隐私神经“不敏感”的中国人，还要继续无动于衷吗？

《网络安全法》实施的第二年，成效初显，却也危机四伏。仅近半年，就有大量的 App 们，以前仆后继的英勇姿态在隐私安全的危险边缘疯狂试探。

1 月，12306 因强制用户授权信息而被推上了风口浪尖，只有用户同意 App获取用户的位置信息、相机相册、文件存储和电话等个人信息才能订票。3 月，WiFi 万能钥匙被央视财经《经济半小时》栏目爆出窃取了 9 亿用户隐私，包括用户手机号码、WiFi 密码、IP 地址、子网掩码、路由器、甚至关联的银行卡及密码等，用于营销推广，谋取暴利。6 月，漫天刷屏的引发全民贴图狂潮，仅 6 月 1 日当天页面访问次数就突破了 1000 万，在满足了用户攀比心理的同时也轻易获取了大量隐私数据。7 月，相继中招，涉嫌私自调动摄像头、自动录音等侵权手段......

可以看出来，国内用户的隐私信息似乎十分“廉价”，不胜枚举的 App 们只是再次佐证了这一点罢了。而且国内尚且如此，国外似乎也不遑多让。

今年 3 月，Facebook 毫无征兆地爆发了波及甚广的“数据泄露门”，震惊了整个技术圈，5000 万用户信息被窃取用于建立模型和影响选民投票，最终以扎克伯克登报致歉并接受公开质询作结，过了近半年至今还仍有余波。

但是从个人数据收集的角度来讲，另一科技巨头 Google 的做法似乎更为严重——据外媒今日报道，Google 正利用 Android 设备和 iPhone 上的许多旗下服务追踪用户活动，并存储他们的位置数据——即使用户关闭了相关设置，许多 Google 应用程序也会自动存储有时间戳的位置数据，而无需询问用户。此举直接涉及了数十亿智能手机用户，而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。

但是对比国内，国外的用户、市场抑或是政府对隐私暴露的容忍度似乎都更低一些。无论是欧盟出台的 GDPR 隐私法规、Twitter 上掀起的删除 Facebook 舆论活动、还是 Google 此前的军事化项目妥协等等，一系列的“反抗”都彰显了国外人民对于隐私的“不妥协”。那么对于身处信息爆炸时代的国人们，是不是该把隐私保护再次提上日程了？

《网络安全法》的推出是一剂良药，但在立法立规尚不十分完善的情况下，也许用户的随手“同意”，就暴露了所有的隐私数据，无意间为“数据灰黑产”贡献了一份力量——所以，隐私保护意识的提升实属迫在眉睫。

近日，腾讯社会研究中心联合 DCCI 互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告》也披露了严峻的应用隐私市场现状。

报告表示，近两年来中国的移动互联网在快速发展中，2017 年全国数字经济规模达到了 27.2 万亿，占 GDP 总量的 32.9%。但与此同时，隐私泄露、网络诈骗等也愈加泛滥，网络安全问题时有发生。然而，网民在互联网信息保卫战中始终处于弱势地位，网民个体的防御意识也十分薄弱。

为此，这份报告基于 869 个 Android 手机 App 以及 275 个 iOS 手机 App 进行了隐私安全评测，全面剖析了移动开发者获取用户手机隐私权限的情况。

Android 手机 App 评测的隐私权限包括：6 项核心隐私权限（获取位置信息、读取手机号、读取短信记录、读取彩信记录、读取联系人、读取通话记录）；5 项重要隐私权限（打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话)；4 项普通隐私权限（打开 WiFi 开关、打开蓝牙开关、获取设备信息等、打开数据网络）。

iOS 手机 App 评测的隐私权限包括：定位服务、通讯录、日历、提醒事项、照片、蓝牙共享、麦克风、语音识别、相机、健康、Homekit、媒体与APP、运动与健康等共 13 项。
7.53 亿手机网民遭遇隐私泄露的威胁

截止 2017 年 12 月，中国手机网民规模达 7.53 亿。移动开发者可以利用大数据挖掘这些信息更好地为用户服务，而有些不法分子却趁机利用这些信息来发送垃圾短信、打骚扰电话、窃取手机资费等，甚至发生诈骗勒索事件。

目前通过移动互联网泄露隐私的渠道主要有：手机 App、公共 WiFi、旧手机、企业数据。

手机 App 各项功能的实现需要调用手机操作系统提供的相应权限，如导航功能需要调用“获取位置信息”权限，拍照、扫描二维码等功能需要调用“打开摄像头”权限，发送语音功能需要调用“使用话筒录音”权限。然而，现实中，一部分开发者在申请获取手机权限时会“得寸进尺”，甚至个别移动开发者为追求短期利益，存在售卖用户隐私信息的行为，造成了大量用户隐私信息泄露。

如果接入不安全的公共 WiFi，用户的隐私信息也会被不法分子获取。通过公共 WiFi 获取用户隐私信息的方式主要有以下三种：恶意架设 WiFi，通过直接抓取数据包、修改 DNS 地址、或者向手机植入木马等方式获取用户信息；流量劫持，利用公共 WiFi 的漏洞进行攻击，如推送恶意广告、诱导用户进入钓鱼网站等；通过手机验证码获取用户手机号，这是最为常见的一类免费 WiFi 的服务形式。

旧手机处理不当，同样会导致隐私被盗取。如果旧手机通过二手市场或回收环节落入不法分子手中，一旦对方通过技术手段对信息加以恢复了，手机原主人的照片、视频等隐私信息都会被曝光，短信、通讯录、微信、QQ 的信息会被用来诈骗，银行卡、信用卡或第三方支付会被盗刷等。

