"聽說您最近買房了,需要裝修嗎?"
"聽說你今年剛高考完,我們學校會發放貧困生助學金……"
"我們公司最近又推出了一款新的保險,很適合您…….
"您好,我們這裡可以提供代開發票服務…….
"親,奢侈品加微信……"
這些場景我們是否很熟悉?在生活中這樣的推銷電話或者短信,陌生人不僅知道你手機號碼,甚至還知道你姓名和住址等信息。這些短信天天有,推銷電話響不停。不知道從哪天起,或許是因為在某網站上註冊了信息,或許網購了一包零食,亦或許只是轉載了朋友圈的一篇文章,這些騷擾便肆無忌憚地朝你湧來。你的這些煩惱都是因個人信息洩露、被盜或者被賣掉惹的禍
2016年8月19日,山東臨沂18歲準大學生徐玉玉因個人信息洩露遭遇電信詐騙,將生命永遠定格在18歲,引起了社會的廣泛關注。
2017年3月27日,某網站遭遇大規模用戶簡歷信息被盜取,緊接著某電商被曝出12G數據外洩,其中包括用戶的用戶名、密碼、郵箱、電話號碼等多維度信息;繼續追溯,滴滴05事件、殭屍網絡,甚至於更早的木馬、蠕蟲、熊貓燒香病毒,信息安全事件和互聯網的發展一樣迅猛,一波未平一波又起。在我們的生活全方位"觸網"、個人信息安全難以保障時,圍繞個人信息數據形成的黑色產業鏈"悄無聲息"地運營著。
中國互聯網協會公佈的《中國網民權益保護調查報告》顯示,54%的網民認為個人信息洩露嚴重,其中21%的網民認為非常嚴重。84%的網民親身感受到了由於個人信息洩露帶來的不良影響。據統計,自2015年下半年至2016年上半年的一年時間裡,個人信息洩露造成的總體經濟損失達915億元。
在鉅額損失背後,隱藏極深卻又龐大的是黑色產業鏈:數據黑色產業。目前市場上有很多所謂的大數據公司,多多少少都會用來源於黑市的數據,這些數據很多涉及公民個人信息。在販賣的數據中,有些數據是合法的,有些數據是違法的。線上消費的、網銀的、POS機的、信用卡的、運營商的,甚至是工商的數據都有人賣。
數據黑色產業隱藏得非常深,其發展歷史越久,地下產業鏈也會隨之成熟,對於如何把數據變成貨幣,已有非常完整的程序分工與協作渠道。數據黑色產業的產業鏈模式相對簡單,包括盜取數據、清洗數據賣掉變現、利用這些數據信息自用(建立黑數據庫、登錄網站直接竊取財產、發展下游等)三部分,業內術語稱為脫庫、洗庫、撞庫。
國內知名信息安全團隊"雨襲團"發佈報告稱,在一年半的時間內,高達8.6億條個人信息數據被明碼標價售賣,個人數據基本處於裸奔狀態。
央視曾經報道揭露販賣個人數據信息"亂象",僅用手機號就可查一個人所有私密信息。節目播出後北京警方立案並展開偵察。但記者發現多個QQ群裡"信息交易"仍火爆,向開發公司舉報後,QQ群並未被關閉或解散,管理員甚至公告:任何非法活動與本群無關。
據央視網消息:剛剛買了房,裝修公司的電話就打過來了;剛剛買了車,保險公司的電話就打過來了。屬於隱私的個人信息被洩露,讓人煩心,更讓人憂心。記者發現販賣個人信息的黑市在網絡上十分活躍,一些信息販子甚至公然叫賣,只要提供一個人的手機號碼,就能查到他最為私密的個人信息,而且範圍覆蓋全國,果真如此嗎?
