来源:证券时报
你有没有想过:刚和朋友聊完理财、美妆、购房、贷款等日常话题。为什么会收到Tik Tok、腾讯新闻甚至一些视频网站推送的与聊天内容相关的广告?
人们从来没有像现在这样担心个人隐私。今年的“315晚会”曝光,由于管理缺失,智联招聘、无忧未来、猎网等大量简历。被泄露和转售,形成了一个黑色产业。此外,内存优化大师、超级清理大师、手机管家Pro,以清理内存为名,通过技术手段不断获取手机中的信息,包括应用列表、位置信息、通讯录等。
近日,证券时报记者以数千笔数据交易深入几个QQ群,发现各行各业用户的隐私数据被肆意出售,令人震惊。群内不时有人喊订单,“一手GM(股东)、WD(网贷)、BJ(医保)信息,一手来自拼多多、淘宝、JD.COM的网购数据,需要数据请联系我……”这些数据根据行业分类进行了清晰的标注。甚至还有收集个人信息的系统展示,声称可以收集国家大佬的个人联系方式。还有各种软件可以抓取数据,“抓取”网站,“嵌入”APP,“铲”数据。
在整个数据交易过程中,zxdbbt、黑客、爬虫软件开发者、清洁工、处理器、供应商、买家等。寄生在这里,催生了一个年产值上千亿的数据黑市。
应用程序权限申请泛滥
在网飞2020年制作的纪录片《监视资本主义:智能陷阱》中,生动地向人们展示了一个场景,社交软件背景下的“三个工作人员”正在紧张地分析眼前的年轻人,他在每张图片下停留了多久,什么样的情绪更能引起共鸣,什么样的广告会吸引他打开。这三个人中有一个叫停止目标,帮助你根据停留时间选择下一个推送内容,这样你就可以一直滑动屏幕;一个叫成长目标,让你邀请尽可能多的朋友加入,增加社交依赖;一个叫广告目标,保证你对某样东西感兴趣的时候,可以准确的给你发送一个订单链接。
这一切行为的背后都是所谓的算法模型,而精准算法的背后是依靠海量数据作为支撑将人数字化。
那么,数据从何而来?
获得许可是各种规模的企业通过应用程序或小程序收集用户隐私数据的第一步。tsdsn安装APP时,你手掌大小的手机屏幕上会显示上万字的用户协议。你会逐字读还是快速按“同意”键?“不同意”很可能会导致APP退出并变得无法使用。
APP wqdch越界是不争的事实。以美图秀秀为例,很难想象一个P-map软件竟然能获取到这么多关于一个人的信息,包括搜索记录、浏览记录,甚至日历和地理位置。仔细阅读美图秀秀的个人信息保护政策就会发现,如果美图秀秀的内容被分享给第三方平台,用户的应用列表信息也会被读取。美图秀秀还会向游戏伙伴提供ID号信息,甚至会与伙伴分享用户的支付信息。
该条款还规定,基于现代移动互联网产品的互联特性,产品可以在线连接美图关联公司或外部合作伙伴的其他产品或功能。比如美图在使用钱包功能时,可能会从第三方获取用户的手机号、信用额度、还款金额、贷款成功状态、逾期状态等。
这意味着,只要用户使用美图软件并授权,美图秀秀不仅可以从自己的APP获取用户信息,还可以进一步从第三方平台获取更详细、更具体的信息。
“这种行为其实很常见。国内用户可能没有很强的保护个人信息意识,这给了企业很大的选择空间,业内称之为“占坑”。有些数据现在不需要,但不代表将来不需要。当然,获得用户授权后捕获的用户信息越多越好。”fin大数据风险控制架构师的羞涩之车
证券时报记者从衣、食、住、行、社交、娱乐、理财等方面对25款app相关权限的访问进行了统计,发现与用户社交圈密切相关的通讯录权限已经成为app权限的标准。此外,这些应用还可以通过一些特定的功能读取邮寄地址、手机存储、照片,甚至可以记录面部识别、日历和通话记录,移动应用的权限申请已经达到了泛滥。
APP过度申请许可收集的数据正在加强,有点可喜。
3月22日,国家网信办、工业和信息化部、公安部、国家市场监管总局联合发布《常见类型移动互联网应用程序必要个人信息范围规定》号文件,明确了地图导航、即时通讯、网购等39类常见必备个人信息的范围,要求运营商不得因用户不同意提供不必要的个人信息而拒绝用户使用APP的基本功能服务。
