灰产牟利逾千亿 隐私之痛何时休

本篇文章4492字，读完约11分钟

术语解释[/h/与此相比，灰色财产往往徘徊在法律边缘的灰色地带，因此比黑色财产更难界定，也更难把握治理和打击的力度。

在移动互联网时代，隐私已经成为悬在消费者头上的达摩克利斯之剑。

几天前，应用特别治理工作组发布了一个关于个人信息的特别治理公告。共有40家APPs在收集和使用个人信息方面存在问题，并且没有披露有效的联系信息。在过去的几天里，工作组还通知了另外30个应用程序，原因是隐私问题，并要求它们在一个时限内改正。

据《国际金融新闻》记者称，这70款应用与金融、交通、快递、手持学习和网络医疗等领域相关。尽管许多相关企业已回复记者，称“目前正在整改”，但业内一些人士认为，由于利益链众多，隐私和安全问题可能变得困难。

记者调查发现，在收集用户信息的过程中，已经形成了一条销售数据的黑灰色产业链，一些厂商甚至与黑灰色行业帮派勾结，谋求空房利最大化。

据一位接近黑色和灰色产业链的内部人士透露，整个市场每年从销售数据和信息中获利超过1000亿元。灰分生产的主要手段是针对制造商安装app的市场需求。“安装数量的价格从几美分到几元不等”。

1

每周有70个应用被通知

根据app专项治理工作组的要求，被通知的app运营商应在通知发出之日起10日内联系工作组，收到整改通知后，在通知发出之日起30日内完成整改，并向工作组提交整改报告。如果逾期未收到整改通知或整改未完成，工作组将建议相关部门进行处理。

7月17日，大云快运和上海2345网络技术有限公司相关负责人回应《国际金融新闻》记者:“目前，相应问题已得到整改。”

此前，包括中国银行移动银行、2345、大云快运和北京通信在内的30款应用因违反《网络安全法》关于收集和使用个人信息的规定而被通知整改。

其中，中国银行移动银行、余纯博士、北京预约挂号、北京交通等10款应用违反了《网络安全法》第41条“个人信息公开使用收集规则”的要求，没有隐私政策；20个应用程序，如每日酷跑、探索、猎豹安全大师、人人网和万能相机，要求用户同意一次打开多个权限来收集个人信息。如果他们不同意，就不能安装和使用，这也违反了网络安全法的相关要求。

中国政法大学知识产权中心特别研究员、北京支林律师事务所副主任赵占领在接受《国际金融新闻》记者采访时表示，没有隐私政策意味着app没有制定和颁布收集和使用用户个人隐私的政策，这本身就是非法的。强制访问的做法违反了《网络安全法》的规定。收集和使用用户的个人信息应得到用户的同意，并应遵循必要性原则。收集的个人信息与所提供的产品功能或服务相关。如果产品本身的基本功能不需要这样的个人信息，那就是非法的。

“痛点”很普遍

7月16日，在应用特别治理工作组通报的40个应用中，与互联网金融相关的应用总数达到16个，占40%。根据公开数据，金融借贷应用收集用户地址簿，约占31.2%，这已受到业界质疑。

移动互联网系统与应用安全国家工程实验室高级安全研究员朱告诉《国际金融新闻》记者，理论上，金融应用不需要收集用户地址簿等信息。尤其是近年来，金融借贷应用上频繁出现逾期现象，导致债务人的家人和朋友被疯狂催债的案例频繁发生。因此，阅读通讯录信息时要更加小心。

然而，类似的情况在各种应用中都有发生。7月18日，记者试图在华为的应用市场下载一款外卖应用。但是，该应用程序需要打开设备信息、位置信息和存储空.的权限其中，存放空的房间包括照片、媒体内容和手机上的文件。

据朱分析，在正常情况下，手机上的照片、媒体内容和文件都是外卖应用程序不必要的信息，但这种收集目前相当普遍。“这也是一个模糊地带。应用程序可以在技术上提供一个小功能，使数据收集合理。”

中央电视台的“3.15晚会”也提到了这个“痛点”，也就是说，大多数手机上的应用程序在使用前必须迫使用户同意他们的定位、麦克风、摄像头和其他权利可以被应用程序使用。此外，一些应用程序还存在窃取个人隐私等有害行为。

然而，相关的整改行动已经开始。6月1日，国家信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必备信息规范》(以下简称《规范》)，首次明确了不应强制用户阅读通讯录。

根据《守则》的要求，金融借贷应用程序收集的必要信息包括七项:手机号码、账户信息、身份信息、银行账户信息、个人信用信息、紧急联系信息和贷款交易记录。其中，“紧急联系信息”限两人使用，用于逾期付款的催款，应允许手动输入，而不是强制阅读通讯录。

赵占领表示，非法收集用户个人信息主要包括五个方面:没有宣传和制定相关的用户个人信息保护规则；收集用户信息的范围过大，超出必要的范围；未经用户同意收集用户信息；过度索赔和强制授权；用户的个人信息不提供注销的方式和方法。

重庆史圣律师事务所律师陈汉生向《国际金融新闻》记者表示，app以这种方式收集用户信息，应遵循合法、公正、必要的原则，明确信息收集和使用的目的、方法和范围，并征得被收集人的同意。如果用户感到被侵权，可以根据《侵权责任法》提起侵权诉讼，要求停止侵权行为，赔偿损失，消除影响。

