6億通訊錄，一條2毛錢，誰在偷我們的隱私數據？

2019年堪稱數據業(yè)的整治年。業(yè)內人預感下一步還會有新的監(jiān)管辦法出臺。這個行業(yè)是否走到轉折點，尚未可知。

4年而已，數據產業(yè)的老板們，從“新石油大亨”到“牢中人”只在轉瞬之間。

2015年，馬云在云棲大會上預言，10年以后，數據將取代石油成為最強大的能源。

這聽起來像極了風口。據CVSource投中數據統(tǒng)計，僅2018年便有415家大數據風控企業(yè)，總共獲得了879.34億元的投資。

如今，因為數據安全問題，這個風口轉瞬即逝。四年之后的今天，凡是跟“數據”二字扯上關系的公司，日子都不太好過。

這其中，過得最慘烈的是曾處于互金風口，備受追捧的大數據風控公司。

有多慘烈？

“整個行業(yè)都快被抓沒了，”從業(yè)者感慨道。2019年下半年，隨著監(jiān)管整頓趨嚴，曾一度風靡的大數據行業(yè)正在逐漸“消失”。

“數據石油大亨”們，究竟犯了什么錯？——販賣隱私，一擊致命。

觸碰公民隱私，這是數據公司們無法洗白的原罪。

有業(yè)內人士表示，今年的監(jiān)管主要還是以整治為主，下一步或會有對用戶數據保護的辦法出臺。而對于違法收集和使用用戶數據的企業(yè)來講，目前的生存問題是一個很大的難點，如何轉型，轉型的方向都有很大的不確定性。

另一位業(yè)內人士亦稱，這種感覺很像當年抓互聯(lián)網音像制品版權的時候，對一些公司進行整改，該抓的抓，該罰的罰，這才使得中國互聯(lián)網音樂視頻最終走上了版權經營的道路。當下，監(jiān)管部門從行動上表明了態(tài)度，保護個人隱私和數據的辦法，可能會陸續(xù)出臺，但這還需要一到兩年的時間，因為市場還需要一個調整和適應的時間。

在監(jiān)管持續(xù)近一年的清查行動中，鋃鐺入獄的不只老板，還有那些毫無防備的“普通上班族”。

1、上班時，毫無防備被抓的人

“工作的時候，警察突然沖進來讓抱頭，然后就被控制了一天，所有人都不能用手機，也不能碰電腦，吃飯都是有人送來的?！北本┠炒髷祿締T工李林回憶，今年11月初的某天上午十點多，正當所有員工一如既往正常工作時，十幾個警察突然就上門了。

“大數據部門是第一個被帶走的?！崩盍指嬖V投中網，警察帶了幾個懂技術的人，進入公司后，直接去了大數據部門，還查看了那些人的電腦。

“我去公司拿離職證明的時候，大數據小組的組長還沒有被放出來?！崩盍址Q，那個時間距離警察上門已過去3到5天。“全部員工都離職了，可我們不是金融公司啊?！敝钡浆F(xiàn)在，李林包括公司的其他員工都不知道公司為什么會被警察一鍋端，就連深圳和廣州的分公司也未能幸免。

后據投中網查詢，事實上，李林所在的公司就是一家大數據公司，它一方面為海內外移動端設備廠商提供SaaS服務；另一方面則為游戲開發(fā)者、廣告主等提供精準營銷。目前，其主要合作伙伴有京東、QQ音樂、快手、蘑菇街、唯品會等。

相比于李林至今仍不知公司員工為何被抓，另一家知名大數據公司員工劉浩心里則十分明白，他深諳公司被端,其實與使用爬蟲技術違規(guī)爬取個人數據的行為有關。

但他也有些疑惑，自己所在的公司在業(yè)內也算是佼佼者，還曾獲得不少獎項。創(chuàng)始人積極參加業(yè)內峰會，公開發(fā)言，備受追捧，怎么一夕之間，就全軍覆沒了呢？

楊爽是劉浩的朋友。今年9月初，劉浩公司的核心高管被警方帶走，劉浩因在外地出差，逃過一劫。楊爽得知劉浩公司出事之后，發(fā)了條短信給劉浩文問是否需要幫助。

一天之后，劉浩回信：“沒啥事兒?！彪S后又補充：“好多電話打來，為了安全，我關機了，事情很突然，我也不知道說什么?！?/p>

事發(fā)后，劉浩回老家待了近三個月，對于之前的工作他不愿在提及，也無心尋找新的工作。

后有別的數據公司被查，同行向劉浩尋求經驗幫助時，他給出的建議是：“趕緊走，把手頭的證據都刪掉?！?/p>

后來，劉浩所在公司的業(yè)務內容流出，違規(guī)爬取的數據細節(jié)也公之于眾。該公司不但爬取支付寶用戶的真實姓名、手機號，還能通過支付寶爬取用戶近一年的購物信息，交易記錄，以及收獲地址等隱私信息。而這還只是業(yè)務之一。

