“我家的智能機器人會不會一直在聽我說話?”

自從智能機器人開始流行，葛健就經(jīng)常接到朋友的咨詢，“有些人為了防止泄密，不用的時候，就把機器人的插銷拔了”。

葛健是360手機衛(wèi)士的安全專家，經(jīng)常去學(xué)校和電視臺做網(wǎng)絡(luò)安全方面的科普講座。

有一次，他去一所學(xué)校辦講座。結(jié)束后，一位老師問他：“我家的冰箱能用語音，那它會不會一直都在偷聽我說話?”

葛健詳細地給對方分析了相關(guān)授權(quán)原理，并安慰道：“如果它時刻記錄，是很容易被檢測出來的。一旦出問題，企業(yè)將承擔(dān)巨大損失。因此它們盡量避免此類風(fēng)險，會設(shè)定專門的觸發(fā)機制?！?

這樣的恐慌并非空穴來風(fēng)。

僅在2018年就發(fā)生了多起嚴重的個人隱私信息泄露事件。年中，華住酒店集團有5億條用戶信息疑似遭到泄露，來自圓通和順豐的總計十幾億條個人信息在暗網(wǎng)被出售。年底，約410萬條旅客信息在網(wǎng)上被出售，隨后，中國鐵路總公司發(fā)布聲明表示，信息泄露與中國鐵路總公司12306平臺無關(guān)，是用戶通過第三方搶票平臺訂票后發(fā)生的。

2019年央視3·15晚會也介紹了個人隱私信息通過手機App泄露的案例。主持人現(xiàn)場使用一款名為“社保掌上通”的App查詢個人社保信息，一旁的網(wǎng)絡(luò)安全專家通過抓取分析數(shù)據(jù)包發(fā)現(xiàn)，查詢時，用戶的信息已被發(fā)送至一家大數(shù)據(jù)公司的服務(wù)器。

萬千信息匯于手機

近年來，隨著移動互聯(lián)網(wǎng)的高歌猛進，手機已成為大眾生活必需品。手機在承擔(dān)越來越多生活服務(wù)功能的同時，也因匯集大量個人隱私信息如衣食住行、社交關(guān)系等，安全問題凸顯。

根據(jù)2018年8月29日中國消費者協(xié)會發(fā)布的《App個人信息泄露情況調(diào)查報告》，目前個人信息泄露總體情況比較嚴重，在共計5458份有效問卷中，有此遭遇的受訪者占比達85.2%。

報告顯示，個人信息泄露的主要途徑包括經(jīng)營者未經(jīng)本人同意收集個人信息，經(jīng)營者或不法分子故意泄露、出售或者非法向他人提供個人信息，網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞，不法分子通過木馬病毒、釣魚網(wǎng)站等手段盜取、騙取個人信息和經(jīng)營者收集不必要的個人信息等。

App過度索要授權(quán)是個人信息泄露的導(dǎo)火索之一。

在接受《中國企業(yè)家》記者采訪時，葛健認為，過度索要體現(xiàn)在App所需的功能和它所要請求的權(quán)限不匹配，比如，圖片修改類軟件，索要麥克風(fēng)或者通訊錄權(quán)限。

“如果新聞和購物類App在安裝時索要通訊錄授權(quán)，那明顯是過度索要授權(quán)。”網(wǎng)易易盾移動安全資深工程師侯海飛對《中國企業(yè)家》記者表示。他還提到了幾個生活中容易泄露個人信息的場景，比如周圍朋友來拉票，但如果投票時需要填寫手機號甚至身份證號，這個拉票場景的目的很可能是獲取個人信息。

作為移動安全領(lǐng)域的專家，侯海飛經(jīng)常給父母進行安全領(lǐng)域的科普。有段時間，他發(fā)現(xiàn)老人的手機里多了不少來源不明的App，幾經(jīng)詢問才得知，老人參與了路邊掃二維碼獲取優(yōu)惠的活動，并點擊了彈出的下載鏈接。

“要盡量避免從不正規(guī)途徑，比如群組分享、掃不明來源二維碼等方式下載App?！焙詈ｏw補充道。

葛健曾專門做過一個小實驗。

一天，某兒童培訓(xùn)機構(gòu)在路邊免費發(fā)放氣球，葛健給孩子領(lǐng)了一個，并在對方的要求下，留了電話號碼，“我就想看他是不是真的會給我打電話”。很快，他“如愿以償”，幾乎每周都會收到好幾個推銷電話。過了一段時間，這家機構(gòu)終于不打了。但，另外一家培訓(xùn)機構(gòu)開始打電話了。

侯海飛強調(diào)，在公共場合，連接不安全Wi-Fi也是高風(fēng)險行為?！叭绻暇W(wǎng)的流量被控制，你所有的訪問內(nèi)容都可以被獲取。安全層面做得好的應(yīng)用，會加密上網(wǎng)信息;如果沒有加密，你所有的信息都是對外暴露的?！彼ㄗh家中路由器最好也設(shè)置比較復(fù)雜的密碼，以防被劫持。

另外，用戶在使用App時，不經(jīng)意間同意的一些授權(quán)協(xié)議，也會導(dǎo)致個人信息泄露。

在央視3·15晚會提到的“社保掌上通”案例中，用戶在查詢信息時，被默認同意了一份授權(quán)協(xié)議，協(xié)議中包括“您在此充分地、有效地、不可撤銷地、明示同意并授權(quán)我們使用您的社保賬戶密碼為您提供服務(wù)”，以及“在遵循本協(xié)議的條件下，對您的信息進行采集、分析、處理和模擬您登錄人行征信、學(xué)信網(wǎng)、社保、公積金、運營商網(wǎng)站等獲取您的個人信息”等條款。

