本文图片
图虫创意/供图 彭春霞/制图
你是不是有过这样的疑惑:刚跟朋友聊完理财、美妆、买房、贷款等日常话题 , 怎么就收到包括抖音、腾讯新闻甚至一些视频网站推送的与聊天内容相关的广告?
对于个人隐私 , 人们从未如当下这般焦虑 。 今年的“3·15晚会”曝光了智联招聘、前程无忧、猎聘网等由于缺乏管理 , 大量个人简历泄露 , 被倒卖形成黑色产业 。 此外 , 内存优化大师、超强清理大师、手机管家Pro打着清理内存的名义 , 却通过技术手段不断获取手机中的信息 , 包括应用列表、定位信息、通讯录等 。
近期 , 证券时报采访人员深入多个数据交易千人QQ群发现 , 各行各业的用户隐私数据被肆意贩卖 , 触目惊心 。 不时有人在群里喊单 , “出一手GM(股民)、WD(网贷)、BJ(保健)信息 , 拼多多、淘宝、京东一手网购数据 , 需要数据的联系我……”这些数据按照行业划分被明码标价 。 甚至还有采集个人信息的系统展示 , 号称可以采集全国老板的私人联系方式 。 还有五花八门爬取数据的软件 , “爬”上网站 , “嵌”入APP , “铲”下数据 。
整个数据交易过程中 , 内鬼、黑客、爬虫软件开发商、清洗者、加工者、料商、买家等寄生于此 , 催生出一个“年产值”上千亿的数据黑市 。
APP权限申请泛滥
2020年网飞出品的纪录片《监视资本主义:智能陷阱》中 , 形象地向人们展示了这样一幅场景:社交软件后台“三名工作人员”正在紧张地分析眼前这个年轻人 , 他在每张图片下停留多长时间 , 什么样的情感更能让人产生共鸣 , 什么样的广告会吸引他点开 。 这三个人一个叫停留目标 , 根据停留的时间帮你选择下一个推送内容 , 让你一直滑动屏幕;一个叫增长目标 , 让你尽可能多地邀请你的朋友加入增加社交依赖;一个叫广告目标 , 确保你在对某物感兴趣时精准为你送上一条下单链接 。
这一切行为的背后就是所谓的算法模型 , 精准算法的背后正是依托海量数据作为支撑 , 将人数据化 。
那么 , 这些数据从何而来?
获取权限 , 是大小商家通过APP或者小程序收集用户隐私数据的第一步 。 当你在安装一款APP时 , 上万字的用户协议 , 呈现在你巴掌大的手机屏幕上 , 你会逐字看还是快速按下“同意”?“不同意”很可能导致APP退出无法使用 。
APP越界索权的现象已是不争的事实 。 以美图秀秀为例 , 实难想象 , 一款P图软件要获取一个人这么多信息 , 包括搜索记录、浏览记录 , 甚至是日历、地理位置 。 仔细阅读美图秀秀个人信息保护政策发现 , 若将美图秀秀内容分享至第三方平台时 , 还会读取用户的应用列表信息 。 美图秀秀还会向游戏合作伙伴提供身份证号信息 , 甚至还会向合作伙伴共享用户的付款信息 。
条款中还声明 , 基于现代移动互联网产品互联互通的特性 , 产品可能接入美图关联公司或外部合作伙伴上线的其他产品或功能 , 比如在使用钱包功能时 , 美图可能从第三方获取用户的手机号、授信额度、还款金额、放款成功状态、逾期状态等 。
这意味着 , 只要用户使用美图软件并授权 , 美图秀秀不仅可从自家APP上获取用户信息 , 还会从第三方平台上进一步获取用户更为详细具体的信息 。
“这种行为其实十分普遍 , 国内用户可能对个人信息的保护意识并没有很强烈 , 这给了企业很大的选择度 , 行业称之为‘占坑’ 。 有些数据现在不需要 , 但并不代表以后不需要 , 在获取用户授权后抓取到的用户信息当然越多越好 。 ”某金融科技公司大数据风控架构师肖强称 。
证券时报采访人员从衣、食、住、行、社交、娱乐、理财等方面对25款APP相关权限获取进行统计 , 发现和用户社交圈紧密相关的通讯录权限已经成为APP权限标配 。 除此之外 , 这些APP还会通过一些特定功能读取通讯地址、手机存储、照片、甚至记录面部识别、日历还有通话记录 , 手机APP权限申请已经到了泛滥成灾的地步 。
