無處不在的“扒者”

吳雪

早高峰，一群上班族涌向地鐵站，街邊一排共享單車，你打開手機掃一掃，誰知，隔天就接收到了金融產品的推銷短信；中午時分，一位自稱快遞公司的人打來電話，你在淘寶網購的商品，顯示丟件，可加倍賠償，但需要發(fā)送你的收款二維碼；傍晚，你的家人、朋友、同事接到了多個催收電話，事實卻是你在京東金融上的借款逾期。

周末，你打開飛豬，規(guī)劃很久的出國游，顯示出票成功，但很快，開頭106的非官方短信告訴你“航班取消”。生活在大數據構建的世界，人們在享受數據便利的同時，也正在被一些過度收集個人信息或過度索權的行為所困擾。而網絡黑產鏈條傳播的根源，恰恰在于公眾對個人信息的“被迫放逐”。

上海正策律師事務所律師張兢憶告訴《新民周刊》，企業(yè)方獲取一攬子數據要素，進行加工處理，人群畫像，共享轉讓，有利潤亦有價值。但對于一攬子授權、強制同意等問題，公眾反映強烈。

目前，針對市面上購物類、金融類、出行類、服務類等App，用戶敏感信息如何收集與處理，數據收集、使用范圍的邊界是什么？如果用戶點擊不同意，商家拒絕提供App服務是否合理？撤回同意及刪除信息的方式是否暢通？

誰收集，收集什么，賣給誰，怎么使用？《新民周刊》記者展開了調查。

3月15日，中消協發(fā)布2023年“提振消費信心”消費維權年主題調查，結果顯示，個人信息泄露問題仍然困擾著消費者，排在各類問題首位37.3%。對照2022年消費維權年主題調查結果，多數受訪者反感互聯網平臺App產品強制要求授權和索取個人信息的行為，不支持當前App產品強制要求授權和索取個人信息的比例達46.7%。

早在2021年，中國人民大學一個團隊調查了數十萬款App后，研究發(fā)現，App的各類權限有30多個，但很多權限跟App實現功能的需求并不匹配。App在登錄前后，往往也會調用部分權限，同意相關隱私協議，但對于權限授權哪些信息，隱私信息的用途，多數用戶并不清楚。

記者與大多數用戶一樣，因著急掃碼使用單車，而快速點擊“允許”，不會對隱私政策全文通讀，判定一二，便默認同意美團單車收集信息的行為。

3月16日，記者掃碼了一輛“美團單車”，進入小程序后發(fā)現，其對于個人信息授權的提醒，相對隱蔽。在提示登錄頁面，首先彈出一個申請頁面——“使用你的藍牙，解鎖單車?！闭埱笤试S或拒絕，記者以為此處提示，應當僅作為“使用藍牙”功能，文字上也并未提示額外的個人用戶信息授權。

但仔細觀察，在該彈框右上角，還有兩個小字“申請”，旁邊有個灰色感嘆號，點進去才發(fā)現“內有乾坤”。大標題為“第三方用戶信息授權說明”的彈窗寫著：你授權后，小程序開發(fā)者、小程序引用的插件開發(fā)者將訪問你的藍牙，為你提供相關服務。開發(fā)者將嚴格按照《美團| 外賣美食買菜酒店電影購物小程序隱私保護指引》，處理你的個人信息。

記者與大多數用戶一樣，因著急掃碼使用單車，而快速點擊“允許”，不會對隱私政策全文通讀，判定一二，便默認同意美團單車收集信息的行為。該收集流程同樣出現在“美團打車”小程序。只不過登錄頁面，顯示并非“開啟藍牙”，而是“獲取你的位置信息”。

當天，記者又點擊進入另一小程序，掃碼用車。在該登錄頁面，有一個勾選選項寫著：“登錄代表您已同意《法律條款與隱私政策》”，當記者未點擊勾選，則再次彈出提示要求用戶閱讀該隱私條款，當記者點擊拒絕，則再次跳轉到起初頁面，意味著如果記者拒絕，將無法正常登錄該程序，且無法用車。

進入飛豬App，同樣需要經過“被同意”三道彈窗。首先是“溫馨提示”，其中包含了飛豬隱私政策，如果不同意，將進入第二道彈窗?！澳阈枰獗倦[私政策，才能繼續(xù)使用飛豬?！比绻c擊不同意，直接到第三道彈窗，“親，要不要再想想?！?，并給出選項“退出應用”和“查看協議”。

以美團等為例，各款App并未給出“不同意”的選項。有的小程序，如果用戶點擊同意《法律條款與隱私政策》，將一鍵默認同意26項協議，包括單車、助力車、電動車、順風車等用戶協議。按照每篇協議1萬字，30分鐘的閱讀速度，全部讀完需要13個小時。