明知違法又危險，為何仍有人“赴湯蹈火”？答案很簡單，商業(yè)利益使然。

2、網上購物，擄走你的個人信息

常有人會遇到這樣一種情況，在和家人聊到想要購買某個商品后，打開購物APP，就能看到關于該商品的推薦。

原因是這些購物APP被設置了關鍵詞（通常為商品），以及麥克風功能。用戶在不知情的情況下，開啟了麥克風（有的APP需要強制開啟麥克風功能），并在與人交流的過程中提到APP中所設置的關鍵詞，該關鍵詞便會被激活，購物APP便會自動推薦用戶所提及的產品。

另一種情況是，你在某個APP中買了雙襪子，再打開另一個購物APP時，他就會推薦別的款式的襪子，或其他相關物品。那么，另外一個你們沒有進行搜索的購物APP是如何獲你的購物信息的？

李林告投中網，發(fā)生后面這種現(xiàn)象的原因有兩種。

第一種，兩個APP的主體公司是合作公司，雙方的業(yè)務數據相互打通，當用戶在一個APP上購買物品時，另一個APP會捕捉到用戶的購物信息，猜測用戶可能還需要什么商品，并進行推薦。因此，當用戶打開APP時，就能看到相關產品。

以一款領券+返利的網購省錢利器APP——“掙實惠”為例。據其內部員工嚴惠稱，該平臺已經與淘寶、拼多多等電商平臺達成合作。因此，在“掙實惠”APP上聚集了大量拼多多與淘寶的商品。

投中網下載“掙實惠”進行體驗發(fā)現(xiàn)，其頁面上的商品大多以天貓渠道為主，如果對選中的商品進行下單，頁面會自動跳轉至淘寶的鏈接。跳轉的過程中，APP會要求用戶同意將淘寶賬戶的信息授權給“掙實惠”，同意授權后，用戶才能下單。在這里，授權的目的就是為了實現(xiàn)推薦。

“第一次使用掙實惠，頁面上的商品都是隨機推送的?！眹阑菡f，這是因為“掙實惠”還沒有掌握到用戶的購物信息，而一旦用戶將淘寶賬戶信息授權給“掙實惠”，“掙實惠”就可以隨時掌握用戶的瀏覽及購物信息。只要用戶在淘寶購買了商品，打開“掙實惠”時，就能收到相關商品推薦。而“掙實惠”與拼多多合作的邏輯亦是如此。

用戶不會直觀的了解到，正是這步關鍵的授權，就已將自己個人的購物信息從一個APP同步給了另外一個APP。

投中網在“掙實惠”的《軟件使用與服務協(xié)議中》發(fā)現(xiàn)，使用該軟件則意味著用戶同意將自己通過該軟件上傳的文字、圖片、視頻，以及在交易過程中產生的資料、交易數據等，供該公司主體以及其合作方在全網范圍內進行使用、復制、修改等。

（附協(xié)議截圖）

而在隱私保護一項中，“掙實惠”稱其主體公司會在用戶使用該軟件的過程中，經用戶統(tǒng)一后，搜集用戶的個人信息，如真實姓名、性別、年齡、出生日期、身份證號碼、電話號碼、交易信息等。即便如此，“掙實惠”這種收集數據的方式已經是一種預先申明、高調收集的做派。

與高調派不同，隱蔽派收集數據的方式就全靠“暗箱操作”。

在隱蔽派的做法里，即便兩個APP的主體公司沒有進行合作，但他們彼此也能通過爬蟲手段，獲取用戶對商品的搜索記錄或購物記錄，推薦相關產品。

不過，嚴惠稱其實任何一家公司要爬取別家APP上的用戶數據也都并不容易，鑒于數據的重要性，大多數公司都會對自家APP上的數據都進行加密，嚴防死守，防止外部公司爬取用戶數據。

APP通過授權直接或間接獲得用戶數據，對于大多數人來說，已經涉及侵犯公民隱私，但在互金風控圈看來，這或許還只是小兒科。

更隱蔽的手段是，可以通過下載一個APP,薅光你的通訊錄。

3、下載APP，薅光你的通訊錄

“千萬不要下載貸款公司的APP，他能爬到你的所有信息?！蹦辰鹑诠締T工王敏告訴投中網，一旦用戶下載了自己公司的APP，并首次打開時，對屏幕上彈出“隱私訪問權限”，選擇同意，用戶的的通信錄、通話記錄、短信、照片等就會被貸款公司爬個遍。

