吳雪

早高峰，一群上班族涌向地鐵站，街邊一排共享單車，你打開手機掃一掃，誰知，隔天就接收到了金融產(chǎn)品的推銷短信；中午時分，一位自稱快遞公司的人打來電話，你在淘寶網(wǎng)購的商品，顯示丟件，可加倍賠償，但需要發(fā)送你的收款二維碼；傍晚，你的家人、朋友、同事接到了多個催收電話，事實卻是你在京東金融上的借款逾期。

周末，你打開飛豬，規(guī)劃很久的出國游，顯示出票成功，但很快，開頭106的非官方短信告訴你“航班取消”。生活在大數(shù)據(jù)構(gòu)建的世界，人們在享受數(shù)據(jù)便利的同時，也正在被一些過度收集個人信息或過度索權(quán)的行為所困擾。而網(wǎng)絡(luò)黑產(chǎn)鏈條傳播的根源，恰恰在于公眾對個人信息的“被迫放逐”。

上海正策律師事務(wù)所律師張兢憶告訴《新民周刊》，企業(yè)方獲取一攬子數(shù)據(jù)要素，進行加工處理，人群畫像，共享轉(zhuǎn)讓，有利潤亦有價值。但對于一攬子授權(quán)、強制同意等問題，公眾反映強烈。

目前，針對市面上購物類、金融類、出行類、服務(wù)類等App，用戶敏感信息如何收集與處理，數(shù)據(jù)收集、使用范圍的邊界是什么？如果用戶點擊不同意，商家拒絕提供App服務(wù)是否合理？撤回同意及刪除信息的方式是否暢通？

誰收集，收集什么，賣給誰，怎么使用？《新民周刊》記者展開了調(diào)查。

3月15日，中消協(xié)發(fā)布2023年“提振消費信心”消費維權(quán)年主題調(diào)查，結(jié)果顯示，個人信息泄露問題仍然困擾著消費者，排在各類問題首位37.3%。對照2022年消費維權(quán)年主題調(diào)查結(jié)果，多數(shù)受訪者反感互聯(lián)網(wǎng)平臺App產(chǎn)品強制要求授權(quán)和索取個人信息的行為，不支持當(dāng)前App產(chǎn)品強制要求授權(quán)和索取個人信息的比例達46.7%。

早在2021年，中國人民大學(xué)一個團隊調(diào)查了數(shù)十萬款A(yù)pp后，研究發(fā)現(xiàn)，App的各類權(quán)限有30多個，但很多權(quán)限跟App實現(xiàn)功能的需求并不匹配。App在登錄前后，往往也會調(diào)用部分權(quán)限，同意相關(guān)隱私協(xié)議，但對于權(quán)限授權(quán)哪些信息，隱私信息的用途，多數(shù)用戶并不清楚。

記者與大多數(shù)用戶一樣，因著急掃碼使用單車，而快速點擊“允許”，不會對隱私政策全文通讀，判定一二，便默認(rèn)同意美團單車收集信息的行為。

3月16日，記者掃碼了一輛“美團單車”，進入小程序后發(fā)現(xiàn)，其對于個人信息授權(quán)的提醒，相對隱蔽。在提示登錄頁面，首先彈出一個申請頁面——“使用你的藍牙，解鎖單車。”請求允許或拒絕，記者以為此處提示，應(yīng)當(dāng)僅作為“使用藍牙”功能，文字上也并未提示額外的個人用戶信息授權(quán)。

但仔細觀察，在該彈框右上角，還有兩個小字“申請”，旁邊有個灰色感嘆號，點進去才發(fā)現(xiàn)“內(nèi)有乾坤”。大標(biāo)題為“第三方用戶信息授權(quán)說明”的彈窗寫著：你授權(quán)后，小程序開發(fā)者、小程序引用的插件開發(fā)者將訪問你的藍牙，為你提供相關(guān)服務(wù)。開發(fā)者將嚴(yán)格按照《美團| 外賣美食買菜酒店電影購物小程序隱私保護指引》，處理你的個人信息。

記者與大多數(shù)用戶一樣，因著急掃碼使用單車，而快速點擊“允許”，不會對隱私政策全文通讀，判定一二，便默認(rèn)同意美團單車收集信息的行為。該收集流程同樣出現(xiàn)在“美團打車”小程序。只不過登錄頁面，顯示并非“開啟藍牙”，而是“獲取你的位置信息”。

