网页浏览记录、联系方式、家庭住址甚至个人开房纪录和打车记录等个人隐私信息正成为商品,在人们不知不觉中被贩卖,信息的暴露程度远超我们想象。
央视记者最近发布了一个调查报道:只要提供一个人的手机号码,就能在网络上查到他所有私密的个人信息,而且范围覆盖全国。记者登录了一个专门贩卖个人信息的QQ群,里面的群员多达1946名,非常活跃。
身份户籍、名下资产、手机通话记录、名下支付宝账号、全国开房记录等各类公民个人信息被公开叫卖、种类之多让人惊讶。
信息贩子声称,只要提供对方的手机号就能获取对方所有隐私信息。
经过小王授权,记者把小王的手机号提供给了一个卖家,要求查询小王身份信息,对方要价220元。
3个小时后,对方发来了一张截图,上面有小王的照片、身份证号码、户籍所在住址、民族、所属派出所等。随后,记者又从对方手中买到了小王名下的车辆信息和“淘宝”送货地址,小王确认全部属实。
报上手机号打车记录精确到秒?
QQ群里出售的个人出行轨迹中,每一页滴滴打车记录要价是55元。平均一条大概5.5元左右。
记者向一名信息贩子提供了小王的手机号码,两个小时后,对方发来了一张滴滴打车清单,从2016年11月份到2017年1月份,小王每次打车的详细记录,包括从哪里上车,哪里下车,上下车的时间精确到秒。
手机通话记录,是网上信息黑市里的热卖品。价格一般在1500-2000元之间。记者向信息贩子支付了1500元,要求查询小王的手机通话记录。
第二天,对方发来了一张截图,上面是小王2016年9月到2017年2月份共6个月的通话记录,在总计一千多个通话记录中,详细记录着每次通话的来电与去电号码,通话时间、通话时长、以及每次通话的话费。
在QQ群的聊天记录里,很多信息贩子都表示可以对移动、联通和电信的手机用户进行定位,并且声称误差在50米以内。记者决定一试真伪。
2月10日晚7点左右,记者和同事小王来到了北京西客站北广场,晚上7点24分,记者要求对方定位小王的实时位置。大约17分钟后,对方发来了小王的多张实时位置图,有平面地图,也有卫星地图,其中还清晰标记了经纬度,定位的位置地点是:距离北京西客站北广场向北约150米。
调查虽然结束,但央视记者最终没有搞明白:这些个人信息到底是从哪些渠道被窃取并泄露的?
根据这则电视新闻,品途商业评论走访了运营商和一些提供数据服务的企业,抽丝剥茧搞清了其中的信息贩卖路线。
零散的数据建构起用户形象
“央视调查的信息买卖情况,每时每刻都在全国各地上演着,不足为奇。互联网时代,获取信息都是在用户不知不觉的情况下进行的。”于得水对品途商业评论说。他是一家运营商内部的技术人员,从业五年,深谙运营商内部的信息往来业务。
“不管你是谁,只要你上网就会留下日志,只要你打电话就会留下通话记录。”于得水说道:“你在最近一段时间在网上浏览过什么,留下过什么信息全都有记录,甚至几分几秒都有。手机APP就更是了,APP平台如果想获取你的使用信息,简直易如反掌。”
在于得水看来,普通用户作为互联网数据端的最底层生物,他们的信息都被三种渠道瓜分。第一种合法且干净的,第二种是合法但是不干净的,第三种完全是不合法的。三种链条错综复杂,中间造成的用户数据泄露不计其数。
第一种合法且干净的信息链