然而,害羞的车告诉记者,“也许大家都知道APP在收集个人隐私数据,但除此之外,用户的数据也可能被隐藏在APP中的第三方SDK(软件开发工具包)收集。”
SDK收集的用户信息可以有多详细?北京网贷协会数据安全专家孤独白猫表示,“SDK一旦嵌入,如果你注册登录这个APP并默认授权,所有行为数据都可以被记录下来,它会不自觉地抓取手机通讯录、聊天记录、银行账户密码、短信、通讯录、位置信息等。”
因此,用户授权APP收集个人信息,但往往不知道自己的个人信息何时、如何与第三方SDK共享。在APP隐私政策内容中关于共享的众多表述中,最常见的表述是“用户的个人信息可能被第三方共享”。然而,很少有应用程序会详细列出所谓的“第三方”在他们的隐私政策中实际包含的内容。
对个人信息安全的担忧反映了用户日益敏感的神经,也是用户对个人数据缺乏知情权和主动性的表现。对于用户来说,SDK就像一颗隐藏的“定时炸弹”,危险不言而喻。
SDK提供商对用户信息的泄露和滥用非常隐蔽,甚至成为泄露用户隐私的来源之一。
谁窃取了用户隐私?
数字腾科技的一位销售经理告诉记者,他们
有自己特殊渠道去拿取一些数据,其中最为主要的渠道就是通过第三方SDK获取数据。“这个渠道拿到的数据会更精确,类似漏斗模式,会把数据按照需求进行筛选。比如说网贷行业的用户数据,用户登录XX普惠,使用此款APP就要授权,一旦授权SDK就会收集这个用户的所有登录痕迹。其他消费金融公司如果也使用了这家SDK软件开发包,同样也能共享。”
记者进一步追问具体是跟哪家SDK友商合作时,该经理以“敏感信息”为由拒绝透露。
无法忽视的是,用户个人信息通过网络倒卖非常猖獗。近期记者潜入多个千人QQ群,发现群里不时有人喊单出售来自各行各业的公民个人信息。
记者以买家身份接触了一位QQ名为“空城”的卖家,并提出先测试数据真实性为由,要求对方提供股民个人信息数据。
为证明自己的数据来源,“空城”给记者提供了一张数据来源截图,收集的股民个人信息来自各大证券公司APP,广发证券、中投证券、国泰君安等都中招。
正如“空城”所说,QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗号公开倒卖数据。“zxdbbt”监守自盗是个人信息流入黑产的重要渠道之一。可以接触到大量个人信息的职业,并非高门槛,岗位职级也不需要太高,泄露源可能来自各层级。
2020年,公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为,各行业内部都有涉案人员,查获重点行业内部涉案人员500余名,而这不过是冰山一角。
除了“zxdbbt”泄密,还有通过各种技术手段窃取公民隐私。
在调查采访过程中,黑市数据交易市场非常活跃且采集数据软件五花八门,其中一款名为汇容客的APP,号称“全网最全大数据获客软件”。其销售经理向记者称,“我们这款软件是全自动采集,只要搜索关键词,就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体,不仅是获客功能,我们还能提供营销素材,带货视频等,每档功能都会对应不同价格。”
当记者问及跟哪三大地图合作时,该销售经理称主要是腾讯地图、高德地图以及百度地图,并且是经过授权使用他们的数据接口,并向记者发来跟三大地图运营商盖章的合同协议。
就此记者向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据,对方均一致表示不清楚这家公司,也不会将API(数据接口)随意授权。腾讯内部相关人士向记者称,这个章是假的,字体不一样。
为力证此款软件的数据爬取能力,上述销售经理称可以帮忙后台注册后先测试。随后记者下载了此款APP,发现这款软件可以按照地理位置、行业、客户类型等进行搜索,然后导出相应的用户数据,并且一键添加微信。
“因为只是体验所以你不会看到客户手机号,这也是我们公司为了维护其他会员权益。我们会跟一些第三方SDK合作,也会跟一些大的互联网公司进行API数据接口对接,我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系,资源高度整合。”该销售经理称。
