信息來源:Cnbeta

你是不是有過這樣的疑惑：剛跟朋友聊完理財、美妝、買房、貸款等日常話題，怎么就收到包括抖音、騰訊新聞甚至一些視頻網(wǎng)站推送的與聊天內(nèi)容相關(guān)的廣告？對于個人隱私，人們從未如當(dāng)下這般焦慮。今年的“3·15晚會”曝光了智聯(lián)招聘、前程無憂、獵聘網(wǎng)等由于缺乏管理，大量個人簡歷泄露，被倒賣形成黑色產(chǎn)業(yè)。

此外，內(nèi)存優(yōu)化大師、超強(qiáng)清理大師、手機(jī)管家Pro打著清理內(nèi)存的名義，卻通過技術(shù)手段不斷獲取手機(jī)中的信息，包括應(yīng)用列表、定位信息、通訊錄等。

近期，證券時報記者深入多個數(shù)據(jù)交易千人QQ群發(fā)現(xiàn)，各行各業(yè)的用戶隱私數(shù)據(jù)被肆意販賣，觸目驚心。不時有人在群里喊單，“出一手GM（股民）、WD（網(wǎng)貸）、BJ（保健）信息，拼多多、淘寶、京東一手網(wǎng)購數(shù)據(jù)，需要數(shù)據(jù)的聯(lián)系我……”這些數(shù)據(jù)按照行業(yè)劃分被明碼標(biāo)價。甚至還有采集個人信息的系統(tǒng)展示，號稱可以采集全國老板的私人聯(lián)系方式。還有五花八門爬取數(shù)據(jù)的軟件，“爬”上網(wǎng)站，“嵌”入App，“鏟”下數(shù)據(jù)。

整個數(shù)據(jù)交易過程中，內(nèi)鬼、黑客、爬蟲軟件開發(fā)商、清洗者、加工者、料商、買家等寄生于此，催生出一個“年產(chǎn)值”上千億的數(shù)據(jù)黑市。

App權(quán)限申請泛濫

2020年網(wǎng)飛出品的紀(jì)錄片《監(jiān)視資本主義：智能陷阱》中，形象地向人們展示了這樣一幅場景：社交軟件后臺“三名工作人員”正在緊張地分析眼前這個年輕人，他在每張圖片下停留多長時間，什么樣的情感更能讓人產(chǎn)生共鳴，什么樣的廣告會吸引他點(diǎn)開。這三個人一個叫停留目標(biāo)，根據(jù)停留的時間幫你選擇下一個推送內(nèi)容，讓你一直滑動屏幕；一個叫增長目標(biāo)，讓你盡可能多地邀請你的朋友加入增加社交依賴；一個叫廣告目標(biāo)，確保你在對某物感興趣時精準(zhǔn)為你送上一條下單鏈接。

這一切行為的背后就是所謂的算法模型，精準(zhǔn)算法的背后正是依托海量數(shù)據(jù)作為支撐，將人數(shù)據(jù)化。

那么，這些數(shù)據(jù)從何而來？

獲取權(quán)限，是大小商家通過App或者小程序收集用戶隱私數(shù)據(jù)的第一步。當(dāng)你在安裝一款A(yù)pp時，上萬字的用戶協(xié)議，呈現(xiàn)在你巴掌大的手機(jī)屏幕上，你會逐字看還是快速按下“同意”？“不同意”很可能導(dǎo)致App退出無法使用。

App越界索權(quán)的現(xiàn)象已是不爭的事實(shí)。以美圖秀秀為例，實(shí)難想象，一款P圖軟件要獲取一個人這么多信息，包括搜索記錄、瀏覽記錄，甚至是日歷、地理位置。仔細(xì)閱讀美圖秀秀個人信息保護(hù)政策發(fā)現(xiàn)，若將美圖秀秀內(nèi)容分享至第三方平臺時，還會讀取用戶的應(yīng)用列表信息。美圖秀秀還會向游戲合作伙伴提供身份證號信息，甚至還會向合作伙伴共享用戶的付款信息。