稍微值得欣慰的是 , APP过度申请权限收集数据正在被加强监管 。
3月22日 , 国家网信办、工信部、公安部、国家市场监督管理总局联合印发《常见类型移动互联网应用程序必要个人信息范围规定》 , 明确了地图导航、即时通信、网络购物等39类常见必要个人信息范围 , 要求运营商不得因用户不同意提供非必要个人信息 , 而拒绝用户使用APP基本功能服务 。
不过 , 肖强向采访人员表示 , “可能大家都知道APP在收集个人隐私数据 , 但除此之外 , 用户的数据还可能同时被隐藏在APP里的第三方SDK(软件开发工具包)收集 。 ”
SDK收集的用户信息可以详细到什么程度?北京网贷协会数据安全专家韩洪慧表示 , “SDK一旦嵌入 , 如果你注册登录了这个APP , 并默认授权 , 所有的行为数据都能记录 , 它会在不知不觉中爬取手机通讯录、聊天记录、银行账号的密码口令、短信、通讯录、位置信息等 。 ”
因此 , 用户授权APP采集个人信息 , 但往往并不知道自己的个人信息在何时、以何种方式被共享给了第三方SDK 。 很多APP“隐私政策”的内容关于共享的相关表述中 , 最常见的是“可能会将用户的个人信息分享给第三方” 。 但是 , 几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些 。
对于个人信息安全的忧虑 , 折射出的是用户日益敏感的神经 , 更是用户缺乏对个人数据的知情权和主动权的表现 。 SDK对于用户来说 , 犹如一颗隐藏的“定时炸弹” , 危险性不言而喻 。
SDK提供商泄露和滥用用户信息非常隐蔽 , 甚至成为了泄露用户隐私的源头之一 。
谁窃取了用户隐私?
【黑客|内鬼黑客狂卖个人信息“年产值”飙上千亿】数腾科技一位销售经理向采访人员表示 , 他们有自己特殊渠道去拿取一些数据 , 其中最为主要的渠道就是通过第三方SDK获取数据 。
“这个渠道拿到的数据会更精确 , 类似漏斗模式 , 会把数据按照需求进行筛选 。 比如说网贷行业的用户数据 , 用户登录XX普惠 , 使用此款APP就要授权 , 一旦授权SDK就会收集这个用户的所有登录痕迹 。 其他消费金融公司如果也使用了这家SDK软件开发包 , 同样也能共享 。 ”
采访人员进一步追问具体是跟哪家SDK友商合作时 , 该经理以“敏感信息”为由拒绝透露 。
无法忽视的是 , 用户个人信息通过网络倒卖非常猖獗 。 近期采访人员潜入多个千人QQ群 , 发现群里不时有人喊单出售来自各行各业的公民个人信息 。
采访人员以买家身份接触了一位QQ名为“空城”的卖家 , 并提出先测试数据真实性为由 , 要求对方提供股民个人信息数据 。
为证明自己的数据来源 , “空城”给采访人员提供了一张数据来源截图 , 收集的股民个人信息来自各大证券公司APP , 广发证券、中投证券、国泰君安等都中招 。
正如“空城”所说 , QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗号公开倒卖数据 。 “内鬼”监守自盗是个人信息流入黑产的重要渠道之一 。 可以接触到大量个人信息的职业 , 并非高门槛 , 岗位职级也不需要太高 , 泄露源可能来自各层级 。
2020年 , 公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为 , 各行业内部都有涉案人员 , 查获重点行业内部涉案人员500余名 , 而这不过是冰山一角 。
除了“内鬼”泄密 , 还有通过各种技术手段窃取公民隐私 。
