6億通訊錄一條2毛錢 誰在偷我們的隱私數據?
摘要:第一種,兩個APP的主體公司是合作公司,雙方的業務數據相互打通,當用戶在一個APP上購買物品時,另一個APP會捕捉到用戶的購物信息,猜測用戶可能還需要什麼商品,並進行推薦。”某金融公司袁雨告訴投中網,跟這些公司合作,可以獲取用戶的購買記錄、交易信息、出行記錄等數據,這些都是金融公司風控過程中,較爲重視的數據。
原標題:6億通訊錄,一條2毛錢,誰在偷我們的隱私數據
文|投中網 晨曦
編輯|李曉麗
4年而已,數據產業的老闆們,從“新石油大亨”到“牢中人”只在轉瞬之間。
2015年,馬雲在雲棲大會上預言,10年以後,數據將取代石油成爲最強大的能源。
這聽起來像極了風口。據CVSource投中數據統計,僅2018年便有415家大數據風控企業,總共獲得了879.34億元的投資。
如今,因爲數據安全問題,這個風口轉瞬即逝。四年之後的今天,凡是跟“數據”二字扯上關係的公司,日子都不太好過。
這其中,過得最慘烈的是曾處於互金風口,備受追捧的大數據風控公司。
有多慘烈?
“整個行業都快被抓沒了,”從業者感慨道。2019年下半年,隨着監管整頓趨嚴,曾一度風靡的大數據行業正在逐漸“消失”。
“數據石油大亨”們,究竟犯了什麼錯?——販賣隱私,一擊致命。
觸碰公民隱私,這是數據公司們無法洗白的原罪。
有業內人士表示,今年的監管主要還是以整治爲主,下一步或會有對用戶數據保護的辦法出臺。而對於違法收集和使用用戶數據的企業來講,目前的生存問題是一個很大的難點,如何轉型,轉型的方向都有很大的不確定性。
另一位業內人士亦稱,這種感覺很像當年抓互聯網音像製品版權的時候,對一些公司進行整改,該抓的抓,該罰的罰,這才使得中國互聯網音樂視頻最終走上了版權經營的道路。當下,監管部門從行動上表明瞭態度,保護個人隱私和數據的辦法,可能會陸續出臺,但這還需要一到兩年的時間,因爲市場還需要一個調整和適應的時間。
在監管持續近一年的清查行動中,鋃鐺入獄的不只老闆,還有那些毫無防備的“普通上班族”。
一、上班時,毫無防備被抓的人
“工作的時候,警察突然衝進來讓抱頭,然後就被控制了一天,所有人都不能用手機,也不能碰電腦,喫飯都是有人送來的。”北京某大數據公司員工李林回憶,今年11月初的某天上午十點多,正當所有員工一如既往正常工作時,十幾個警察突然就上門了。
“大數據部門是第一個被帶走的。”李林告訴投中網,警察帶了幾個懂技術的人,進入公司後,直接去了大數據部門,還查看了那些人的電腦。
“我去公司拿離職證明的時候,大數據小組的組長還沒有被放出來。”李林稱,那個時間距離警察上門已過去3到5天。
“全部員工都離職了,可我們不是金融公司啊。”直到現在,李林包括公司的其他員工都不知道公司爲什麼會被警察一鍋端,就連深圳和廣州的分公司也未能倖免。
後據投中網查詢,事實上,李林所在的公司就是一家大數據公司,它一方面爲海內外移動端設備廠商提供SaaS服務;另一方面則爲遊戲開發者、廣告主等提供精準營銷。目前,其主要合作伙伴有京東、QQ音樂、快手、蘑菇街、唯品會等。
相比於李林至今仍不知公司員工爲何被抓,另一家知名大數據公司員工劉浩心裏則十分明白,他深諳公司被端,其實與使用爬蟲技術違規爬取個人數據的行爲有關。
但他也有些疑惑,自己所在的公司在業內也算是佼佼者,還曾獲得不少獎項。創始人積極參加業內峯會,公開發言,備受追捧,怎麼一夕之間,就全軍覆沒了呢?