條款中還聲明，基于現(xiàn)代移動互聯(lián)網(wǎng)產(chǎn)品互聯(lián)互通的特性，產(chǎn)品可能接入美圖關(guān)聯(lián)公司或外部合作伙伴上線的其他產(chǎn)品或功能，比如在使用錢包功能時，美圖可能從第三方獲取用戶的手機(jī)號、授信額度、還款金額、放款成功狀態(tài)、逾期狀態(tài)等。

這意味著，只要用戶使用美圖軟件并授權(quán)，美圖秀秀不僅可從自家App上獲取用戶信息，還會從第三方平臺上進(jìn)一步獲取用戶更為詳細(xì)具體的信息。

“這種行為其實(shí)十分普遍，國內(nèi)用戶可能對個人信息的保護(hù)意識并沒有很強(qiáng)烈，這給了企業(yè)很大的選擇度，行業(yè)稱之為‘占坑’。有些數(shù)據(jù)現(xiàn)在不需要，但并不代表以后不需要，在獲取用戶授權(quán)后抓取到的用戶信息當(dāng)然越多越好?！蹦辰鹑诳萍脊敬髷?shù)據(jù)風(fēng)控架構(gòu)師肖強(qiáng)稱。

證券時報記者從衣、食、住、行、社交、娛樂、理財?shù)确矫鎸?5款A(yù)pp相關(guān)權(quán)限獲取進(jìn)行統(tǒng)計，發(fā)現(xiàn)和用戶社交圈緊密相關(guān)的通訊錄權(quán)限已經(jīng)成為App權(quán)限標(biāo)配。除此之外，這些App還會通過一些特定功能讀取通訊地址、手機(jī)存儲、照片、甚至記錄面部識別、日歷還有通話記錄，手機(jī)App權(quán)限申請已經(jīng)到了泛濫成災(zāi)的地步。

稍微值得欣慰的是，App過度申請權(quán)限收集數(shù)據(jù)正在被加強(qiáng)監(jiān)管。

3月22日，國家網(wǎng)信辦、工信部、公安部、國家市場監(jiān)督管理總局聯(lián)合印發(fā)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，明確了地圖導(dǎo)航、即時通信、網(wǎng)絡(luò)購物等39類常見必要個人信息范圍，要求運(yùn)營商不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務(wù)。

不過，肖強(qiáng)向記者表示，“可能大家都知道App在收集個人隱私數(shù)據(jù)，但除此之外，用戶的數(shù)據(jù)還可能同時被隱藏在App里的第三方SDK（軟件開發(fā)工具包）收集?！?

SDK收集的用戶信息可以詳細(xì)到什么程度？北京網(wǎng)貸協(xié)會數(shù)據(jù)安全專家韓洪慧表示，“SDK一旦嵌入，如果你注冊登錄了這個App，并默認(rèn)授權(quán)，所有的行為數(shù)據(jù)都能記錄，它會在不知不覺中爬取手機(jī)通訊錄、聊天記錄、銀行賬號的密碼口令、短信、通訊錄、位置信息等?！?

因此，用戶授權(quán)App采集個人信息，但往往并不知道自己的個人信息在何時、以何種方式被共享給了第三方SDK。很多App“隱私政策”的內(nèi)容關(guān)于共享的相關(guān)表述中，最常見的是“可能會將用戶的個人信息分享給第三方”。但是，幾乎沒有App會在隱私政策中詳細(xì)列舉所謂的“第三方”究竟包括哪些。

對于個人信息安全的憂慮，折射出的是用戶日益敏感的神經(jīng)，更是用戶缺乏對個人數(shù)據(jù)的知情權(quán)和主動權(quán)的表現(xiàn)。SDK對于用戶來說，猶如一顆隱藏的“定時炸彈”，危險性不言而喻。

SDK提供商泄露和濫用用戶信息非常隱蔽，甚至成為了泄露用戶隱私的源頭之一。

誰竊取了用戶隱私？

數(shù)騰科技一位銷售經(jīng)理向記者表示，他們有自己特殊渠道去拿取一些數(shù)據(jù)，其中最為主要的渠道就是通過第三方SDK獲取數(shù)據(jù)。

“這個渠道拿到的數(shù)據(jù)會更精確，類似漏斗模式，會把數(shù)據(jù)按照需求進(jìn)行篩選。比如說網(wǎng)貸行業(yè)的用戶數(shù)據(jù)，用戶登錄XX普惠，使用此款A(yù)pp就要授權(quán)，一旦授權(quán)SDK就會收集這個用戶的所有登錄痕跡。其他消費(fèi)金融公司如果也使用了這家SDK軟件開發(fā)包，同樣也能共享?！?

