【投中网】6亿通讯录,一条2毛钱,谁在偷我们的隐私数据?
4年而已 , 数据产业的老板们 , 从“新石油大亨”到“牢中人”只在转瞬之间 。
2015年 , 马云在云栖大会上预言 , 10年以后 , 数据将取代石油成为最强大的能源 。
这听起来像极了风口 。 据CVSource投中数据统计 , 仅2018年便有415家大数据风控企业 , 总共获得了879.34亿元的投资 。
如今 , 因为数据安全问题 , 这个风口转瞬即逝 。 四年之后的今天 , 凡是跟“数据”二字扯上关系的公司 , 日子都不太好过 。
这其中 , 过得最惨烈的是曾处于互金风口 , 备受追捧的大数据风控公司 。
有多惨烈?
“整个行业都快被抓没了 , ”从业者感慨道 。 2019年下半年 , 随着监管整顿趋严 , 曾一度风靡的大数据行业正在逐渐“消失” 。
“数据石油大亨”们 , 究竟犯了什么错?——贩卖隐私 , 一击致命 。
触碰公民隐私 , 这是数据公司们无法洗白的原罪 。
有业内人士表示 , 今年的监管主要还是以整治为主 , 下一步或会有对用户数据保护的办法出台 。 而对于违法收集和使用用户数据的企业来讲 , 目前的生存问题是一个很大的难点 , 如何转型 , 转型的方向都有很大的不确定性 。
另一位业内人士亦称 , 这种感觉很像当年抓互联网音像制品版权的时候 , 对一些公司进行整改 , 该抓的抓 , 该罚的罚 , 这才使得中国互联网音乐视频最终走上了版权经营的道路 。 当下 , 监管部门从行动上表明了态度 , 保护个人隐私和数据的办法 , 可能会陆续出台 , 但这还需要一到两年的时间 , 因为市场还需要一个调整和适应的时间 。
在监管持续近一年的清查行动中 , 锒铛入狱的不只老板 , 还有那些毫无防备的“普通上班族” 。
一、上班时 , 毫无防备被抓的人
“工作的时候 , 警察突然冲进来让抱头 , 然后就被控制了一天 , 所有人都不能用手机 , 也不能碰电脑 , 吃饭都是有人送来的 。 ”北京某大数据公司员工李林回忆 , 今年11月初的某天上午十点多 , 正当所有员工一如既往正常工作时 , 十几个警察突然就上门了 。
“大数据部门是第一个被带走的 。 ”李林告诉投中网 , 警察带了几个懂技术的人 , 进入公司后 , 直接去了大数据部门 , 还查看了那些人的电脑 。
“我去公司拿离职证明的时候 , 大数据小组的组长还没有被放出来 。 ”李林称 , 那个时间距离警察上门已过去3到5天 。
“全部员工都离职了 , 可我们不是金融公司啊 。 ”直到现在 , 李林包括公司的其他员工都不知道公司为什么会被警察一锅端 , 就连深圳和广州的分公司也未能幸免 。
后据投中网查询 , 事实上 , 李林所在的公司就是一家大数据公司 , 它一方面为海内外移动端设备厂商提供SaaS服务;另一方面则为游戏开发者、广告主等提供精准营销 。 目前 , 其主要合作伙伴有京东、QQ音乐、快手、蘑菇街、唯品会等 。
相比于李林至今仍不知公司员工为何被抓 , 另一家知名大数据公司员工刘浩心里则十分明白 , 他深谙公司被端,其实与使用爬虫技术违规爬取个人数据的行为有关 。
但他也有些疑惑 , 自己所在的公司在业内也算是佼佼者 , 还曾获得不少奖项 。 创始人积极参加业内峰会 , 公开发言 , 备受追捧 , 怎么一夕之间 , 就全军覆没了呢?