“這還不是最緊要的?！蓖趺舴Q，“貸款公司可以通過你的通訊錄，找到你的直系親屬，旁系親屬或者朋友等親密人士，只要你借錢不還或逾期，貸款公司就會把信息發(fā)給你的家人，以及催收公司，逼你還債?！?/p>

最為瘋狂的時候，王敏稱貸款公司不僅僅是提供借款人的姓名、電話，就連居住地址，常去的地方都能打包給到催收公司。

“還有些公司，直接把借款用戶的通訊錄以兩毛錢一條的價格販賣給催收公司，大部分公司的法務，明明知道這是不合法的，但依然會這么做?！蓖趺敉嘎?。只不過隨著監(jiān)管的越來越嚴，金融公司們最近有所收斂。

“我們公司現(xiàn)在大約掌握了5—6億條通信錄的號碼?！蓖趺舾嬖V投中網。

另據投中網了解，幾乎所有的貸款APP都能獲取用戶的位置信息，用戶去過哪里，在哪里停留多長時間，貸款公司就可以通過相關數據推斷出用戶的居住住址和辦公地址。

其邏輯是，比如用戶每天都去，且一待就是七八個小時的地方，肯定是公司，而晚上一直停留的地方可能就是住處。

但對于金融公司而言，要做風控，僅僅依靠自己獲取的短信、通訊錄等數據是遠遠不夠的，多維度的數據才能更真實的了解用戶是一個什么樣的人，放款之后會不會發(fā)生逾期和壞賬，這直接決定著金融公司能否賺錢。

因此，為了安全起見，幾乎所有的公司都會選擇與外部公司進行合作，以便獲取用戶更多維度的數據。

“今日頭條、蘑菇街、度小滿、攜程等都是我們的數據合作方?！蹦辰鹑诠驹旮嬖V投中網，跟這些公司合作，可以獲取用戶的購買記錄、交易信息、出行記錄等數據，這些都是金融公司風控過程中，較為重視的數據。

值得注意的是，據云鼎實驗室2018年發(fā)布的《互聯(lián)網惡意爬蟲分析》報告顯示，目前，惡意爬蟲分布的領域以出行類流量占比最高，為20.7%；其次是社交占比18.40%；再次是電商占比13.38%；僅接著是運營商、公共行政等。

圖片來源：云鼎實驗室2018年上半年安全專題報告

“還有些機構能直接爬取到用戶的社保、公積金、學歷等數據?！痹暄a充，“但其實，如果是合作，某些公司也不會直接給到金融公司關于用戶的明細數據，只是會大致告訴金融公司，用戶的安全程度，可能適合放多少錢?！?/p>

此外，袁雨還告訴投中網，只要用戶一旦有了借貸需求，下載了市面上的任意一款貸款APP，此后，就可能會不斷的收到來自其他金融機構的營銷信息。

“原因很簡單，你的個人信息已經被某些大數據公司或金融公司爬走了?！?/p>

袁雨說，這在金融領域，已是公開的秘密。

但其實，金融公司、大數據公司只是獵取用戶數據眾多角色中的一小撮。那些看起來有頭有臉的大公司，也正在將用戶的個人數據信息商業(yè)化。

4、運營商，泄露你隱私的人

“地產商直接提需求，我們輸出結果?！痹谀持\營商任職的胡濤告訴投中網，因為運營商擁有大量的用戶數據，有些地產商會選擇與其合作，作為實現(xiàn)精準營銷的有力后盾。

比如，某地產商將在某個區(qū)域開盤，他們會預先給出運營商一個特定的范圍，讓運營商查詢在該區(qū)域內25—50歲的人有多少，他們的消費能力如何，是外來人多還是本地人口多？

運營商會通過內部模型計算出結果，并將其反饋給運營商，地產商就可以根據運營商返回的數據，做出合適的營銷方案，并放到相應的區(qū)域。

“在這個過程中，用戶數據一直在我們公司內部，我們只輸出結果，地產商無法得知用戶信息?！焙鷿龑ν吨芯W解釋。

另外一些地產商的做法是通過購買數據做招租。有的地產商會從運營商那里買來企業(yè)的網絡使用數據，來反推企業(yè)在一個地方的租約情況，繼而展開后續(xù)的服務。

伴隨著互聯(lián)網的的發(fā)展，所有人在享受其帶來的便利時，也在為此付出代價，那在數據就是石油的時代，如何才能保護用戶的個人數據安全？

5、監(jiān)管，徐徐而來的數據保護者

事實上，個人隱私泄露的問題，以引起監(jiān)管部門的重視。

今年以來，一些大數據爬蟲公司的高管已被捕入獄，最為夸張的時候，一個月之類，便有5—6家知名的大數據公司被一鍋端，整個行業(yè)風聲鶴唳。與此同時，一些小公司也在毫無防備之下，被警方上門逮捕。