記者進(jìn)一步追問具體是跟哪家SDK友商合作時，該經(jīng)理以“敏感信息”為由拒絕透露。

無法忽視的是，用戶個人信息通過網(wǎng)絡(luò)倒賣非常猖獗。近期記者潛入多個千人QQ群，發(fā)現(xiàn)群里不時有人喊單出售來自各行各業(yè)的公民個人信息。

記者以買家身份接觸了一位QQ名為“空城”的賣家，并提出先測試數(shù)據(jù)真實(shí)性為由，要求對方提供股民個人信息數(shù)據(jù)。

為證明自己的數(shù)據(jù)來源，“空城”給記者提供了一張數(shù)據(jù)來源截圖，收集的股民個人信息來自各大證券公司App，廣發(fā)證券、中投證券、國泰君安等都中招。

正如“空城”所說，QQ群里的確有部分人在賣數(shù)據(jù)的時候打著“公司內(nèi)部信息”旗號公開倒賣數(shù)據(jù)?！皟?nèi)鬼”監(jiān)守自盜是個人信息流入黑產(chǎn)的重要渠道之一。可以接觸到大量個人信息的職業(yè)，并非高門檻，崗位職級也不需要太高，泄露源可能來自各層級。

2020年，公安機(jī)關(guān)打擊利用工作之便竊取、泄露公民個人信息的違法犯罪行為，各行業(yè)內(nèi)部都有涉案人員，查獲重點(diǎn)行業(yè)內(nèi)部涉案人員500余名，而這不過是冰山一角。

除了“內(nèi)鬼”泄密，還有通過各種技術(shù)手段竊取公民隱私。

在調(diào)查采訪過程中，黑市數(shù)據(jù)交易市場非常活躍且采集數(shù)據(jù)軟件五花八門，其中一款名為匯容客的App，號稱“全網(wǎng)最全大數(shù)據(jù)獲客軟件”。其銷售經(jīng)理向記者稱，“我們這款軟件是全自動采集，只要搜索關(guān)鍵詞，就能在各大網(wǎng)站、三大地圖、三大運(yùn)營商搜索出你想要的客戶資源和群體，不僅是獲客功能，我們還能提供營銷素材，帶貨視頻等，每檔功能都會對應(yīng)不同價格?！?

當(dāng)記者問及跟哪三大地圖合作時，該銷售經(jīng)理稱主要是騰訊地圖、高德地圖以及百度地圖，并且是經(jīng)過授權(quán)使用他們的數(shù)據(jù)接口，并向記者發(fā)來跟三大地圖運(yùn)營商蓋章的合同協(xié)議。

就此記者向百度、騰訊以及高德公司求證是否授權(quán)匯容客使用平臺用戶數(shù)據(jù)，對方均一致表示不清楚這家公司，也不會將API（數(shù)據(jù)接口）隨意授權(quán)。騰訊內(nèi)部相關(guān)人士向記者稱，這個章是假的，字體不一樣。

為力證此款軟件的數(shù)據(jù)爬取能力，上述銷售經(jīng)理稱可以幫忙后臺注冊后先測試。隨后記者下載了此款A(yù)pp，發(fā)現(xiàn)這款軟件可以按照地理位置、行業(yè)、客戶類型等進(jìn)行搜索，然后導(dǎo)出相應(yīng)的用戶數(shù)據(jù)，并且一鍵添加微信。

“因為只是體驗所以你不會看到客戶手機(jī)號，這也是我們公司為了維護(hù)其他會員權(quán)益。我們會跟一些第三方SDK合作，也會跟一些大的互聯(lián)網(wǎng)公司進(jìn)行API數(shù)據(jù)接口對接，我們跟騰訊、百度、華為、阿里、抖音、快手、美團(tuán)、餓了么都有戰(zhàn)略級合作關(guān)系，資源高度整合。”該銷售經(jīng)理稱。

記者發(fā)現(xiàn)匯容客軟件上顯示數(shù)據(jù)來源主要為地圖數(shù)據(jù)、工商數(shù)據(jù)、抖音、快手、阿里巴巴、美團(tuán)、餓了么、京東互聯(lián)網(wǎng)巨頭。

