網絡黑產,指以互聯網為媒介、以網絡技術為主要手段,給計算機信息系統安全和網絡空間管理秩序,甚至國家安全、社會政治穩定帶來潛在威脅或重大安全隱患的非法行為。相較於此,灰產則常常游走於法律邊緣的灰色地帶,因此比黑產更加難以界定,治理與打擊力度也更加難以把握。
移動互聯網時代,隱私問題已成為懸在消費者頭上的一把達摩克利斯之劍。
日前,APP專項治理工作組發布了一份個人信息專項治理公告,共有40款APP在個人信息收集使用方面存在問題,且未公開有效聯系方式。而此前幾日,另有30款APP同樣因隱私問題被該工作組通報,並被要求限期整改。
《國際金融報》記者梳理發現,這70款APP涉及金融、交通、快遞、掌上學習以及互聯網醫療等領域,盡管多家相關企業回復記者稱,“目前正在整改”,但有業內人士分析認為,由於利益鏈條千絲萬縷,隱私安全問題或沉疴難起。
記者調查發現,在收集用戶信息上,已然形成了販賣數據的黑灰產業鏈,一些廠商甚至與黑灰產業團伙“合謀”,尋求最大化的利益空間。
據一名接近黑灰產業鏈的知情人士透露,整個市場每年因售賣數據信息獲利超過千億元。而灰產的主要手段就是瞄准了廠商跑量安裝APP的市場需求,“一個安裝量的價格從幾毛錢到幾元不等”。
一周70款APP被通報
按照APP專項治理工作組的要求,被通報的APP運營者自通知發出之日起10日內聯系工作組,領取整改通知,於通知發布之日起30日內完成整改並向工作組提交整改報告,逾期未領取整改通知或未完成整改的,工作組將建議相關部門予以處置。
7月17日,韻達快遞和上海二三四五網絡科技有限公司相關負責人均回應《國際金融報》記者:“目前,已經針對相應問題進行整改。”
此前,中國銀行手機銀行、二三四五、韻達快遞、北京交通等30款APP就因違反《網絡安全法》關於收集使用個人信息的規定,被通報整改。
其中,中國銀行手機銀行、春雨醫生、北京預約挂號、北京交通等10款APP違反《網絡安全法》第四十一條“公開使用收集個人信息規則”的要求,無隱私政策;天天酷跑、探探、獵豹安全大師、人人、全能相機等20款APP要求用戶一次性同意開啟多個可收集個人信息權限,不同意則無法安裝使用,同樣違反了《網絡安全法》的相關要求。
中國政法大學知識產權中心特約研究員、北京志霖律師事務所副主任趙佔領在接受《國際金融報》記者採訪時表示,無隱私政策是指APP沒有制定和頒布收集、使用用戶個人隱私的政策,這本身就是違法的。強制獲取權限的做法違反了網絡安全法的規定,收集、使用用戶個人信息應當經過用戶的同意,而且應當遵循必要性原則,所收集的個人信息與所提供的產品功能或服務有一定關聯性。如果這個產品本身的基本功能並不需要這些個人信息,那就屬於違法行為。
“痛點”普遍存在
7月16日,在APP專項治理工作組通報的40款APP中,與互聯網金融相關的APP總數達16個,佔40%。公開數據顯示,金融借貸類APP收集用戶通訊錄等,佔比約為31.2%,這一收集范圍遭到業內的一片質疑。
移動互聯網系統與應用安全國家工程實驗室高級安全研究員朱易翔對《國際金融報》記者表示,金融類APP理論上不需要收集用戶通訊錄等信息,尤其是近年來,金融借貸類APP上逾期現象頻發,導致欠款者的家人朋友被瘋狂催債的案例屢見不鮮,讀取通訊錄信息應該更加謹慎。
然而,類似的情況在各類APP上都有發生。7月18日,記者在華為應用市場嘗試下載一款外賣APP,然而,該APP要求開通設備信息、位置信息及存儲空間等權限。其中,存儲空間包括手機上的照片、媒體內容和文件等多項內容。
朱易翔分析認為,正常情況下對於外賣APP而言,手機設備上的照片、媒體內容和文件是不必要的信息,但目前這類收集頗為普遍。“這也是一個模糊地帶,應用APP可以在技術上提供一個小的功能,從而讓數據搜集變得合理。”
