如何对“越界获取隐私”说不?
你的手机中是否安装了手机管家?你是否仔细检查过APP的隐私权限?你是否会在不同网站中设置不同的密码?你又可曾想过,个人隐私泄露将导致怎样严重的后果?
当数据成为了这个时代的黄金,个人隐私数据的保护更应得到重视。
昨日上午,DCCI 联合腾讯社会研究中心共同发布了《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》(点击可查看报告内容)。这份面向广大互联网用户发布的报告着重对网络安全现状进行了分析,同时也提供了许多实用性建议。当用户、企业、监管部门分别成为网络安全生态中不可或缺的力量,作为个体的我们应如何保护自己的利益,提升网络安全素养?当我们面对潜在的网络犯罪风险时,又应该承担怎样的责任?腾云 将在未来定期发布相关报告,更好地对这些问题做出解答。
在发布会上,各位专家对报告进行了详细解读,并就网络隐私泄露和网络犯罪等问题分享了各自的看法和建议:
越界获取用户隐私的应用比例在下降,但越界造成的后果却在上升。
面对个人隐私泄露等网络安全问题,用户逐渐从“无意识”向“有意识”转变,但还远远不够。
个体用户已成为网络安全生态中重要的一环,网络安全素养的提升迫在眉睫。
保护网络安全,必须建立长效机制,由企业、用户、监管部门、行业协会共同努力。
手机管家可解决绝大多数手机安全问题。同时,用户最好不要在不同的网站、APP上使用相同的密码,以防止犯罪分子盗库、撞库。
......
点击文末“阅读原文”可下载完整报告。
“是时候建立长效机制了”
胡延平
隐私互联网数据中心创始人
整
理和分析这份报告,我发现了以下6点现状或趋势:
第一,越界获取用户隐私的应用比例在下降,但越界造成的后果在上升。根据我们的监测,今年越界应用的比例较去年下降了8-9个百分点,但越界后果的严重程度在上升。
第二,“越界获取隐私”越来越受到舆论关注。经过这两年的舆论呼吁、两会提案等努力,应用开发商开始注意自己的形象,面对用户隐私会进行斟酌考虑,或选择躲进灰色地带。
第三,用户开始从“无意识”向“有意识”转变,但还远远不够,例如许多用户甚至连手机管家都没有装。
第四,网络已经成为诈骗犯罪的主场。今天的诈骗、网络犯罪,可以说不仅问题出在互联网,问题的源头也出在互联网。为什么?诈骗犯掌握的信息从何而来?数据从何而来?很多都是从互联网上泄露的。
第五,现在到了必须从源头解决问题的时候了。而不是把“越界获取”理解成一个简单的犯规问题,它已经成为网络诈骗等网络犯罪的数据源头。
第六,是时候建立长效机制了。不能只是靠媒体呼吁,以及所谓的企业自律,必须建立长效机制,怎样做?要形成一个互联网企业、用户、监管部门等多位一体的体系,行业必须协同起来制定和遵守相关规则,无论这样的规则是法律的、法规的、政策的、还是服务规范的,都要得到真正的重视和保护。
没有开放就没有网络,没有共享就没有更好的服务,虽然用户的数据是许多更有效的服务的基础,但是任何事情都是相对的。规则要有,权利——尤其是数据权利——要有边界,否则最后会造成很多问题。若许多年以后个人才开始意识到问题的严重性,那么到时候的任何呼吁可能都是苍白的。
互联网企业应保持克制
李健钧
腾讯安全管理部副总监
腾
讯在和网络黑色产业对抗的过程中积累了大量经验,于是在2015年初我们突然想到一个念头,这些对抗“黑产”的经验能不能沉淀下来?能不能联合各方力量,共同维护行业安全?于是我们成立了“守护者计划”,联合公安部、工信部、银行等部门对网络黑产说 No。
我先分享的两个与色情诈骗有关的案例。
许多色情APP会通过时长为20秒左右的短视频内容,一次次地诱导用户为之付费,骗取用户大量钱财。前段时间,我们和大连、武汉两地警方共同打击了一起色情诈骗案件,先后冻结资金60万元,而整个黑产链条的规模达到6个亿。
这里面涉及到四个环节:首先是色情APP的制作,源代码开发的门槛非常低,一个有经验的开发者在三天内就可以完成;下一个环节是支付,现在支付平台的门槛也很低,一套“三证”加上对应的银行帐户,就可以完成和支付平台的对接,这些在网络黑市上都可以以一千多元的价格买到;下一步是网上推广,主要是发布广告和社交网络传播等;最后一步就是变现。
以上四步便形成了一个黑产链条闭环,这样一个小小的案件竟然涉及了一个6亿元规模的网络黑产链条。
第二个案例也发生在不久前,腾讯安全管理部配合长沙警方在柬埔寨打掉了一个通过裸聊骗取被害人裸体视频截图,从而进行敲诈的犯罪团伙,最终将抓获的74个犯罪嫌疑人押送回国。该团伙一个月获利竟高达240万元。这其中最值得我们关注的,就是公民信息的泄露。
非法信息获取有许多方式——通过木马病毒植入窃取用户隐私;伪装成银行网站发送钓鱼链接、诱导网民输入身份证号、银行卡号、密码等个人信息;盗库和撞库(数据库)等。在此,我建议大家不要在不同的网站、APP上使用相同的密码,以防止犯罪分子盗库、撞库。
我认为,互联网企业自身应保持克制,网络黑产盗库、撞库如此猖獗,就是因为部分互联网企业轻而易举拿到了公民的信息,但却没有能力保护它。“守护者计划”也希望用自己微薄的力量守护广大网民。
如何堵住犯罪的源头?
