无人机、儿童智能玩具、扫地机器人……这些时下流行的新设备，都可能成为监视你的“间谍”。

12月28日，由南方都市报社和中国人民大学未来法治研究院等联合主办的“2017年个人信息安全大会”在北京举行。会上，近百名来自政府部门、科研机构和知名企业的代表，共同探讨个人信息保护的相关议题。

当天，南都个人信息保护研究中心发布了《2017个人信息保护年度报告》。该报告包括1550家网站和APP的隐私政策测评结果、南都在系列隐私调查中发现的问题、年度热点隐私事件盘点，以及2018年可能出现的新问题预测。据悉，这是国内首份由媒体发布的个人信息保护报告。

历次测评平台个数分布

“从2016年开始，南都通过多篇调查报道，逐渐深入了个人信息安全领域的话题，我们正在尝试以新闻报道与第三方评测监督的方式，促进业界对个人信息安全形成共识。”南方都市报编委虞伟表示。

报告：工信部公布的不良APP哪家最多？

南都个人信息保护研究中心从今年3月开始持续关注互联网产品的隐私政策透明度问题，迄今已完成1550家网站和APP的隐私政策测评，覆盖十多个行业。

当天发布的《2017个人信息保护年度报告》（以下简称《报告》）显示，在历次测评中，透明度高的平台都极少，透明度低的则占绝大多数，超过总数的80%。互联网金融类和购物类的占比甚至高于90%。

历次测评透明图分布

透明度高的十个平台，大部分都是大型互联网企业旗下的产品，同时是2017年7月中央网信办等四部委组织隐私政策评审的首批参评对象。这些企业均在评审期间修改了隐私政策，因此才达到评分高的层级。

透明度高的平台名单

透明度明显提升的平台名单

值得注意的是，纵观1550家网站和 APP，隐私政策透明度和知名度并不完全成正比。在招聘类平台测评中，智联招聘、猎聘网、赶集网名声在外，隐私政策透明度却排在倒数；购物类平台里更有多个成立多年、口碑尚可的知名平台分数垫底，典型如当当网、乐蜂网、聚美优品、小红书、洋码头等。

反而是一些相对较小的平台更重视隐私政策，比如美骑论坛，在旅游类平台测评中跻身透明度高层级。

在回顾测评中，南都个人信息保护研究中心还发现，麦包包、美囤妈妈、马上游、爱飞网等17家互联网平台遭到曝光后仍然“我行我素”，没有任何个人信息保护相关的隐私政策。

两次测评均无隐私政策的平台名单

《报告》发现，有些重要条款是平台普遍缺失的。比如用户对平台提供的附加功能应有选择权，即使用户拒绝也不能影响核心功能使用；若平台将用户信息用于此前声明以外的新的目的，必须获得用户的再次同意，例如使用“弹窗”提醒用户。这些条款的缺失削减了企业责任，侵害了用户利益。

同时，参评平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。一款名为“果库”的互联网平台甚至直言“基本上，任何事情都可能发生，我们是不会负责的”，令人啼笑皆非。

《报告》提出三点建议：

1）相关部委或监管机构、以及第三方社会组织对更多行业的更多网络产品和服务进行测评，督促企业加强行业自律；

2）出台隐私政策相关标准和规范，对企业制定隐私政策时的随意性进行限制。应用商店可以要求在APP上架的同时提供隐私政策，供用户了解；

3）拓展测评范围至实际操作层面，监测企业是否落实了隐私政策文本中对用户的承诺。

近2000人支持APP不再读取短信

《报告》提出，互联网时代，个人信息随时可能被泄露，包括现在最时兴的无人机、儿童智能玩具、扫地机器人等，都可能成为监视你的“间谍”。甚至一款你从未使用过的APP也能掌握你的信息，给你发来指名道姓的短信，称有好友标记了你的生日、赞你有两把刷子、给你发送了一段视频、还有人暗恋你。

当前，APP过度获取用户信息的现象严重。一款手机壁纸能读取你的通讯录，一个浏览器应用可能随时给你录音。《报告》提到了南都个人信息保护研究中心的一个研究案例：选取6家安卓应用市场，以“王者荣耀”关键词排名先后的顺序，调查50款王者荣耀周边APP的权限状况。

调查发现，50款APP覆盖了28个隐私相关权限。仅有2款APP列出的权限都是“核心”权限，却有5款APP所列出的所有权限均 “越界”。其中还有23款应用的“越界”权限占比超过50%。

而作为用户，想要具体知道一款APP获取了哪些权限，十分困难。比如，一个名为王者荣耀视频网在简介中称，只会读取用户6项权限，但安装时弹出的提示中则列出了20项权限。经技术检测，在安装包中，它又至少向安卓系统申请了21项权限的许可。

