shadowrocket不支持v2ray
早高峰,一群上班族涌向地铁站,街边一排共享单车,你打开手机扫一扫,谁知,隔天就接收到了金融产品的推销短信;中午时分,一位自称快递公司的人打来电话,你在淘宝网购的商品,显示丢件,可加倍赔偿,但需要发送你的收款二维码;傍晚,你的家人、朋友、同事接到了多个催收电话,事实却是你在京东金融上的借款逾期。
周末,你打开飞猪,规划很久的出国游,显示出票成功,但很快,开头106的非官方短信告诉你“航班取消”。生活在大数据构建的世界,人们在享受数据便利的同时,也正在被一些过度收集个人信息或过度索权的行为所困扰。而网络黑产链条传播的根源,恰恰在于公众对个人信息的“被迫放逐”。
上海正策律师事务所律师张兢忆告诉《新民周刊》,企业方获取一揽子数据要素,进行加工处理,人群画像,共享转让,有利润亦有价值。但对于一揽子授权、强制同意等问题,公众反映强烈。
目前,针对市面上购物类、金融类、出行类、服务类等App,用户敏感信息如何收集与处理,数据收集、使用范围的边界是什么?如果用户点击不同意,商家拒绝提供App服务是否合理?撤回同意及删除信息的方式是否畅通?
3月15日,中消协发布2023年“提振消费信心”消费维权年主题调查,结果显示,个人信息泄露问题仍然困扰着消费者,排在各类问题首位37.3%。对照2022年消费维权年主题调查结果,多数受访者反感互联网平台App产品强制要求授权和索取个人信息的行为,不支持当前App产品强制要求授权和索取个人信息的比例达46.7%。
早在2021年,中国人民大学一个团队调查了数十万款App后,研究发现,App的各类权限有30多个,但很多权限跟App实现功能的需求并不匹配。App在登录前后,往往也会调用部分权限,同意相关隐私协议,但对于权限授权哪些信息,隐私信息的用途,多数用户并不清楚。
3月16日,记者扫码了一辆“美团单车”,进入小程序后发现,其对于个人信息授权的提醒,相对隐蔽。在提示登录页面,首先弹出一个申请页面——“使用你的蓝牙,解锁单车。”请求允许或拒绝,记者以为此处提示,应当仅作为“使用蓝牙”功能,文字上也并未提示额外的个人用户信息授权。
但仔细观察,在该弹框右上角,还有两个小字“申请”,旁边有个灰色感叹号,点进去才发现“内有乾坤”。大标题为“第三方用户信息授权说明”的弹窗写着:你授权后,小程序开发者、小程序引用的插件开发者将访问你的蓝牙,为你提供相关服务。开发者将严格按照《美团 外卖美食买菜酒店电影购物小程序隐私保护指引》,处理你的个人信息。
记者与大多数用户一样,因着急扫码使用单车,而快速点击“允许”,不会对隐私政策全文通读,判定一二,便默认同意美团单车收集信息的行为。该收集流程同样出现在“美团打车”小程序。只不过登录页面,显示并非“开启蓝牙”,而是“获取你的位置信息”。
当天,记者又点击进入另一小程序,扫码用车。在该登录页面,有一个勾选选项写着:“登录代表您已同意《法律条款与隐私政策》”,当记者未点击勾选,则再次弹出提示要求用户阅读该隐私条款,当记者点击拒绝,则再次跳转到起初页面,意味着如果记者拒绝,将无法正常登录该程序,且无法用车。
进入飞猪App,同样需要经过“被同意”三道弹窗。首先是“温馨提示”,其中包含了飞猪隐私政策,如果不同意,将进入第二道弹窗。“你需要同意本隐私政策,才能继续使用飞猪。”如果点击不同意,直接到第三道弹窗,“亲shadowrocket不支持v2ray,要不要再想想。”,并给出选项“退出应用”和“查看协议”。
以美团等为例,各款App并未给出“不同意”的选项。有的小程序,如果用户点击同意《法律条款与隐私政策》,将一键默认同意26项协议,包括单车、助力车、电动车、顺风车等用户协议。按照每篇协议1万字,30分钟的阅读速度,全部读完需要13个小时。