杨爽是刘浩的朋友 。 今年9月初 , 刘浩公司的核心高管被警方带走 , 刘浩因在外地出差 , 逃过一劫 。 杨爽得知刘浩公司出事之后 , 发了条短信给刘浩文问是否需要帮助 。
一天之后 , 刘浩回信:“没啥事儿 。 ”随后又补充:“好多电话打来 , 为了安全 , 我关机了 , 事情很突然 , 我也不知道说什么 。 ”
事发后 , 刘浩回老家待了近三个月 , 对于之前的工作他不愿在提及 , 也无心寻找新的工作 。
后有别的数据公司被查 , 同行向刘浩寻求经验帮助时 , 他给出的建议是:“赶紧走 , 把手头的证据都删掉 。 ”
后来 , 刘浩所在公司的业务内容流出 , 违规爬取的数据细节也公之于众 。 该公司不但爬取支付宝用户的真实姓名、手机号 , 还能通过支付宝爬取用户近一年的购物信息 , 交易记录 , 以及收获地址等隐私信息 。 而这还只是业务之一 。
明知违法又危险 , 为何仍有人“赴汤蹈火”?答案很简单 , 商业利益使然 。
二、网上购物 , 掳走你的个人信息
常有人会遇到这样一种情况 , 在和家人聊到想要购买某个商品后 , 打开购物APP , 就能看到关于该商品的推荐 。
原因是这些购物APP被设置了关键词(通常为商品) , 以及开通麦克风功能 。 用户在不知情的情况下 , 开启了麦克风(有的APP需要强制开启麦克风功能) , 并在与人交流的过程中提到APP中所设置的关键词 , 该关键词便会被激活 , 购物APP便会自动推荐用户所提及的产品 。
另一种情况是 , 你在某个APP中买了双袜子 , 再打开另一个购物APP时 , 他就会推荐别的款式的袜子 , 或其他相关物品 。 那么 , 另外一个你们没有进行搜索的购物APP是如何获你的购物信息的?
李林告投中网 , 发生后面这种现象的原因有两种 。
第一种 , 两个APP的主体公司是合作公司 , 双方的业务数据相互打通 , 当用户在一个APP上购买物品时 , 另一个APP会捕捉到用户的购物信息 , 猜测用户可能还需要什么商品 , 并进行推荐 。 因此 , 当用户打开APP时 , 就能看到相关产品 。
以一款领券+返利的网购省钱利器APP——“挣实惠”为例 。 据其内部员工严惠称 , 该平台已经与淘宝、拼多多等电商平台达成合作 。 因此 , 在“挣实惠”APP上聚集了大量拼多多与淘宝的商品 。
投中网下载“挣实惠”进行体验发现 , 其页面上的商品大多以天猫渠道为主 , 如果对选中的商品进行下单 , 页面会自动跳转至淘宝的链接 。 跳转的过程中 , APP会要求用户同意将淘宝账户的信息授权给“挣实惠” , 同意授权后 , 用户才能下单 。 在这里 , 授权的目的就是为了实现推荐 。
----【投中网】6亿通讯录 , 一条2毛钱 , 谁在偷我们的隐私数据? //----[ http://www.caoding.cn]
“第一次使用挣实惠 , 页面上的商品都是随机推送的 。 ”严惠说 , 这是因为“挣实惠”还没有掌握到用户的购物信息 , 而一旦用户将淘宝账户信息授权给“挣实惠” , “挣实惠”就可以随时掌握用户的浏览及购物信息 。 只要用户在淘宝购买了商品 , 打开“挣实惠”时 , 就能收到相关商品推荐 。 而“挣实惠”与拼多多合作的逻辑亦是如此 。
用户不会直观的了解到 , 正是这步关键的授权 , 就已将自己个人的购物信息从一个APP同步给了另外一个APP 。
投中网在“挣实惠”的《软件使用与服务协议中》发现 , 使用该软件则意味着用户同意将自己通过该软件上传的文字、图片、视频 , 以及在交易过程中产生的资料、交易数据等 , 供该公司主体以及其合作方在全网范围内进行使用、复制、修改等 。