在调查采访过程中 , 黑市数据交易市场非常活跃且采集数据软件五花八门 , 其中一款名为汇容客的APP , 号称“全网最全大数据获客软件” 。 其销售经理向采访人员称 , “我们这款软件是全自动采集 , 只要搜索关键词 , 就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体 , 不仅是获客功能 , 我们还能提供营销素材 , 带货视频等 , 每档功能都会对应不同价格 。 ”
当采访人员问及跟哪三大地图合作时 , 该销售经理称主要是腾讯地图、高德地图以及百度地图 , 并且是经过授权使用他们的数据接口 , 并向采访人员发来跟三大地图运营商盖章的合同协议 。
就此采访人员向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据 , 对方均一致表示不清楚这家公司 , 也不会将API(数据接口)随意授权 。 腾讯内部相关人士向采访人员称 , 这个章是假的 , 字体不一样 。
为力证此款软件的数据爬取能力 , 上述销售经理称可以帮忙后台注册后先测试 。 随后采访人员下载了此款APP , 发现这款软件可以按照地理位置、行业、客户类型等进行搜索 , 然后导出相应的用户数据 , 并且一键添加微信 。
“因为只是体验所以你不会看到客户手机号 , 这也是我们公司为了维护其他会员权益 。 我们会跟一些第三方SDK合作 , 也会跟一些大的互联网公司进行API数据接口对接 , 我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系 , 资源高度整合 。 ”该销售经理称 。
采访人员发现汇容客软件上显示数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么、京东互联网巨头 。
针对软件所提及的数据来源 , 证券时报采访人员向腾讯、阿里、美团、京东等都一一核实 , 多数均表示并没有将API数据接口跟名为汇容客的第三方共享 , 仅快手表示不回应 。 阿里公关进一步称 , 集团不可能允许该公司通过API接口爬取调用蚂蚁用户信息 , 目前已经在深入调查此事 。
“能从这些网站爬取到用户数据肯定是用了相关一些技术 , 其实爬虫技术并不神秘 , ‘爬’上网页 , ‘铲’下数据 , 然后再进行加工清洗 。 这类软件众多 , 大部分是在全网进行无差别爬取客户资料 , 后面通过加工进行精准分类 。 由此还延伸出职业清洗数据和标注的人 。 ”专门编写爬虫代码的阿强向采访人员透露 。
除内鬼和通过技术手段之外 , 黑客是盗取大量个人信息的另一重要源头 。 从此前京东用户密码泄露事件到如家酒店的用户数据泄露 , 网站和黑客在用户数据上一直在进行着旷日持久的攻防战 。
而黑客通过技术入侵网站盗取公民个人信息并不难 , 少则几天多则一个月 , 而且很少被管理员发现 。 在黑客圈子里 , 大家都有个默契 , 入侵网站获取权限和信息后 , 都会互相交换数据 , 互通有无 , 让盗取的公民个人信息库越来越大 , 掌握的个人信息也越全 。
2020年全国公安机关在“净网2020”专项行动中 , 侦办黑客攻击及新技术犯罪案件1782起 , 共有2952名涉案黑客被抓获 。 事实上更多的黑客依然潜伏于地下 。
个人信息通过内鬼、网络技术、黑客等渠道流入了数据黑市 , 并进入了大大小小的各层级代理“料商”手中 。
个人信息明码标价
料商 , 即数据中间商 , 他们上通数据源头下达数据买家 , 是地下数据交易市场非常重要的一个角色 。 个人数据就是通过料商以不同价格在黑市流转 。 料商甚至还会发展自己的代理商 , 层级越高的料商数据源越多 , 数据信息更全 。