而且,大多数企业的《隐私政策》普遍存在晦涩难懂、冗长繁琐、专业术语较多等问题,导致用户难以真正理解个人信息被收集的用途和目的。《新民周刊》记者阅读了多家App的隐私政策,不少协议内容超1万字,文字过小、排版较密、重点与非重点文字颜色相近,让不少用户忽略了重点信息。虽然有部分关键信息加粗,但对于没有法律背景的用户来说,很难从中判断其条款的合理性,更对协议中不同意的部分进行修改。
而在《应用权限申请与使用情况说明》部分,所涉及的权限有10—12种,比如,访问摄像头、媒体文件、通话记录等,实际使用过程中,用户难以判断是否允许App使用权限。
如果用户表示,不使用某一项业务,App是否可以拆分条款,能否给予用户“同意或不同意”的选择权利。张兢忆认为,技术层面有可能实现,但平台并没有驱动力去做这件事。原因有两点,一方面,技术拆分成本较高;另一方面,相当于用户在倒逼企业放弃这部分数据权利,而这些数据恰恰是企业方获取广告流量及收入的重要来源。
一位业内人士也表示,企业方通常面对C端客户,量很大,一百万人有一百万个需求,对于商家来说,成本覆盖不了,无法做出个性化安排。所以,明确告诉消费者“你不接受我的信息收集,请你不要使用我的App”是最简单省事的方法。
现实中,保护个人信息可能比想象中复杂。中国人民大学法学院副教授丁晓东说:“个人信息与非个人信息的界限并非如想象的那样清晰。收集行为是否合法等,也就不那么容易判断。”比如,个性化推荐、用户画像等收集的数据属于个人信息吗?
身处乙方角色的公众,通常没有谈判的权利。北京市朝阳区的王先生担心信息被违规使用,在安装一些App时,曾想拒绝某些授权,可他发现,不同意授权,就无法使用。更让王先生困惑与后怕的是“一旦授权,我的个人信息去了哪儿?”。
一位开发者表示,获取权限后,后台甚至能够判断数据背后的人做什么工作、常去哪里。保护虚拟空间数据化的“我们”,通常依靠收集方自律。然而,倘若某些企业安全“防护墙”不结实,就可能造成信息泄露。而更大的风险是,一些数据收集方甚至会做起数据交换的“生意”,几经转手,数据可能被非法利用。
3月20日早上11点,记者接到了“010—5147××××”的营销电线万元的借款额度,可随借随还,还赠送30天的免息券。提供单车服务的公司,怎么做起了贷款生意,记者在小程序扫码单车的时候,也从未点击过任何贷款的按钮,这让记者感到疑惑。当记者问及如何操作借款时,对方表示,可在App首页“借钱”,两分钟即可到账。
下载了“臻有钱”App后,点击首页“借钱”按钮才发现,该业务是2019年上线的某助贷产品,最高贷款额度20万元,与湖北消费金融、中原消费金融、马上消费金融等多个机构合作。记者了解到,尽管该企业具备一定消费金融线上运营经验,但助贷业务并非一帆风顺。自其上线以来,被消费者多次投诉贷款利息高、暴力催收、电话骚扰等问题。在黑猫投诉平台显示,“臻有钱”相关的投诉信息有350条。
3月20日,有消费者投诉称,该平台连续拨打电话问需不需要贷款,在表明再打电话就投诉的情况下,业务员说不会再骚扰了,结果没几天,又收到“臻有钱”的短信继续推销贷款,且换不同的号码进行“电话轰炸”,已严重影响正常生活。
还有用户因不满隐私保护控诉,表示自己只是注册用来骑车,结果泄露了信息,发骚扰短信,并且短信中明明有回T退订,但是实际根本没有效果,存在误导用户,欺骗用户的行为。大多数用户表示,自己从未使用过这款产品。
为什么从未使用该产品,却接到相关营销电话?记者调查发现,问题出在相关的隐私信息授权。在记者曾使用过的小程序登录页面,里面包含了26项目协议,其中排在第二位置的《个人信息保护及隐私政策》第9条有关于“臻有钱”的相关条款。
这项金融服务收集的信息内容,包含人脸信息、学历、居住地、月薪、银行卡信息、详细地址,单位名称、单位地址、职业、行业等。甚至联系人信息,姓名、手机号、关系等都收集在内,并强调根据用户信息形成群体特征标签,用于提供可能感兴趣的营销活动通知,商业性广告、短信、电话语音等。
虽然提示可以按照方法进行退订,但并未明确提供“如何退订”的具体操作。值得一提的是,该小程序中并未有“借钱”业务,该业务只存在于App,但小程序却让用户“被同意”未开设的业务,这是否合理?
