欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

6亿通讯录,一条2毛钱,谁在偷我们的隐私数据?

 

4年而已,数据产业的老板们,从“新石油大亨”到“牢中人”只在转瞬之间。2015年,马云在云栖大会上预言,10年以后,数据将取代石油成为最强大的能源。这听起来像极了风口。据CVSource投中数据统计,仅2018年便有415家大数据风控企业,总共获得了879.34亿元的投资。

2019年堪称数据业的整治年。业内人预感下一步还会有新的监管办法出台。这个行业是否走到转折点,尚未可知。

如今,因为数据安全问题,这个风口转瞬即逝。四年之后的今天,凡是跟“数据”二字扯上关系的公司,日子都不太好过。

这其中,过得最惨烈的是曾处于互金风口,备受追捧的大数据风控公司。

有多惨烈?

“整个行业都快被抓没了,”从业者感慨道。2019年下半年,随着监管整顿趋严,曾一度风靡的大数据行业正在逐渐“消失”。

“数据石油大亨”们,究竟犯了什么错?——贩卖隐私,一击致命。

触碰公民隐私,这是数据公司们无法洗白的原罪。

有业内人士表示,今年的监管主要还是以整治为主,下一步或会有对用户数据保护的办法出台。而对于违法收集和使用用户数据的企业来讲,目前的生存问题是一个很大的难点,如何转型,转型的方向都有很大的不确定性。

另一位业内人士亦称,这种感觉很像当年抓互联网音像制品版权的时候,对一些公司进行整改,该抓的抓,该罚的罚,这才使得中国互联网音乐视频最终走上了版权经营的道路。当下,监管部门从行动上表明了态度,保护个人隐私和数据的办法,可能会陆续出台,但这还需要一到两年的时间,因为市场还需要一个调整和适应的时间。

在监管持续近一年的清查行动中,锒铛入狱的不只老板,还有那些毫无防备的“普通上班族”。

一、上班时,毫无防备被抓的人

“工作的时候,警察突然冲进来让抱头,然后就被控制了一天,所有人都不能用手机,也不能碰电脑,吃饭都是有人送来的。”北京某大数据公司员工李林回忆,今年11月初的某天上午十点多,正当所有员工一如既往正常工作时,十几个警察突然就上门了。

“大数据部门是第一个被带走的。”李林告诉投中网,警察带了几个懂技术的人,进入公司后,直接去了大数据部门,还查看了那些人的电脑。

“我去公司拿离职证明的时候,大数据小组的组长还没有被放出来。”李林称,那个时间距离警察上门已过去3到5天。

“全部员工都离职了,可我们不是金融公司啊。”直到现在,李林包括公司的其他员工都不知道公司为什么会被警察一锅端,就连深圳和广州的分公司也未能幸免。

后据投中网查询,事实上,李林所在的公司就是一家大数据公司,它一方面为海内外移动端设备厂商提供SaaS服务;另一方面则为游戏开发者、广告主等提供精准营销。目前,其主要合作伙伴有京东、QQ音乐、快手、蘑菇街、唯品会等。

相比于李林至今仍不知公司员工为何被抓,另一家知名大数据公司员工刘浩心里则十分明白,他深谙公司被端,其实与使用爬虫技术违规爬取个人数据的行为有关。

但他也有些疑惑,自己所在的公司在业内也算是佼佼者,还曾获得不少奖项。创始人积极参加业内峰会,公开发言,备受追捧,怎么一夕之间,就全军覆没了呢?

杨爽是刘浩的朋友。今年9月初,刘浩公司的核心高管被警方带走,刘浩因在外地出差,逃过一劫。杨爽得知刘浩公司出事之后,发了条短信给刘浩文问是否需要帮助。

一天之后,刘浩回信:“没啥事儿。”随后又补充:“好多电话打来,为了安全,我关机了,事情很突然,我也不知道说什么。”

事发后,刘浩回老家待了近三个月,对于之前的工作他不愿在提及,也无心寻找新的工作。

后有别的数据公司被查,同行向刘浩寻求经验帮助时,他给出的建议是:“赶紧走,把手头的证据都删掉。”