楊爽是劉浩的朋友。今年9月初,劉浩公司的核心高管被警方帶走,劉浩因在外地出差,逃過一劫。楊爽得知劉浩公司出事之後,發了條短信給劉浩文問是否需要幫助。
一天之後,劉浩回信:“沒啥事兒。”隨後又補充:“好多電話打來,爲了安全,我關機了,事情很突然,我也不知道說什麼。”
事發後,劉浩回老家待了近三個月,對於之前的工作他不願在提及,也無心尋找新的工作。
後有別的數據公司被查,同行向劉浩尋求經驗幫助時,他給出的建議是:“趕緊走,把手頭的證據都刪掉。”
後來,劉浩所在公司的業務內容流出,違規爬取的數據細節也公之於衆。該公司不但爬取支付寶用戶的真實姓名、手機號,還能通過支付寶爬取用戶近一年的購物信息,交易記錄,以及收穫地址等隱私信息。而這還只是業務之一。
明知違法又危險,爲何仍有人“赴湯蹈火”?答案很簡單,商業利益使然。
二、網上購物,擄走你的個人信息
常有人會遇到這樣一種情況,在和家人聊到想要購買某個商品後,打開購物APP,就能看到關於該商品的推薦。
原因是這些購物APP被設置了關鍵詞(通常爲商品),以及開通麥克風功能。用戶在不知情的情況下,開啓了麥克風(有的APP需要強制開啓麥克風功能),並在與人交流的過程中提到APP中所設置的關鍵詞,該關鍵詞便會被激活,購物APP便會自動推薦用戶所提及的產品。
另一種情況是,你在某個APP中買了雙襪子,再打開另一個購物APP時,他就會推薦別的款式的襪子,或其他相關物品。那麼,另外一個你們沒有進行搜索的購物APP是如何獲你的購物信息的?
李林告投中網,發生後面這種現象的原因有兩種。
第一種,兩個APP的主體公司是合作公司,雙方的業務數據相互打通,當用戶在一個APP上購買物品時,另一個APP會捕捉到用戶的購物信息,猜測用戶可能還需要什麼商品,並進行推薦。因此,當用戶打開APP時,就能看到相關產品。
以一款領券+返利的網購省錢利器APP——“掙實惠”爲例。據其內部員工嚴惠稱,該平臺已經與淘寶、拼多多等電商平臺達成合作。因此,在“掙實惠”APP上聚集了大量拼多多與淘寶的商品。
投中網下載“掙實惠”進行體驗發現,其頁面上的商品大多以天貓渠道爲主,如果對選中的商品進行下單,頁面會自動跳轉至淘寶的鏈接。跳轉的過程中,APP會要求用戶同意將淘寶賬戶的信息授權給“掙實惠”,同意授權後,用戶才能下單。在這裏,授權的目的就是爲了實現推薦。
“第一次使用掙實惠,頁面上的商品都是隨機推送的。”嚴惠說,這是因爲“掙實惠”還沒有掌握到用戶的購物信息,而一旦用戶將淘寶賬戶信息授權給“掙實惠”,“掙實惠”就可以隨時掌握用戶的瀏覽及購物信息。只要用戶在淘寶購買了商品,打開“掙實惠”時,就能收到相關商品推薦。而“掙實惠”與拼多多合作的邏輯亦是如此。
用戶不會直觀的瞭解到,正是這步關鍵的授權,就已將自己個人的購物信息從一個APP同步給了另外一個APP。
投中網在“掙實惠”的《軟件使用與服務協議中》發現,使用該軟件則意味着用戶同意將自己通過該軟件上傳的文字、圖片、視頻,以及在交易過程中產生的資料、交易數據等,供該公司主體以及其合作方在全網範圍內進行使用、複製、修改等。
(附協議截圖)
而在隱私保護一項中,“掙實惠”稱其主體公司會在用戶使用該軟件的過程中,經用戶統一後,蒐集用戶的個人信息,如真實姓名、性別、年齡、出生日期、身份證號碼、電話號碼、交易信息等。即便如此,“掙實惠”這種收集數據的方式已經是一種預先申明、高調收集的做派。
與高調派不同,隱蔽派收集數據的方式就全靠“暗箱操作”。
在隱蔽派的做法裏,即便兩個APP的主體公司沒有進行合作,但他們彼此也能通過爬蟲手段,獲取用戶對商品的搜索記錄或購物記錄,推薦相關產品。
不過,嚴惠稱其實任何一家公司要爬取別家APP上的用戶數據也都並不容易,鑑於數據的重要性,大多數公司都會對自家APP上的數據都進行加密,嚴防死守,防止外部公司爬取用戶數據。
APP通過授權直接或間接獲得用戶數據,對於大多數人來說,已經涉及侵犯公民隱私,但在互金風控圈看來,這或許還只是小兒科。