这意味着，一款APP代码中写入的隐私获取命令与申请读取的权限不同，申请读取的权限与通知用户的不同，通知用户的与简介也不相同。

《报告》统计近三年工信部公布的466款不良APP后发现，超过八成的APP存在强制捆绑推广其他应用软件的问题，恶意“吸费”和违规收集用户信息也合计占比16%，还有不良APP甚至恶意操控用户手机的情况。

这些不良APP涉及93个应用商店。百度手机助手、应用酷、安卓网、苏宁易购应用商店被检测发现的不良APP较多，在20款及以上。

由此可以发现，即便是大型的应用商店，也可能存在审核不严的问题，让问题APP上架。值得一提的是，报告发现要制作这样一个恶意APP并非难事，所需要花费的成本更是低廉。

当天，主办方还发起了不再读取短信内容的倡议。据悉，甚少有APP的服务功能必须通过读取用户短信实现，而用户的这个授权，却可以让应用开发方知道你短信里写有的银行卡余额，知道你的消费习惯。这则倡议获得了线上线下接近2000人支持，其中包括业界的核心专家数十人。

现场嘉宾签署倡议书

保护隐私首先要改变“平台免责”态度

2017年，在中国网络空间治理和个人信息保护发展史上是值得纪念的一年。5月，两高发布办理侵犯公民个人信息刑事案件司法解释。6月，网络安全法正式实施。7月，四部委启动个人信息保护专项行动……2017年隐私保护领域的热点事件，在大会上被一一盘点。

除了分析个人信息保护发展的现状，《报告》指出2018年可能出现的新形势与新问题。

首先是物联网发展对公众隐私的潜在威胁。据统计，2018年全球物联网市场规模有望超过千亿美元。如此庞大的市场规模，意味着智能终端将从电脑与手机转变为各种嵌入计算机系统的传感设备。从人们的衣食住行，甚至是家庭、卧室等传统意义上最为私密的生活场所也会被覆盖。

《报告》认为，中国的互联网行业正在以领导者的姿态逐渐走向世界舞台中央，这意味着中国物联网也将先行体验这一新兴行业的风险。然而，随着物联网的迅猛发展，越发多样的个人信息将被收集，这可能会使公众对于个人隐私的保护更为敏感。如果个人信息得不到很好保护，那么在物联网尚未普及的情况下，公众就可能对物联网企业形成一种不可逆的不信任关系。

同时，《报告》特别指出，互联网巨头生态圈建设带来的数据共享安全问题，也非常值得关注。随着互联网巨头不断并购和布局上下游周边业务，势必涉及到与第三方或者关联公司进行数据共享。

这一过程中，企业是否征得用户同意？用户是否充分知情？数据是否去标识化？

目前网安法在这些方面仅仅作出了原则性规定，企业尚未明确细化的做法。2018年，新出台的网安法配套法规或将对敏感个人信息及有关的收集与使用行为作出明确规定，数据的去标识化相关标准也可能出台。届时，企业需直面合规风险，及时作出调整。

《报告》提醒，随着大众隐私保护意识的逐渐觉醒，“技术中立，平台无责”的说法将不再有说服力。企业不应把用户的隐私保护意识视作数据收集的障碍，而应重新审视安全防御机制设计，以人的需求与数据流向为核心构建新的安全机制。

特别要指出的是，在互联网的创业大潮中，一些新兴企业迅速崛起又迅速衰亡。大量用户数据就此成为企业“遗产”。这些用户数据该如何处理，目前行业还没有达成共识，政府的监管也仍然处于模糊地带。

但是，这些已无人看守和维护的数据就像埋藏在互联网中的定时炸弹，随时有被恶意滥用的可能，留下了极大的安全隐患。因此，除了数据共享安全，数据的留存、清理问题，也亟待政府和企业共同解决。

一款扫地机器人也可能成为“间谍”，无死角监视你的家里。在互联网时代，个人隐私安全正面临严峻的挑战。而在很多时候，泄露个人信息的源头正是你自己。

今年11月，南都个人信息保护研究中心在北京开办全国首家信息杂货铺。在这里，所有的商品都无需金钱购买，只需你用个人信息交换。一个手机号可以换价值168元的帽衫，一个电子邮箱可换购原价49元的创意帆布袋。 原来你的个人信息很值钱。但在免费商品前，很多人就这样轻易交出了信息。

https://v.qq.com/txp/iframe/player.html?vid=b0525o73lfd&width=500&height=375&auto=0

为此，南都个人信息保护研究中心邀请演艺界明星、企业首席隐私官、高校学者等，一起呼吁“保护隐私，不做网络透明人。”

12月28日，这一公益宣传视频在2017年个人信息安全大会首发，引起热烈反响。

采写：南都记者 娜迪娅 李玲 蒋琳 冯群星 实习生：尤一炜

* 公众号如需转载南都君原创内容，请后台联系授权；未经授权，不得转载。