“正常的互联网精准广告投放(也叫需求方平台DSP)其实都是合法而且干净的。当用户浏览某个网站,网站会给这些用户的浏览器里种下一个cookie标记。可以把cookie理解为一颗种子。当用户浏览很多网站之后,这些散落的种子就可以连起来形成一幅关于用户画像的树状图。”
互联网中的每一个用户都会有属于自己的树状图。例如小王,经常在网上观看篮球比赛,还在网上购买过游戏币,并在某网站填写过生日信息以及电话号码……那么把这些cookie连起来后,小王的画像就是——喜欢游戏、热爱篮球的30岁男性。
和他一样,成千上万的用户在豪不知情的情况下自己的互联网行为被采集和分析了,然后互联网广告交易市场会利用这些用户数据,为广告主提供竞价或定价的精准广告投放服务。——现在终于明白:如果我们上网经常看什么内容就会看到这类广告的原因了。
于得水说:“收集用户信息有很多用途,目前最普遍的方式之一是为广告服务。其中一部分信息交给了广告交易市场。广告市场会专门按照人群和兴趣标签进行广告投放,这属于合法且干净的信息操作。”
国内的很多大型互联网公司都用自己的广告交易市场比如:百度网盟、阿里Tanx、腾讯广点通等,在三家分别掌握了用户互联网上搜索、消费、社交的大量数据,并且也在疯狂采集用户的更多维度数据,比如百度收购高德为了线上线下的数据做打通。
再比如阿里收购站长站(网站统计)、友盟+(app统计)、绿网(网络鉴黄、舆情)为了将用户消费数据和全网行为数据做打通;比如腾讯的社交数据已经具有了很强的账号关联性,它做跨屏的用户识别就很容易,再结合线下的场景微信支付,就更厉害了。但这三家还不是最厉害的,数据最全还要属网络运营商。
这门技术最初是被谷歌推广开的(感兴趣的朋友可查阅OPEN-RTB协议),初心是为了帮助用户找到满意的产品和服务。然而,随着时间推移和技术发展,合法且干净的用户信息数据正在被趋利者利用。后来还衍生了信息卖买这门地下产业链。
第二种合法但不干净的交易链
任晓宜是这条交易链的受益者。她是一家车企的市场总监,随着汽车持有量的不断上涨,汽车行业整体进入饱和状态,提升市场占有率越来越难。
“像我们这样的家用型中低端汽车为主的车企每年的互联网广告预算至少几亿,然而对我们来说纠结的是:这上亿的金额花不完明年预算就会缩减,如果花完但是完全没有体现在销售额上,我的位置也不保。”
无奈之下任晓宜打算通过购买数据的手段来提升交易量。为了规避在交易中可能存在的法律风险,她把销售线索数据的请求交给了广告代理公司A,汽车母公司不仅在交易上与A公司存在关联,而且广告公司A公司的法人也是任晓宜曾经的下属。
广告公司A联系上了当地一家数据量丰富的运营商,运营商通过自己旗下某咨询公司B与A签订了一份名为购车意向的调研合同。合同内容截取如下:
合同要求对方提供160万个用户调研结果,内容包括:参与调研的客户姓名、性别、所在城市、手机联系方式、预购汽车品牌、车型。
在双方权利和义务一项,合同中提到:甲方保证将乙方提供的调研结果仅用于“汽车产品调研”用途,并有义务保证乙方提供的调研结果数据及信息的安全;如因此发生任何侵权事件,或导致乙方被卷入任何侵权纠纷的,甲方应承担由此产生的一切责任。
“这样写合同其实运营商是为了规避风险,不管我们将数据用来做什么造成的后果他们都不承担。而我们用广告公司A和他们签合同,同样也是为了规避风险。”任晓宜表示。
然而,合同中声明的花5.5元钱一份购得的用户信息真的仅仅用于调研吗?
