信息"裸奔"时代 你的手机号或帮上市公司狂赚96亿(17图)
2019-03-19

  你被APP偷听过吗?

  你是否经常发现,自己刚刚谈论了一个话题,一些APP上就给你推送话题相关的广告或者其他内容?

  3月18日,有媒体报道称,饿了么和美团疑似出现App麦克风“偷听”情况。随后,美团和饿了么均回应称:“偷听门”是无端猜测,该行为不存在。

  但实际上,APP确实利用我们的信息获取了不菲的利益,以美股上市公司汽车之家为例,2014年——2018年,汽车之家靠销售线索获得了96亿元的收入。

  信息被泄露,竟然是消费者自愿的?

  汽车之家成立于2005年,注册资本1000万元,2013年12月于美国纽交所上市。

  3月11日,网友文先生通过21聚投诉对汽车之家进行了投诉。原因是汽车之家将自己的信息泄露给了4S店,导致文先生遭到汽车销售人员的电话骚扰。文先生还提到,自己并未在汽车之家上进行过任何操作。

  这并不是汽车之家第一次因泄露用户信息而被投诉了,2018年8月,21聚投诉收到两起关于汽车之家的投诉,原因均为信息被泄露,遭到来自汽车经销商的电话骚扰。被同时投诉的,还有易车网。

  然而,汽车之家将信息提供给4S店,并非投诉人所说的“私自公开”。

  在汽车之家注册并登录,需要用户提供手机、邮箱。汽车之家提供的几乎所有服务,也都需要用户提供一些信息,包括换车、卖车、估值等。

  每个服务页面下方都有一行小字:“提交代表我同意《个人信息保护声明》,并接受合作商的来电服务。”这一行小字很少会有用户注意,而这份《个人信息保护声明》,更是少有用户点开细看。

  这份被忽略的《声明》中,明确写着:

  “这些能够单独或者与其他信息结合识别您的个人身份的信息,包括:姓名、移动电话、电子邮箱、车牌号、住址等,均是您自愿提供。您有权拒绝,但如果您拒绝提供某些个人信息,您将可能无法使用我们提供的产品、服务……”

  “您同意,汽车之家可以通过以下方式对个人信息进行使用和分享:我们和关联公司使用;我们向相关汽车经销商、厂商及集团分享并由其使用;我们及关联公司及相关汽车经销商、厂商为满足您的需求,可能通过您提供的信息与您联系……”

  “您同意免除上述信息的接收和/或使用方在按照本法律声明所述情况下进行信息披露和使用而导致的或可能导致的所有索赔、责任和损失。”

  总结起来就是:使用汽车之家的时候,用户已经无偿将自己的个人信息,送给了汽车之家平台以及相关联的公司、经销商和厂商。并且,同意不对平台或经销商的行为追责。

  也就是说,用户已经同意汽车之家“泄露”自己的信息,也同意4S店骚扰自己。

  免费的信息,带来高额利润

  虽然用户提供信息是无偿的,但汽车之家却用这些信息赚取了高额利润。

  2月26日,汽车之家发布了未经审计的2018年第四季度及全年财报。财报中,收入被分为三个部分:媒体服务(Media services)、销售线索(Leads generation services)、线上交易及其他(Online marketplace and others)。

  财报中称,2018年全年,销售线索收入达28.71亿。而2018年,汽车之家的总收入为72.33亿元,销售线索占比近四成。

  2018年财报中还提到,销售线索收入增长的原因在于,经销商支付给汽车之家的服务费平均增长了19.1%,且经销商客户群有所扩大。

  什么是销售线索?又如何变现?

  2019年1月,中国汽车报独家专访汽车之家副总裁吴涛。在采访中吴涛称,北京和上海的会员价格为一年20万元,这类经销商2018年平均从汽车之家可以获取7500条线索。而4S店自己获取线索的成本一般是一条200-300元,同样花费20万元4S店只能获得1000条线索。

  可见销售线索就是用户发布在汽车之家平台上的卖车、买车、估价等信息。汽车之家收集有消费意愿的用户,再将线索提供给经销商,向经销商收取服务费,是销售线索变现的主要方式。

  早在2016年,汽车之家电商谈曾邀请汽车经销商探讨过“销售线索精细化管理之道”,宁波嘉德车业有限公司总经理程官相谈到线索,他说:“前面是专门找线索,不管是后台,还是QQ群,或者到潜入到人家的论坛,潜入到人家的群里,都是一个渠道,只要把这个口子做大。第二个是专门做回访,做筛选,最后一个是邀约到店成交。”

  也就是2016年,汽车之家将收入结构进行调整,营收分为三类:媒体、线索、线上销售。2016年财报按新标准对2014年、2015年营收进行重新划分。

  根据重新划分的结果,2014年至2018年销售线索的收入分别为8.4亿、14.04亿、19.16亿、26.16亿、28.71亿,五年的销售线索收入加起来,高达96.47亿元。

