透視網(wǎng)絡黑產(chǎn)系列之“個人信息泄露”光明網(wǎng)記者 李政葳回顧過去的2018年諸多熱點輿情事件，支付寶賬單默認勾選、Facebook 8700萬用戶數(shù)據(jù)泄露、華住旗下酒店1.3億用戶數(shù)據(jù)泄露、常州大學生個人信息泄露“被入職”、花總曝光酒店亂象導致個人信息泄露等備受關(guān)注。

在近日舉辦的2018個人信息安全大會暨“啄木鳥安全獎”頒獎典禮上，南方都市報個人信息保護研究中心發(fā)布的《2018個人信息保護年度報告》，對購物、金融、交通、社交等十大行業(yè)的1000款常用App隱私政策進行測評，顯示只有13款達到隱私政策透明度高的層級；透明度“不及格”的App數(shù)量超七成，透明度低的App高達538款&helpp;&helpp;一線安全領(lǐng)域從業(yè)者反詐騙和用戶隱私防護現(xiàn)狀如何？互聯(lián)網(wǎng)企業(yè)隱私政策改版過程中，如何實現(xiàn)應用合規(guī)與隱私設計的平衡？騙子為什么這么“努力”？原來他們的PKI指標這么細最近有統(tǒng)計顯示，中國網(wǎng)絡安全產(chǎn)值不到500億，但網(wǎng)絡黑灰產(chǎn)一年產(chǎn)值已達上千億。

當在互聯(lián)網(wǎng)另一端的詐騙分子比你還“努力”，反詐騙如何修成正果？“大家有沒有想過詐騙分子如何工作？怎么樣才算一個‘好’的騙子？是每天電話打得最多，還是騙到人最多，或是詐騙手法最新穎？”知道創(chuàng)宇反詐騙技術(shù)專家潘少華拋出了一系列疑問。

他舉例說，之前有一個境外詐騙團伙，專門打著IT公司名義，在武漢招聘應屆生，并稱直接派出國培訓。

畢業(yè)生開始都覺得高大上，結(jié)果出國后發(fā)現(xiàn)是讓員工每天編寫詐騙劇本，而且有嚴格的管理指標、相互之間需要競爭，最終要看團伙的實際“產(chǎn)出”。

網(wǎng)絡黑灰產(chǎn)使用的貓池工具，可同時接受多個用戶撥號連接的設備（李政葳/攝）“有些不法分子文案寫得不錯，接電話的人很多，但個人精力有限，一分鐘只能接一個單，與一百個人深度交流后只騙到了一兩個人；有的只聊了兩三個人聊，但每一單都轉(zhuǎn)化了。”兩者相比，誰更厲害？潘定華坦言，詐騙團伙很直接，只有騙到錢才算，所以更關(guān)注具體指標，“騙子的PKI指標做的很細，指標高會給給發(fā)房、發(fā)車，這可能是直接的驅(qū)動力。”另外，潘少華提到，早些年他們曾協(xié)助某單位破獲的一起大型犯罪團伙，成員有數(shù)百人，分工嚴密、按績效考核，涉案金額數(shù)十億，分為劇本組、技術(shù)組、電話組等。

其中，劇本組負責根據(jù)手頭資源集思廣益，設計各類場景，比如，冒充公檢法、機票改簽、電商退貨等；技術(shù)組負責在黑市采購公民隱私數(shù)據(jù)、購買作案裝備、開發(fā)部署詐騙網(wǎng)站和App、發(fā)送詐騙短信等；電話組根據(jù)業(yè)務分組每天撥打海量電話。“所以大家不要覺得騙子怎么那么傻，電話里有那么濃的口音，其實只是為了快速把你過濾掉，每個聽起來‘傻傻’的騙子，背后都有一個團隊拿著用戶資料在研究怎么突破你的心理防線。”潘定華說。魔高一尺，道高一丈。詐騙分子這么拼，反詐騙人員也很拼。“電話反詐騙有一個尷尬的地方，出于多種因素考慮，不能直接在運營商里攔截阻斷詐騙電話。”潘定華說，很多時候詐騙分子會讓受害人一直不掛機，直到完成打錢操作。

這種情況下，公安民警就沒辦法即時通知受害人，甚至警察上門后，人們也還以為警察是壞人，因為騙子已通過整套話術(shù)進行了洗腦。

在潘定華等網(wǎng)絡安全一線從業(yè)者看來，希望在詐騙案剛在發(fā)生時，甚至還沒有發(fā)生時，就能及時地阻斷。“近兩年，我們在根據(jù)既有案件和大數(shù)據(jù)平臺情報，進行建模訓練。比如，可以配合相關(guān)機構(gòu)進到黑灰產(chǎn)后臺，看他們已騙了哪些用戶、哪些數(shù)據(jù)，也能掌握嫌疑人的一些公共信息”。

數(shù)據(jù)不上傳就不會泄露？未必！還有大數(shù)據(jù)挖掘測算多年從事信息安全工作的楊更，創(chuàng)業(yè)之前曾在亞馬遜（中國）、美團、小米等擔任過首席安全官。“人們沒聽說過我，是一件好事，說明我服務過的公司都沒出現(xiàn)過重大安全事件。”在楊更看來，網(wǎng)絡安全防御領(lǐng)域沒有消息，其實是最好的消息。“從業(yè)18年得到了一個略有‘悲哀’結(jié)果：用戶的所有線上信息都會泄露。如果擔心泄露，‘小秘密’就不上傳，也不行，因為現(xiàn)在有了大數(shù)據(jù)挖掘。”楊更舉例，F(xiàn)acebook早在2007年就能根據(jù)用戶社交關(guān)系測算用戶性傾向；去年紐約大學研究員也發(fā)現(xiàn)，靠點贊也能測算出用戶性傾向。“也就是說，你根本沒上傳過信息，靠大數(shù)據(jù)挖掘，也都可以被挖出來”。