而且，大多數企業(yè)的《隱私政策》普遍存在晦澀難懂、冗長繁瑣、專業(yè)術語較多等問題，導致用戶難以真正理解個人信息被收集的用途和目的。《新民周刊》記者閱讀了多家App的隱私政策，不少協議內容超1萬字，文字過小、排版較密、重點與非重點文字顏色相近，讓不少用戶忽略了重點信息。雖然有部分關鍵信息加粗，但對于沒有法律背景的用戶來說，很難從中判斷其條款的合理性，更對協議中不同意的部分進行修改。

而在《應用權限申請與使用情況說明》部分，所涉及的權限有10—12種，比如，訪問攝像頭、媒體文件、通話記錄等，實際使用過程中，用戶難以判斷是否允許App使用權限。

如果用戶表示，不使用某一項業(yè)務，App是否可以拆分條款，能否給予用戶“同意或不同意”的選擇權利。張兢憶認為，技術層面有可能實現，但平臺并沒有驅動力去做這件事。原因有兩點，一方面，技術拆分成本較高；另一方面，相當于用戶在倒逼企業(yè)放棄這部分數據權利，而這些數據恰恰是企業(yè)方獲取廣告流量及收入的重要來源。

各類App 有哪些問題呢？攝影/ 劉綺黎

一位業(yè)內人士也表示，企業(yè)方通常面對C端客戶，量很大，一百萬人有一百萬個需求，對于商家來說，成本覆蓋不了，無法做出個性化安排。所以，明確告訴消費者“你不接受我的信息收集，請你不要使用我的App”是最簡單省事的方法。

現實中，保護個人信息可能比想象中復雜。中國人民大學法學院副教授丁曉東說：“個人信息與非個人信息的界限并非如想象的那樣清晰。收集行為是否合法等，也就不那么容易判斷?！北热?，個性化推薦、用戶畫像等收集的數據屬于個人信息嗎？

一旦撕開“信息收集”這道口子，公眾將掉入信息“黑洞”，逐漸失控。

身處乙方角色的公眾，通常沒有談判的權利。北京市朝陽區(qū)的王先生擔心信息被違規(guī)使用，在安裝一些App時，曾想拒絕某些授權，可他發(fā)現，不同意授權，就無法使用。更讓王先生困惑與后怕的是“一旦授權，我的個人信息去了哪兒？”。

一位開發(fā)者表示，獲取權限后，后臺甚至能夠判斷數據背后的人做什么工作、常去哪里。保護虛擬空間數據化的“我們”，通常依靠收集方自律。然而，倘若某些企業(yè)安全“防護墻”不結實，就可能造成信息泄露。而更大的風險是，一些數據收集方甚至會做起數據交換的“生意”，幾經轉手，數據可能被非法利用。

3月20日早上11點，記者接到了“010—5147××××”的營銷電話，對方聲稱，這里有20萬元的借款額度，可隨借隨還，還贈送30天的免息券。提供單車服務的公司，怎么做起了貸款生意，記者在小程序掃碼單車的時候，也從未點擊過任何貸款的按鈕，這讓記者感到疑惑。當記者問及如何操作借款時，對方表示，可在App首頁“借錢”，兩分鐘即可到賬。

美團共享單車界面有小“坑”。

雖然提示可以按照方法進行退訂，但并未明確提供“如何退訂”的具體操作。

下載了“臻有錢”App后，點擊首頁“借錢”按鈕才發(fā)現，該業(yè)務是2019年上線的某助貸產品，最高貸款額度20萬元，與湖北消費金融、中原消費金融、馬上消費金融等多個機構合作。記者了解到，盡管該企業(yè)具備一定消費金融線上運營經驗，但助貸業(yè)務并非一帆風順。自其上線以來，被消費者多次投訴貸款利息高、暴力催收、電話騷擾等問題。在黑貓投訴平臺顯示，“臻有錢”相關的投訴信息有350條。

3月20日，有消費者投訴稱，該平臺連續(xù)撥打電話問需不需要貸款，在表明再打電話就投訴的情況下，業(yè)務員說不會再騷擾了，結果沒幾天，又收到“臻有錢”的短信繼續(xù)推銷貸款，且換不同的號碼進行“電話轟炸”，已嚴重影響正常生活。

還有用戶因不滿隱私保護控訴，表示自己只是注冊用來騎車，結果泄露了信息，發(fā)騷擾短信，并且短信中明明有回T退訂，但是實際根本沒有效果，存在誤導用戶，欺騙用戶的行為。大多數用戶表示，自己從未使用過這款產品。