后来,刘浩所在公司的业务内容流出,违规爬取的数据细节也公之于众。该公司不但爬取支付宝用户的真实姓名、手机号,还能通过支付宝爬取用户近一年的购物信息,交易记录,以及收获地址等隐私信息。而这还只是业务之一。

明知违法又危险,为何仍有人“赴汤蹈火”?答案很简单,商业利益使然。

二、网上购物,掳走你的个人信息

常有人会遇到这样一种情况,在和家人聊到想要购买某个商品后,打开购物App,就能看到关于该商品的推荐。

原因是这些购物App被设置了关键词(通常为商品),以及开通麦克风功能。用户在不知情的情况下,开启了麦克风(有的App需要强制开启麦克风功能),并在与人交流的过程中提到App中所设置的关键词,该关键词便会被激活,购物App便会自动推荐用户所提及的产品。

另一种情况是,你在某个App中买了双袜子,再打开另一个购物App时,他就会推荐别的款式的袜子,或其他相关物品。那么,另外一个你们没有进行搜索的购物App是如何获你的购物信息的?

李林告投中网,发生后面这种现象的原因有两种。

第一种,两个App的主体公司是合作公司,双方的业务数据相互打通,当用户在一个App上购买物品时,另一个App会捕捉到用户的购物信息,猜测用户可能还需要什么商品,并进行推荐。因此,当用户打开App时,就能看到相关产品。

以一款领券+返利的网购省钱利器App——“挣实惠”为例。据其内部员工严惠称,该平台已经与淘宝、拼多多等电商平台达成合作。因此,在“挣实惠”App上聚集了大量拼多多与淘宝的商品。

投中网下载“挣实惠”进行体验发现,其页面上的商品大多以天猫渠道为主,如果对选中的商品进行下单,页面会自动跳转至淘宝的链接。跳转的过程中,App会要求用户同意将淘宝账户的信息授权给“挣实惠”,同意授权后,用户才能下单。在这里,授权的目的就是为了实现推荐。

“第一次使用挣实惠,页面上的商品都是随机推送的。”严惠说,这是因为“挣实惠”还没有掌握到用户的购物信息,而一旦用户将淘宝账户信息授权给“挣实惠”,“挣实惠”就可以随时掌握用户的浏览及购物信息。只要用户在淘宝购买了商品,打开“挣实惠”时,就能收到相关商品推荐。而“挣实惠”与拼多多合作的逻辑亦是如此。

用户不会直观的了解到,正是这步关键的授权,就已将自己个人的购物信息从一个App同步给了另外一个App。

投中网在“挣实惠”的《软件使用与服务协议中》发现,使用该软件则意味着用户同意将自己通过该软件上传的文字、图片、视频,以及在交易过程中产生的资料、交易数据等,供该公司主体以及其合作方在全网范围内进行使用、复制、修改等。

(附协议截图)

而在隐私保护一项中,“挣实惠”称其主体公司会在用户使用该软件的过程中,经用户统一后,搜集用户的个人信息,如真实姓名、性别、年龄、出生日期、身份证号码、电话号码、交易信息等。即便如此,“挣实惠”这种收集数据的方式已经是一种预先申明、高调收集的做派。

与高调派不同,隐蔽派收集数据的方式就全靠“暗箱操作”。

在隐蔽派的做法里,即便两个App的主体公司没有进行合作,但他们彼此也能通过爬虫手段,获取用户对商品的搜索记录或购物记录,推荐相关产品。

不过,严惠称其实任何一家公司要爬取别家App上的用户数据也都并不容易,鉴于数据的重要性,大多数公司都会对自家App上的数据都进行加密,严防死守,防止外部公司爬取用户数据。

App通过授权直接或间接获得用户数据,对于大多数人来说,已经涉及侵犯公民隐私,但在互金风控圈看来,这或许还只是小儿科。

更隐蔽的手段是,可以通过下载一个App,薅光你的通讯录。

三、下载App,薅光你的通讯录

“千万不要下载贷款公司的App,他能爬到你的所有信息。”某金融公司员工王敏告诉投中网,一旦用户下载了自己公司的App,并首次打开时,对屏幕上弹出“隐私访问权限”,选择同意,用户的的通信录、通话记录、短信、照片等就会被贷款公司爬个遍。