企业大数据也成了黑客攻击的主要目标。随着互联网的发展和市场竞争的加剧，用户数据的价值也越来越高。不法分子会利用黑客技术非法攻击、盗取企业大量数据，并逐渐形成了一条从数据盗取、售卖、到数据利用的完整产业链条。例如最近的 A 站数据泄漏事件：黑客攻击并盗取了 A 站近千万用户数据后，这部分数据竟然被明码标价放在暗网上售卖。

99.9% 的 Android 端手机 App 都会获取隐私权限

Android 6.0 操作系统推出以前，Android 系统中虽然有应用通知管理功能，但更为深入的应用权限管理只能依靠第三方 App 实现。6.0 版本以上的 Android 系统进一步强化了应用权限管理，应用权限管理也成为系统级功能，用户可以方便地自主决定授予 App 哪些隐私权限。

但是，即便是否授权 App 相关权限掌握在用户自己手中，手机隐私泄露风险依然存在。App 获取隐私权限的用途信息不对称，造成用户始终处于弱势地位，普通用户根本难以判断 App 获取相应隐私权限的目的。

评测发现，2018 年上半年 Android 端获取隐私权限的手机 App 占比相较于 2017 年下半年提高了 1.4%，达到 99.9%，未获取隐私权限的手机 App 仅占 0.1%——几乎所有的 Android 端手机 App 都会获取隐私权限。

2018 年上半年，在获取隐私权限的 App 类型分布中，网络游戏和常用工具仍是占比最大的两类应用，分别达到 24.8% 和 12.7%。相比 2017 年下半年，网络游戏类 App 占比进一步提高，常用工具类 App 占比继续缩小。

另外，2018 年上半年，随着人们理财观念和消费观念的进一步提升，生活购物类和投资理财类 App 占比明显增大，相比 2017 年下半年，生活购物类 App 占比由 7.6% 增加到了 11.2%，投资理财类由 9.1% 增加到 10%。这一现象与近年移动开发热点向生活购物、投资理财等领域转移有着直接关系。

此外，在所评测的三类隐私权限中，Android 端手机 App 对部分核心隐私权限和重要隐私权限的获取比例大幅提高，它们分别是属于核心隐私权限的“读取联系人”权限，属于重要隐私权限的“打开摄像头”和“使用话筒录音”权限。

iOS 操作系统的口碑一向比较好，但也不是绝对安全。在 2017 年 10 月的 GeekPwn 国际安全极客大赛上，一名中国选手现场演示了自己发现的 iOS11 系统最新漏洞。在演示中，用户打开黑客提供的伪装连接后，黑客就能获得 iPhone 8 的最高权限，可盗用户手机内的隐私、自由安装 App 等。

调查发现，iOS 端获取手机隐私权限的 App 比例正在呈现上升趋势，2018 年上半年 iOS 端获取手机隐私权限的 App 比例已达到 93.8%。仅仅时隔一年左右，iOS 端获取手机隐私权限的 App 比例增加了 24.5%。

据评测发现，iOS 端获取手机隐私权限的 App 中，常用工具类、生活购物类和影音娱乐类 App 占比最大，分别占 15.1%、14.7% 和 11.2%。

此外，报告通过针对 iOS 端不同类型 App 获取隐私权限的情况分析发现，除通讯社区类 App，其他类型的 App 获取隐私权限的比例都在 80% 以上。其中，图像美化类 App 获取隐私权限比例最高，达 100%；网络游戏类 App 获取隐私权限比例增幅最大，由 2017 年下半年的 43.1% 增长到了 2018 年上半年的 88.9%，增幅达 45.8%。

为了确保隐私安全，对于 iOS 用户来说，一方面需要苹果公司及时修复发现的系统漏洞，另一方面用户也需要提高安全意识和能力，尽可能地保护自己的隐私，阻止 App 越界获取不必要的隐私权限。

写在最后

99.9% 的 Android 端手机 App，93.8%的 iOS 端手机 App——在这两大系统平分天下的移动端，隐私泄露的问题已经不容小觑。高达九成的比例告诉所有用户，“明哲保身”是不切实际的，“侥幸心理”更不能有，或许下一秒，隐私被滥用的火就会烧到自己身上。

用户作为隐私信息的源头和最终受害者，需要大力加强网络安全意识和知识，了解隐私保护手段。在此，附上手机隐私安全保护指南供大家参考。

手机 App 使用安全建议：尽量选择官方渠道，不要下载来历不明的山寨 App；谨慎授予 App 权限；观察 App 流量使用情况，及时检查和删除；不要设置自动登录，密码定期更换；不再使用 App 时应彻底退出；关闭 App 自启动功能。

公共 WiFi 使用安全建议：在公共场所尽量不去使用没有密码的免费 WiFi；认真核对 WiFi 名，避免接入假冒 WiFi；将手机上的 WiFi 设置为手动连接，避免不经意间连入风险 WiFi。

旧手机安全处理建议：手机操作系统执行文件删除时，仅是对文件做了一个“删除”标记，但存储的数据本身依然存在。如未进行新的数据操作，最上层的数据很容易被恢复。所以建议采取以下措施防止旧手机里的信息泄露：把重要数据备份后，多次存取一些无关紧要的内容或者大型文件（如电影），直至将手机的存储空间全部占满；给手机安装一个“文件粉碎机”，进行全盘擦除；将旧手机低价处理或扔掉前，确保隐私信息已经被妥善处理。
最后，希望大家都能做一个“敏感”的网民，对自己的个人信息负起责来。