网络黑产,指以互联网为媒介、以网络技术为主要手段,给计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁或重大安全隐患的非法行为。相较于此,灰产则常常游走于法律边缘的灰色地带,因此比黑产更加难以界定,治理与打击力度也更加难以把握。
移动互联网时代,隐私问题已成为悬在消费者头上的一把达摩克利斯之剑。
日前,App专项治理工作组发布了一份个人信息专项治理公告,共有40款APP在个人信息收集使用方面存在问题,且未公开有效联系方式。而此前几日,另有30款APP同样因隐私问题被该工作组通报,并被要求限期整改。
《国际金融报》记者梳理发现,这70款APP涉及金融、交通、快递、掌上学习以及互联网医疗等领域,尽管多家相关企业回复记者称,“目前正在整改”,但有业内人士分析认为,由于利益链条千丝万缕,隐私安全问题或沉疴难起。
记者调查发现,在收集用户信息上,已然形成了贩卖数据的黑灰产业链,一些厂商甚至与黑灰产业团伙“合谋”,寻求最大化的利益空间。
据一名接近黑灰产业链的知情人士透露,整个市场每年因售卖数据信息获利超过千亿元。而灰产的主要手段就是瞄准了厂商跑量安装APP的市场需求,“一个安装量的价格从几毛钱到几元不等”。
图片来源:图虫创意
1
一周70款APP被通报
按照APP专项治理工作组的要求,被通报的APP运营者自通知发出之日起10日内联系工作组,领取整改通知,于通知发布之日起30日内完成整改并向工作组提交整改报告,逾期未领取整改通知或未完成整改的,工作组将建议相关部门予以处置。
7月17日,韵达快递和上海二三四五网络科技有限公司相关负责人均回应《国际金融报》记者:“目前,已经针对相应问题进行整改。”
此前,中国银行手机银行、二三四五、韵达快递、北京交通等30款APP就因违反《网络安全法》关于收集使用个人信息的规定,被通报整改。
其中,中国银行手机银行、春雨医生、北京预约挂号、北京交通等10款APP违反《网络安全法》第四十一条“公开使用收集个人信息规则”的要求,无隐私政策;天天酷跑、探探、猎豹安全大师、人人、全能相机等20款APP要求用户一次性同意开启多个可收集个人信息权限,不同意则无法安装使用,同样违反了《网络安全法》的相关要求。
中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领在接受《国际金融报》记者采访时表示,无隐私政策是指APP没有制定和颁布收集、使用用户个人隐私的政策,这本身就是违法的。强制获取权限的做法违反了网络安全法的规定,收集、使用用户个人信息应当经过用户的同意,而且应当遵循必要性原则,所收集的个人信息与所提供的产品功能或服务有一定关联性。如果这个产品本身的基本功能并不需要这些个人信息,那就属于违法行为。
2
“痛点”普遍存在
7月16日,在APP专项治理工作组通报的40款APP中,与互联网金融相关的APP总数达16个,占40%。公开数据显示,金融借贷类APP收集用户通讯录等,占比约为31.2%,这一收集范围遭到业内的一片质疑。
移动互联网系统与应用安全国家工程实验室高级安全研究员朱易翔对《国际金融报》记者表示,金融类APP理论上不需要收集用户通讯录等信息,尤其是近年来,金融借贷类APP上逾期现象频发,导致欠款者的家人朋友被疯狂催债的案例屡见不鲜,读取通讯录信息应该更加谨慎。
然而,类似的情况在各类APP上都有发生。7月18日,记者在华为应用市场尝试下载一款外卖APP,然而,该APP要求开通设备信息、位置信息及存储空间等权限。其中,存储空间包括手机上的照片、媒体内容和文件等多项内容。
朱易翔分析认为,正常情况下对于外卖APP而言,手机设备上的照片、媒体内容和文件是不必要的信息,但目前这类收集颇为普遍。“这也是一个模糊地带,应用APP可以在技术上提供一个小的功能,从而让数据搜集变得合理。”