----【投中网】6亿通讯录 , 一条2毛钱 , 谁在偷我们的隐私数据? //----[ http://www.caoding.cn]
(附协议截图)
而在隐私保护一项中 , “挣实惠”称其主体公司会在用户使用该软件的过程中 , 经用户统一后 , 搜集用户的个人信息 , 如真实姓名、性别、年龄、出生日期、身份证号码、电话号码、交易信息等 。 即便如此 , “挣实惠”这种收集数据的方式已经是一种预先申明、高调收集的做派 。
与高调派不同 , 隐蔽派收集数据的方式就全靠“暗箱操作” 。
在隐蔽派的做法里 , 即便两个APP的主体公司没有进行合作 , 但他们彼此也能通过爬虫手段 , 获取用户对商品的搜索记录或购物记录 , 推荐相关产品 。
不过 , 严惠称其实任何一家公司要爬取别家APP上的用户数据也都并不容易 , 鉴于数据的重要性 , 大多数公司都会对自家APP上的数据都进行加密 , 严防死守 , 防止外部公司爬取用户数据 。
APP通过授权直接或间接获得用户数据 , 对于大多数人来说 , 已经涉及侵犯公民隐私 , 但在互金风控圈看来 , 这或许还只是小儿科 。
更隐蔽的手段是 , 可以通过下载一个APP,薅光你的通讯录 。
三、下载APP , 薅光你的通讯录
“千万不要下载贷款公司的APP , 他能爬到你的所有信息 。 ”某金融公司员工王敏告诉投中网 , 一旦用户下载了自己公司的APP , 并首次打开时 , 对屏幕上弹出“隐私访问权限” , 选择同意 , 用户的的通信录、通话记录、短信、照片等就会被贷款公司爬个遍 。
“这还不是最紧要的 。 ”王敏称 , “贷款公司可以通过你的通讯录 , 找到你的直系亲属 , 旁系亲属或者朋友等亲密人士 , 只要你借钱不还或逾期 , 贷款公司就会把信息发给你的家人 , 以及催收公司 , 逼你还债 。 ”
最为疯狂的时候 , 王敏称贷款公司不仅仅是提供借款人的姓名、电话 , 就连居住地址 , 常去的地方都能打包给到催收公司 。
“还有些公司 , 直接把借款用户的通讯录以两毛钱一条的价格贩卖给催收公司 , 大部分公司的法务 , 明明知道这是不合法的 , 但依然会这么做 。 ”王敏透露 。 只不过随着监管的越来越严 , 金融公司们最近有所收敛 。
“我们公司现在大约掌握了5—6亿条通信录的号码 。 ”王敏告诉投中网 。
另据投中网了解 , 几乎所有的贷款APP都能获取用户的位置信息 , 用户去过哪里 , 在哪里停留多长时间 , 贷款公司就可以通过相关数据推断出用户的居住住址和办公地址 。
其逻辑是 , 比如用户每天都去 , 且一待就是七八个小时的地方 , 肯定是公司 , 而晚上一直停留的地方可能就是住处 。
但对于金融公司而言 , 要做风控 , 仅仅依靠自己获取的短信、通讯录等数据是远远不够的 , 多维度的数据才能更真实的了解用户是一个什么样的人 , 放款之后会不会发生逾期和坏账 , 这直接决定着金融公司能否赚钱 。
因此 , 为了安全起见 , 几乎所有的公司都会选择与外部公司进行合作 , 以便获取用户更多维度的数据 。
“今日头条、蘑菇街、度小满、携程等都是我们的数据合作方 。 ”某金融公司袁雨告诉投中网 , 跟这些公司合作 , 可以获取用户的购买记录、交易信息、出行记录等数据 , 这些都是金融公司风控过程中 , 较为重视的数据 。
值得注意的是 , 据云鼎实验室2018年发布的《互联网恶意爬虫分析》报告显示 , 目前 , 恶意爬虫分布的领域以出行类流量占比最高 , 为20.7%;其次是社交占比18.40%;再次是电商占比13.38%;仅接着是运营商、公共行政等 。