針對軟件所提及的數(shù)據(jù)來源，證券時報記者向騰訊、阿里、美團(tuán)、京東等都一一核實(shí)，多數(shù)均表示并沒有將API數(shù)據(jù)接口跟名為匯容客的第三方共享，僅快手表示不回應(yīng)。阿里公關(guān)進(jìn)一步稱，集團(tuán)不可能允許該公司通過API接口爬取調(diào)用螞蟻用戶信息，目前已經(jīng)在深入調(diào)查此事。

“能從這些網(wǎng)站爬取到用戶數(shù)據(jù)肯定是用了相關(guān)一些技術(shù)，其實(shí)爬蟲技術(shù)并不神秘，‘爬’上網(wǎng)頁，‘鏟’下數(shù)據(jù)，然后再進(jìn)行加工清洗。這類軟件眾多，大部分是在全網(wǎng)進(jìn)行無差別爬取客戶資料，后面通過加工進(jìn)行精準(zhǔn)分類。由此還延伸出職業(yè)清洗數(shù)據(jù)和標(biāo)注的人?！睂ｉT編寫爬蟲代碼的阿強(qiáng)向記者透露。

除內(nèi)鬼和通過技術(shù)手段之外，黑客是盜取大量個人信息的另一重要源頭。從此前京東用戶密碼泄露事件到如家酒店的用戶數(shù)據(jù)泄露，網(wǎng)站和黑客在用戶數(shù)據(jù)上一直在進(jìn)行著曠日持久的攻防戰(zhàn)。

而黑客通過技術(shù)入侵網(wǎng)站盜取公民個人信息并不難，少則幾天多則一個月，而且很少被管理員發(fā)現(xiàn)。在黑客圈子里，大家都有個默契，入侵網(wǎng)站獲取權(quán)限和信息后，都會互相交換數(shù)據(jù)，互通有無，讓盜取的公民個人信息庫越來越大，掌握的個人信息也越全。

2020年全國公安機(jī)關(guān)在“凈網(wǎng)2020”專項行動中，偵辦黑客攻擊及新技術(shù)犯罪案件1782起，共有2952名涉案黑客被抓獲。事實(shí)上更多的黑客依然潛伏于地下。

個人信息通過內(nèi)鬼、網(wǎng)絡(luò)技術(shù)、黑客等渠道流入了數(shù)據(jù)黑市，并進(jìn)入了大大小小的各層級代理“料商”手中。

個人信息明碼標(biāo)價

料商，即數(shù)據(jù)中間商，他們上通數(shù)據(jù)源頭下達(dá)數(shù)據(jù)買家，是地下數(shù)據(jù)交易市場非常重要的一個角色。個人數(shù)據(jù)就是通過料商以不同價格在黑市流轉(zhuǎn)。料商甚至還會發(fā)展自己的代理商，層級越高的料商數(shù)據(jù)源越多，數(shù)據(jù)信息更全。

前文提到的銷售經(jīng)理就是行業(yè)料商之一，他向記者表示，僅包含個人普通信息比如電話號碼、微信、QQ號等，平均拿貨成本價每條信息在4毛左右，賣出去的單條價格在7~8毛左右，每條個人信息約賺3~4毛左右?！拔颐總€月銷售數(shù)據(jù)流水大概在40萬~50萬元，金融、教育、醫(yī)美等行業(yè)都做，這塊需求量會比較大?！?

記者在與多位料商接觸采訪過程中了解到，上述銷售經(jīng)理并非一級料商，一級料商的進(jìn)貨成本在0.15元/條左右，類似祝經(jīng)理的二級料商進(jìn)貨成本為0.4元/條左右，三級料商進(jìn)貨成本0.7~0.8元/條，對終端售賣均價在1.2~1.5元/條。

上述不過是數(shù)據(jù)黑市交易中普通隱私數(shù)據(jù)價格。在數(shù)據(jù)黑市中，還有料商專門從事“滲透數(shù)據(jù)”交易，所謂的“滲透數(shù)據(jù)”就是所有信息都能夠被抓取，除了電話號碼、微信等基本信息以外，還包含用戶的身份證號、出行記錄、開房記錄、通話記錄、家庭成員、工作、婚姻狀態(tài)、戶籍所在地等。