更隱蔽的手段是,可以通過下載一個APP,薅光你的通訊錄。
三、下載APP,薅光你的通訊錄
“千萬不要下載貸款公司的APP,他能爬到你的所有信息。”某金融公司員工王敏告訴投中網,一旦用戶下載了自己公司的APP,並首次打開時,對屏幕上彈出“隱私訪問權限”,選擇同意,用戶的的通信錄、通話記錄、短信、照片等就會被貸款公司爬個遍。
“這還不是最緊要的。”王敏稱,“貸款公司可以通過你的通訊錄,找到你的直系親屬,旁系親屬或者朋友等親密人士,只要你借錢不還或逾期,貸款公司就會把信息發給你的家人,以及催收公司,逼你還債。”
最爲瘋狂的時候,王敏稱貸款公司不僅僅是提供借款人的姓名、電話,就連居住地址,常去的地方都能打包給到催收公司。
“還有些公司,直接把借款用戶的通訊錄以兩毛錢一條的價格販賣給催收公司,大部分公司的法務,明明知道這是不合法的,但依然會這麼做。”王敏透露。只不過隨着監管的越來越嚴,金融公司們最近有所收斂。
“我們公司現在大約掌握了5—6億條通信錄的號碼。”王敏告訴投中網。
另據投中網瞭解,幾乎所有的貸款APP都能獲取用戶的位置信息,用戶去過哪裏,在哪裏停留多長時間,貸款公司就可以通過相關數據推斷出用戶的居住住址和辦公地址。
其邏輯是,比如用戶每天都去,且一待就是七八個小時的地方,肯定是公司,而晚上一直停留的地方可能就是住處。
但對於金融公司而言,要做風控,僅僅依靠自己獲取的短信、通訊錄等數據是遠遠不夠的,多維度的數據才能更真實的瞭解用戶是一個什麼樣的人,放款之後會不會發生逾期和壞賬,這直接決定着金融公司能否賺錢。
因此,爲了安全起見,幾乎所有的公司都會選擇與外部公司進行合作,以便獲取用戶更多維度的數據。
“今日頭條、蘑菇街、度小滿、攜程等都是我們的數據合作方。”某金融公司袁雨告訴投中網,跟這些公司合作,可以獲取用戶的購買記錄、交易信息、出行記錄等數據,這些都是金融公司風控過程中,較爲重視的數據。
值得注意的是,據云鼎實驗室2018年發佈的《互聯網惡意爬蟲分析》報告顯示,目前,惡意爬蟲分佈的領域以出行類流量佔比最高,爲20.7%;其次是社交佔比18.40%;再次是電商佔比13.38%;僅接着是運營商、公共行政等。
圖片來源:雲鼎實驗室2018年上半年安全專題報告
“還有些機構能直接爬取到用戶的社保、公積金、學歷等數據。”袁雨補充,“但其實,如果是合作,某些公司也不會直接給到金融公司關於用戶的明細數據,只是會大致告訴金融公司,用戶的安全程度,可能適合放多少錢。”
此外,袁雨還告訴投中網,只要用戶一旦有了借貸需求,下載了市面上的任意一款貸款APP,此後,就可能會不斷的收到來自其他金融機構的營銷信息。
“原因很簡單,你的個人信息已經被某些大數據公司或金融公司爬走了。”
袁雨說,這在金融領域,已是公開的祕密。
但其實,金融公司、大數據公司只是獵取用戶數據衆多角色中的一小撮。那些看起來有頭有臉的大公司,也正在將用戶的個人數據信息商業化。
四、運營商,泄露你隱私的人
“地產商直接提需求,我們輸出結果。”曾在某知名運營商任職的胡濤告訴投中網,因爲運營商擁有大量的用戶數據,有些地產商會選擇與其合作,作爲實現精準營銷的有力後盾。
比如,某地產商將在某個區域開盤,他們會預先給出運營商一個特定的範圍,讓運營商查詢在該區域內25—50歲的人有多少,他們的消費能力如何,是外來人多還是本地人口多?
運營商會通過內部模型計算出結果,並將其反饋給運營商,地產商就可以根據運營商返回的數據,做出合適的營銷方案,並放到相應的區域。
“在這個過程中,用戶數據一直在我們公司內部,我們只輸出結果,地產商無法得知用戶信息。”胡濤對投中網解釋。
另外一些地產商的做法是通過購買數據做招租。有的地產商會從運營商那裏買來企業的網絡使用數據,來反推企業在一個地方的租約情況,繼而展開後續的服務。
伴隨着互聯網的的發展,所有人在享受其帶來的便利時,也在爲此付出代價,那在數據就是石油的時代,如何才能保護用戶的個人數據安全?