“这还不是最紧要的。”王敏称,“贷款公司可以通过你的通讯录,找到你的直系亲属,旁系亲属或者朋友等亲密人士,只要你借钱不还或逾期,贷款公司就会把信息发给你的家人,以及催收公司,逼你还债。”

最为疯狂的时候,王敏称贷款公司不仅仅是提供借款人的姓名、电话,就连居住地址,常去的地方都能打包给到催收公司。

“还有些公司,直接把借款用户的通讯录以两毛钱一条的价格贩卖给催收公司,大部分公司的法务,明明知道这是不合法的,但依然会这么做。”王敏透露。只不过随着监管的越来越严,金融公司们最近有所收敛。

“我们公司现在大约掌握了5—6亿条通信录的号码。”王敏告诉投中网。

另据投中网了解,几乎所有的贷款App都能获取用户的位置信息,用户去过哪里,在哪里停留多长时间,贷款公司就可以通过相关数据推断出用户的居住住址和办公地址。

其逻辑是,比如用户每天都去,且一待就是七八个小时的地方,肯定是公司,而晚上一直停留的地方可能就是住处。

但对于金融公司而言,要做风控,仅仅依靠自己获取的短信、通讯录等数据是远远不够的,多维度的数据才能更真实的了解用户是一个什么样的人,放款之后会不会发生逾期和坏账,这直接决定着金融公司能否赚钱。

因此,为了安全起见,几乎所有的公司都会选择与外部公司进行合作,以便获取用户更多维度的数据。

“头条、蘑菇街、度小满、携程等都是我们的数据合作方。”某金融公司袁雨告诉投中网,跟这些公司合作,可以获取用户的购买记录、交易信息、出行记录等数据,这些都是金融公司风控过程中,较为重视的数据。

值得注意的是,据云鼎实验室2018年发布的《互联网恶意爬虫分析》报告显示,目前,恶意爬虫分布的领域以出行类流量占比最高,为20.7%;其次是社交占比18.40%;再次是电商占比13.38%;仅接着是运营商、公共行政等。

图片来源:云鼎实验室2018年上半年安全专题报告

“还有些机构能直接爬取到用户的社保、公积金、学历等数据。”袁雨补充,“但其实,如果是合作,某些公司也不会直接给到金融公司关于用户的明细数据,只是会大致告诉金融公司,用户的安全程度,可能适合放多少钱。”

此外,袁雨还告诉投中网,只要用户一旦有了借贷需求,下载了市面上的任意一款贷款App,此后,就可能会不断的收到来自其他金融机构的营销信息。

“原因很简单,你的个人信息已经被某些大数据公司或金融公司爬走了。”

袁雨说,这在金融领域,已是公开的秘密。

但其实,金融公司、大数据公司只是猎取用户数据众多角色中的一小撮。那些看起来有头有脸的大公司,也正在将用户的个人数据信息商业化。

四、运营商,泄露你隐私的人

“地产商直接提需求,我们输出结果。”曾在某知名运营商任职的胡涛告诉投中网,因为运营商拥有大量的用户数据,有些地产商会选择与其合作,作为实现精准营销的有力后盾。

比如,某地产商将在某个区域开盘,他们会预先给出运营商一个特定的范围,让运营商查询在该区域内25—50岁的人有多少,他们的消费能力如何,是外来人多还是本地人口多?

运营商会通过内部模型计算出结果,并将其反馈给运营商,地产商就可以根据运营商返回的数据,做出合适的营销方案,并放到相应的区域。

“在这个过程中,用户数据一直在我们公司内部,我们只输出结果,地产商无法得知用户信息。”胡涛对投中网解释。

另外一些地产商的做法是通过购买数据做招租。有的地产商会从运营商那里买来企业的网络使用数据,来反推企业在一个地方的租约情况,继而展开后续的服务。

伴随着互联网的的发展,所有人在享受其带来的便利时,也在为此付出代价,那在数据就是石油的时代,如何才能保护用户的个人数据安全?