专家表示,个人信息保护法明确,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
电话营销只是“信息收集”使用场景的第一步,有消费者投诉,一旦借款逾期,不仅无法协商还款,还遭受到了大量网络催收电话,催收人员态度嚣张跋扈,并发送了一系列的含有恐吓威胁性质的短信,让其再去借贷周转;还有用户称,自己被催收威胁骚扰,借款时强制捆绑了保险单,除了利息,每期还要多还60元的保费。
暴力催收等情况,还存在于京东金融、分期乐等互联网金融产品,譬如,分期乐相关隐私条款,存在收集用户通话记录、通讯录等行为。“催缴电话会打给同事、朋友、家人,福建有一个朋友,遭遇银行催债,催收电话竟然打给了广东的一个人,可怕的是这个人只是在他通讯录里存在过,并不熟悉。”
张兢忆认为,用户登录软件时已经默认隐私政策,默认这些信息可以使用,企业作为债权人,要收回欠款,既然双方签订了看似平等的协议,企业就认定你的数据是可使用的。
2022年12月1日实施的《中华人民共和国反电信网络诈骗法》,规定对助贷、催收的一些特定行为构成违法,任何单位和个人不得出售、提供个人信息,并明确限制民营线上高利贷款平台。
互联网时代下,消费者的衣食住行、生活的方方面面早已被各大平台以数据形式一一记录下来,借此分析消费者的日常消费习惯、生活习惯等、进一步描绘出具体有效的用户画像,然后平台再针对每个消费者制定一套独特的方案进行营销。
滴滴出行、飞猪、京东、美团、饿了么等众多知名平台都曾被曝出疑似存在“杀熟”的问题。1月29日,市民张先生称自己在用飞猪平台订购从佳木斯飞往烟台的机票时,遭遇到了恶意涨价,张先生6分钟内下单6次都支付失败,之后机票价格一路飞涨。
因为同意了相关隐私条款,有网友还遭遇了凭空多出的订单及退款,疑似隐私泄露。有用户投诉称,自己在飞猪上定了一张昆明去往沈阳的机票,票价为635元,被莫名其妙退款。客服称是本人退的,但其实不是。更离谱的是,有人在飞猪上订购了酒店,没有办理入住,后面竟然显示成功入住。
一位用户更表示,2023年1月17日,自己收到开头106的短信,告知自己航班因故障取消,但飞猪页面显示出票成功,和航空公司核实后也显示没有取消。但短信上有用户的姓名、航班起落号等个人信息,后与飞猪客服协商无果。
张兢忆告诉《新民周刊》,之前有一位京东金融的用户,突然收到以他账户购买的东西,但其实不是他购买的,因为平台会把账户密码借出去。借出去的目的在于电商平台或企业方有证明其账户是活跃的需求,用户量越活跃,代表你的估值越高。如果企业拿去撞库的话,将会面临巨大风险。
有记者潜入一个名为“网购料子”的2万人网络黑灰产群,每隔几天,就会有人发布“出料”信息,“料子”是网络地下交易的“黑话”,即各类用户个人信息。卖家小志出售多家知名电商平台的“料子”,其中某电商平台的用户订单,实时订单4元一条,本月内下单1.5元一条。
小志称,购买者不仅可以指定平台,还可以选择商品类型和用户下单时间等。交易方式需用“U币”支付。他口中的“U币”指泰达币,是一种基于区块链技术的虚拟货币,具有匿名性特点。公开报道显示,泰达币还被用于网络赌博、贩毒、洗钱等犯罪活动。
