隐私空间app,创业加油站APP 隐私 _生活百科

透视网络黑产系列之“个人信息泄露”
光明网采访人员李政葳
回顾过去2018年的诸多热点舆情事件，支付宝账单被默认查，脸书8700万用户数据泄露，酒店1.3亿用户数据泄露，常州大学生个人信息泄露“受聘” ，宗华曝光酒店乱象导致个人信息泄露。
在近日举行的2018个人信息安全大会暨“啄木鸟安全奖”颁奖典礼上，南方都市报个人信息保护研究中心发布了《2018个人信息保护年度报告》，对购物、金融、交通、社交等十大行业常用的1000款App隐私政策进行了测评。说明只有13款达到了隐私政策的高透明程度；透明度“失败”的应用数量超过70% ，透明度低的应用数量高达538个.
一线安全领域的反欺诈和用户隐私保护现状如何？互联网企业隐私政策修订过程中如何平衡应用合规性和隐私设计？
骗子为什么这么“努力”？原来他们的KPI指标这么细
近期统计显示，我国网络安全产值不到500亿，但网络黑灰生产年产值已达到上千亿。当互联网另一端的诈骗者比你“更努力”的时候，反诈骗怎么可能奏效？
“你想过欺诈者是如何工作的吗？如何做一个“好”的骗子？是你每天打电话次数最多，还是你骗的人最多，还是你诈骗的创新性最强？”熟悉于闯反欺诈技术的专家潘华少提出了一系列问题。
比如他说某海外诈骗团伙以IT公司名义在武汉招应届毕业生，说是直接送海外培训。毕业生一开始觉得个子高，但出国后发现员工天天写诈骗脚本，管理指标严格，需要互相竞争，最终还是要看帮派的实际“输出” 。

文章插图
网络黑白制作中使用的猫池工具，可同时接受多个用户的拨号连接(李正雨摄)
“有些不法分子写得不错，接电话的人也不少，但个人精力有限。他们一分钟只能接一个订单。和一百个人深入交流后，只骗了一两个人；有的只和两三个人聊过，但每个顺序都被转化了。”两者相比，谁更厉害？潘鼎华承认，诈骗团伙很直接，只有骗钱的时候才更注重具体指标。“骗子的KPI指标非常详细，产房和离职都会给出很高的指标，可能是直接驱动力。”
此外，潘提到，早年曾帮助某单位破获一个大型犯罪团伙，成员数百人，分工严格，绩效考核，涉案金额数十亿美元，分剧本组、技术组、电话组。
其中剧本组负责根据手头的资源集思广益，设计各种场景，比如冒充公安稽查法、换票、电商退货等。技术团队负责购买公民隐私数据，购买犯罪装备，开发部署诈骗网站和应用，在黑市发送诈骗短信；电话组根据业务组每天打大量电话。
“所以不要认为骗子那么愚蠢。电话里有这么浓的口音。其实只是为了快速过滤掉你。每个听起来‘傻’的骗子背后都有一个团队，研究如何突破你的心理防线。”潘鼎华说。
魔高一尺，路高一尺。诈骗犯这样打，反诈骗的人也这样打。
x;">“电话反诈骗有一个尴尬的地方，出于多种因素考虑，不能直接在运营商里拦截阻断诈骗电话。”潘定华说，很多时候诈骗分子会让受害人一直不挂机，直到完成打钱操作。这种情况下，公安民警就没办法即时通知受害人，甚至警察上门后，人们也还以为警察是坏人，因为骗子已通过整套话术进行了洗脑。
在潘定华等网络安全一线从业者看来，希望在诈骗案刚在发生时，甚至还没有发生时，就能及时地阻断。“近两年，我们在根据既有案件和大数据平台情报，进行建模训练。比如，可以配合相关机构进到黑灰产后台，看他们已骗了哪些用户、哪些数据，也能掌握嫌疑人的一些公共信息” 。