五、监管,徐徐而来的数据保护者

事实上,个人隐私泄露的问题,以引起监管部门的重视。

今年以来,一些大数据爬虫公司的高管已被捕入狱,最为夸张的时候,一个月之类,便有5—6家知名的大数据公司被一锅端,整个行业风声鹤唳。与此同时,一些小公司也在毫无防备之下,被警方上门逮捕。

早在今年年初,有知情人士告诉投中网,很多猎头也被抓了,原因是他们手中掌握了太多的个人信息。

个人及企业数据被窃取,大多与App有关。一些机构以App为触角,借提供服务知名,公然收集用户信息。但眼下,这条路正在被堵死。

12月4日,国家网络安全通报中心在发布《公安机关开展App违法采集个人信息集中整治》一文中称,自2019年11月以来,公安部门便加大了打击整治侵犯公民个人信息违法犯罪力度,并对违法违规采集个人信息的App进行集中整治,查处整改100款违法违规App及其运营的互联网企业。

这其中不但包含一些有头有脸的城商行、金融贷款机构,还包含一些教育机构,以及常用的拍照软件及商城。他们被整改主要原因是,对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

但其实,对于网络运营者采集用户信息的相关规定早在2017年6月就有出台。

《网络安全法》规定,未经被收集者同意,不得向他人提供个人信息;也不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;而对于被收集者同意的,网络运营方也需要明示收集、使用信息的目的、方式和范围。

对此,大多数运营方确实会在协议中注明对用户个人信息的使用用途,但鲜有运营者会提及,用户的个人信息会被商业化输出。

另在,我们国内存在的现象是,目前,大多数互联网放贷机构及一些大数据公司对于用户信息的收集,大多没有底线,不但千方百计从各个渠道爬取用户的信息,还会直接进行贩卖。

“用户在我这里消费,获取用户的数据其实是合理的。但问题是谁来监管数据的对外提供。”业内人士阳称,如果数据是为自己公司内部所用,都是符合规定的,无可厚非。

但如果对外提供,根据“是否容易识别出用户本人”的标准,姓名、通讯录肯定不能直接露出的,家庭地址、年龄等均要做模糊处理,简单来讲就是当公司对外提供数据时,要进行“匿名化信息处理”。

对此,日本方面就有明确的规定。2015年,日本在个人信息保护层面曾修正过一部法律,对于个人信息的使用解释权,是归数据采集方所有。但如果这家企业要对外提供个人信息,那么这个信息就要进行处理。而处理的标准就是“是否容易识别出用户人”。

某些平台可能有用户较为完整的个人信息,像姓名、年龄、征信、学籍等信息。如果他们要将这些信息提供给金融机构,那么最终提供的信息要符合“不容易识别出用户本人”的标准。

“若提供的信息,很容易与金融机构的数据进行匹配并立即锁定某个用户,那这种数据提供的行为就属于侵权。”张阳向投中网介绍到日本关于个人的数据保护。

“但国内像日本这样的规定目前还没有,更多是企业自行立定条款去约束,可以说是口碑约束。小型互联网公司,有没有这样的职业操守,就不好说了。”

而对于个人与运营方之间的数据隐私协议,大连理工大学法学副教授陈光表示,App运营商与用户签订的隐私协议或数据采集协议只是两方之间的,并没有第三方监管,协议是否公平,需要权衡,也需要有关部门必要的认可和审查。

另外,陈光认为,一些大型机构掌握了大量的用户数据,这些机构将用户的数据进行加工,并商业化,若没告知用户,其实存在一定的问题。监管部门应该出台相关的法律法规,对机构将个人数据进行加工输出的商业化行为,进行规范。

数据对于企业的发展很重要,但也事关用户的个人隐私与安全,机构如何在个人数据的使用和隐私保护之间寻求平衡,显然是亟需解决的当务之急。

(应受访者要求,文中李林、刘浩、杨爽、严惠、王敏、袁雨、胡涛、张阳为化名)

9999.jpg




暂无

您可能还会对下面的文章感兴趣: