刚和朋友聊起理财、化妆、买房、贷款等日常话题,你有没有质疑过为什么会有嘀嘀打车、腾讯新闻甚至几个视频网站发来关于聊天内容的广告?
对于隐私,人们从来没有像现在这样感到不安。 今年的“315晚会”曝光,智联招聘、前途无忧、猎官网等缺乏管理,导致大量简历被泄露、倒卖,形成了黑色产业。 另外,内存优化大师、超强清理大师、手机管家Pro都打着清理内存的旗号,通过APP应用列表、位置信息、通讯录等技术手段不断从手机上获取信息。
近日,证券时报记者深入多项数据交易千人QQ群,各行各业用户隐私数据被随意出售,令人瞠目结舌。 有时候群里会出现“一手出GM、WD、BJ、保健信息,一手买很多数据,淘宝、京东的数据,需要数据联系……”的数据,按行业分类列出。 据说还展示了收集个人信息的系统,可以收集全国上司的个人联系方式。 也有取得数据的软件。 “登录”网站、“嵌入”APP,以及“刀片”数据。
在整个数据交易过程中,内鬼、黑客、爬虫软件开发商、清洗者、加工者、材料商、购买者等都寄生在这里,产生了上千亿个“年产值”的数据黑市。
APP权限申请泛滥
在2020年网络公映的纪录片《监视资本主义:智能陷阱》中,SNS后台“三位工作人员”讲述了眼前的这个年轻人在什么照片下停留多长时间,什么样的感情更能产生共鸣,什么样的广告会吸引他这三个人被称为停留目标,根据停留时间选择下一个推送内容,继续在屏幕上滑动。这是一个成长目标,可以尽可能多的邀请朋友,提高社交依赖度。这被称为广告目标,可以让你在对某件事感兴趣的时候准确地点击订单链接
这一切行为的背后都是所谓的算法模型,精确算法的背后是以海量数据为支撑,将人数据化。
那么,这些数据来自哪里?
获取权限是大小商家通过APP或小程序收集用户隐私数据的第一步。 你安装APP的时候,几万字的用户合同,出现在巴掌大的手机屏幕上,你是逐字看,还是快速按“同意”? “不同意”的话APP结束不能使用的可能性很高。
APP越界维权现象已是不争的事实。 以美图秀秀为例,很难想象某个p图软件会一个人获取这么多信息,比如搜索记录、陟览记录,甚至是日历和地理位置。 如果仔细阅读美国摄影展的个人信息保护政策,在第三方平台上共享美国摄影展的内容时,也会读取用户的APP应用程序列表信息。 美图秀秀还为游戏合作伙伴提供身份证号码信息,并为合作伙伴共享用户支付信息。
根据条款,基于现代移动互联网产品的互连特性,产品可能会访问美图相关公司或外部合作伙伴在线的其他产品或功能。 例如,在使用钱包功能的情况下,美国图可能从第三方获取用户的移动电话号码、信用额度、偿还额、注销成功状态、逾期状态等。
这意味着只要用户通过美国摄影软件获得许可,美国摄影展不仅可以从自己的APP上获取用户的更详细、更具体的信息。
“这种行为其实非常普遍,国内用户保护个人信息的意识可能不太强。 这给了企业很大的选择度,业界称为“占便宜”。 虽然现在不需要一些数据,但今后并不需要。 取得用户许可证后获取的用户信息当然越多越好。 ”某金融科技公司大数据风控架构师肖强说。
证券时报记者从衣服、食物、住房、银行、社交、娱乐、理财等方面对25项APP相关权限的获取进行了统计,发现与用户社交圈密切相关的通讯录权限已成为APP权限的标准化。 此外,这些APP通过一些特定功能读取通讯端、手机储存器、照片,甚至记录人脸识别、日历、通话记录,手机APP权限申请已经泛滥。
幸运的是,对APP过度申请权限收集数据的监管得到了加强。
3月22日,国家网信办、工信部、公安部、国家市场监管总局联合发放《常见类型移动互联网应用程序必要个人信息范围规定》,明确地图导航、即时消息、网络购物等39种公众所需个人信息范围,帮助用户将不必要的个人信息
不过,肖强对记者说:“大家可能都知道APP在收集隐私数据,但除此之外,用户的数据也有可能是通过隐藏在APP中的第三方软件开发工具包( SDK )收集的。”
SDK收集的用户信息可以详细到什么程度? 北京网贷协会数据安全专家韩洪慧表示:“SDK一旦嵌入,只要在这个APP注册注册、注册、默认获得授权,所有的行为数据都会被记录下来。 在不知不觉中获取手机通讯录、聊天记录、银行账号密码、短信、通讯录、位置信息等”。
因此,虽然用户允许APP收集个人信息,但往往不知道自己的个人信息是什么时候、用什么方法被第三者的SDK共享的。 在许多APP有关共享“隐私策略”内容的表述中,最常见的是“可能将用户的个人信息共享给第三方”。 但是,很少有APP详细列举隐私政策中所谓的“第三方”包含哪些内容。
对个人信息安全的担忧反映出用户越来越敏感的神经,也是用户对个人数据缺乏知情权和主导权的表现。 SDK对用户来说,就像是隐藏的“定时炸弹”,危险性不言而喻。
SDK提供程序的用户信息泄露和滥用非常隐蔽,也是泄露用户隐私的来源之一。
谁窃取了用户隐私?