有料商甚至在QQ群里直接將“滲透數(shù)據(jù)”明碼標(biāo)價，查詢個人簡易信息15元/條，包含姓名、性別、手機(jī)號；中級信息50元/條，除了簡易信息外，還包含戶籍地址、身份證號、照片；高級信息100元/條，在中級信息基礎(chǔ)上還包含現(xiàn)住地址、開房記錄、車輛信息；VIP客戶600元/條。

“正常行情價僅通話記錄，叫價在1500元左右，開房記錄價格在2200~2500元左右，家庭成員信息在300元左右。”網(wǎng)名“風(fēng)”的料商稱。

據(jù)不完全統(tǒng)計，國內(nèi)個人信息泄露數(shù)達(dá)55.3億條左右。平均算下來，每個人就有4條相關(guān)的個人信息泄露，車輛、房產(chǎn)、地址、職業(yè)、年齡、電話號碼、身份證信息等在黑市上頻繁流動。

國內(nèi)知名信息安全團(tuán)隊“雨襲團(tuán)”去年10月發(fā)布報告稱，在一年半的時間內(nèi)，高達(dá)8.6億條個人信息數(shù)據(jù)被明碼標(biāo)價售賣，個人數(shù)據(jù)基本處于裸奔狀態(tài)。

灰色產(chǎn)業(yè)鏈龐大

“本人求購炒股理財信息，數(shù)量上不封頂，有料的找我！”一位買家在QQ群內(nèi)發(fā)布了這樣一則消息，很快就有多位料商通過私聊向其推薦手上的數(shù)據(jù)資源。

在經(jīng)過溝通和比價之后，上述買家告訴記者，他已經(jīng)從一位料商手中拿到了1萬條理財?shù)膫€人信息，包含了姓名、電話號碼和微信，價格為1元/條。記者進(jìn)一步追問拿到這些數(shù)據(jù)主要用途，該買家表示，僅僅是為了推銷理財產(chǎn)品。

綜合多方采訪，購買個人信息最多的是那些需要推銷廣告、出售假冒發(fā)票和發(fā)布垃圾信息，以及從事網(wǎng)貸催收的人。其中房地產(chǎn)、理財公司、保險公司、母嬰以及保健品行業(yè)、教育培訓(xùn)機(jī)構(gòu)是對個人信息趨之若鶩的核心群體。

被盜取的個人信息也不乏用于詐騙。比如保健品用戶信息主要針對老年人，專門用來詐騙。

記者在與買家接觸中發(fā)現(xiàn)，他們大部分人都知道買賣數(shù)據(jù)交易屬于黑產(chǎn)，但依然作此舉動，一個重要原因在于通過正規(guī)渠道打廣告，比如百度競價排名，獲客成本在60~80元/左右，而通過地下黑市買用戶數(shù)據(jù)，成本能大幅縮減。

從信息收集到信息售賣再到信息利用，每一個交易環(huán)節(jié)環(huán)環(huán)相扣，而由此產(chǎn)生的“灰色產(chǎn)業(yè)鏈”讓人難以估量。據(jù)獵網(wǎng)報告，目前中國網(wǎng)絡(luò)黑產(chǎn)從業(yè)者已經(jīng)超過40萬人，依托其進(jìn)行網(wǎng)絡(luò)詐騙行業(yè)人數(shù)至少有160萬人，“年產(chǎn)值”在1000億元以上。

數(shù)據(jù)合規(guī)交易痛點(diǎn)

海量的個人信息地下市場規(guī)模多大，目前沒有準(zhǔn)確數(shù)字統(tǒng)計。但從公安機(jī)關(guān)的專項打擊行動中，可窺一斑。

2020年全國公安機(jī)關(guān)深入推進(jìn)“凈網(wǎng)2020”專項行動，全年共偵辦網(wǎng)絡(luò)犯罪案件5.6萬起，抓獲犯罪嫌疑人8萬余名。其中，偵辦侵犯公民個人信息類案件6524起，抓獲犯罪嫌疑人1.3萬名。

但很顯然，這并非黑市全貌。貴陽大數(shù)據(jù)交易所業(yè)務(wù)經(jīng)理陳經(jīng)理向記者表示，“目前通過正規(guī)渠道進(jìn)行數(shù)據(jù)交易的不多，更多的數(shù)據(jù)可能還是在黑市交易?！?