一个星期后,任晓宜就收到了第一批用户信息数据的表格,这份表格涉及全国的20多个省份的数万个用户信息。她把这个表格交给了销售部,销售部马上把这些信息分派给全国各地方的4S门店销售员,销售员会按照这些信息打电话给用户推荐汽车。显然,任晓宜的做法违背了合同中提出的仅用于调研的规定,而是直接应用到了销售中,涉嫌买卖用户信息。
“我们目的很简单就是买用户信息,调研只是一个名头。因为通过获取精准的用户信息进行推销,比以前常规模式方便很多。”任晓宜透露。
常规模式需要7各环节,(包括网络广告投放->广告展现->用户点击->用户主动填写信息->电话营销->用户进店->最终成交),过程复杂,投入成本大但合理合法。如果与相关汽车网站合作,购买用户主动填写的试乘试驾信息这个成本费用大概100-500元一个人(合理合法)。但,通过运营商直接购买用户信息只需要5.5元一个购车线索,这不仅大大为公司节约了成本,也减轻了我们的业绩压力。”
5月9日,最高人民法院、最高人民检察院公布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。其中包括对快递、电商等行业出现的信息泄露问题的整治。
解释中提出,非法获取、出售或者提供五十条以上“敏感信息”的,可认定为“情节严重”。此外,将违法获利所得五千元以上的,定为“情节严重”。这种情况可被判处三年以下有期徒刑或者拘役,并处或者单处罚金。
非法获取、出售或者提供相关类别公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的;或具有“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”等情形的,处三年以上七年以下有期徒刑,并处罚金。
尽管有法规明令禁止,但身在运营商内部的于得水则透露:“信息卖买的交易,在某些运营商内部也是睁一只眼,闭一只眼,因为对于他们来说只是’洗’出一点信息而已,无本万利。只要在信息服务合同上规避掉自己的风险,他们其实并不在意最终提供的信息被应用到了哪里。”
于得水说:“合同是干净的又没有说是买卖用户信息,但是本质上用户信息确实被出卖了。由于偷拍偷录没有任何法律效力,即使有人想要揭发这个产业链也没有办法。”
对于购买用户数据的手段,任晓宜渐渐的深谙其中的门道。她再次把所在车企CRM库中的50万VIP用户信息提供给了另一家运营商的内部人员,要求对方把用户信息补全。几天后,对方给她提供了110万个用户数据,远远超过了50万这个数字。按照每条5.5块钱,最终对方在没有投入任何成本的情况下获利605万元。这些暗箱操作的内容在合同上依然没有体现。
“刚开始买数据这个行为我感觉很抵触,觉得这帮运营商太聪明了编辑各种逃避责任的片汤合同,他们不出成本不担风险就能拿钱。但后来我也的确不出力就拿到了数据给企业创收。大家都是为了利益。”任晓宜解释说。“只要能搞定运营商内部员工,得到更多的信息也不是难事。”
然而最终受到伤害的还是信息被贩卖的消费者,不管是营销费用还是服务费用最终分摊者都是消费者。
“不仅仅是汽车领域,很多行业都有购买用户数据的诉求。购买数据的公司集中在大额消费领域,例如房子、车子、看病和教育等。”于得水介绍说“第一轮买这些信息的只是为了营销,而营销的中间环节十分不可控,只要到手就可以转手卖掉这些信息,从中获利。”
第三种不合法不干净的信息交易
如开头所述,央视记者调查事件后,公安部专案组顺线追踪,终于在最近抓获了这个26人的犯罪团伙,他们供出了其中的数据泄露源头。
经调查:1、滴滴打车记录来源:滴滴客服业务的外包公司——湖南德沃信息技术有限公司某员工利用职务便利违规查询获取并转卖;2、联通手机通话记录来源:杨某利用网络工具,冒充受害人手机号码致电联通公司语音客服,骗取该手机网上营业厅登录密码,进而查询获取;3、联通手机即时定位信息来源:中国联通天津分公司员工陈某利用职务便利违规查询获取并转卖……
“这个案件并不是个案,APP与运营商内部人员私自贩卖个人信息成了重灾区。如果不是央视记者卧底,大多数的人信息被贩卖了也只能吃个哑巴亏。”于得水说。
虽然犯罪嫌疑人均已被抓获,但是留给人的疑问与恐慌却久久不能平息。从运营商内部,到中间环节,信息的每一次流通都有可能造成泄露。
于得水说“只要你使用网络就和没穿衣服一样,没有什么是运营商和APP技术人员不知道的。”
技术的发展、物质的充裕,究竟是解放了人还是束缚了人?如同《楚门的世界》一样,真相永远是残忍的——互联网用户信息正不可避免的,被合法的或非法的路径瓜分。
“互联网里的自由只是用户的自我感觉,在运营商或平台眼里这些(自由)终究只是代码和商品。”于得水感叹道。
应采访者要求,本文采访对象使用化名。