當(dāng)天，記者又點擊進入另一小程序，掃碼用車。在該登錄頁面，有一個勾選選項寫著：“登錄代表您已同意《法律條款與隱私政策》”，當(dāng)記者未點擊勾選，則再次彈出提示要求用戶閱讀該隱私條款，當(dāng)記者點擊拒絕，則再次跳轉(zhuǎn)到起初頁面，意味著如果記者拒絕，將無法正常登錄該程序，且無法用車。

進入飛豬App，同樣需要經(jīng)過“被同意”三道彈窗。首先是“溫馨提示”，其中包含了飛豬隱私政策，如果不同意，將進入第二道彈窗?！澳阈枰獗倦[私政策，才能繼續(xù)使用飛豬?！比绻c擊不同意，直接到第三道彈窗，“親，要不要再想想?！保⒔o出選項“退出應(yīng)用”和“查看協(xié)議”。

以美團等為例，各款A(yù)pp并未給出“不同意”的選項。有的小程序，如果用戶點擊同意《法律條款與隱私政策》，將一鍵默認(rèn)同意26項協(xié)議，包括單車、助力車、電動車、順風(fēng)車等用戶協(xié)議。按照每篇協(xié)議1萬字，30分鐘的閱讀速度，全部讀完需要13個小時。

而且，大多數(shù)企業(yè)的《隱私政策》普遍存在晦澀難懂、冗長繁瑣、專業(yè)術(shù)語較多等問題，導(dǎo)致用戶難以真正理解個人信息被收集的用途和目的?！缎旅裰芸酚浾唛喿x了多家App的隱私政策，不少協(xié)議內(nèi)容超1萬字，文字過小、排版較密、重點與非重點文字顏色相近，讓不少用戶忽略了重點信息。雖然有部分關(guān)鍵信息加粗，但對于沒有法律背景的用戶來說，很難從中判斷其條款的合理性，更對協(xié)議中不同意的部分進行修改。

而在《應(yīng)用權(quán)限申請與使用情況說明》部分，所涉及的權(quán)限有10—12種，比如，訪問攝像頭、媒體文件、通話記錄等，實際使用過程中，用戶難以判斷是否允許App使用權(quán)限。

如果用戶表示，不使用某一項業(yè)務(wù)，App是否可以拆分條款，能否給予用戶“同意或不同意”的選擇權(quán)利。張兢憶認(rèn)為，技術(shù)層面有可能實現(xiàn)，但平臺并沒有驅(qū)動力去做這件事。原因有兩點，一方面，技術(shù)拆分成本較高；另一方面，相當(dāng)于用戶在倒逼企業(yè)放棄這部分?jǐn)?shù)據(jù)權(quán)利，而這些數(shù)據(jù)恰恰是企業(yè)方獲取廣告流量及收入的重要來源。

各類App 有哪些問題呢？攝影/ 劉綺黎

一位業(yè)內(nèi)人士也表示，企業(yè)方通常面對C端客戶，量很大，一百萬人有一百萬個需求，對于商家來說，成本覆蓋不了，無法做出個性化安排。所以，明確告訴消費者“你不接受我的信息收集，請你不要使用我的App”是最簡單省事的方法。

現(xiàn)實中，保護個人信息可能比想象中復(fù)雜。中國人民大學(xué)法學(xué)院副教授丁曉東說：“個人信息與非個人信息的界限并非如想象的那樣清晰。收集行為是否合法等，也就不那么容易判斷?！北热纾瑐€性化推薦、用戶畫像等收集的數(shù)據(jù)屬于個人信息嗎？

一旦撕開“信息收集”這道口子，公眾將掉入信息“黑洞”，逐漸失控。

身處乙方角色的公眾，通常沒有談判的權(quán)利。北京市朝陽區(qū)的王先生擔(dān)心信息被違規(guī)使用，在安裝一些App時，曾想拒絕某些授權(quán)，可他發(fā)現(xiàn)，不同意授權(quán)，就無法使用。更讓王先生困惑與后怕的是“一旦授權(quán)，我的個人信息去了哪兒？”。

一位開發(fā)者表示，獲取權(quán)限后，后臺甚至能夠判斷數(shù)據(jù)背后的人做什么工作、常去哪里。保護虛擬空間數(shù)據(jù)化的“我們”，通常依靠收集方自律。然而，倘若某些企業(yè)安全“防護墻”不結(jié)實，就可能造成信息泄露。而更大的風(fēng)險是，一些數(shù)據(jù)收集方甚至?xí)銎饠?shù)據(jù)交換的“生意”，幾經(jīng)轉(zhuǎn)手，數(shù)據(jù)可能被非法利用。