刘兴亮
DCCI互联网研究院院长
我
们或许都有过类似经历,前一天刚买了一套房子,第二天好像全北京的装修公司都会打来电话问候。诸如此类的现象,说明我们生活在一个不安全的状况里。
如何从源头将这条路堵住?有关部门是否可以规定,如泄露超过××条内容便可以执行严厉的判决?更重要的是提高公民的意识,比如通过腾云发布的相关报告,可以让用户擦亮眼睛,对危险有所防范。另外,较大的互联网公司或许可以联合起来形成一个标准,规范各类APP读取隐私信息的边界,超出这个权限就必须下架。
你的手机比你的房子更值钱
周汉华
中国社科院法学所研究员
今
天(7月19日)是徐玉玉案宣判的日子,再过几年大家会更深刻认识到这个案子对中国信息保护、打击电信诈骗的里程碑作用。徐玉玉这个案子已经对整个国家层面制度建设产生了很大影响,包括《网络安全法》的制定,以及公安部联合多部委打击电信诈骗的部级联席会议的运作机制,还有最近几个大案的破获。
3月份我国破获的网络案件涉及50亿条个人信息泄露,这意味着无人能够幸免。去年的数据显示,发达国家在两年半内,涉及个人信息泄露的信息数量是40亿条。与之相比,我们的问题已经非常严重了。而很长时间以来,大家都没有意识到问题的严重性,直到徐玉玉案。事实上,她并不是唯一因网络诈骗丢掉性命的人。
现在手机里信息的价值,远大于你拥有的房产的价值,你的家里可能没有太多贵重物品,但你的手机却储存着你的名誉、财产。我们已经进入了AI的时代,未来越来越多的服务会基于大数据分析完成,怎么在“更好的服务”与“不多跨出半步”之间划清界限,这其中存在很多灰色地带。怎么判断“越界”与否?法律规定就是三条原则:
首先是合法性。即需要考量应用在抓取某条信息时是否建立在合法的基础上。
其次是正当性。不作恶就是正当,互联网公司需要保持克制,抓取数据的时候要考虑正当性问题。
第三个才是必要性。这是现在欧美各界争议最大的问题,也是我们下一步研究的重点。制度构建者既要考虑整个互联网行业的发展,就像李克强总理所说的,对新业态应持“包容审慎”的原则。而对于那些突破底线的行为,要坚决打击。
维护网络安全,需“四位一体”
石强
《互联网时代》总导演
这
个时代的可悲之处,就在于我们今天竟然不得不刻意去强调“不作恶”。我们甚至发现,许多原本是保护个人安全的互联网公司也做着非常恐怖的事情。随着智能家居、智能驾驶等技术的发展与普及,今天泄露的隐私就可能危及明天的性命。
这个时代也经常会谈到“生态”。所谓“生态”就是许多细胞和个体组合成的一个相互影响、相互作用,并且会产生新的可能性的体系。由此说来,网络安全生态也需要多方参与。例如国外通常会说“四位一体”,即个人、政府、企业、行业协会,四位一体形成共治,各自承担相应责任。
政府采用“管下限”的方法,用非常明确的法规进行监管;企业要不断提高自己的上限;用户要进一步提高安全意识,另外,如何让用户参与到共治之中?这个时代不能再靠过去的治理方法去解决所有问题了;最后就是行业协会的力量。
我特别希望互联网公司能在网络隐私安全、个人信息保护等方面,发于初心的、真正的为用户信息安全以及行业未来考虑。单一的企业只能完成一部分事情,真正需要完成的是行业中各大公司的联合,建立相应的公约式规则。例如国外在网络还欠发达的时候就诞生了网络公约,把计算机伦理等规则都囊括其中。
问答环节
提问:刚刚老师提到我们需要自己有意识地检查自己的手机应用,看我们暴露了哪些权限,但对于很多没有意识或能力进行此操作的用户,应该如何应对?
胡延平:这几乎是最典型的一个问题,也是最典型的一种用户心态。我有几条建议和提示:
第一,每一个用户手机里一定至少要有一个手机管家;第二,有手机管家一定比没有好;第三,手机管家能帮助你解决绝大部分的问题;第四,但如果你不用手机管家去检查各种权限、调整权限状态,基本上和没有装一样;第五,使用手机管家并不意味着绝对的安全,这就好比安装了杀毒软件的电脑仍有可能感染病毒。
提问:作为一个普通用户,我很好奇对于短信信息的获取,什么情况下才构成不越界?我觉得这是只属于我个人的非常隐私的东西。
胡延平:比如手机银行类APP有时需要通过短息收发验证码,有时APP为了省去用户读取短信的过程,会直接通过读取短信的方式将验证码自动输入至指定位置,这是最典型的场景。但经过大量测试后我们发现,即使你把所有应用读取短信的权限关闭,也丝毫不会影响正常使用。
提问:对于年轻人来说,检查并知晓自己手机的权限可能是非常容易的,但对于许多中老年人来说可能根本不知道如何操作,怎么办?
石强:事实上,对于这个问题大多数个人都是无力的。为什么感到无力?因为法律保护的力量有限。这涉及到知情权和信息所有权界定的问题。
这个时代里最重要的问题之一是:数据所有权到底归谁?信息所有者到底是谁?国外很多关于信息安全的法律对此都有清晰界定。另外还有删除权,这也是未来保护个人信息安全很重要的权利,如果个人的知情权、处理权等有了清晰界定,即使一个不懂技术的老人也可以捍卫他的权利,有法可依。
关于用户隐私保护/网络诈骗等话题,你还有哪些问题?请将你的问题通过文末留言的方式告诉我们,腾云将搜集受关注度最高的问题,并在未来为大家一一解答。
// 往期回顾 //