前文提到的销售经理就是行业料商之一 , 他向采访人员表示 , 仅包含个人普通信息比如电话号码、微信、QQ号等 , 平均拿货成本价每条信息在4毛左右 , 卖出去的单条价格在7~8毛左右 , 每条个人信息约赚3~4毛左右 。 “我每个月销售数据流水大概在40万~50万元 , 金融、教育、医美等行业都做 , 这块需求量会比较大 。 ”
采访人员在与多位料商接触采访过程中了解到 , 上述销售经理并非一级料商 , 一级料商的进货成本在0.15元/条左右 , 类似祝经理的二级料商进货成本为0.4元/条左右 , 三级料商进货成本0.7~0.8元/条 , 对终端售卖均价在1.2~1.5元/条 。
上述不过是数据黑市交易中普通隐私数据价格 。 在数据黑市中 , 还有料商专门从事“渗透数据”交易 , 所谓的“渗透数据”就是所有信息都能够被抓取 , 除了电话号码、微信等基本信息以外 , 还包含用户的身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等 。
有料商甚至在QQ群里直接将“渗透数据”明码标价 , 查询个人简易信息15元/条 , 包含姓名、性别、手机号;中级信息50元/条 , 除了简易信息外 , 还包含户籍地址、身份证号、照片;高级信息100元/条 , 在中级信息基础上还包含现住地址、开房记录、车辆信息;VIP客户600元/条 。
“正常行情价仅通话记录 , 叫价在1500元左右 , 开房记录价格在2200~2500元左右 , 家庭成员信息在300元左右 。 ”网名“风”的料商称 。
据不完全统计 , 国内个人信息泄露数达55.3亿条左右 。 平均算下来 , 每个人就有4条相关的个人信息泄露 , 车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动 。
国内知名信息安全团队“雨袭团”去年10月发布报告称 , 在一年半的时间内 , 高达8.6亿条个人信息数据被明码标价售卖 , 个人数据基本处于裸奔状态 。
灰色产业链庞大
“本人求购炒股理财信息 , 数量上不封顶 , 有料的找我!”一位买家在QQ群内发布了这样一则消息 , 很快就有多位料商通过私聊向其推荐手上的数据资源 。
在经过沟通和比价之后 , 上述买家告诉采访人员 , 他已经从一位料商手中拿到了1万条理财的个人信息 , 包含了姓名、电话号码和微信 , 价格为1元/条 。 采访人员进一步追问拿到这些数据主要用途 , 该买家表示 , 仅仅是为了推销理财产品 。
综合多方采访 , 购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息 , 以及从事网贷催收的人 。 其中房地产、理财公司、保险公司、母婴以及保健品行业、教育培训机构是对个人信息趋之若鹜的核心群体 。
被盗取的个人信息也不乏用于诈骗 。 比如保健品用户信息主要针对老年人 , 专门用来诈骗 。
采访人员在与买家接触中发现 , 他们大部分人都知道买卖数据交易属于黑产 , 但依然作此举动 , 一个重要原因在于通过正规渠道打广告 , 比如百度竞价排名 , 获客成本在60~80元/左右 , 而通过地下黑市买用户数据 , 成本能大幅缩减 。
从信息收集到信息售卖再到信息利用 , 每一个交易环节环环相扣 , 而由此产生的“灰色产业链”让人难以估量 。 据猎聘网报告 , 目前中国网络黑产从业者已经超过40万人 , 依托其进行网络诈骗行业人数至少有160万人 , “年产值”在1000亿元以上 。
数据合规交易痛点
海量的个人信息地下市场规模多大 , 目前没有准确数字统计 。 但从公安机关的专项打击行动中 , 可窥一斑 。
2020年全国公安机关深入推进“净网2020”专项行动 , 全年共侦办网络犯罪案件5.6万起 , 抓获犯罪嫌疑人8万余名 。 其中 , 侦办侵犯公民个人信息类案件6524起 , 抓获犯罪嫌疑人1.3万名 。