3月20日早上11點，記者接到了“010—5147××××”的營銷電話，對方聲稱，這里有20萬元的借款額度，可隨借隨還，還贈送30天的免息券。提供單車服務(wù)的公司，怎么做起了貸款生意，記者在小程序掃碼單車的時候，也從未點擊過任何貸款的按鈕，這讓記者感到疑惑。當(dāng)記者問及如何操作借款時，對方表示，可在App首頁“借錢”，兩分鐘即可到賬。

美團共享單車界面有小“坑”。

雖然提示可以按照方法進行退訂，但并未明確提供“如何退訂”的具體操作。

下載了“臻有錢”App后，點擊首頁“借錢”按鈕才發(fā)現(xiàn)，該業(yè)務(wù)是2019年上線的某助貸產(chǎn)品，最高貸款額度20萬元，與湖北消費金融、中原消費金融、馬上消費金融等多個機構(gòu)合作。記者了解到，盡管該企業(yè)具備一定消費金融線上運營經(jīng)驗，但助貸業(yè)務(wù)并非一帆風(fēng)順。自其上線以來，被消費者多次投訴貸款利息高、暴力催收、電話騷擾等問題。在黑貓投訴平臺顯示，“臻有錢”相關(guān)的投訴信息有350條。

3月20日，有消費者投訴稱，該平臺連續(xù)撥打電話問需不需要貸款，在表明再打電話就投訴的情況下，業(yè)務(wù)員說不會再騷擾了，結(jié)果沒幾天，又收到“臻有錢”的短信繼續(xù)推銷貸款，且換不同的號碼進行“電話轟炸”，已嚴(yán)重影響正常生活。

還有用戶因不滿隱私保護控訴，表示自己只是注冊用來騎車，結(jié)果泄露了信息，發(fā)騷擾短信，并且短信中明明有回T退訂，但是實際根本沒有效果，存在誤導(dǎo)用戶，欺騙用戶的行為。大多數(shù)用戶表示，自己從未使用過這款產(chǎn)品。

為什么從未使用該產(chǎn)品，卻接到相關(guān)營銷電話？記者調(diào)查發(fā)現(xiàn)，問題出在相關(guān)的隱私信息授權(quán)。在記者曾使用過的小程序登錄頁面，里面包含了26項目協(xié)議，其中排在第二位置的《個人信息保護及隱私政策》第9條有關(guān)于“臻有錢”的相關(guān)條款。

這項金融服務(wù)收集的信息內(nèi)容，包含人臉信息、學(xué)歷、居住地、月薪、銀行卡信息、詳細地址，單位名稱、單位地址、職業(yè)、行業(yè)等。甚至聯(lián)系人信息，姓名、手機號、關(guān)系等都收集在內(nèi)，并強調(diào)根據(jù)用戶信息形成群體特征標(biāo)簽，用于提供可能感興趣的營銷活動通知，商業(yè)性廣告、短信、電話語音等。

雖然提示可以按照方法進行退訂，但并未明確提供“如何退訂”的具體操作。值得一提的是，該小程序中并未有“借錢”業(yè)務(wù)，該業(yè)務(wù)只存在于App，但小程序卻讓用戶“被同意”未開設(shè)的業(yè)務(wù)，這是否合理？

專家表示，個人信息保護法明確，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。

電話營銷只是“信息收集”使用場景的第一步，有消費者投訴，一旦借款逾期，不僅無法協(xié)商還款，還遭受到了大量網(wǎng)絡(luò)催收電話，催收人員態(tài)度囂張跋扈，并發(fā)送了一系列的含有恐嚇威脅性質(zhì)的短信，讓其再去借貸周轉(zhuǎn)；還有用戶稱，自己被催收威脅騷擾，借款時強制捆綁了保險單，除了利息，每期還要多還60元的保費。

暴力催收等情況，還存在于京東金融、分期樂等互聯(lián)網(wǎng)金融產(chǎn)品，譬如，分期樂相關(guān)隱私條款，存在收集用戶通話記錄、通訊錄等行為?！按呃U電話會打給同事、朋友、家人，福建有一個朋友，遭遇銀行催債，催收電話竟然打給了廣東的一個人，可怕的是這個人只是在他通訊錄里存在過，并不熟悉?！?/p>