数腾科技一位销售经理对记者表示,他们有自己的特殊渠道去获取一些数据,其中最主要的渠道是通过第三方SDK获取数据。
“通过该通道获得的数据像漏斗一样,根据需要筛选数据。 例如,在网贷行业的用户数据中,当用户登录XX泛在时,需要许可证才能使用此APP,而一旦许可SDK,则会收集此用户的所有登录痕迹。 其他消费者金融公司也可以使用此SDK软件开发包以相同的方式进行共享。 ”
在进一步追究记者具体与哪个SDK的朋友合作时,经理以“机密信息”为理由拒绝透露。
不可忽视的是,用户的个人信息通过网络转卖很猖獗。 近日,记者潜入了多千个QQ群,发现群里不时有人兜售来自各行各业的市民个人信息。
记者以买家身份接触了一位名为“空城”的QQ卖家,以先测试数据真实性为由,要求对方提供股东个人信息数据。
为了证明自己的数据源,“空城”为记者提供了数据源截图,收集到的股东个人信息来自各大券商APP,广发证券、中投证券、国泰君安等都在募集。
正如“空城”所说,QQ群里确实有人在卖数据时打着“公司内部信息”的旗号公开转售数据。 “内鬼”监守自盗是个人信息流入黑产的重要渠道之一。 能够接触大量个人信息的职业,并不是一个很高的门槛,岗位的职务级别也不需要太高,泄露源可能来自各个层面。
2020年,公安机关打击利用工作窃取、泄露公民个人信息的违法犯罪行为,各行业内部均有人员,查获重点行业内部人员500余名,这只是冰山一角。
除了泄露“内鬼”,还会通过各种技术手段窃取公民隐私。
在调研采访过程中,黑市数据交易市场十分活跃,数据采集软件种类繁多,其中一个是客流APP,被誉为“全网最大数据客流软件”。 那位销售经理对记者说:“我们这个软件是全自动收集的,你只要搜索关键词,就可以在每个网站、三大地图、三大运营商上找到你想要的客户资源和群体。 除了集客功能,还可以提供营销素材、带商品的视频等。 各功能对应不同的价格。 ”。
当记者询问与哪三大地图合作时,这位销售经理表示,主要是腾讯地图、金牌地图、百度地图,被授权使用他们的数据界面,并把三大地图运营商和盖章的合同发给了记者。
该记者向百度、腾讯及高德公司求证是否允许汇款客户使用平台用户数据,对方一致表示尚不清楚这家公司,不允许擅自使用API (数据接口)。 腾讯内部人士对记者说,这一章是赝品,字体不同。
为了证明该软件的数据获取能力,上述销售经理表示,可以在后台注册后进行测试。 记者随后下载了该APP,发现可以按地理位置、行业、客户类型等进行搜索,导出相应的用户数据,一键添加微信。
“因为只是体验,所以不会看客户的手机号码。 这也是为了我们公司保护其他会员的权利。 我们与几家第三方SDK合作,与几家大型互联网公司进行API数据接口的对接。 我们与腾讯、百度、华为、阿里、嘀嘀打车、快手、美团、饿了么有战略合作关系,资源高度整合。 ”这位销售经理说。
据了解,汇容客户软件显示的数据来源主要是地图数据、工商数据、嘀嘀打车、快手、阿里巴巴、美团、饿了么、京东互联网巨头。
对于软件提到的数据来源,《证券时报》记者一一向腾讯、阿里、美团、京东等进行了核实,但大多并不与汇容客户这第三方共享API数据接口,只是表示不会反应迅速。 阿里公关表示,集团无法授权该公司通过API接口获取呼叫阿里的用户信息,目前正在深入调查此事。