记者发现汇容客软件上显示数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么、京东互联网巨头。
针对软件所提及的数据来源,证券时报记者向腾讯、阿里、美团、京东等都一一核实,多数均表示并没有将API数据接口跟名为汇容客的第三方共享,仅快手表示不回应。阿里公关进一步称,集团不可能允许该公司通过API接口爬取调用蚂蚁用户信息,目前已经在深入调查此事。
“能从这些网站爬取到用户数据肯定是用了相关一些技术,其实爬虫技术并不神秘,‘爬’上网页,‘铲’下数据,然后再进行加工清洗。这类软件众多,大部分是在全网进行无差别爬取客户资料,后面通过加工进行精准分类。由此还延伸出职业清洗数据和标注的人。”专门编写爬虫代码的sxdrjb向记者透露。
除zxdbbt和通过技术手段之外,黑客是盗取大量个人信息的另一重要源头。从此前京东用户密码泄露事件到如家酒店的用户数据泄露,网站和黑客在用户数据上一直在进行着旷日持久的攻防战。
而黑客通过技术入侵网站盗取公民个人信息并不难,少则几天多则一个月,而且很少被管理员发现。在黑客圈子里,大家都有个默契,入侵网站获取权限和信息后,都会互相交换数据,互通有无,让盗取的公民个人信息库越来越大,掌握的个人信息也越全。
2020年全国公安机关在“净网2020”专项行动中,侦办黑客攻击及新技术犯罪案件1782起,共有2952名涉案黑客被抓获。事实上更多的黑客依然潜伏于地下。
个人信息通过zxdbbt、网络技术、黑客等渠道流入了数据黑市,并进入了大大小小的各层级代理“料商”手中。
个人信息明码标价
料商,即数据中间商,他们上通数据源头下达数据买家,是地下数据交易市场非常重要的一个角色。个人数据就是通过料商以不同价格在黑市流转。料商甚至还会发展自己的代理商,层级越高的料商数据源越多,数据信息更全。
前文提到的销售经理就是行业料商之一,他向记者表示,仅包含个人普通信息比如电话号码、微信、QQ号等,平均拿货成本价每条信息在4毛左右,卖出去的单条价格在7~8毛左右,每条个人信息约赚3~4毛左右。“我每个月销售数据流水大概在40万~50万元,金融、教育、医美等行业都做,这块需求量会比较大。”
记者在与多位料商接触采访过程中了解到,上述销售经理并非一级料商,一级料商的进货成本在0.15元/条左右,类似祝经理的二级料商进货成本为0.4元/条左右,三级料商进货成本0.7~0.8元/条,对终端售卖均价在1.2~1.5元/条。
上述不过是数据黑市交易中普通隐私数据价格。在数据黑市中,还有料商专门从事“渗透数据”交易,所谓的“渗透数据”就是所有信息都能够被抓取,除了电话号码、微信等基本信息以外,还包含用户的身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。
有料商甚至在QQ群里直接将“渗透数据”明码标价,查询个人简易信息15元/条,包含姓名、性别、手机号;中级信息50元/条,除了简易信息外,还包含户籍地址、身份证号、照片;高级信息100元/条,在中级信息基础上还包含现住地址、开房记录、车辆信息;VIP客户600元/条。
“正常行情价仅通话记录,叫价在1500元左右,开房记录价格在2200~2500元左右,家庭成员信息在300元左右。”网名“风”的料商称。
据不完全统计,国内个人信息泄露数达55.3亿条左右。平均算下来,每个人就有4条相关的个人信息泄露,车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。
国内知名信息安全团队“雨袭团”去年10月发布报告称,在一年半的时间内,高达8.6亿条个人信息数据被明码标价售卖,个人数据基本处于裸奔状态。
灰色产业链庞大
“本人求购炒股理财信息,数量上不封顶,有料的找我!”一位买家在QQ群内发布了这样一则消息,很快就有多位料商通过私聊向其推荐手上的数据资源。