張兢憶認(rèn)為，用戶登錄軟件時已經(jīng)默認(rèn)隱私政策，默認(rèn)這些信息可以使用，企業(yè)作為債權(quán)人，要收回欠款，既然雙方簽訂了看似平等的協(xié)議，企業(yè)就認(rèn)定你的數(shù)據(jù)是可使用的。

2022年12月1日實施的《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》，規(guī)定對助貸、催收的一些特定行為構(gòu)成違法，任何單位和個人不得出售、提供個人信息，并明確限制民營線上高利貸款平臺。

互聯(lián)網(wǎng)時代下，消費者的衣食住行、生活的方方面面早已被各大平臺以數(shù)據(jù)形式一一記錄下來，借此分析消費者的日常消費習(xí)慣、生活習(xí)慣等、進一步描繪出具體有效的用戶畫像，然后平臺再針對每個消費者制定一套獨特的方案進行營銷。

滴滴出行、飛豬、京東、美團、餓了么等眾多知名平臺都曾被曝出疑似存在“殺熟”的問題。1月29日，市民張先生稱自己在用飛豬平臺訂購從佳木斯飛往煙臺的機票時，遭遇到了惡意漲價，張先生6分鐘內(nèi)下單6次都支付失敗，之后機票價格一路飛漲。

信息收集看似簡單無害，卻揭開了更深層的黑產(chǎn)幕后交易。

因為同意了相關(guān)隱私條款，有網(wǎng)友還遭遇了憑空多出的訂單及退款，疑似隱私泄露。有用戶投訴稱，自己在飛豬上定了一張昆明去往沈陽的機票，票價為635元，被莫名其妙退款?？头Q是本人退的，但其實不是。更離譜的是，有人在飛豬上訂購了酒店，沒有辦理入住，后面竟然顯示成功入住。

一位用戶更表示，2023年1月17日，自己收到開頭106的短信，告知自己航班因故障取消，但飛豬頁面顯示出票成功，和航空公司核實后也顯示沒有取消。但短信上有用戶的姓名、航班起落號等個人信息，后與飛豬客服協(xié)商無果。

張兢憶告訴《新民周刊》，之前有一位京東金融的用戶，突然收到以他賬戶購買的東西，但其實不是他購買的，因為平臺會把賬戶密碼借出去。借出去的目的在于電商平臺或企業(yè)方有證明其賬戶是活躍的需求，用戶量越活躍，代表你的估值越高。如果企業(yè)拿去撞庫的話，將會面臨巨大風(fēng)險。

難點在于，用戶不知道同意了哪個條款，就把自己給賣了，更無法證明就是平臺泄露的信息。

信息收集看似簡單無害，卻揭開了更深層的黑產(chǎn)幕后交易。

有記者潛入一個名為“網(wǎng)購料子”的2萬人網(wǎng)絡(luò)黑灰產(chǎn)群，每隔幾天，就會有人發(fā)布“出料”信息，“料子”是網(wǎng)絡(luò)地下交易的“黑話”，即各類用戶個人信息。賣家小志出售多家知名電商平臺的“料子”，其中某電商平臺的用戶訂單，實時訂單4元一條，本月內(nèi)下單1.5元一條。

小志稱，購買者不僅可以指定平臺，還可以選擇商品類型和用戶下單時間等。交易方式需用“U幣”支付。他口中的“U幣”指泰達幣，是一種基于區(qū)塊鏈技術(shù)的虛擬貨幣，具有匿名性特點。公開報道顯示，泰達幣還被用于網(wǎng)絡(luò)賭博、販毒、洗錢等犯罪活動。

除了電商訂單，在該社交平臺的其他群組中，招聘、婚戀交友、小額貸款、酒店出行、在線教育等平臺的用戶個人信息也被公開出售。

黑灰產(chǎn)群只是龐大的個人信息買賣黑灰產(chǎn)市場的“冰山一角”。據(jù)國內(nèi)知名網(wǎng)絡(luò)安全公司奇安信集團監(jiān)測的數(shù)據(jù)顯示，僅去年1月到10月，就有超過950億條的中國境內(nèi)機構(gòu)數(shù)據(jù)在海外被非法交易，其中60%是公民個人信息。

黑灰產(chǎn)群只是龐大的個人信息買賣黑灰產(chǎn)市場的“冰山一角”。

這些用戶個人信息最終會流向何處？記者調(diào)查發(fā)現(xiàn)，經(jīng)過層層轉(zhuǎn)賣，這些數(shù)據(jù)往往會落入不法分子手中，用于非法營銷甚至詐騙。至于用戶的個人信息是在哪個環(huán)節(jié)“丟失”的？賣家小志對此比較謹(jǐn)慎，并未直接回復(fù)。