對用戶而言，最重要的數(shù)據(jù)是什么？“可能你覺得是密碼，因為這是打開其他數(shù)據(jù)大門的鑰匙。

可當你還在為自己的密碼規(guī)則沾沾自喜時，你的郵箱、iCloud、銀行卡等密碼可能早已泄漏，當黑客攻擊你時、詐騙集團忽悠你時、廣告主騷擾你時，他們根本不關(guān)心你是誰，在他們眼里，你只是一行數(shù)據(jù)。”在楊更看來，以上種種，是日益增長的個人隱私保護需求和不平衡、不充分的個人隱私保護能力之間的矛盾。“普通網(wǎng)民與擁有大數(shù)據(jù)能力的攻擊者完全不是一個對等的存在，這是互聯(lián)網(wǎng)世界的‘降維打擊’，也是隱私泄露時代的‘黑暗森林’。”作為網(wǎng)絡安全工程師，楊更自己一直嚴格管理個人密碼管理器，所有攝像頭全部用黑塑料遮擋，用時才打開，但顯然對于多數(shù)人來說，很難做到。“要想改變隱私保護的現(xiàn)狀，光靠技術(shù)手段遠遠不夠。

需要法律圈、媒體圈、技術(shù)圈、投資圈，特別是用戶圈，形成一股對隱私高度重視的力量。”楊更認為，如果有更多用戶注重隱私保護，就會有勇敢的投資者進入這個賽道，從而吸引更多創(chuàng)業(yè)者，打造出隱私保護行業(yè)的良性生態(tài)。

隱私細則不是越長越好，用戶體驗與數(shù)據(jù)合規(guī)已不再是“二選一”在過去的2018年，用戶隱私政策法規(guī)相較前一年嚴格了不少，這次南方都市報個人信息保護研究中心測評顯示，被測App的隱私政策透明度大幅躍升，還有不少App開始嘗試視頻、圖文、表格、摘要等創(chuàng)新性的隱私設計，騰訊和百度還上線了隱私保護平臺，詳解旗下多款熱門產(chǎn)品的隱私設計。

其實，對于很多互聯(lián)網(wǎng)企業(yè)而言，移動應用的隱私政策多是從0到1，尤其在隱私政策剛開始出現(xiàn)時，多是簡短的一段話且內(nèi)容含糊。

讓知乎法務部門一帆記憶猶新的是，2018年4月知乎隱私政策修改時，曾一度引爆輿論、差評如潮；8月底接到知乎進入隱私政策評審名單的通知，需要在10月底前完成修改。“當時首先考慮的是產(chǎn)品特性，沒考慮不同平臺對數(shù)據(jù)信息的使用、管理、收集的特性。”在門一帆等人看來，知乎首先是內(nèi)容平臺，并不需要那么多用戶信息，也沒有收集那么多信息。

最后，他們設計了兩個彈窗，先做隱私保護指引概要，讓用戶選擇同意或不同意；當用戶勾選不同意時，再給用戶第二次選擇權(quán)，如還需要用知乎，就進入僅瀏覽模式。

事實上，10月底上線的這個版本，是門一帆等修改的第20次稿。

這里面到底寫了哪些內(nèi)容？“第一版不到6000字，第二版16000字，還不包括Cookie指引和對難懂政策的解釋。”門一帆解釋說，一是個人信息保護的要求提高了，產(chǎn)品需要給用戶更多權(quán)利，也需要把權(quán)利說明白；二是產(chǎn)品功能變復雜了，小產(chǎn)品、小功能會有上百個，且之間還會相互交叉、信息共用。“實際上16000字還沒寫完，但已經(jīng)不能再寫了，不要說用戶看了會很痛苦，我們自己看都很痛苦。”在她看來，應用的隱私政策越來越長的趨勢是不對的，需要思考，是否可以通過其他方式改進。

用戶體驗和數(shù)據(jù)合規(guī)是不是必須“二選一”，魚和熊掌能不能兼得？如果放在一年前，門一帆可能會說“是”，但經(jīng)過這一年數(shù)據(jù)合規(guī)的風暴后，她坦言：“數(shù)據(jù)合規(guī)已成為了用戶體驗的一部分，而且是至關(guān)重要的一部分。”讓她感受深刻地是，現(xiàn)在法務也要站在“前臺”，引領(lǐng)產(chǎn)品的合規(guī)，有權(quán)利、有機會與技術(shù)部門站在一線。“法務首先應當尊重技術(shù)、關(guān)注技術(shù)。

既要意識到技術(shù)的重要性，也要理解技術(shù)的局限性，法律可以用來指引技術(shù)，但是不能替代技術(shù)，也無法突破當下技術(shù)水平的限制。”在不少業(yè)界人士看來，個人信息泄露事件已經(jīng)成了“高空拋物”，高樓扔下來東西后，怎么去追責？樓上每個居民都要證明那天不在家或窗戶封死了。“個人信息泄露如果是一個木桶的話，中間各個環(huán)節(jié)都要爭當長板，這樣個人信息才會更安全”。