  事实上,汽车之家收取的经销商服务费还在不断上涨。2019年1月,因为汽车之家2019年会员费上涨20%,曾引发经销商的大规模抗议,被中升、庞大、运通等多家汽车经销商集团联合抵制。

  APP正在偷窥我们的生活

  如今,大家越来越重视自己的隐私泄露问题,但我们的隐私却变得越来越脆弱。

  3月9日,深蓝君曾在微博上向网友们提出一个问题:是否发现有些APP会监听你的聊天。很多网友们在留言中列出了疑似被监听的例子。

  3月18日,有媒体报道,通过模拟使用场景,对安卓手机、iPhone和iPad上的饿了么和美团外卖进行多轮测试后发现,谈话提及某种食物后,出现相关推荐的概率高达60%-70%。此外,也有用户反映,在刚谈到想吃什么后,打开外卖App就可见到对相关店铺的推荐,疑似出现App麦克风“偷听”情况。

  美团方面回应称,有关“根据麦克风收录的语音关键词为点外卖的用户做推荐”的行为并不存在,美团外卖只会在获得用户语音使用授权,且用户主动发起美团外卖App内的语音输入行为时,才会使用麦克风。此外,美团外卖仅会在用户表达了明确需求信息、进行主动查询后,才会进行相关推荐输出。

  饿了么方面则表示,所谓“监听用户日常对话并做信息分析”,是一种无端猜测,饿了么既没有做类似的产品设置,也不具备相关技术条件,饿了么严格保护用户隐私,任何必要的信息采集都会在取得用户事先同意的前提下进行,在合法合规的范围内使用。

  其实早在2018年1月,今日头条曾陷入“麦克风窃听丑闻”。

  对此,今日头条回应称,“用户使用今日头条进行视频录制时,需用到手机麦克风。除非用户明确点击授权,否则无论哪种手机机型,今日头条都无法获得麦克风权限,无法收到用户任何语音信号……从技术角度看,目前声音信息技术的处理,也远达不到通过麦克风获取个人隐私的水平。”

  尽管运营商都否认了监听用户对话,但APP调用相机、录音、剪贴板等权限,确实是APP获取用户信息的渠道,也确实存在风险。

  艾媒咨询发布的《2018中国手机APP隐私权限测评报告》指出,超六成APP调用录音功能引担忧。

  2018年中国各类APP开启WLAN、使用相机、录音、开启蓝牙调用权限占比分别为90.8%,73.8%,66.3%、27.5%。艾媒咨询分析师认为,该类功能权限调用大多涉及应用启动运行需求,但在权限开放的情况下,仍有被不法分子利用空间,从而导致用户信息泄露等恶意事件发生。

  此外,2018年中国各类APP调用读取联系人权限情况普遍。移动视频、网购、社交等六类APP调用读取联系人权限占比超过50%,成为用户隐私侵犯重灾区。同样被滥用并威胁用户隐私的权限调用,还有阅读短信和定位功能。

  除了图片、语音和位置,文字也未能幸免。

  KEEN公司GeekPwn实验室宋宇昊曾对《IT时报》表示,苹果手机的系统设计允许任何App访问剪贴板,如果用户将一些数据放到剪贴板,再去打开其他App,那么其他App自然而然就会读取剪贴板的内容。比较典型的应用是,如果在微信里要访问淘宝中的某个商品,复制一个淘口令,再打开淘宝的时候会自动导向某个商品。

  更有甚者,APP在读取信息之前,并不会告知用户,而是偷偷读取。

  据江苏卫视报道,3月5日,东南大学副教授宋宇波通过测试发现:一款App明明读取41项信息,却告知用户只读取6项;部分软件超范围收集信息,时钟软件竟读取通讯信息;一些软件即使退出,仍会在后台发送数据。

  被共享的个人信息

  如同汽车之家可以将用户信息提供给4S店一样,某个独立的APP也未必需要通过监听的方式来获取用户的即时信息,因为我们的信息不仅会被APP获取,还会被第三方数据公司汇集、整合。

  日前,浙江每日互动网络科技股份有限公司(以下简称:“每日互动”)招股说明书公布。

  每日互动成立于2010年,主要业务包括:提供开发者服务、精准营销服务和各垂直领域的大数据服务。简单来说,就是根据APP的用户数据,描绘用户画像,进行消息推送。新浪、百度、今日头条、滴滴、唯品会等知名互联网企业都是每日互动的客户,安卓和IOS系统均可覆盖。

