"听说您最近买房了,需要装修吗?"
"听说你今年刚高考完,我们学校会发放贫困生助学金……"
"我们公司最近又推出了一款新的保险,很适合您…….
"您好,我们这里可以提供代开发票服务…….
"亲,奢侈品加微信……"
这些场景我们是否很熟悉?在生活中这样的推销电话或者短信,陌生人不仅知道你手机号码,甚至还知道你姓名和住址等信息。这些短信天天有,推销电话响不停。不知道从哪天起,或许是因为在某网站上注册了信息,或许网购了一包零食,亦或许只是转载了朋友圈的一篇文章,这些骚扰便肆无忌惮地朝你涌来。你的这些烦恼都是因个人信息泄露、被盗或者被卖掉惹的祸
2016年8月19日,山东临沂18岁准大学生徐玉玉因个人信息泄露遭遇电信诈骗,将生命永远定格在18岁,引起了社会的广泛关注。
2017年3月27日,某网站遭遇大规模用户简历信息被盗取,紧接着某电商被曝出12G数据外泄,其中包括用户的用户名、密码、邮箱、电话号码等多维度信息;继续追溯,滴滴05事件、僵尸网络,甚至于更早的木马、蠕虫、熊猫烧香病毒,信息安全事件和互联网的发展一样迅猛,一波未平一波又起。在我们的生活全方位"触网"、个人信息安全难以保障时,围绕个人信息数据形成的黑色产业链"悄无声息"地运营着。
中国互联网协会公布的《中国网民权益保护调查报告》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。据统计,自2015年下半年至2016年上半年的一年时间里,个人信息泄露造成的总体经济损失达915亿元。
在巨额损失背后,隐藏极深却又庞大的是黑色产业链:数据黑色产业。目前市场上有很多所谓的大数据公司,多多少少都会用来源于黑市的数据,这些数据很多涉及公民个人信息。在贩卖的数据中,有些数据是合法的,有些数据是违法的。线上消费的、网银的、POS机的、信用卡的、运营商的,甚至是工商的数据都有人卖。
数据黑色产业隐藏得非常深,其发展历史越久,地下产业链也会随之成熟,对于如何把数据变成货币,已有非常完整的程序分工与协作渠道。数据黑色产业的产业链模式相对简单,包括盗取数据、清洗数据卖掉变现、利用这些数据信息自用(建立黑数据库、登录网站直接窃取财产、发展下游等)三部分,业内术语称为脱库、洗库、撞库。
国内知名信息安全团队"雨袭团"发布报告称,在一年半的时间内,高达8.6亿条个人信息数据被明码标价售卖,个人数据基本处于裸奔状态。
央视曾经报道揭露贩卖个人数据信息"乱象",仅用手机号就可查一个人所有私密信息。节目播出后北京警方立案并展开侦察。但记者发现多个QQ群里"信息交易"仍火爆,向开发公司举报后,QQ群并未被关闭或解散,管理员甚至公告:任何非法活动与本群无关。
据央视网消息:刚刚买了房,装修公司的电话就打过来了;刚刚买了车,保险公司的电话就打过来了。属于隐私的个人信息被泄露,让人烦心,更让人忧心。记者发现贩卖个人信息的黑市在网络上十分活跃,一些信息贩子甚至公然叫卖,只要提供一个人的手机号码,就能查到他最为私密的个人信息,而且范围覆盖全国,果真如此吗?
曾有记者登录了一个专门贩卖个人信息的QQ群,里面的群员多达1946名,而且非常活跃,浏览这个QQ群里的留言可以发现,各类公民个人信息被公开叫卖,种类之多更是让人惊讶。有人声称可以查到身份户籍、婚姻关联、名下资产、手机通话记录等;还可以查到手机通讯录,滴滴打车记录,名下支付宝账号,全国开房记录,淘宝、顺丰送货地址等信息,个人信息在这里被称为数据或轨迹。
查询个人名下车辆,各档都是二三十块钱,不超过百元;查询个人身份信息要价是两百余元,包括照片、身份证号码、户籍所在住址、民族、所属派出所等;查询个人网购送货地址等"网购"信息,对方要价130元;查询个人打车记录信息,要价是55元。手机通话记录,是网上信息黑市里的热卖品,发现几乎所有的信息贩子都声称可以拿到手机通话记录。通话记录的价格也是最高的,一般为1500~2000元,而且必须提前付款。实时位置信息成为"卖品",只需要手机号,并且声称误差在50米以内,每次定位的价格在750元到1100元之间。只提供一个手机号码,就能买到一个人的身份信息、通话记录、位置信息等多项隐私,泄露的是个人信息,留下的是各种隐患。
庞大的个人信息数据流向了哪里?