文章插图
（图片来源于网络）
数据不上传就不会泄露？未必！还有大数据挖掘测算
多年从事信息安全工作的杨更，创业之前曾在亚马逊（中国）、美团、小米等担任过首席安全官。“人们没听说过我，是一件好事，说明我服务过的公司都没出现过重大安全事件。”在杨更看来，网络安全防御领域没有消息，其实是最好的消息。
“从业18年得到了一个略有‘悲哀’结果：用户的所有线上信息都会泄露。如果担心泄露， ‘小秘密’就不上传，也不行，因为现在有了大数据挖掘。”杨更举例， Facebook早在2007年就能根据用户社交关系测算用户性倾向；去年纽约大学研究员也发现，靠点赞也能测算出用户性倾向。“也就是说，你根本没上传过信息，靠大数据挖掘，也都可以被挖出来” 。
对用户而言，最重要的数据是什么？“可能你觉得是密码，因为这是打开其他数据大门的钥匙。可当你还在为自己的密码规则沾沾自喜时，你的邮箱、iCloud、银行卡等密码可能早已泄漏，当黑客攻击你时、诈骗集团忽悠你时、广告主骚扰你时，他们根本不关心你是谁，在他们眼里，你只是一行数据。”
在杨更看来，以上种种，是日益增长的个人隐私保护需求和不平衡、不充分的个人隐私保护能力之间的矛盾。“普通网民与拥有大数据能力的攻击者完全不是一个对等的存在，这是互联网世界的‘降维打击’ ，也是隐私泄露时代的‘黑暗森林’ 。”
作为网络安全工程师，杨更自己一直严格管理个人密码管理器，所有摄像头全部用黑塑料遮挡，用时才打开，但显然对于多数人来说，很难做到。“要想改变隐私保护的现状，光靠技术手段远远不够。需要法律圈、媒体圈、技术圈、投资圈，特别是用户圈，形成一股对隐私高度重视的力量。”杨更认为，如果有更多用户注重隐私保护，就会有勇敢的投资者进入这个赛道，从而吸引更多创业者，打造出隐私保护行业的良性生态。

文章插图
（图片来源于网络）
隐私细则不是越长越好，用户体验与数据合规已不再是“二选一”
在过去的2018年，用户隐私政策法规相较前一年严格了不少，这次南方都市报个人信息保护研究中心测评显示，被测App的隐私政策透明度大幅跃升，还有不少App开始尝试视频、图文、表格、摘要等创新性的隐私设计，腾讯和百度还上线了隐私保护平台，详解旗下多款热门产品的隐私设计。
其实，对于很多互联网企业而言，移动应用的隐私政策多是从0到1 ，尤其在隐私政策刚开始出现时，多是简短的一段话且内容含糊。让知乎法务部门一帆记忆犹新的是， 2018年4月知乎隐私政策修改时，曾一度引爆舆论、差评如潮；8月底接到知乎进入隐私政策评审名单的通知，需要在10月底前完成修改。
“当时首先考虑的是产品特性，没考虑不同平台对数据信息的使用、管理、收集的特性。”在门一帆等人看来，知乎首先是内容平台，并不需要那么多用户信息，也没有收集那么多信息。
最后，他们设计了两个弹窗，先做隐私保护指引概要，让用户选择同意或不同意；当用户勾选不同意时，再给用户第二次选择权，如还需要用知乎，就进入仅浏览模式。
事实上， 10月底上线的这个版本，是门一帆等修改的第20次稿。这里面到底写了哪些内容？
“第一版不到6000字，第二版16000字，还不包括Cookie指引和对难懂政策的解释。”门一帆解释说，一是个人信息保护的要求提高了，产品需要给用户更多权利，也需要把权利说明白；二是产品功能变复杂了，小产品、小功能会有上百个，且之间还会相互交叉、信息共用。
“实际上16000字还没写完，但已经不能再写了，不要说用户看了会很痛苦，我们自己看都很痛苦。”在她看来，应用的隐私政策越来越长的趋势是不对的，需要思考，是否可以通过其他方式改进。
用户体验和数据合规是不是必须“二选一” ，鱼和熊掌能不能兼得？如果放在一年前，门一帆可能会说“是” ，但经过这一年数据合规的风暴后，她坦言：“数据合规已成为了用户体验的一部分，而且是至关重要的一部分。”
让她感受深刻地是，现在法务也要站在“前台” ，引领产品的合规，有权利、有机会与技术部门站在一线。“法务首先应当尊重技术、关注技术。既要意识到技术的重要性，也要理解技术的局限性，法律可以用来指引技术，但是不能替代技术，也无法突破当下技术水平的限制。”
【隐私空间app,创业加油站APP 隐私】在不少业界人士看来，个人信息泄露事件已经成了“高空抛物” ，高楼扔下来东西后，怎么去追责？楼上每个居民都要证明那天不在家或窗户封死了。“个人信息泄露如果是一个木桶的话，中间各个环节都要争当长板，这样个人信息才会更安全” 。