央視“3·15晚會”也曾提到這一“痛點”,即大部分手機上的APP在使用前,都必須強迫用戶同意自己的定位、麥克風、照相機等權限可以被APP使用。除此之外,部分APP還存在竊取個人隱私等有害行為。
不過,相關的整治行動也早已展開。6月1日,全國信息安全標准化技術委員會發布《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》(下稱《規范》)首次明確,不應強制讀取用戶的通訊錄。
拿金融借貸類APP來說,根據《規范》要求,這類APP所收集的必要信息有手機號碼、賬號信息、身份信息、銀行賬戶信息、個人征信信息、緊急聯系人信息、借貸交易記錄等七項。其中“緊急聯系人信息”僅限兩人,用於逾期不還情況下進行催款,且應允許手動輸入,而非強制讀取通訊錄。
趙佔領表示,違規收集個人用戶信息主要包括五個方面:沒有公示、制定用戶個人信息保護的相關規則;收集用戶信息范圍過大,超出必要的范圍;沒有經過用戶的同意、收集用戶的信息;過度索權、強制授權;用戶的個人信息沒有提供注銷的途徑和方式。
重慶聖世律師事務所律師陳翰笙對《國際金融報》記者稱,APP通過此種方式收集用戶信息,應當遵循合法、正當、必要原則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。如果用戶感到被侵權時,可以按照《侵權責任法》提起侵權訴訟,要求停止侵害、賠償損失、消除影響。
已成行業潛規則?
對於國內市場APP的這種信息收集偏好,朱易翔稱,主要因為從互聯網發展到移動互聯網期間,國家政策法規對信息安全保護的缺位,給市場留下了空白。
“這期間,精准營銷的概念逐漸成為市場主流。這令很多企業有意識地去抓取更多用戶信息,從而形成精准用戶畫像,以便開展廣告推送和投放。這已然成了一種行業潛規則。”朱易翔稱。
互聯網專家、天使投資人郭濤對《國際金融報》記者表示,大數據時代,數據是一切商業模式的基石,眾多不法互聯網企業為自身商業利益大肆收集、爭搶用戶個人信息,多維度收集用戶數據對用戶進行精准畫像,挖掘用戶潛在需求,並開發相關數據類產品或直接向第三方開放用相關數據來牟利。
一名信息安全公司的從業人員陳華(化名)告訴記者,這個問題其實已經存在很久,但一直無法得到根本性解決,核心還在於利益驅使。對於企業來說,隻要收集信息能夠帶來價值,這種動力就會始終存在,尤其是在國內法律監管缺位的情況下。
“另一方面,目前在國內,安卓手機系統在手機市場佔據主流。而安卓系統相較於蘋果iOS系統,更加開放,更具開源性。它在研發、發布APP時,無法做到像iOS系統那樣有嚴格的審核、把關。比如,在iOS系統內,如果一款APP強制抓取超出本服務的用戶個人信息,這類APP就無法發布、上線。”陳華表示,即便是安卓系統本身,國內外也存在差異。在國內,很多廠商都推出了自己的應用市場,對安卓系統進行了一定的改造。安卓市場缺乏統一性,又沒有相應的審核監管機制,這是造成信息安全問題長期存在的緣由。
牟利上千億元
值得注意的是,部分手機APP“越權”獲取用戶信息,已衍生出規模龐大的黑灰產業鏈。據中國互聯網協會此前發布的報告,每年我國網民因詐騙信息、個人信息泄露等遭受的經濟損失近千億元。
一名接近黑灰產業鏈的知情人士李晨(化名)則對《國際金融報》記者透露:“就整個市場而言,估計遠超一千億。”
據李晨介紹,黑灰產業組織往往盯緊熱門APP,通過“爬虫”的方式來獲取APP Top100或Top 50,然后對這些APP進行“反編譯”(計算機術語,是指對他人軟件的目標程序進行逆向研究分析,以推導出他人軟件產品的源代碼),並更改相應源代碼。隨后,將APP投放到大量的應用市場來獲取利益。