五、監管,徐徐而來的數據保護者
事實上,個人隱私泄露的問題,以引起監管部門的重視。
今年以來,一些大數據爬蟲公司的高管已被捕入獄,最爲誇張的時候,一個月之類,便有5—6家知名的大數據公司被一鍋端,整個行業風聲鶴唳。與此同時,一些小公司也在毫無防備之下,被警方上門逮捕。
早在今年年初,有知情人士告訴投中網,很多獵頭也被抓了,原因是他們手中掌握了太多的個人信息。
個人及企業數據被竊取,大多與APP有關。一些機構以APP爲觸角,借提供服務知名,公然收集用戶信息。但眼下,這條路正在被堵死。
12月4日,國家網絡安全通報中心在發佈《公安機關開展APP違法採集個人信息集中整治》一文中稱,自2019年11月以來,公安部門便加大了打擊整治侵犯公民個人信息違法犯罪力度,並對違法違規採集個人信息的APP進行集中整治,查處整改100款違法違規APP及其運營的互聯網企業。
這其中不但包含一些有頭有臉的城商行、金融貸款機構,還包含一些教育機構,以及常用的拍照軟件及商城。他們被整改主要原因是,對無隱私協議、收集使用個人信息範圍描述不清、超範圍採集個人信息和非必要採集個人信息等情形。
但其實,對於網絡運營者採集用戶信息的相關規定早在2017年6月就有出臺。
《網絡安全法》規定,未經被收集者同意,不得向他人提供個人信息;也不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息;而對於被收集者同意的,網絡運營方也需要明示收集、使用信息的目的、方式和範圍。
對此,大多數運營方確實會在協議中註明對用戶個人信息的使用用途,但鮮有運營者會提及,用戶的個人信息會被商業化輸出。
另在,我們國內存在的現象是,目前,大多數互聯網放貸機構及一些大數據公司對於用戶信息的收集,大多沒有底線,不但千方百計從各個渠道爬取用戶的信息,還會直接進行販賣。
“用戶在我這裏消費,獲取用戶的數據其實是合理的。但問題是誰來監管數據的對外提供。”業內人士陽稱,如果數據是爲自己公司內部所用,都是符合規定的,無可厚非。
但如果對外提供,根據“是否容易識別出用戶本人”的標準,姓名、通訊錄肯定不能直接露出的,家庭地址、年齡等均要做模糊處理,簡單來講就是當公司對外提供數據時,要進行“匿名化信息處理”。
對此,日本方面就有明確的規定。2015年,日本在個人信息保護層面曾修正過一部法律,對於個人信息的使用解釋權,是歸數據採集方所有。但如果這家企業要對外提供個人信息,那麼這個信息就要進行處理。而處理的標準就是“是否容易識別出用戶人”。
某些平臺可能有用戶較爲完整的個人信息,像姓名、年齡、徵信、學籍等信息。如果他們要將這些信息提供給金融機構,那麼最終提供的信息要符合“不容易識別出用戶本人”的標準。
“若提供的信息,很容易與金融機構的數據進行匹配並立即鎖定某個用戶,那這種數據提供的行爲就屬於侵權。”張陽向投中網介紹到日本關於個人的數據保護。
“但國內像日本這樣的規定目前還沒有,更多是企業自行立定條款去約束,可以說是口碑約束。小型互聯網公司,有沒有這樣的職業操守,就不好說了。”
而對於個人與運營方之間的數據隱私協議,大連理工大學法學副教授陳光表示,APP運營商與用戶簽訂的隱私協議或數據採集協議只是兩方之間的,並沒有第三方監管,協議是否公平,需要權衡,也需要有關部門必要的認可和審查。
另外,陳光認爲,一些大型機構掌握了大量的用戶數據,這些機構將用戶的數據進行加工,並商業化,若沒告知用戶,其實存在一定的問題。監管部門應該出臺相關的法律法規,對機構將個人數據進行加工輸出的商業化行爲,進行規範。
數據對於企業的發展很重要,但也事關用戶的個人隱私與安全,機構如何在個人數據的使用和隱私保護之間尋求平衡,顯然是亟需解決的當務之急。
(應受訪者要求,文中李林、劉浩、楊爽、嚴惠、王敏、袁雨、胡濤、張陽爲化名)