貴陽大數(shù)據(jù)交易所是國內(nèi)首家大數(shù)據(jù)交易所，2015年4月正式掛牌運(yùn)營，喊出了未來3~5年每天交易量達(dá)到100多億元的口號。如今，交易所成立已經(jīng)6年，陳經(jīng)理向記者透露，目前交易所日成交量遠(yuǎn)遠(yuǎn)沒有達(dá)到當(dāng)時定下的目標(biāo)。

大數(shù)據(jù)服務(wù)商聚立信CEO羅皓以及陳經(jīng)理都同時提到，數(shù)據(jù)交易過程中產(chǎn)生的數(shù)據(jù)確權(quán)、數(shù)據(jù)回溯，交易過程中的安全性、合法性、隱私性保障等問題，迄今為止還沒有得到很好的解決。尤其是數(shù)據(jù)確權(quán)，例如數(shù)據(jù)的采集、加工、采用、交易等環(huán)節(jié)可能有多個參與方，什么情況下什么類型的參與方可以獲得數(shù)據(jù)的權(quán)利，在實(shí)踐中尚未達(dá)成一致共識。

目前可見的紅線是來源是否合法，以及交易數(shù)據(jù)是否脫敏（涉及敏感信息進(jìn)行去個人化，隱私化處理）。但問題在于，在數(shù)據(jù)的流轉(zhuǎn)過程中，其中摻雜非法來源以及未脫敏數(shù)據(jù)實(shí)際上很難被發(fā)現(xiàn)。

另外，數(shù)據(jù)的開放程度還遠(yuǎn)遠(yuǎn)不夠，導(dǎo)致市面上合法流通的數(shù)據(jù)品類和數(shù)量有限，玩家們難以施展拳腳。

像騰訊、阿里這樣的互聯(lián)網(wǎng)巨頭，在擁有海量數(shù)據(jù)的同時本身還能實(shí)現(xiàn)大數(shù)據(jù)云計算閉環(huán)，它們更希望是打包成數(shù)據(jù)產(chǎn)品和服務(wù)賣出，比單純買賣數(shù)據(jù)更值錢，也更能避免法律風(fēng)險。這些玩家共享數(shù)據(jù)的意愿不強(qiáng)，這從騰訊、阿里與貴陽大數(shù)據(jù)交易所自合同到期再無續(xù)約就可窺見。

但從技術(shù)角度來講，目前已經(jīng)有一種技術(shù)可以實(shí)現(xiàn)B2B之間的數(shù)據(jù)合規(guī)化交易。大數(shù)據(jù)服務(wù)商星云Clustar CTO張駿雪向記者表示，目前公司已經(jīng)采用了一套“聯(lián)邦學(xué)習(xí)”算法。簡單理解，就是基于雙方現(xiàn)有的數(shù)據(jù)去共同建立一個坐標(biāo)體系，這個坐標(biāo)體系就是所謂的建模，建模完成后，就能較為精準(zhǔn)地判斷客戶處于坐標(biāo)體系安全的點(diǎn)還是危險的點(diǎn)。但是在建模過程中，雙方并不知道彼此的用戶資料，不用擔(dān)心用戶隱私被復(fù)制泄露。

根據(jù)張駿雪介紹，上述聯(lián)邦學(xué)習(xí)算法目前只是解決了B2B之間的數(shù)據(jù)合規(guī)化交易，且主要還是用于銀行金融機(jī)構(gòu)之間的數(shù)據(jù)交易，且成本較高，并沒有被大規(guī)模應(yīng)用。

大成律師事務(wù)所律師肖颯告訴記者，個人信息的合規(guī)使用目前在中國較大程度依賴于公司的自我約束，各大運(yùn)營商對于用戶隱私是否盡到了保護(hù)責(zé)任，如何在公眾隱私保護(hù)和商業(yè)模式中尋找一個平衡點(diǎn)，在保護(hù)個人權(quán)益的前提下規(guī)范、安全、有序地利用個人數(shù)據(jù)，釋放大數(shù)據(jù)的紅利值得深究。