曾有記者登錄了一個專門販賣個人信息的QQ群,裡面的群員多達1946名,而且非常活躍,瀏覽這個QQ群裡的留言可以發現,各類公民個人信息被公開叫賣,種類之多更是讓人驚訝。有人聲稱可以查到身份戶籍、婚姻關聯、名下資產、手機通話記錄等;還可以查到手機通訊錄,滴滴打車記錄,名下支付寶賬號,全國開房記錄,淘寶、順豐送貨地址等信息,個人信息在這裡被稱為數據或軌跡。
查詢個人名下車輛,各檔都是二三十塊錢,不超過百元;查詢個人身份信息要價是兩百餘元,包括照片、身份證號碼、戶籍所在住址、民族、所屬派出所等;查詢個人網購送貨地址等"網購"信息,對方要價130元;查詢個人打車記錄信息,要價是55元。手機通話記錄,是網上信息黑市裡的熱賣品,發現幾乎所有的信息販子都聲稱可以拿到手機通話記錄。通話記錄的價格也是最高的,一般為1500~2000元,而且必須提前付款。實時位置信息成為"賣品",只需要手機號,並且聲稱誤差在50米以內,每次定位的價格在750元到1100元之間。只提供一個手機號碼,就能買到一個人的身份信息、通話記錄、位置信息等多項隱私,洩露的是個人信息,留下的是各種隱患。
龐大的個人信息數據流向了哪裡?
綜合多方信息,購買個人信息最多的是那些需要推銷廣告、出售假冒發票和發佈垃圾信息的人。其中,房地產中介、理財公司、保險公司、母嬰及保健品企業、教育培訓機構等日漸興盛的產品推銷和服務企業,是對個人信息趨之若鶩的核心群體。
個人信息流向的另一個終端則是詐騙團伙。當他們通過各種途徑獲取大量個人信息後,盜竊、電信詐騙、綁架、敲詐勒索等刑事犯罪也隨之而來,比如"徐玉玉案"。
其實個人數據信息最大的買家是各大商業公司。根據中國信息通信研究院對國內800多家企業的結果來看,企業內部數據仍是大數據主要來源,但對外部數據的需求日益強烈。當前有32%的企業通過外部購買來獲得數據。現在"交易"是個敏感詞,如果嚴格按照新出臺的《網絡安全法》的定義,
"過往的數據交易沒有純白色的"。各數據公司紛紛強調,自己是做分析整合數據的;而且數據都來自客戶,且拿客戶數據時,都得到了用戶的授權。"授權"二字是區別是否合法的關鍵。但很多時候,授權合法而不合理,處於灰色地帶。
在智能手機不離手的時代,手機和APP,讓每個人產生的數據大量增加了。當你在安裝一款APP的幾分鐘空檔裡,幾萬字用戶協議,隱蔽地在你5.5英寸的手機屏幕上開了個小窗口,你會逐字看,還是快速地按下"同意"?而"不同意"意味著沒有APP會為你提供服務。目前被查處的大多隻是存在"明偷明搶"行為的一些公司,而公民個人隱私數據洩露的主要源頭在於"暗盜暗竊",尤其是一些安卓手機裡的APP,越界抓取一些和自身提供給用戶的服務功能無關的用戶數據。
開源的安卓系統,有五花八門的開發者版本,很多手機廠商並不具備及時升級填補系統漏洞的能力,這給惡意軟件極大的生存空間。比如安卓系統漏洞的修復,往往可能拖延一兩年時間,甚至直到使用這個操作系統版本的硬件被市場淘汰,漏洞才會消失。如果惡意軟件獲得了安卓最底層的Root權限,一臺手機中的數據就都不是秘密。
在惡意軟件之外,APP對用戶的數據採集能力,往往是用戶的盲區。安裝APP時"同意"的用戶協議,以及使用過程中APP申請開放的種種權限背後,用戶交付了超乎想象的權利。你手機中的用戶隱私權限,可以劃分為Root權限、讀取聯繫人、獲取手機號、讀取短信記錄、讀取通話記錄、獲取用戶位置信息、使用話筒錄音、打開攝像頭等12項之多。
獲取這些功能權限能做什麼?
