透視網絡黑產系列之“個人信息泄露”光明網記者 李政葳回顧過去的2018年諸多熱點輿情事件，支付寶賬單默認勾選、Facebook 8700萬用戶數據泄露、華住旗下酒店1.3億用戶數據泄露、常州大學生個人信息泄露“被入職”、花總曝光酒店亂象導致個人信息泄露等備受關注。

在近日舉辦的2018個人信息安全大會暨“啄木鳥安全獎”頒獎典禮上，南方都市報個人信息保護研究中心發布的《2018個人信息保護年度報告》，對購物、金融、交通、社交等十大行業的1000款常用App隱私政策進行測評，顯示只有13款達到隱私政策透明度高的層級；透明度“不及格”的App數量超七成，透明度低的App高達538款&helpp;&helpp;一線安全領域從業者反詐騙和用戶隱私防護現狀如何？互聯網企業隱私政策改版過程中，如何實現應用合規與隱私設計的平衡？騙子為什么這么“努力”？原來他們的PKI指標這么細最近有統計顯示，中國網絡安全產值不到500億，但網絡黑灰產一年產值已達上千億。

當在互聯網另一端的詐騙分子比你還“努力”，反詐騙如何修成正果？“大家有沒有想過詐騙分子如何工作？怎么樣才算一個‘好’的騙子？是每天電話打得最多，還是騙到人最多，或是詐騙手法最新穎？”知道創宇反詐騙技術專家潘少華拋出了一系列疑問。

他舉例說，之前有一個境外詐騙團伙，專門打著IT公司名義，在武漢招聘應屆生，并稱直接派出國培訓。

畢業生開始都覺得高大上，結果出國后發現是讓員工每天編寫詐騙劇本，而且有嚴格的管理指標、相互之間需要競爭，最終要看團伙的實際“產出”。

網絡黑灰產使用的貓池工具，可同時接受多個用戶撥號連接的設備（李政葳/攝）“有些不法分子文案寫得不錯，接電話的人很多，但個人精力有限，一分鐘只能接一個單，與一百個人深度交流后只騙到了一兩個人；有的只聊了兩三個人聊，但每一單都轉化了。”兩者相比，誰更厲害？潘定華坦言，詐騙團伙很直接，只有騙到錢才算，所以更關注具體指標，“騙子的PKI指標做的很細，指標高會給給發房、發車，這可能是直接的驅動力。”另外，潘少華提到，早些年他們曾協助某單位破獲的一起大型犯罪團伙，成員有數百人，分工嚴密、按績效考核，涉案金額數十億，分為劇本組、技術組、電話組等。

其中，劇本組負責根據手頭資源集思廣益，設計各類場景，比如，冒充公檢法、機票改簽、電商退貨等；技術組負責在黑市采購公民隱私數據、購買作案裝備、開發部署詐騙網站和App、發送詐騙短信等；電話組根據業務分組每天撥打海量電話。“所以大家不要覺得騙子怎么那么傻，電話里有那么濃的口音，其實只是為了快速把你過濾掉，每個聽起來‘傻傻’的騙子，背后都有一個團隊拿著用戶資料在研究怎么突破你的心理防線。”潘定華說。魔高一尺，道高一丈。詐騙分子這么拼，反詐騙人員也很拼。“電話反詐騙有一個尷尬的地方，出于多種因素考慮，不能直接在運營商里攔截阻斷詐騙電話。”潘定華說，很多時候詐騙分子會讓受害人一直不掛機，直到完成打錢操作。

這種情況下，公安民警就沒辦法即時通知受害人，甚至警察上門后，人們也還以為警察是壞人，因為騙子已通過整套話術進行了洗腦。

在潘定華等網絡安全一線從業者看來，希望在詐騙案剛在發生時，甚至還沒有發生時，就能及時地阻斷。“近兩年，我們在根據既有案件和大數據平臺情報，進行建模訓練。比如，可以配合相關機構進到黑灰產后臺，看他們已騙了哪些用戶、哪些數據，也能掌握嫌疑人的一些公共信息”。

數據不上傳就不會泄露？未必！還有大數據挖掘測算多年從事信息安全工作的楊更，創業之前曾在亞馬遜（中國）、美團、小米等擔任過首席安全官。“人們沒聽說過我，是一件好事，說明我服務過的公司都沒出現過重大安全事件。”在楊更看來，網絡安全防御領域沒有消息，其實是最好的消息。“從業18年得到了一個略有‘悲哀’結果：用戶的所有線上信息都會泄露。如果擔心泄露，‘小秘密’就不上傳，也不行，因為現在有了大數據挖掘。”楊更舉例，Facebook早在2007年就能根據用戶社交關系測算用戶性傾向；去年紐約大學研究員也發現，靠點贊也能測算出用戶性傾向。“也就是說，你根本沒上傳過信息，靠大數據挖掘，也都可以被挖出來”。