央视“3·15晚会”也曾提到这一“痛点”,即大部分手机上的APP在使用前,都必须强迫用户同意自己的定位、麦克风、照相机等权限可以被APP使用。除此之外,部分APP还存在窃取个人隐私等有害行为。
不过,相关的整治行动也早已展开。6月1日,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》)首次明确,不应强制读取用户的通讯录。
拿金融借贷类APP来说,根据《规范》要求,这类APP所收集的必要信息有手机号码、账号信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等七项。其中“紧急联系人信息”仅限两人,用于逾期不还情况下进行催款,且应允许手动输入,而非强制读取通讯录。
赵占领表示,违规收集个人用户信息主要包括五个方面:没有公示、制定用户个人信息保护的相关规则;收集用户信息范围过大,超出必要的范围;没有经过用户的同意、收集用户的信息;过度索权、强制授权;用户的个人信息没有提供注销的途径和方式。
重庆圣世律师事务所律师陈翰笙对《国际金融报》记者称,APP通过此种方式收集用户信息,应当遵循合法、正当、必要原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。如果用户感到被侵权时,可以按照《侵权责任法》提起侵权诉讼,要求停止侵害、赔偿损失、消除影响。
3
已成行业潜规则?
对于国内市场APP的这种信息收集偏好,朱易翔称,主要因为从互联网发展到移动互联网期间,国家政策法规对信息安全保护的缺位,给市场留下了空白。
“这期间,精准营销的概念逐渐成为市场主流。这令很多企业有意识地去抓取更多用户信息,从而形成精准用户画像,以便开展广告推送和投放。这已然成了一种行业潜规则。”朱易翔称。
互联网专家、天使投资人郭涛对《国际金融报》记者表示,大数据时代,数据是一切商业模式的基石,众多不法互联网企业为自身商业利益大肆收集、争抢用户个人信息,多维度收集用户数据对用户进行精准画像,挖掘用户潜在需求,并开发相关数据类产品或直接向第三方开放用相关数据来牟利。
一名信息安全公司的从业人员陈华(化名)告诉记者,这个问题其实已经存在很久,但一直无法得到根本性解决,核心还在于利益驱使。对于企业来说,只要收集信息能够带来价值,这种动力就会始终存在,尤其是在国内法律监管缺位的情况下。
“另一方面,目前在国内,Android/ target=_blank class=infotextkey>安卓手机系统在手机市场占据主流。而安卓系统相较于苹果IOS系统,更加开放,更具开源性。它在研发、发布APP时,无法做到像iOS系统那样有严格的审核、把关。比如,在iOS系统内,如果一款APP强制抓取超出本服务的用户个人信息,这类APP就无法发布、上线。”陈华表示,即便是安卓系统本身,国内外也存在差异。在国内,很多厂商都推出了自己的应用市场,对安卓系统进行了一定的改造。安卓市场缺乏统一性,又没有相应的审核监管机制,这是造成信息安全问题长期存在的缘由。
4
牟利上千亿元
值得注意的是,部分手机APP“越权”获取用户信息,已衍生出规模庞大的黑灰产业链。据中国互联网协会此前发布的报告,每年我国网民因诈骗信息、个人信息泄露等遭受的经济损失近千亿元。
一名接近黑灰产业链的知情人士李晨(化名)则对《国际金融报》记者透露:“就整个市场而言,估计远超一千亿。”
据李晨介绍,黑灰产业组织往往盯紧热门APP,通过“爬虫”的方式来获取APP Top100或Top 50,然后对这些APP进行“反编译”(计算机术语,是指对他人软件的目标程序进行逆向研究分析,以推导出他人软件产品的源代码),并更改相应源代码。随后,将APP投放到大量的应用市场来获取利益。