舉個例子,開啟了讀取通訊錄權限的APP,可以獲得用戶手機裡所有聯繫人的數據。如果一款APP有上百萬級別的用戶量,那麼能觸及的聯繫人名單,就有上千萬體量。這些數據如果流入黑市,重要聯繫人的關係鏈,往往被詐騙分子所利用。至於APP是否會把權限用於提供服務功能之外,侵犯你的隱私,只取決於它是否"選擇"作惡。相應地,一旦點了使用協議的"我同意"按鈕,用戶就沒有什麼選擇餘地。更令人擔憂的,是要求用戶授權自身服務不需要的功能權限,即越界採集數據。
據DCCI的報告稱,2016年,13%的非遊戲類APP越界獲取位置信息權限;這一現象在教育類APP中格外突出,為26%;9.1%的非遊戲類APP越位獲取訪問聯繫人權限;甚至有2%的直播APP,越位獲取通常手機廠商才有的最底層Root權限。
這種行為在開發者中十分普遍,行業稱其為"佔坑"。有的功能是目前不需要的,申請下來是為了未來的某個版本可能會涉及而備用。但更多時候壓根就不需要這個功能,他們就是想要一些額外的東西。
這些額外的數據不愁沒有用武之地,而是大有用處
獲取到的個人信息大致有三類用途:
第一類APP對用戶進行精準營銷,優化網絡廣告。
拿到數據的APP廠商會對每個用戶的數據長期跟蹤、持續抓取,甚至出於多多益善的心態,無論是否與自己的服務有關,全抓過來;
第二類APP會跟第三方廣告網絡、遊戲推廣和電商營銷平臺合作,通過輸出甚至交換、買賣數據賺錢;
第三類APP會接受營銷公司、大數據分析公司在自己的應用中潛入SDK,長期採集數據。但用戶往往不知道自己的數據已經流向了第三方公司。
長久以來,APP的數據獵取生態鏈,以"合法但不合理"的狀態存在著。大量APP用戶協議以霸王條款"自說自話",迴避數據的採集情況和具體用途,而用戶一方處於"不知情"的弱勢地位。這種協議都是不對等的,有些公司的協議裡面,寫明要收集哪些信息,怎麼使用,看完之後會嚇一跳。國外的隱私侵權一般都是集體訴訟,代價高昂,在美國、歐洲甚至東南亞部分地區,對隱私數據侵犯的處罰力度遠高於中國。
2018年年初,美圖秀秀因為一組特朗普的磨皮照片在美國市場迅速躥紅,24小時內衝刺到APP Store總榜第55名的位置。但隨即,美圖秀秀在輿論上遭遇低谷:大批美國安全專家指出,美圖在獲取能滿足拍攝、編輯、存儲的訪問相機權限後,還試圖獲取用戶的通信記錄、Wifi信息、運營商信息,以及手機唯一的IMSI碼,這意味著美圖將獲知用戶在手機端瀏覽網頁及使用其他APP的信息。業內人士聲稱,《網絡安全法》落地前後,大量互聯網公司的法務部門在加緊重新修訂用戶協議。
《網絡安全法》要求"網絡運營者不得收集與其提供的服務無關的個人信息"。第四十一條要求網絡運營者"公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意"。但"明示"二字,並不那麼容易做到。某大型互聯網公司2017年8月新修訂的用戶協議中寫道:"僅為實現本隱私權政策中聲明的目的,我們的某些服務將由我們和授權合作伙伴共同提供。我們可能會與合作伙伴共享您的某些個人信息,以提供更好的客戶服務和用戶體驗。"這顯然是一段非常模糊的表述。
"現在公司都在儘可能讓用戶同意各種採集數據的情形,包括允許收集數據提供給業務關聯方、第三方合作者。模糊的表述涵蓋範圍越廣,它的法律風險就越小。"華東政法大學高教授表示,這種做法在國內目前看似管用,"但在國外,這種泛泛的聲稱可以提供給第三方的說法,早就無效了。"