除了电商订单,在该社交平台的其他群组中,招聘、婚恋交友、小额贷款、酒店出行、在线教育等平台的用户个人信息也被公开出售。
黑灰产群只是庞大的个人信息买卖黑灰产市场的“冰山一角”。据国内知名网络安全公司奇安信集团监测的数据显示,仅去年1月到10月,就有超过950亿条的中国境内机构数据在海外被非法交易,其中60%是公民个人信息。
这些用户个人信息最终会流向何处?记者调查发现,经过层层转卖,这些数据往往会落入不法分子手中,用于非法营销甚至诈骗。至于用户的个人信息是在哪个环节“丢失”的?卖家小志对此比较谨慎,并未直接回复。
有业内人士总结,数据泄露往往有三种原因。一是黑客攻击,据统计,60%以上的数据泄露是由网络攻击导致;二是“内鬼”泄露。现在各行各业都推进数字化转型,大量员工、开源人员、合作伙伴都可以接触到数据,其间管理不当就可能造成数据泄露;三是在各组织之间的流通受阻,数据给出后无法收回。
以电商平台为例,漏洞可能出现在平台和商家之间的环节。李云供职于某互联网公司,长期从事数据安全保护工作。在他看来,大型电商平台的防护体系相对成熟,通常不易被直接攻击。但平台内的商家为了提高运营效率,会使用第三方订单管理软件接入平台API端口。这些第三方软件的防护能力相对薄弱,较容易成为黑客攻击的目标。
其次,“内鬼”违规获取,如快递站点工作人员进行面单拍摄、数据人为导出,后在黑灰产交易平台出售。3月15日,公安部公布的8起打击侵犯公民个人信息典型案例中,江苏公安侦查发现犯罪嫌疑人勾结快递公司员工,通过在公司内部电脑安装木马程序等方式,窃取物流寄递信息。
国内数据安全服务商“威胁猎人”发布的《2022年数据资产泄露分析报告》中提到,工具软件泄露已成为电商行业数据泄露的第三大原因。事实上,黑灰产从业者使用境外社交平台进行信息买卖和数据交易屡见不鲜。
2月12日9时40分,黑产开始在多个数据售卖群发布广告“45亿订单机器人”,并引起广泛关注。这一自称为“星链”的黑灰产频道,其在说明文字中表示已设置一个查询机器人,用户输入电话号码便能查询关联的姓名和地址信息。
目前,机器人已经永久关闭,但记者登录多个频道发现,将自己收集到的信息积累成“数据库”并创立频道、设置自动回复机器人进行信息买卖,已是一种常见且方便的交易模式。一些运行较久的黑灰产买卖机器人可以通过打造“积分”系统实现交易,即用户花钱购买积分,再使用积分到黑灰产频道设置的机器人中进行查询,每次查询再扣除积分。
另外一类黑灰产频道则设置专人客服,直接进行VIP式服务,帮助查询户口甚至银行流水信息,不过价格通常较贵。户口信息需要数百元,银行流水则要上千甚至上万元。
不管是黑客攻击、内鬼泄露还是建立黑产频道,业内人士表示,即便明确了泄露源头,追查幕后黑手仍然困难重重。“料商”们手中的数据大多经过层层“清洗”,追查起来非常困难。
北京盈科(杭州)律师事务所律师朋礼松表示,信息贩卖者通过境外社交软件或暗网进行交易,导致办案机关无法通过数据调取方式获取证据,通常只能通过对聊天软件中相关内容的截图来进行认定。“司法实践中,可能会存在证据链不完整等问题。”记者|吴雪