早在今年年初，有知情人士告訴投中網，很多獵頭也被抓了，原因是他們手中掌握了太多的個人信息。

個人及企業(yè)數據被竊取，大多與APP有關。一些機構以APP為觸角，借提供服務知名，公然收集用戶信息。但眼下，這條路正在被堵死。

12月4日，國家網絡安全通報中心在發(fā)布《公安機關開展APP違法采集個人信息集中整治》一文中稱，自2019年11月以來，公安部門便加大了打擊整治侵犯公民個人信息違法犯罪力度，并對違法違規(guī)采集個人信息的APP進行集中整治，查處整改100款違法違規(guī)APP及其運營的互聯(lián)網企業(yè)。

這其中不但包含一些有頭有臉的城商行、金融貸款機構，還包含一些教育機構，以及常用的拍照軟件及商城。他們被整改主要原因是，對無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

但其實，對于網絡運營者采集用戶信息的相關規(guī)定早在2017年6月就有出臺。

《網絡安全法》規(guī)定，未經被收集者同意，不得向他人提供個人信息；也不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息；而對于被收集者同意的，網絡運營方也需要明示收集、使用信息的目的、方式和范圍。

對此，大多數運營方確實會在協(xié)議中注明對用戶個人信息的使用用途，但鮮有運營者會提及，用戶的個人信息會被商業(yè)化輸出。

另在，我們國內存在的現(xiàn)象是，目前，大多數互聯(lián)網放貸機構及一些大數據公司對于用戶信息的收集，大多沒有底線，不但千方百計從各個渠道爬取用戶的信息，還會直接進行販賣?！坝脩粼谖疫@里消費，獲取用戶的數據其實是合理的。但問題是誰來監(jiān)管數據的對外提供?！睒I(yè)內人士張陽稱，如果數據是為自己公司內部所用，都是符合規(guī)定的，無可厚非。

但如果對外提供，根據“是否容易識別出用戶本人”的標準，姓名、通訊錄肯定不能直接露出的，家庭地址、年齡等均要做模糊處理，簡單來講就是當公司對外提供數據時，要進行“匿名化信息處理”。

對此，日本方面就有明確的規(guī)定。2015年，日本在個人信息保護層面曾修正過一部法律，對于個人信息的使用解釋權，是歸數據采集方所有。但如果這家企業(yè)要對外提供個人信息，那么這個信息就要進行處理。而處理的標準就是“是否容易識別出用戶人”。

某些平臺可能有用戶較為完整的個人信息，像姓名、年齡、征信、學籍等信息。如果他們要將這些信息提供給金融機構，那么最終提供的信息要符合“不容易識別出用戶本人”的標準。

“若提供的信息，很容易與金融機構的數據進行匹配并立即鎖定某個用戶，那這種數據提供的行為就屬于侵權?！睆堦栂蛲吨芯W介紹到日本關于個人的數據保護。

“但國內像日本這樣的規(guī)定目前還沒有，更多是企業(yè)自行立定條款去約束，可以說是口碑約束。小型互聯(lián)網公司，有沒有這樣的職業(yè)操守，就不好說了?！?/p>

而對于個人與運營方之間的數據隱私協(xié)議，大連理工大學法學副教授陳光表示，APP運營商與用戶簽訂的隱私協(xié)議或數據采集協(xié)議只是兩方之間的，并沒有第三方監(jiān)管，協(xié)議是否公平，需要權衡，也需要有關部門必要的認可和審查。

另外，陳光認為，一些大型機構掌握了大量的用戶數據，這些機構將用戶的數據進行加工，并商業(yè)化，若沒告知用戶，其實存在一定的問題。監(jiān)管部門應該出臺相關的法律法規(guī)，對機構將個人數據進行加工輸出的商業(yè)化行為，進行規(guī)范。

數據對于企業(yè)的發(fā)展很重要，但也事關用戶的個人隱私與安全，機構如何在個人數據的使用和隱私保護之間尋求平衡，顯然是亟需解決的當務之急。

（應受訪者要求，文中李林、劉浩、楊爽、嚴惠、王敏、袁雨、胡濤、張陽為化名）

這個問題還有疑問的話，可以加幕.思.城火星老師免費咨詢，微.信號是為: msc496。

推薦閱讀：

淘寶店鋪的主圖視頻被盜用，在哪里投訴呢？

淘寶代運營商是屬于什么服務？怎么收費？

淘寶商家如何利用選品去制造相對競爭優(yōu)勢？有什么操作技巧？

更多資訊請關注幕 思 城。