----【投中网】6亿通讯录 , 一条2毛钱 , 谁在偷我们的隐私数据? //----[ http://www.caoding.cn]
图片来源:云鼎实验室2018年上半年安全专题报告
“还有些机构能直接爬取到用户的社保、公积金、学历等数据 。 ”袁雨补充 , “但其实 , 如果是合作 , 某些公司也不会直接给到金融公司关于用户的明细数据 , 只是会大致告诉金融公司 , 用户的安全程度 , 可能适合放多少钱 。 ”
此外 , 袁雨还告诉投中网 , 只要用户一旦有了借贷需求 , 下载了市面上的任意一款贷款APP , 此后 , 就可能会不断的收到来自其他金融机构的营销信息 。
“原因很简单 , 你的个人信息已经被某些大数据公司或金融公司爬走了 。 ”
袁雨说 , 这在金融领域 , 已是公开的秘密 。
但其实 , 金融公司、大数据公司只是猎取用户数据众多角色中的一小撮 。 那些看起来有头有脸的大公司 , 也正在将用户的个人数据信息商业化 。
四、运营商 , 泄露你隐私的人
“地产商直接提需求 , 我们输出结果 。 ”曾在某知名运营商任职的胡涛告诉投中网 , 因为运营商拥有大量的用户数据 , 有些地产商会选择与其合作 , 作为实现精准营销的有力后盾 。
比如 , 某地产商将在某个区域开盘 , 他们会预先给出运营商一个特定的范围 , 让运营商查询在该区域内25—50岁的人有多少 , 他们的消费能力如何 , 是外来人多还是本地人口多?
运营商会通过内部模型计算出结果 , 并将其反馈给运营商 , 地产商就可以根据运营商返回的数据 , 做出合适的营销方案 , 并放到相应的区域 。
“在这个过程中 , 用户数据一直在我们公司内部 , 我们只输出结果 , 地产商无法得知用户信息 。 ”胡涛对投中网解释 。
另外一些地产商的做法是通过购买数据做招租 。 有的地产商会从运营商那里买来企业的网络使用数据 , 来反推企业在一个地方的租约情况 , 继而展开后续的服务 。
伴随着互联网的的发展 , 所有人在享受其带来的便利时 , 也在为此付出代价 , 那在数据就是石油的时代 , 如何才能保护用户的个人数据安全?
五、监管 , 徐徐而来的数据保护者
事实上 , 个人隐私泄露的问题 , 以引起监管部门的重视 。
今年以来 , 一些大数据爬虫公司的高管已被捕入狱 , 最为夸张的时候 , 一个月之类 , 便有5—6家知名的大数据公司被一锅端 , 整个行业风声鹤唳 。 与此同时 , 一些小公司也在毫无防备之下 , 被警方上门逮捕 。
早在今年年初 , 有知情人士告诉投中网 , 很多猎头也被抓了 , 原因是他们手中掌握了太多的个人信息 。
个人及企业数据被窃取 , 大多与APP有关 。 一些机构以APP为触角 , 借提供服务知名 , 公然收集用户信息 。 但眼下 , 这条路正在被堵死 。
12月4日 , 国家网络安全通报中心在发布《公安机关开展APP违法采集个人信息集中整治》一文中称 , 自2019年11月以来 , 公安部门便加大了打击整治侵犯公民个人信息违法犯罪力度 , 并对违法违规采集个人信息的APP进行集中整治 , 查处整改100款违法违规APP及其运营的互联网企业 。
这其中不但包含一些有头有脸的城商行、金融贷款机构 , 还包含一些教育机构 , 以及常用的拍照软件及商城 。 他们被整改主要原因是 , 对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形 。
----【投中网】6亿通讯录 , 一条2毛钱 , 谁在偷我们的隐私数据? //----[ http://www.caoding.cn]
