你是否曾感到困惑:在与朋友讨论理财、美妆、房产或贷款等日常话题后,便收到了抖音、腾讯新闻及一些视频网站推送的相关广告?
当今社会,人们对个人隐私的焦虑前所未有。今年的“3·15晚会”揭露了智联招聘、前程无忧、猎聘网等因管理不善而导致大量个人简历泄露,形成了黑色产业。此外,一些名为内存优化和清理的应用通过技术手段不断获取手机中的信息,包括应用列表、定位信息和通讯录等。
近期,证券时报记者深入多个数据交易QQ群,发现各行各业的用户隐私数据正在被肆意交易,令人震惊。在群里,不时有人发布信息,“出售GM(股民)、WD(网贷)、BJ(保健)信息,拼多多、淘宝、京东的网购数据,需求者请联系我……”。这些数据按行业明码标价,甚至有系统声称可以采集全国老板的私人联系方式,还有各种爬取数据的软件,通过“爬”上网站、嵌入应用、铲下数据。
在整个数据交易链中,内鬼、黑客、爬虫软件开发者、数据清洗者和买家等共同构成了一个年产值上千亿的数据黑市。
app权限的泛滥
2020年,Netflix出品的纪录片《监视资本主义:智能陷阱》生动展示了社交软件后台的运作:三名工作人员正分析一个年轻人的互动行为,研究他在每张图片下停留的时间、情感共鸣和点击广告的倾向。一个人负责推送内容,另一个则鼓励用户邀请朋友以增加社交依赖,最后一个确保在用户感兴趣时精准投放广告链接。
这些行为的背后依托于算法模型,依赖于海量数据来实现用户的数字化。
那么,这些数据从何而来呢?
获取权限是商家通过app或小程序收集用户隐私数据的第一步。当你安装一款应用时,上万字的用户协议会在你小小的手机屏幕上呈现,你是逐字阅读,还是快速按下“同意”?拒绝可能导致应用无法使用。
app过度索权已成为普遍现象。以美图秀秀为例,这款图像处理软件竟要求获取用户的搜索记录、浏览记录,甚至日历和位置等信息。仔细阅读其个人信息保护政策可知,若将内容分享至第三方平台,美图秀秀甚至会读取用户的应用列表信息,向合作伙伴提供身份证和付款信息。
条款中还说明,基于现代移动互联网产品的互联互通特性,产品可能接入美图关联公司或外部合作伙伴的其他产品或功能,例如在使用钱包功能时,美图可能获取用户的手机号、授信额度、还款金额等信息。
这意味着,只要用户使用美图软件并授权,除了从自身app获取信息外,美图还会从第三方平台进一步收集更详细的信息。
某金融科技公司大数据风控架构师肖强表示:“这种行为相当普遍,国内用户对个人信息保护的意识并不强烈,给了企业很大的选择空间。行业内称之为‘占坑’。虽然某些数据现在不需要,但未来可能会需要,因此获取用户授权后抓取的用户信息越多越好。”
证券时报记者对25款app的权限获取情况进行了统计,发现与用户社交圈密切相关的通讯录权限已成为app的标配。此外,这些应用还会通过特定功能读取通讯地址、手机存储、照片,甚至记录面部识别、日历和通话记录,手机app申请权限的情况已达到泛滥的程度。
值得欣慰的是,针对app过度申请权限的监管正在加强。
3月22日,国家网信办、工信部、公安部和国家市场监督管理总局联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类常见必要个人信息范围,要求运营商不得因用户不同意提供非必要个人信息而拒绝用户使用app的基本功能服务。
不过,肖强向记者表示:“大家可能都知道app在收集个人隐私数据,但用户的数据还可能被隐藏在app里的第三方SDK(软件开发工具包)中收集。”
SDK收集用户信息的详细程度如何?北京网贷协会数据安全专家韩洪慧表示:“一旦SDK嵌入,如果用户注册并默认授权,所有行为数据都能被记录,甚至在不知情的情况下爬取手机通讯录、聊天记录、银行账号密码、短信和位置信息等。”
因此,用户授权app采集个人信息时,往往并不知道这些信息何时、以何种方式被共享给第三方SDK。许多app的“隐私政策”中提到的共享条款常常模糊,最常见的表述是“可能会将用户的个人信息分享给第三方”,但几乎没有app详细列出“第三方”究竟包括哪些。
对个人信息安全的担忧反映了用户日益敏感的神经,以及对个人数据缺乏知情权和主动权的表现。SDK对用户而言,如同一颗隐藏的“定时炸弹”,其潜在的危险不容小觑。
SDK提供商泄露和滥用用户信息的行为极其隐蔽,甚至成为用户隐私泄露的主要来源之一。
谁在窃取用户隐私?