對用戶而言，最重要的數據是什么？“可能你覺得是密碼，因為這是打開其他數據大門的鑰匙。

可當你還在為自己的密碼規則沾沾自喜時，你的郵箱、iCloud、銀行卡等密碼可能早已泄漏，當黑客攻擊你時、詐騙集團忽悠你時、廣告主騷擾你時，他們根本不關心你是誰，在他們眼里，你只是一行數據。”在楊更看來，以上種種，是日益增長的個人隱私保護需求和不平衡、不充分的個人隱私保護能力之間的矛盾。“普通網民與擁有大數據能力的攻擊者完全不是一個對等的存在，這是互聯網世界的‘降維打擊’，也是隱私泄露時代的‘黑暗森林’。”作為網絡安全工程師，楊更自己一直嚴格管理個人密碼管理器，所有攝像頭全部用黑塑料遮擋，用時才打開，但顯然對于多數人來說，很難做到。“要想改變隱私保護的現狀，光靠技術手段遠遠不夠。

需要法律圈、媒體圈、技術圈、投資圈，特別是用戶圈，形成一股對隱私高度重視的力量。”楊更認為，如果有更多用戶注重隱私保護，就會有勇敢的投資者進入這個賽道，從而吸引更多創業者，打造出隱私保護行業的良性生態。

隱私細則不是越長越好，用戶體驗與數據合規已不再是“二選一”在過去的2018年，用戶隱私政策法規相較前一年嚴格了不少，這次南方都市報個人信息保護研究中心測評顯示，被測App的隱私政策透明度大幅躍升，還有不少App開始嘗試視頻、圖文、表格、摘要等創新性的隱私設計，騰訊和百度還上線了隱私保護平臺，詳解旗下多款熱門產品的隱私設計。

其實，對于很多互聯網企業而言，移動應用的隱私政策多是從0到1，尤其在隱私政策剛開始出現時，多是簡短的一段話且內容含糊。

讓知乎法務部門一帆記憶猶新的是，2018年4月知乎隱私政策修改時，曾一度引爆輿論、差評如潮；8月底接到知乎進入隱私政策評審名單的通知，需要在10月底前完成修改。“當時首先考慮的是產品特性，沒考慮不同平臺對數據信息的使用、管理、收集的特性。”在門一帆等人看來，知乎首先是內容平臺，并不需要那么多用戶信息，也沒有收集那么多信息。

最后，他們設計了兩個彈窗，先做隱私保護指引概要，讓用戶選擇同意或不同意；當用戶勾選不同意時，再給用戶第二次選擇權，如還需要用知乎，就進入僅瀏覽模式。

事實上，10月底上線的這個版本，是門一帆等修改的第20次稿。

這里面到底寫了哪些內容？“第一版不到6000字，第二版16000字，還不包括Cookie指引和對難懂政策的解釋。”門一帆解釋說，一是個人信息保護的要求提高了，產品需要給用戶更多權利，也需要把權利說明白；二是產品功能變復雜了，小產品、小功能會有上百個，且之間還會相互交叉、信息共用。“實際上16000字還沒寫完，但已經不能再寫了，不要說用戶看了會很痛苦，我們自己看都很痛苦。”在她看來，應用的隱私政策越來越長的趨勢是不對的，需要思考，是否可以通過其他方式改進。

用戶體驗和數據合規是不是必須“二選一”，魚和熊掌能不能兼得？如果放在一年前，門一帆可能會說“是”，但經過這一年數據合規的風暴后，她坦言：“數據合規已成為了用戶體驗的一部分，而且是至關重要的一部分。”讓她感受深刻地是，現在法務也要站在“前臺”，引領產品的合規，有權利、有機會與技術部門站在一線。“法務首先應當尊重技術、關注技術。

既要意識到技術的重要性，也要理解技術的局限性，法律可以用來指引技術，但是不能替代技術，也無法突破當下技術水平的限制。”在不少業界人士看來，個人信息泄露事件已經成了“高空拋物”，高樓扔下來東西后，怎么去追責？樓上每個居民都要證明那天不在家或窗戶封死了。“個人信息泄露如果是一個木桶的話，中間各個環節都要爭當長板，這樣個人信息才會更安全”。