為什么從未使用該產品，卻接到相關營銷電話？記者調查發(fā)現，問題出在相關的隱私信息授權。在記者曾使用過的小程序登錄頁面，里面包含了26項目協議，其中排在第二位置的《個人信息保護及隱私政策》第9條有關于“臻有錢”的相關條款。

這項金融服務收集的信息內容，包含人臉信息、學歷、居住地、月薪、銀行卡信息、詳細地址，單位名稱、單位地址、職業(yè)、行業(yè)等。甚至聯系人信息，姓名、手機號、關系等都收集在內，并強調根據用戶信息形成群體特征標簽，用于提供可能感興趣的營銷活動通知，商業(yè)性廣告、短信、電話語音等。

雖然提示可以按照方法進行退訂，但并未明確提供“如何退訂”的具體操作。值得一提的是，該小程序中并未有“借錢”業(yè)務，該業(yè)務只存在于App，但小程序卻讓用戶“被同意”未開設的業(yè)務，這是否合理？

專家表示，個人信息保護法明確，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍。

電話營銷只是“信息收集”使用場景的第一步，有消費者投訴，一旦借款逾期，不僅無法協商還款，還遭受到了大量網絡催收電話，催收人員態(tài)度囂張跋扈，并發(fā)送了一系列的含有恐嚇威脅性質的短信，讓其再去借貸周轉；還有用戶稱，自己被催收威脅騷擾，借款時強制捆綁了保險單，除了利息，每期還要多還60元的保費。

暴力催收等情況，還存在于京東金融、分期樂等互聯網金融產品，譬如，分期樂相關隱私條款，存在收集用戶通話記錄、通訊錄等行為?！按呃U電話會打給同事、朋友、家人，福建有一個朋友，遭遇銀行催債，催收電話竟然打給了廣東的一個人，可怕的是這個人只是在他通訊錄里存在過，并不熟悉?！?/p>

張兢憶認為，用戶登錄軟件時已經默認隱私政策，默認這些信息可以使用，企業(yè)作為債權人，要收回欠款，既然雙方簽訂了看似平等的協議，企業(yè)就認定你的數據是可使用的。

2022年12月1日實施的《中華人民共和國反電信網絡詐騙法》，規(guī)定對助貸、催收的一些特定行為構成違法，任何單位和個人不得出售、提供個人信息，并明確限制民營線上高利貸款平臺。

互聯網時代下，消費者的衣食住行、生活的方方面面早已被各大平臺以數據形式一一記錄下來，借此分析消費者的日常消費習慣、生活習慣等、進一步描繪出具體有效的用戶畫像，然后平臺再針對每個消費者制定一套獨特的方案進行營銷。

滴滴出行、飛豬、京東、美團、餓了么等眾多知名平臺都曾被曝出疑似存在“殺熟”的問題。1月29日，市民張先生稱自己在用飛豬平臺訂購從佳木斯飛往煙臺的機票時，遭遇到了惡意漲價，張先生6分鐘內下單6次都支付失敗，之后機票價格一路飛漲。

信息收集看似簡單無害，卻揭開了更深層的黑產幕后交易。

因為同意了相關隱私條款，有網友還遭遇了憑空多出的訂單及退款，疑似隱私泄露。有用戶投訴稱，自己在飛豬上定了一張昆明去往沈陽的機票，票價為635元，被莫名其妙退款?？头Q是本人退的，但其實不是。更離譜的是，有人在飛豬上訂購了酒店，沒有辦理入住，后面竟然顯示成功入住。

一位用戶更表示，2023年1月17日，自己收到開頭106的短信，告知自己航班因故障取消，但飛豬頁面顯示出票成功，和航空公司核實后也顯示沒有取消。但短信上有用戶的姓名、航班起落號等個人信息，后與飛豬客服協商無果。

張兢憶告訴《新民周刊》，之前有一位京東金融的用戶，突然收到以他賬戶購買的東西，但其實不是他購買的，因為平臺會把賬戶密碼借出去。借出去的目的在于電商平臺或企業(yè)方有證明其賬戶是活躍的需求，用戶量越活躍，代表你的估值越高。如果企業(yè)拿去撞庫的話，將會面臨巨大風險。

難點在于，用戶不知道同意了哪個條款，就把自己給賣了，更無法證明就是平臺泄露的信息。

信息收集看似簡單無害，卻揭開了更深層的黑產幕后交易。

有記者潛入一個名為“網購料子”的2萬人網絡黑灰產群，每隔幾天，就會有人發(fā)布“出料”信息，“料子”是網絡地下交易的“黑話”，即各類用戶個人信息。賣家小志出售多家知名電商平臺的“料子”，其中某電商平臺的用戶訂單，實時訂單4元一條，本月內下單1.5元一條。