在经过沟通和比价之后,上述买家告诉记者,他已经从一位料商手中拿到了1万条理财的个人信息,包含了姓名、电话号码和微信,价格为1元/条。记者进一步追问拿到这些数据主要用途,该买家表示,仅仅是为了推销理财产品。
综合多方采访,购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息,以及从事网贷催收的人。其中房地产、理财公司、保险公司、母婴以及保健品行业、教育培训机构是对个人信息趋之若鹜的核心群体。
被盗取的个人信息也不乏用于诈骗。比如保健品用户信息主要针对老年人,专门用来诈骗。
记者在与买家接触中发现,他们大部分人都知道买卖数据交易属于黑产,但依然作此举动,一个重要原因在于通过正规渠道打广告,比如百度竞价排名,获客成本在60~80元/左右,而通过地下黑市买用户数据,成本能大幅缩减。
从信息收集到信息售卖再到信息利用,每一个交易环节环环相扣,而由此产生的“灰色产业链”让人难以估量。据猎聘网报告,目前中国网络黑产从业者已经超过40万人,依托其进行网络诈骗行业人数至少有160万人,“年产值”在1000亿元以上。
数据合规交易痛点
海量的个人信息地下市场规模多大,目前没有准确数字统计。但从公安机关的专项打击行动中,可窥一斑。
2020年全国公安机关深入推进“净网2020”专项行动,全年共侦办网络犯罪案件5.6万起,抓获犯罪嫌疑人8万余名。其中,侦办侵犯公民个人信息类案件6524起,抓获犯罪嫌疑人1.3万名。
但很显然,这并非黑市全貌。贵阳大数据交易所业务经理神勇的咖啡向记者表示,“目前通过正规渠道进行数据交易的不多,更多的数据可能还是在黑市交易。”
贵阳大数据交易所是国内首家大数据交易所,2015年4月正式挂牌运营,喊出了未来3~5年每天交易量达到100多亿元的口号。如今,交易所成立已经6年,神勇的咖啡向记者透露,目前交易所日成交量远远没有达到当时定下的目标。
大数据服务商聚立信CEO拉长的舞蹈以及神勇的咖啡都同时提到,数据交易过程中产生的数据确权、数据回溯,交易过程中的安全性、合法性、隐私性保障等问题,迄今为止还没有得到很好的解决。尤其是数据确权,例如数据的采集、加工、采用、交易等环节可能有多个参与方,什么情况下什么类型的参与方可以获得数据的权利,在实践中尚未达成一致共识。
目前可见的红线是来源是否合法,以及交易数据是否脱敏(涉及敏感信息进行去个人化,隐私化处理)。但问题在于,在数据的流转过程中,其中掺杂非法来源以及未脱敏数据实际上很难被发现。
另外,数据的开放程度还远远不够,导致市面上合法流通的数据品类和数量有限,玩家们难以施展拳脚。
像腾讯、阿里这样的互联网巨头,在拥有海量数据的同时本身还能实现大数据云计算闭环,它们更希望是打包成数据产品和服务卖出,比单纯买卖数据更值钱,也更能避免法律风险。这些玩家共享数据的意愿不强,这从腾讯、阿里与贵阳大数据交易所自合同到期再无续约就可窥见。
但从技术角度来讲,目前已经有一种技术可以实现B2B之间的数据合规化交易。大数据服务商星云Clustar CTO诚心的招牌向记者表示,目前公司已经采用了一套“联邦学习”算法。简单理解,就是基于双方现有的数据去共同建立一个坐标体系,这个坐标体系就是所谓的建模,建模完成后,就能较为精准地判断客户处于坐标体系安全的点还是危险的点。但是在建模过程中,双方并不知道彼此的用户资料,不用担心用户隐私被复制泄露。
根据诚心的招牌介绍,上述联邦学习算法目前只是解决了B2B之间的数据合规化交易,且主要还是用于银行金融机构之间的数据交易,且成本较高,并没有被大规模应用。
大成律师事务所律师冷傲的小刺猬告诉记者,个人信息的合规使用目前在中国较大程度依赖于公司的自我约束,各大运营商对于用户隐私是否尽到了保护责任,如何在公众隐私保护和商业模式中寻找一个平衡点,在保护个人权益的前提下规范、安全、有序地利用个人数据,释放大数据的红利值得深究。
【纠错】【责任编辑:sxdhlb 】