李晨出示的一份材料显示,在灰产关注的领域里,会定期跟踪安卓与苹果系统的APP下载榜与飙升榜,并且按照社交、交通、生活、游戏等类目分类。
“灰产的牟利方式是推动APP提升安装量,具体情况按照客户源而有所不同,一般情况下,一个海外安装量平均下来能获利1-2元,一个国内客户平均获利3-5角。”李晨称。
据其介绍,灰产之所以能够这样操作,是因为目前国内手机市场的大环境为其提供了极大的便利。一方面,国内各类应用市场层出不穷,具有较大影响力的就有应用宝、360手机助手、百度手机助手、华为应用市场、小米应用商店、vivo应用商店、阿里分发市场等,不知名的应用市场更是数以百计。这些门类多样的应用市场,为灰产投放“改装后”的APP提供了广阔的空间。
另一方面,作为APP的运营者,对APP有安装量、下载量及存活率的考核指标。而这一任务又以广告代理的模式层层分销下去。
“很多APP的广告推广是以行业内的广告联盟来完成,真正依靠自己企业推广的只占少部分。”李晨介绍称,这一比例大约为7:3。由此便形成了一条APP广告推广链条,即广告主(APP企业运营方)-行业中介广告联盟-二级分销市场-三级分销市场,然后层层转利。
“黑灰产就产生在广告中介绍联盟内部或二级、三级分销市场之中。”李晨向记者表示,APP运营者出于投放广告的目的,去尽量采集用户更多的信息。与此同时,他们也有推广APP的需求。而黑灰产组织的存在,能帮助其提升安装率。所以从这一角度来看,黑灰产的存在是必要的。如此,最终的结果是APP运营者和黑灰产实现了“双赢”。
“但在这一过程中,用户信息的泄漏却是多方位的,既有可能来自于APP运营者内部,也有可能发生在黑灰产组织进行‘反编译’的过程中。”李晨称。
5
治理需多管齐下
对于隐私安全这一沉疴积弊的治理,业界普遍认为是一项系统性工程,需要“多管齐下”。
郭涛表示,前几年,立法相对滞后,非法收集和买卖用户数据的现象非常泛滥,自2015年刑法修正案增加非法获取公民个人信息罪后,买卖用户数据现象有了较大的收敛;自2017年网络安全法实施后,企业过度收集用户数据现象也有所改善。目前,很多企业都是以打一些擦边球的形式来收集。
郭涛认为,《网络安全法》的颁布,对于整个互联网良性健康发展起到了重要作用,有关部门应该强化监管,简化举报流程,对过度收集、使用用户信息的APP进行严肃处理。
朱易翔则表示,立法行政手段是其一,市场或许才是更为行之有效的办法。“如果哪一天,那种强制收集用户信息、拥有霸王条款的APP,在市场上不被接受了,那么良性规范化的APP才有可能被重视,这类APP也才会越来越多。当然,这需要企业具备一定的社会责任,也需要用户具备主动筛选的意识,同时也需要法律、行政政策的引导。这会是一个相对漫长的过程。”
陈华表示,许多垃圾APP会结成行业联盟,私下互相交换用户数据来追踪个人。所以,用户要警惕一些APP,慎用Wi-Fi万能钥匙等软件,因为这种APP能分析手机唯一的mac地址等信息。对于一般的APP,在设置访问权限时,也应该有所留意。在能够不打开权限的地方,最好尽量选择禁止。此外,对于一些声称优惠活动的链接或扫码也要保持警惕,尽量不要理会。
但在中国人民大学法学院副教授丁晓东看来,与其把注意力完全放在对APP收集信息进行限制上,不如把注意力更多地放在后续的环节。
“大数据的发展本身就依赖于数据的合理使用,而且消费者也会感到很多困扰,例如,弄不清哪些时候需要开启权限,哪些时候不需要开启,所以应该给企业一定的收集信息的自主性。此外,在给予自主性的同时,要更加严格地去审看企业对信息的收集和使用流程,是否有数据伦理,或者对数据后续的处理和利用是否规范、是否合规,这才是监管的重点。”丁晓东表示。
记者 汪建君