但很显然 , 这并非黑市全貌 。 贵阳大数据交易所业务经理陈经理向采访人员表示 , “目前通过正规渠道进行数据交易的不多 , 更多的数据可能还是在黑市交易 。 ”
贵阳大数据交易所是国内首家大数据交易所 , 2015年4月正式挂牌运营 , 喊出了未来3~5年每天交易量达到100多亿元的口号 。 如今 , 交易所成立已经6年 , 陈经理向采访人员透露 , 目前交易所日成交量远远没有达到当时定下的目标 。
大数据服务商聚立信CEO罗皓以及陈经理都同时提到 , 数据交易过程中产生的数据确权、数据回溯 , 交易过程中的安全性、合法性、隐私性保障等问题 , 迄今为止还没有得到很好的解决 。 尤其是数据确权 , 例如数据的采集、加工、采用、交易等环节可能有多个参与方 , 什么情况下什么类型的参与方可以获得数据的权利 , 在实践中尚未达成一致共识 。
目前可见的红线是来源是否合法 , 以及交易数据是否脱敏(涉及敏感信息进行去个人化 , 隐私化处理) 。 但问题在于 , 在数据的流转过程中 , 其中掺杂非法来源以及未脱敏数据实际上很难被发现 。
另外 , 数据的开放程度还远远不够 , 导致市面上合法流通的数据品类和数量有限 , 玩家们难以施展拳脚 。
像腾讯、阿里这样的互联网巨头 , 在拥有海量数据的同时本身还能实现大数据云计算闭环 , 它们更希望是打包成数据产品和服务卖出 , 比单纯买卖数据更值钱 , 也更能避免法律风险 。 这些玩家共享数据的意愿不强 , 这从腾讯、阿里与贵阳大数据交易所自合同到期再无续约就可窥见 。
但从技术角度来讲 , 目前已经有一种技术可以实现B2B之间的数据合规化交易 。 大数据服务商星云Clustar CTO张骏雪向采访人员表示 , 目前公司已经采用了一套“联邦学习”算法 。 简单理解 , 就是基于双方现有的数据去共同建立一个坐标体系 , 这个坐标体系就是所谓的建模 , 建模完成后 , 就能较为精准地判断客户处于坐标体系安全的点还是危险的点 。 但是在建模过程中 , 双方并不知道彼此的用户资料 , 不用担心用户隐私被复制泄露 。
根据张骏雪介绍 , 上述联邦学习算法目前只是解决了B2B之间的数据合规化交易 , 且主要还是用于银行金融机构之间的数据交易 , 且成本较高 , 并没有被大规模应用 。
大成律师事务所律师肖飒告诉采访人员 , 个人信息的合规使用目前在中国较大程度依赖于公司的自我约束 , 各大运营商对于用户隐私是否尽到了保护责任 , 如何在公众隐私保护和商业模式中寻找一个平衡点 , 在保护个人权益的前提下规范、安全、有序地利用个人数据 , 释放大数据的红利值得深究 。
(文章来源:证券时报网)
推荐阅读
- 端口|俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
- AMD|惠普基于AMD EPYC CPU的高性能服务器被黑客利用Log4J漏洞转化成矿机
- 探测|黑客可破解 金属探测安全门发现漏洞
- 里维斯|《黑客帝国 4:矩阵重启》现已上线 HBO MAX,IMDB 评分 6.7
- 安全|黑客入侵Fractal官方Discord频道:已骗取15万美元加密货币
- Hon|黑客帝国「缸中之脑」有眉目了?培养皿中百万人脑细胞学会打乒乓
- 矩阵|PRIME 1 STUDIO CUTIE1 黑客帝国THE MATRIX Q版公仔
- 黑客|iPhone 13一秒即被黑客远程攻破,苹果紧急推送修复补丁
- 黑客|老黄送电脑了!《黑客帝国4》将临,英伟达抽奖送3台「黑客专用」PC
- 苹果|苹果 iOS 15.2 修复远程越狱漏洞:黑客能 1 秒破解 iPhone