“能够从这些网站访问用户数据,一定是使用了一些技术。 其实爬虫技术并不神秘,而是进入网站,“铲”数据后再进行加工清洗。 这样的软件很多,大部分都是在网上无差别地登录顾客资料,之后通过加工进行正确分类。 由此职业清洗数据和加价的人也在增加。 ”写了爬行动物代码的阿强向记者透露。
黑客除了内鬼和技术手段外,还是窃取大量个人信息的另一个重要来源。 从此前京东用户密码泄露事件到酒店般的用户数据泄露,网站与黑客在用户数据上展开了漫长的攻坚战。
黑客通过技术入侵网站窃取市民个人信息并不容易,几天以上一个月以上,很少被管理者发现。 在黑客世界里,人们有一种默契,就是进入网站获取权限和信息后,互相交换数据,互通有无,加大被盗公民的个人信息库,全面掌握个人信息。
2020年,全国公安机关在“网络2020”专项行动中,查获黑客和新技术犯罪案件1782起,涉案黑客2952人被抓获。 实际上,更多的黑客仍然潜伏在地下。
个人信息通过内鬼、网络技术、黑客等渠道流入数据黑市,进入大小各级代理商“料商”手中。
个人信息明码标价
材料商,也就是数据中间商,通过数据源提交给数据购买者是地下数据交易市场的非常重要的作用。 个人数据是指通过材料商以不同的价格在黑市上流动。 材料公司发展自己的代理商,层次较高的材料公司数据源越多,数据信息就越完整。
前述销售经理是行业材料商之一,他向记者表示,只包含电话号码、微信、QQ号码等个人一般信息,平均拿到商品的价格在每件4毛左右,每件价格在7~8毛左右,每件约赚3~4毛左右“我每月播放40万~50万元的销售数据。 在金融、教育、医美等行业做。 这个需求量会比较大。 ”
在与多家材料商的接触采访过程中,上述销售经理不是一级材料商,一级材料商的采购成本在0.15元/条左右,像祝经理这样的二级材料商的采购成本在0.4元/条左右,三级材料商的采购成本在0.7~0.8元/条
以上只是数据黑市交易中的一般隐私数据价格。 在数据黑市上,一些材料商专门从事“渗透数据”交易。 “渗透数据”是指能够掌握所有信息。 除了电话号码、微信等基本信息外,还包括用户的身份证号码、旅行记录、开房记录、通话记录、家人、工作、婚姻状态、户籍所在地等。
付费商家在QQ群里直接对“渗透数据”进行定价,个人简码按15元/条查询,包括姓名、性别、手机号码; 中级信息50元/条,除简易信息外,还包括户籍地址、身份证号码、照片; 高级信息100元/条,除中级信息外,还包括现住地址、开房记录、车辆信息; VIP客户端600元/条。
“正常的市场价只有通话记录,1,500元左右,开房记录价在2,200~2,500元左右,家庭信息在300元左右。 ”网名为“风”的材料商说。
据不完全统计,国内个人信息泄露数量达到55亿3000万件左右。 平均每人有4条相关个人信息被泄露,车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流传。
国内知名信息安全团队“雨袭击团”去年10月报告称,一年半的时间内,8亿6000万条个人信息数据被明码标价出售,个人数据几乎被赤裸裸地卖出。
灰色产业链庞大
“我要求购买股票买卖信息,但在数量上没有封闭。 有材料的话就找我! ”一位买家在QQ群内发布了这样的消息,很快多家材料商通过私聊推荐了手中的数据资源。
经过沟通和价格比对,上述买家告诉记者,他已经从一家材料商那里获得了1万条理财个人信息,包括姓名、电话号码和微信,价格为1元/条。 记者进一步追究了获得这些数据的主要用途,称购买者只是为了销售财科技商品。