小志稱，購買者不僅可以指定平臺，還可以選擇商品類型和用戶下單時間等。交易方式需用“U幣”支付。他口中的“U幣”指泰達幣，是一種基于區(qū)塊鏈技術的虛擬貨幣，具有匿名性特點。公開報道顯示，泰達幣還被用于網絡賭博、販毒、洗錢等犯罪活動。

除了電商訂單，在該社交平臺的其他群組中，招聘、婚戀交友、小額貸款、酒店出行、在線教育等平臺的用戶個人信息也被公開出售。

黑灰產群只是龐大的個人信息買賣黑灰產市場的“冰山一角”。據國內知名網絡安全公司奇安信集團監(jiān)測的數據顯示，僅去年1月到10月，就有超過950億條的中國境內機構數據在海外被非法交易，其中60%是公民個人信息。

黑灰產群只是龐大的個人信息買賣黑灰產市場的“冰山一角”。

這些用戶個人信息最終會流向何處？記者調查發(fā)現，經過層層轉賣，這些數據往往會落入不法分子手中，用于非法營銷甚至詐騙。至于用戶的個人信息是在哪個環(huán)節(jié)“丟失”的？賣家小志對此比較謹慎，并未直接回復。

有業(yè)內人士總結，數據泄露往往有三種原因。一是黑客攻擊，據統計，60%以上的數據泄露是由網絡攻擊導致；二是“內鬼”泄露?，F在各行各業(yè)都推進數字化轉型，大量員工、開源人員、合作伙伴都可以接觸到數據，其間管理不當就可能造成數據泄露；三是在各組織之間的流通受阻，數據給出后無法收回。

以電商平臺為例，漏洞可能出現在平臺和商家之間的環(huán)節(jié)。李云供職于某互聯網公司，長期從事數據安全保護工作。在他看來，大型電商平臺的防護體系相對成熟，通常不易被直接攻擊。但平臺內的商家為了提高運營效率，會使用第三方訂單管理軟件接入平臺API端口。這些第三方軟件的防護能力相對薄弱，較容易成為黑客攻擊的目標。

2022 年，上海警方全鏈條搗毀一系列刷單炒信非法經營團伙，圖為收網現場之一。

其次，“內鬼”違規(guī)獲取，如快遞站點工作人員進行面單拍攝、數據人為導出，后在黑灰產交易平臺出售。3月15日，公安部公布的8起打擊侵犯公民個人信息典型案例中，江蘇公安偵查發(fā)現犯罪嫌疑人勾結快遞公司員工，通過在公司內部電腦安裝木馬程序等方式，竊取物流寄遞信息。

國內數據安全服務商“威脅獵人”發(fā)布的《2022年數據資產泄露分析報告》中提到，工具軟件泄露已成為電商行業(yè)數據泄露的第三大原因。事實上，黑灰產從業(yè)者使用境外社交平臺進行信息買賣和數據交易屢見不鮮。

2月12日9時40分，黑產開始在多個數據售賣群發(fā)布廣告“45億訂單機器人”，并引起廣泛關注。這一自稱為“星鏈”的黑灰產頻道，其在說明文字中表示已設置一個查詢機器人，用戶輸入電話號碼便能查詢關聯的姓名和地址信息。

目前，機器人已經永久關閉，但記者登錄多個頻道發(fā)現，將自己收集到的信息積累成“數據庫”并創(chuàng)立頻道、設置自動回復機器人進行信息買賣，已是一種常見且方便的交易模式。一些運行較久的黑灰產買賣機器人可以通過打造“積分”系統實現交易，即用戶花錢購買積分，再使用積分到黑灰產頻道設置的機器人中進行查詢，每次查詢再扣除積分。

另外一類黑灰產頻道則設置專人客服，直接進行VIP式服務，幫助查詢戶口甚至銀行流水信息，不過價格通常較貴。戶口信息需要數百元，銀行流水則要上千甚至上萬元。

不管是黑客攻擊、內鬼泄露還是建立黑產頻道，業(yè)內人士表示，即便明確了泄露源頭，追查幕后黑手仍然困難重重。“料商”們手中的數據大多經過層層“清洗”，追查起來非常困難。

北京盈科（杭州）律師事務所律師朋禮松表示，信息販賣者通過境外社交軟件或暗網進行交易，導致辦案機關無法通過數據調取方式獲取證據，通常只能通過對聊天軟件中相關內容的截圖來進行認定。“司法實踐中，可能會存在證據鏈不完整等問題?！?/p>