李晨出示的一份材料顯示,在灰產關注的領域裡,會定期跟蹤安卓與蘋果系統的APP下載榜與飆升榜,並且按照社交、交通、生活、游戲等類目分類。
“灰產的牟利方式是推動APP提升安裝量,具體情況按照客戶源而有所不同,一般情況下,一個海外安裝量平均下來能獲利1-2元,一個國內客戶平均獲利3-5角。”李晨稱。
據其介紹,灰產之所以能夠這樣操作,是因為目前國內手機市場的大環境為其提供了極大的便利。一方面,國內各類應用市場層出不窮,具有較大影響力的就有應用寶、360手機助手、百度手機助手、華為應用市場、小米應用商店、vivo應用商店、阿裡分發市場等,不知名的應用市場更是數以百計。這些門類多樣的應用市場,為灰產投放“改裝后”的APP提供了廣闊的空間。
另一方面,作為APP的運營者,對APP有安裝量、下載量及存活率的考核指標。而這一任務又以廣告代理的模式層層分銷下去。
“很多APP的廣告推廣是以行業內的廣告聯盟來完成,真正依靠自己企業推廣的隻佔少部分。”李晨介紹稱,這一比例大約為7:3。由此便形成了一條APP廣告推廣鏈條,即廣告主(APP企業運營方)-行業中介廣告聯盟-二級分銷市場-三級分銷市場,然后層層轉利。
“黑灰產就產生在廣告中介紹聯盟內部或二級、三級分銷市場之中。”李晨向記者表示,APP運營者出於投放廣告的目的,去盡量採集用戶更多的信息。與此同時,他們也有推廣APP的需求。而黑灰產組織的存在,能幫助其提升安裝率。所以從這一角度來看,黑灰產的存在是必要的。如此,最終的結果是APP運營者和黑灰產實現了“雙贏”。
“但在這一過程中,用戶信息的泄漏卻是多方位的,既有可能來自於APP運營者內部,也有可能發生在黑灰產組織進行‘反編譯’的過程中。”李晨稱。
治理需多管齊下
對於隱私安全這一沉疴積弊的治理,業界普遍認為是一項系統性工程,需要“多管齊下”。
郭濤表示,前幾年,立法相對滯后,非法收集和買賣用戶數據的現象非常泛濫,自2015年刑法修正案增加非法獲取公民個人信息罪后,買賣用戶數據現象有了較大的收斂;自2017年網絡安全法實施后,企業過度收集用戶數據現象也有所改善。目前,很多企業都是以打一些擦邊球的形式來收集。
郭濤認為,《網絡安全法》的頒布,對於整個互聯網良性健康發展起到了重要作用,有關部門應該強化監管,簡化舉報流程,對過度收集、使用用戶信息的APP進行嚴肅處理。
朱易翔則表示,立法行政手段是其一,市場或許才是更為行之有效的辦法。“如果哪一天,那種強制收集用戶信息、擁有霸王條款的APP,在市場上不被接受了,那麼良性規范化的APP才有可能被重視,這類APP也才會越來越多。當然,這需要企業具備一定的社會責任,也需要用戶具備主動篩選的意識,同時也需要法律、行政政策的引導。這會是一個相對漫長的過程。”
陳華表示,許多垃圾APP會結成行業聯盟,私下互相交換用戶數據來追蹤個人。所以,用戶要警惕一些APP,慎用Wi-Fi萬能鑰匙等軟件,因為這種APP能分析手機唯一的MAC地址等信息。對於一般的APP,在設置訪問權限時,也應該有所留意。在能夠不打開權限的地方,最好盡量選擇禁止。此外,對於一些聲稱優惠活動的鏈接或掃碼也要保持警惕,盡量不要理會。
但在中國人民大學法學院副教授丁曉東看來,與其把注意力完全放在對APP收集信息進行限制上,不如把注意力更多地放在后續的環節。
“大數據的發展本身就依賴於數據的合理使用,而且消費者也會感到很多困擾,例如,弄不清哪些時候需要開啟權限,哪些時候不需要開啟,所以應該給企業一定的收集信息的自主性。此外,在給予自主性的同時,要更加嚴格地去審看企業對信息的收集和使用流程,是否有數據倫理,或者對數據后續的處理和利用是否規范、是否合規,這才是監管的重點。”丁曉東表示。