综合多方信息,购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息的人。其中,房地产中介、理财公司、保险公司、母婴及保健品企业、教育培训机构等日渐兴盛的产品推销和服务企业,是对个人信息趋之若鹜的核心群体。
个人信息流向的另一个终端则是诈骗团伙。当他们通过各种途径获取大量个人信息后,盗窃、电信诈骗、绑架、敲诈勒索等刑事犯罪也随之而来,比如"徐玉玉案"。
其实个人数据信息最大的买家是各大商业公司。根据中国信息通信研究院对国内800多家企业的结果来看,企业内部数据仍是大数据主要来源,但对外部数据的需求日益强烈。当前有32%的企业通过外部购买来获得数据。现在"交易"是个敏感词,如果严格按照新出台的《网络安全法》的定义,
"过往的数据交易没有纯白色的"。各数据公司纷纷强调,自己是做分析整合数据的;而且数据都来自客户,且拿客户数据时,都得到了用户的授权。"授权"二字是区别是否合法的关键。但很多时候,授权合法而不合理,处于灰色地带。
在智能手机不离手的时代,手机和APP,让每个人产生的数据大量增加了。当你在安装一款APP的几分钟空档里,几万字用户协议,隐蔽地在你5.5英寸的手机屏幕上开了个小窗口,你会逐字看,还是快速地按下"同意"?而"不同意"意味着没有APP会为你提供服务。目前被查处的大多只是存在"明偷明抢"行为的一些公司,而公民个人隐私数据泄露的主要源头在于"暗盗暗窃",尤其是一些安卓手机里的APP,越界抓取一些和自身提供给用户的服务功能无关的用户数据。
开源的安卓系统,有五花八门的开发者版本,很多手机厂商并不具备及时升级填补系统漏洞的能力,这给恶意软件极大的生存空间。比如安卓系统漏洞的修复,往往可能拖延一两年时间,甚至直到使用这个操作系统版本的硬件被市场淘汰,漏洞才会消失。如果恶意软件获得了安卓最底层的Root权限,一台手机中的数据就都不是秘密。
在恶意软件之外,APP对用户的数据采集能力,往往是用户的盲区。安装APP时"同意"的用户协议,以及使用过程中APP申请开放的种种权限背后,用户交付了超乎想象的权利。你手机中的用户隐私权限,可以划分为Root权限、读取联系人、获取手机号、读取短信记录、读取通话记录、获取用户位置信息、使用话筒录音、打开摄像头等12项之多。
获取这些功能权限能做什么?
举个例子,开启了读取通讯录权限的APP,可以获得用户手机里所有联系人的数据。如果一款APP有上百万级别的用户量,那么能触及的联系人名单,就有上千万体量。这些数据如果流入黑市,重要联系人的关系链,往往被诈骗分子所利用。至于APP是否会把权限用于提供服务功能之外,侵犯你的隐私,只取决于它是否"选择"作恶。相应地,一旦点了使用协议的"我同意"按钮,用户就没有什么选择余地。更令人担忧的,是要求用户授权自身服务不需要的功能权限,即越界采集数据。
据DCCI的报告称,2016年,13%的非游戏类APP越界获取位置信息权限;这一现象在教育类APP中格外突出,为26%;9.1%的非游戏类APP越位获取访问联系人权限;甚至有2%的直播APP,越位获取通常手机厂商才有的最底层Root权限。
这种行为在开发者中十分普遍,行业称其为"占坑"。有的功能是目前不需要的,申请下来是为了未来的某个版本可能会涉及而备用。但更多时候压根就不需要这个功能,他们就是想要一些额外的东西。
这些额外的数据不愁没有用武之地,而是大有用处
获取到的个人信息大致有三类用途:
第一类APP对用户进行精准营销,优化网络广告。
拿到数据的APP厂商会对每个用户的数据长期跟踪、持续抓取,甚至出于多多益善的心态,无论是否与自己的服务有关,全抓过来;
第二类APP会跟第三方广告网络、游戏推广和电商营销平台合作,通过输出甚至交换、买卖数据赚钱;
第三类APP会接受营销公司、大数据分析公司在自己的应用中潜入SDK,长期采集数据。但用户往往不知道自己的数据已经流向了第三方公司。
长久以来,APP的数据猎取生态链,以"合法但不合理"的状态存在着。大量APP用户协议以霸王条款"自说自话",回避数据的采集情况和具体用途,而用户一方处于"不知情"的弱势地位。这种协议都是不对等的,有些公司的协议里面,写明要收集哪些信息,怎么使用,看完之后会吓一跳。国外的隐私侵权一般都是集体诉讼,代价高昂,在美国、欧洲甚至东南亚部分地区,对隐私数据侵犯的处罚力度远高于中国。
2018年年初,美图秀秀因为一组特朗普的磨皮照片在美国市场迅速蹿红,24小时内冲刺到APP Store总榜第55名的位置。但随即,美图秀秀在舆论上遭遇低谷:大批美国安全专家指出,美图在获取能满足拍摄、编辑、存储的访问相机权限后,还试图获取用户的通信记录、Wifi信息、运营商信息,以及手机唯一的IMSI码,这意味着美图将获知用户在手机端浏览网页及使用其他APP的信息。业内人士声称,《网络安全法》落地前后,大量互联网公司的法务部门在加紧重新修订用户协议。
《网络安全法》要求"网络运营者不得收集与其提供的服务无关的个人信息"。第四十一条要求网络运营者"公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意"。但"明示"二字,并不那么容易做到。某大型互联网公司2017年8月新修订的用户协议中写道:"仅为实现本隐私权政策中声明的目的,我们的某些服务将由我们和授权合作伙伴共同提供。我们可能会与合作伙伴共享您的某些个人信息,以提供更好的客户服务和用户体验。"这显然是一段非常模糊的表述。
"现在公司都在尽可能让用户同意各种采集数据的情形,包括允许收集数据提供给业务关联方、第三方合作者。模糊的表述涵盖范围越广,它的法律风险就越小。"华东政法大学高教授表示,这种做法在国内目前看似管用,"但在国外,这种泛泛的声称可以提供给第三方的说法,早就无效了。"