综合采访,购买个人信息最多的是从事广告销售、虚假发票销售、垃圾信息发布、网贷催收的人。 其中,房地产、资产管理公司、保险公司、母婴及保健品行业、教育培训机构是关注个人信息的核心群体。
被盗的个人信息有时也会被用于诈骗。 例如,保健品的用户信息主要针对老年人,专门针对诈骗。
在与记者的接触中,他们大部分都知道买卖数据交易是黑产的,但仍然有这样的行动。 一个重要原因是在正规渠道打广告,比如百度的竞价排名中,获得成本在60~80元/左右,而在地下黑市购买用户数据,可以大幅降低成本。
从信息收集到信息销售、信息利用,一直围绕着交易环节,由此产生的“灰色产业链”不可估量。 猎官网报告显示,目前我国网络黑产从业人员已超过40万人,依托其进行网络诈骗的行业人数至少有160万人,“年产值”在1000亿元以上。
数据合规交易痛点
庞大的个人信息地下市场规模有多大,目前还没有正确的数字统计。 但从公安机关的专项打击行动中,可以看出一斑。
2020
年全国公安机关深入推进“网络2020”专项行动,全年查办网络犯罪案件5.2020万起,抓获犯罪嫌疑人8万余人。 其中,查办侵犯公民个人信息案件6524起,抓获犯罪嫌疑人1.3万人。
但很明显,这不是黑市的全貌。 贵阳大数据交易所业务经理陈经理对记者表示,“目前通过正规渠道进行数据交易的并不多,更多的数据可能还是在黑市上交易。”
贵阳大数据交易所是国内首个大数据交易所,将于2015年4月正式挂牌运营,打出未来3~5年日交易量达到100亿元以上的口号。 现在,交易所成立已经过去了6年。 陈经理向记者透露,目前交易所日的成交量远远没有达到当时制定的目标。
大数据服务公司博士后首席执行官罗皓和陈经理同时表示,在数据交易过程中出现的数据确权、数据追溯性、交易过程中的安全、合法性、隐私保障等问题,至今没有得到很好的解决。 特别是在数据的收集、加工、采用、交易等环节中可能有多个参与者,在实践中尚未达成协议,何种情况下何种类型的参与者才能获取数据。
现在看到的红线是来源是否合法,以及交易数据是否被脱敏。 (涉及机密信息进行个人化、隐私化处理)。 但问题是在数据流中,实际上很难发现其中混入了非法来源和未脱敏数据。
另外,由于数据开放度不够,市场上合法流通的数据种类和数量有限,玩家们很难发挥拳脚。
腾讯、阿里等互联网巨头在拥有海量数据的同时,可以自己对云计算闭环进行大数据传输。 希望打包成数据产品和服务进行销售,比单纯地买卖数据更有价值,也可以避免法律风险。 这些玩家共享数据的意愿不强,这可以从腾讯、阿里和贵阳大数据交易所合同到期后没有续约的情况看出来。
但是,在技术上,目前有用于实现B2B之间的数据合规交易的技术。 大数据星云Clustar CTO张骏雪对记者表示,目前公司已经采用“联邦学习”算法。 简单来说,就是根据双方现有的数据共同构建坐标体系。 此坐标系是所谓的建模,建模完成后,可以更准确地确定客户是处于坐标系的安全点还是危险点。 但是在建模过程中,双方不知道彼此的用户资料,不用担心用户的隐私被复制泄露。
张骏雪表示,上述联邦学习算法目前仅解决了B2B之间的数据合规化交易,主要用于银行金融机构之间的数据交易,成本较高,未大规模应用。
大成律师事务所律师肖飒对记者说,个人信息的合规使用在目前我国很大程度上依赖于公司自律,各大运营商对于用户隐私是否履行了保护责任,如何平衡公众隐私保护和商业模式,保护个人权益
【纠错】【责任编辑:高畅】
4标签: 100