  作为一家第三方数据分析公司,每日互动掌握了大量的“用户授权数据”。

  招股书显示,基于公司产品“个推SDK(Software Development Kit,即软件开发工具包)”运营所积累的用户授权数据,公司构建了自己的“个推大数据平台”,形成了“冷数据”、“温数据”和“热数据”的独特数据分类。

  包含的信息如下:

  “冷数据”:用户性别、兴趣、常驻地、职业、收入、年龄段等。 “温数据”:近期活跃应用、近期去过的地方等。 “热数据”:当前地点、当前打开的应用等。

  而这些数据的获取全部都是合法的,招股书中提到,APP开发者通过《用户协议》、《隐私政策》等协议(统称“《用户协议》”)约定获得用户授权。

  “用户协议”,也就是类似于汽车之家《个人信息保护声明》一类的协议,这些被忽略的协议,让我们信息被利用甚至被共享。

  数据公司为你描绘的画像、贴上的标签,并以此为依据进行消息推送。也就是说,“用户画像”可以被多个APP利用。也导致我们在A应用搜索的热词,B应用也能看到;授权一个应用浏览我们的通讯录、短信,就等于授权其他多个应用浏览我们的通讯录、短信。

  每日互动的招股说明书还指出,公司服务了数以万计的APP,公司运用合并链路技术,将使用“个推SDK”的APP之间的长连接链路进行合并,只要其中任何一个应用活跃,就可完成消息的下发推送,实现了跨APP的链路共享。

  为了保证信息的精准、实现合并链接,个推SDK还会获取手机MAC地址和应用列表。

  3·15晚会上曝光的探针盒子,正是通过获得手机的MAC地址,匹配出手机号,用户性别年龄、微博感兴趣话题,手机50天搜索关键词等。可见,手机MAC地址,是获取更多信息的钥匙。

  每日互动招股书显示,通过“个推SDK”采集的用户数据包括:

  ① IMEI/IDFA/MAC 、机型等设备信息

  ② 应用列表(APP List)

  ③ 网络信息,包括WiFi、基站等网络信息连接状态。

  而信息被汇聚在一个统一的平台,本身也增加了信息泄露的风险。2019年1月,360安全发布了《2018政企机构数据泄露形势分析报告》(以下简称《分析报告》)指出,2018年,平均每个漏洞可导致3089.2 万条个人数据泄露。如果平台系统出现漏洞或者“内鬼”,将导致大量信息泄露。

  每日互动招股书中也提到了相关风险,对公司盈利能力产生重大不利影响的因素就包括,不当使用互联网用户信息的风险、数据资源安全风险。

  还有谁对我们的隐私虎视眈眈

  我们的信息不仅成为各类手机应用索取的资源,还成为了暗网上的交易商品。

  360安全《分析报告》指出,网络攻击、内鬼窃取、内部人员操作失误,已经成为当前政企机构数据泄露的三大主要原因:

  从2018年政企机构重大数据泄露事件泄露数据的原因来看,约一半的事件是由于外部攻击导致的;16%的事件是由于内部人员违规操作,主动泄露的数据;10.2%的事件是由于合作伙伴泄露。

  《分析报告》显示,2018年1月到10月,共有86.5亿条数据泄露。2018年,全球政企机构重大数据泄漏事件中,13.1%为生活服务行业,12.1%为IT信息技术,11.7%为互联网行业。

  而实名信息(主要是指姓名、电话、身份证、银行卡、家庭住址等),是政企机构泄露最多的信息类型,也是暗网上信息贩卖最多的类型。

  实名信息在暗网上被贩卖后,一般用于:

  ① 营销

  保健品、保险、理财、房地产中介等行业是数据的主要购买者。在众多公民个人信息中,老人和学生的信息相对来说更受欢迎。老人的信息经常会被相关公司用来推销保健品,而学生的信息则被一些教育机构用来招生宣传。

  ② 诈骗

  中国银联也曾利用大数据分析向社会发布安全提醒,电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗等,其中超过90%是由于个人数据泄露引致,已成为犯罪主要源头。

  ③ 再度贩卖获利

  信息倒卖者以低价购买公民个人信息、随后以高价卖出。在齐齐哈尔农垦区人民法院2017 年的一起判决中,被告人崔文虎便是一名从上线低价购买公民个人信息、随后以高价卖出的倒卖信息者。从2015 年5 月开始,崔文虎在一年半的时间里先后倒卖6 次公民个人信息,累计获利近10000 元。

  对于个人信息泄露的问题,东南大学法学院副教授单平基表示,法律需要为软件读取个人信息的行为设置边界。

  单教授还表示,保护个人信息最根本的办法,在立法层面,目前个人信息保护法已经列入立法规划,正在制订中的民法典,对于个人信息保护也有更明确的规定,随着立法的不断完善,网络个人信息的保护有望得到进一步的加强。

隐私权政策(Privacy) | 免责条款(Disclaimers)