数腾科技的一位销售经理向记者表示,他们通过特殊渠道获取数据,其中主要来源就是第三方SDK。
“这个渠道获取的数据更为精准,类似漏斗模式,按照需求筛选数据。例如网贷行业的用户数据,用户登录某款应用时必须授权,一旦授权,SDK便会收集该用户的所有登录痕迹。其他消费金融公司如果也使用了同一SDK,亦能共享数据。”
当记者进一步询问具体与哪家SDK合作时,该经理以“敏感信息”拒绝透露。
不可忽视的是,通过网络倒卖个人信息的行为极其猖獗。记者近期潜入多个千人QQ群,发现群内时常有人出售来自各行各业的公民个人信息。
记者以买家的身份接触一位名为“空城”的卖家,要求提供股民个人信息以测试数据真实性。
为证明其数据来源,“空城”提供了一张截图,显示股民信息来自各大证券公司app,广发证券、中投证券、国泰君安等均受到影响。
如同“空城”所言,QQ群中确实有人以“公司内部信息”的名义公开倒卖数据。内鬼监守自盗是个人信息流入黑产的重要渠道,接触大量个人信息的职位并不需要高门槛,泄露的源头可能来自各个层级。
2020年,公安机关打击利用工作之便窃取、泄露公民个人信息的行为,各行业内部都有涉案人员,查获重点行业的涉案人员超过500名,而这只是冰山一角。
除了内鬼泄密,还有通过各种技术手段窃取公民隐私。
在调查中,黑市数据交易市场非常活跃,采集数据的软件种类繁多。其中一款名为汇容客的app自称是“全网最全大数据获客软件”。其销售经理向记者称:“我们的软件可以全自动采集,只需搜索关键词,即可在各大网站、地图和运营商中找到你想要的客户资源,除了获客功能,我们还提供营销素材和带货视频等,每项功能都有不同价格。”
当记者询问与哪三大地图合作时,该销售经理表示主要是腾讯地图、高德地图和百度地图,并提供了与这些地图运营商的合同协议。
记者向百度、腾讯和高德求证是否授权汇容客使用平台用户数据,均表示不清楚该公司,也不会随意授权API(数据接口)。腾讯内部相关人士则称,该章是伪造的,字体不一致。
为验证该软件的数据爬取能力,销售经理表示可以先进行后台注册测试。记者下载了该app,发现其可以按地理位置、行业和客户类型进行搜索,并导出相应的用户数据,一键添加微信。
“因为只是体验,所以你看不到客户手机号,这也是我们公司为了维护其他会员权益。我们会与一些第三方SDK合作,也与一些互联网公司进行API数据接口对接,与腾讯、百度、华为、阿里、抖音、快手、美团和饿了么均有战略合作关系,资源高度整合。”该销售经理表示。
记者发现汇容客软件上显示的数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么和京东等互联网巨头。
针对软件所提及的数据来源,证券时报记者向腾讯、阿里、美团和京东核实,大多数均表示没有将API数据接口与名为汇容客的第三方共享,只有快手不予回应。阿里公关进一步表示,集团绝不会允许该公司通过API接口爬取蚂蚁用户信息,现已对此事进行深入调查。
“能够从这些网站爬取用户数据肯定使用了某些相关技术,爬虫技术并不神秘,通过爬取网页获取数据,然后进行加工和清洗。这类软件众多,大多数在全网进行无差别爬取客户资料,随后通过加工进行精准分类,甚至还衍生出职业清洗和标注数据的人。”专门编写爬虫代码的阿强
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
[[[IMG_4]]]
[[[IMG_5]]]