有業(yè)內(nèi)人士總結(jié)，數(shù)據(jù)泄露往往有三種原因。一是黑客攻擊，據(jù)統(tǒng)計，60%以上的數(shù)據(jù)泄露是由網(wǎng)絡(luò)攻擊導(dǎo)致；二是“內(nèi)鬼”泄露。現(xiàn)在各行各業(yè)都推進數(shù)字化轉(zhuǎn)型，大量員工、開源人員、合作伙伴都可以接觸到數(shù)據(jù)，其間管理不當(dāng)就可能造成數(shù)據(jù)泄露；三是在各組織之間的流通受阻，數(shù)據(jù)給出后無法收回。

以電商平臺為例，漏洞可能出現(xiàn)在平臺和商家之間的環(huán)節(jié)。李云供職于某互聯(lián)網(wǎng)公司，長期從事數(shù)據(jù)安全保護工作。在他看來，大型電商平臺的防護體系相對成熟，通常不易被直接攻擊。但平臺內(nèi)的商家為了提高運營效率，會使用第三方訂單管理軟件接入平臺API端口。這些第三方軟件的防護能力相對薄弱，較容易成為黑客攻擊的目標(biāo)。

2022 年，上海警方全鏈條搗毀一系列刷單炒信非法經(jīng)營團伙，圖為收網(wǎng)現(xiàn)場之一。

其次，“內(nèi)鬼”違規(guī)獲取，如快遞站點工作人員進行面單拍攝、數(shù)據(jù)人為導(dǎo)出，后在黑灰產(chǎn)交易平臺出售。3月15日，公安部公布的8起打擊侵犯公民個人信息典型案例中，江蘇公安偵查發(fā)現(xiàn)犯罪嫌疑人勾結(jié)快遞公司員工，通過在公司內(nèi)部電腦安裝木馬程序等方式，竊取物流寄遞信息。

國內(nèi)數(shù)據(jù)安全服務(wù)商“威脅獵人”發(fā)布的《2022年數(shù)據(jù)資產(chǎn)泄露分析報告》中提到，工具軟件泄露已成為電商行業(yè)數(shù)據(jù)泄露的第三大原因。事實上，黑灰產(chǎn)從業(yè)者使用境外社交平臺進行信息買賣和數(shù)據(jù)交易屢見不鮮。

2月12日9時40分，黑產(chǎn)開始在多個數(shù)據(jù)售賣群發(fā)布廣告“45億訂單機器人”，并引起廣泛關(guān)注。這一自稱為“星鏈”的黑灰產(chǎn)頻道，其在說明文字中表示已設(shè)置一個查詢機器人，用戶輸入電話號碼便能查詢關(guān)聯(lián)的姓名和地址信息。

目前，機器人已經(jīng)永久關(guān)閉，但記者登錄多個頻道發(fā)現(xiàn)，將自己收集到的信息積累成“數(shù)據(jù)庫”并創(chuàng)立頻道、設(shè)置自動回復(fù)機器人進行信息買賣，已是一種常見且方便的交易模式。一些運行較久的黑灰產(chǎn)買賣機器人可以通過打造“積分”系統(tǒng)實現(xiàn)交易，即用戶花錢購買積分，再使用積分到黑灰產(chǎn)頻道設(shè)置的機器人中進行查詢，每次查詢再扣除積分。

另外一類黑灰產(chǎn)頻道則設(shè)置專人客服，直接進行VIP式服務(wù)，幫助查詢戶口甚至銀行流水信息，不過價格通常較貴。戶口信息需要數(shù)百元，銀行流水則要上千甚至上萬元。

不管是黑客攻擊、內(nèi)鬼泄露還是建立黑產(chǎn)頻道，業(yè)內(nèi)人士表示，即便明確了泄露源頭，追查幕后黑手仍然困難重重?！傲仙獭眰兪种械臄?shù)據(jù)大多經(jīng)過層層“清洗”，追查起來非常困難。

北京盈科（杭州）律師事務(wù)所律師朋禮松表示，信息販賣者通過境外社交軟件或暗網(wǎng)進行交易，導(dǎo)致辦案機關(guān)無法通過數(shù)據(jù)調(diào)取方式獲取證據(jù)，通常只能通過對聊天軟件中相關(guān)內(nèi)容的截圖來進行認(rèn)定?！八痉▽嵺`中，可能會存在證據(jù)鏈不完整等問題。”