一攬子協議，一攬子協議告訴用戶可能企業收集數據用于干什么，那個環節一般來講是比較抽象的規定，通常很多應用都是傾向于把這個應用范疇劃的越大越好，避免將來受到訴訟的可能。但是對用戶來講，雖然公布了用途，但沒有太大意義。如果將來這個方面也可以變成一個透明的、可查詢的過程，對用戶來說就更有意義，更容易查詢個人數據去向。