金融借貸類App由于需要用戶提供更多個人信息作為征信和還款的保證，一直以來都是隱私泄露的高風(fēng)險重災(zāi)區(qū)。

最近的一場風(fēng)波來自京東金融。

2月16日，有微博網(wǎng)友上傳視頻稱，京東金融安卓版App在后臺運行時會自動獲取用戶使用手機時的截圖并上傳保存到該App相關(guān)文件中。京東金融回復(fù)稱，京東金融絕不會收集未經(jīng)用戶授權(quán)的任何信息，更不會竊取用戶信息，將邀請權(quán)威機構(gòu)對京東金融App進行全面安全性檢測。

3月8日，京東金融App在官方微博進一步予以澄清：已通過工信部下屬中國信息通信研究院中國泰爾實驗室安全性定向檢測，未見用戶非授權(quán)情況下上傳圖片緩存文件夾中的拍照或截屏圖片，但京東金融會以此次事件為戒，建立長期的安全自律審查和外部監(jiān)督機制，為用戶創(chuàng)造更加安全、更加放心的使用環(huán)境。

法律仍需再完善

中國政法大學(xué)知識產(chǎn)權(quán)中心特約研究員趙占領(lǐng)向《中國企業(yè)家》記者表示，國家雖已高度重視，但客觀而言，懲戒力度仍顯不夠，個人信息被非法收集和盜取的現(xiàn)象仍十分普遍，許多知名互聯(lián)網(wǎng)公司也未能幸免。

企業(yè)加強自律、用戶提高警惕，都是防止個人信息泄露的有效途徑，與此同時，相關(guān)法律的完善也必不可少。

2019年1月1日開始實施的《電子商務(wù)法》已經(jīng)強化了個人信息保護的相關(guān)規(guī)定。2019年3月4日舉行的十三屆全國人大二次會議新聞發(fā)布會上，大會發(fā)言人張業(yè)遂表示，全國人大常委會已將制定個人信息保護法列入本屆立法規(guī)劃，相關(guān)部門正在抓緊研究和起草。

在趙占領(lǐng)看來，目前中國個人信息保護在法律層面主要存在三點不足。

其一，個人信息的界定標準。能確認個人真實身份的信息有直接識別和間接識別兩類，間接識別的定義還比較模糊，容易產(chǎn)生爭議，比如IP地址到底算不算個人信息。

其二，法律對個人信息的收集使用采取三個原則，正當(dāng)、合法、必要，其中必要性原則最容易產(chǎn)生爭議，比如新聞類App到底有沒有必要收集用戶的地理位置。直觀而言，地理位置不是使用新聞類App的必要信息，但現(xiàn)在流行個性化推薦，部分公司可能會以根據(jù)地理位置變化推薦不同的內(nèi)容作為索要地理位置授權(quán)的理由。

其三，在個人信息保護方面，沒有實施舉證責(zé)任倒置。也就是說，當(dāng)用戶個人信息被泄露之后，還要自己承擔(dān)舉證責(zé)任，但多數(shù)情況下，用戶很難取證。

在全球?qū)用?，個人隱私信息保護立法也已成為重要事項。

2018年5月25日，歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)生效。GDPR被認為是目前數(shù)據(jù)保護的最嚴苛標準，全球多云數(shù)據(jù)管理解決方案領(lǐng)導(dǎo)廠商Veritas Technologies的研究顯示,全球諸多企業(yè)誤認為自身符合了GDPR的標準和要求。但根據(jù)調(diào)查,真正滿足條例合規(guī)要求的企業(yè)只有2%。

GDPR雖然是歐盟的立法，但對全球化布局的科技公司均有不小的影響力。2019年年初，谷歌因為在廣告?zhèn)€性化方面缺乏透明度和有效同意，被法國國家數(shù)據(jù)保護委員會的限制委員會依據(jù)GDPR相關(guān)規(guī)定，罰款5000萬歐元。

專家支你一招

雖然泄露途徑眾多，幾近防不勝防，但用戶仍然可以在日常使用中養(yǎng)成一些好習(xí)慣，降低泄露風(fēng)險。對此，葛健和侯海飛提供了一些簡單易操作的建議。

區(qū)分賬號體系，注冊不同平臺時，使用不同的郵箱和密碼。用安全系數(shù)高的郵箱綁定金融類平臺，切勿把金融相關(guān)平臺的密碼和其他平臺的密碼通用。

謹慎使用手機作為登錄賬號，可以注冊專門的郵箱。

避免連接不明來源的Wi-Fi，在公共場合連接Wi-Fi時，盡量跟Wi-Fi提供方確認后再連接。

在相關(guān)平臺填寫信息時，非必須提供的信息，盡量不要填寫。

授權(quán)信息查詢類平臺時，仔細閱讀用戶協(xié)議。

不要給App過多權(quán)限以及不符合需求的權(quán)限，特別是IMEI權(quán)限。

下載應(yīng)用時，盡量從正規(guī)的應(yīng)用商店下載知名廠商的應(yīng)用。避免點擊各類群組，或者不明來源二維碼傳播的下載鏈接。

此外，侯海飛還專門提醒，老年人是隱私信息泄露的重災(zāi)區(qū)，要時常跟家中老人做安全方面的科普，盡量多保持溝通。