但其实 , 对于网络运营者采集用户信息的相关规定早在2017年6月就有出台 。
《网络安全法》规定 , 未经被收集者同意 , 不得向他人提供个人信息;也不得收集与其提供的服务无关的个人信息 , 不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;而对于被收集者同意的 , 网络运营方也需要明示收集、使用信息的目的、方式和范围 。
对此 , 大多数运营方确实会在协议中注明对用户个人信息的使用用途 , 但鲜有运营者会提及 , 用户的个人信息会被商业化输出 。
另在 , 我们国内存在的现象是 , 目前 , 大多数互联网放贷机构及一些大数据公司对于用户信息的收集 , 大多没有底线 , 不但千方百计从各个渠道爬取用户的信息 , 还会直接进行贩卖 。
“用户在我这里消费 , 获取用户的数据其实是合理的 。 但问题是谁来监管数据的对外提供 。 ”业内人士阳称 , 如果数据是为自己公司内部所用 , 都是符合规定的 , 无可厚非 。
但如果对外提供 , 根据“是否容易识别出用户本人”的标准 , 姓名、通讯录肯定不能直接露出的 , 家庭地址、年龄等均要做模糊处理 , 简单来讲就是当公司对外提供数据时 , 要进行“匿名化信息处理” 。
对此 , 日本方面就有明确的规定 。 2015年 , 日本在个人信息保护层面曾修正过一部法律 , 对于个人信息的使用解释权 , 是归数据采集方所有 。 但如果这家企业要对外提供个人信息 , 那么这个信息就要进行处理 。 而处理的标准就是“是否容易识别出用户人” 。
某些平台可能有用户较为完整的个人信息 , 像姓名、年龄、征信、学籍等信息 。 如果他们要将这些信息提供给金融机构 , 那么最终提供的信息要符合“不容易识别出用户本人”的标准 。
“若提供的信息 , 很容易与金融机构的数据进行匹配并立即锁定某个用户 , 那这种数据提供的行为就属于侵权 。 ”张阳向投中网介绍到日本关于个人的数据保护 。
“但国内像日本这样的规定目前还没有 , 更多是企业自行立定条款去约束 , 可以说是口碑约束 。 小型互联网公司 , 有没有这样的职业操守 , 就不好说了 。 ”
而对于个人与运营方之间的数据隐私协议 , 大连理工大学法学副教授陈光表示 , APP运营商与用户签订的隐私协议或数据采集协议只是两方之间的 , 并没有第三方监管 , 协议是否公平 , 需要权衡 , 也需要有关部门必要的认可和审查 。
另外 , 陈光认为 , 一些大型机构掌握了大量的用户数据 , 这些机构将用户的数据进行加工 , 并商业化 , 若没告知用户 , 其实存在一定的问题 。 监管部门应该出台相关的法律法规 , 对机构将个人数据进行加工输出的商业化行为 , 进行规范 。
数据对于企业的发展很重要 , 但也事关用户的个人隐私与安全 , 机构如何在个人数据的使用和隐私保护之间寻求平衡 , 显然是亟需解决的当务之急 。
推荐阅读
- 《异度神剑 终极版》日语配音与英语配音直观对比影像
- RNG新上单暴露了?绿毛小明聊天记录曝光:记得照顾好我们的兄弟
- 讲解bjl下三路打法原理及个人实战技巧心得经验分享【许祥孜】
- 莱万已经累计4张黄牌,对阵法兰克福若再吃牌,将无法出战多特
- 2换1!乔丹当年的交易筹码曝光
- 中国渔民再次立功! 巨大宝藏重见天日, 美国请求被拒之门外!
- 余生不长,和谁在一起,真的很重要
- 央视新闻客户端这条传播链从1到200才两周!恐怖的投币练歌房:唱5首歌飞沫遍身
- 【独家】自小米入股后灵动微进入D+轮融资
- 国产EDA迎来了最好的发展机遇,补全短板,就能和国外产品PK了