已经成为行业潜规则。

至于app在国内市场的信息收集偏好，朱向异表示，在从互联网向移动互联网发展的过程中，国家政策法规对信息安全保护的缺失，使得市场上出现了空·怀特。

“在此期间，精准营销的概念逐渐成为市场的主流。这使得许多企业有意识地抓取更多的用户信息，从而形成准确的用户肖像，用于广告推送和传递。这已经成为行业的潜规则。”朱对说道。

互联网专家和天使投资人郭涛告诉《国际金融新闻》记者，在大数据时代，数据是所有商业模式的基石。许多非法互联网公司为了自身的商业利益，肆意收集和争夺用户的个人信息，从多个维度收集用户数据，准确刻画用户，挖掘用户的潜在需求，开发相关数据产品或直接向第三方开放获取利润。

某信息安全公司员工陈华(化名)告诉记者，这个问题存在已久，但尚未得到根本解决，核心在于利益驱动。对于企业来说，只要收集信息能够带来价值，这种动机就会一直存在，尤其是在没有国内法律监督的情况下。

“另一方面，目前，安卓手机系统在中国手机市场占据主流。与苹果的ios系统相比，安卓系统更加开放和开源。在开发和发布应用程序时，它不能像ios那样严格。例如，在ios系统中，如果某个应用程序强行获取了该服务之外用户的个人信息，则此类应用程序无法发布和启动。”陈华说，即使安卓本身在国内外也是不同的。在中国，许多制造商已经推出了自己的应用市场，并对安卓系统进行了一些修改。安卓市场缺乏统一性，没有相应的审计和监管机制，这是信息安全问题长期存在的原因。

赚取数千亿的利润

值得注意的是，一些移动应用“越权”获取用户信息，这催生了一个巨大的黑色和灰色产业链。根据中国互联网协会发布的报告，中国网民每年因虚假信息和个人信息泄露遭受近1000亿元的经济损失。

李晨(化名)，一个接近黑色和灰色产业链的内部人士，告诉国际金融新闻记者:“就整个市场而言，估计远远超过1000亿。”

据李晨介绍，黑色和灰色行业组织经常关注热门应用，通过“爬虫”获得应用前100名或前50名，然后对这些应用进行“反编译”(在计算机术语中，是指对他人软件的目标程序进行反向研究和分析，以推断他人软件产品的源代码)，并更改相应的源代码。随后，该应用被投入大量应用市场，以获得收益。

根据李晨提供的材料，在灰色生产领域，安卓和苹果应用的下载列表和飙升列表将被定期跟踪，并根据社交、交通、生活、游戏和其他类别进行分类。

“灰色生产的盈利方法是促进应用程序的安装。具体情况因客户来源而异。正常情况下，海外安装平均利润为1-2元，国内客户平均利润为3-5美分。”李晨说。

据其介绍，灰色产品之所以能以这种方式运作，是因为目前国内手机市场为他们提供了极大的便利。一方面，国内各种应用市场层出不穷，其中有App Bao、360移动助理、百度移动助理、华为应用市场、小米应用商店、vivo应用商店、阿里分销市场等，还有数百个未知的应用市场。这些不同的应用市场为灰烬生产提供了一个巨大的空空间来推出“改良”应用。

另一方面，作为一个应用程序运营商，有安装的应用程序数量，下载和存活率的评估指标。这个任务是以广告代理的方式层层分配的。

“许多应用的广告推广都是由行业内的广告联盟完成的，只有一小部分真正依靠自己的业务推广。”李晨说这个比例大约是7:3。这样，就形成了一个应用广告推广链，即广告主(应用企业的运营商)-行业中介广告联盟-二级分销市场-三级分销市场，然后逐层盈利。

“黑色和灰色产品是在广告中介绍的内部联盟或二级和三级分销市场生产的。”李晨告诉记者，应用程序运营商试图从用户那里收集更多信息来做广告。同时，他们也有推广应用的需要。然而，黑灰色生产组织的存在可以帮助它提高安装率。因此，从这个角度来看，黑灰生产的存在是必要的。通过这种方式，最终结果是应用运营商和黑灰生产商实现了“双赢”。

“但在这一过程中，用户信息的泄露是多方面的，可能来自应用程序运营商内部，也可能来自黑灰色生产组织的‘反编译’过程。”李晨说。

治理需要多管齐下

至于隐私和安全，业界普遍认为这是一个系统工程，需要“多管齐下”。

郭涛表示，过去几年，立法相对滞后，非法收集和买卖用户数据的现象十分猖獗。自2015年刑法修正案增加非法获取公民个人信息罪以来，买卖用户数据的现象已经大大趋同；自2017年《网络安全法》实施以来，企业过度收集用户数据的现象也有所改善。目前，许多企业通过玩一些边缘球来筹集资金。

郭涛认为，《网络安全法》的颁布对整个互联网的健康发展起到了重要作用。相关部门应加强监管，简化申报流程，严肃处理过度收集和使用用户信息的应用。

朱说，行政立法手段是其中之一，而市场可能是更有效的方式。“如果有一天，强制收集用户信息并带有霸王条款的应用不被市场接受，那么良性和标准化的应用将会受到重视，这样的应用将会越来越多。”当然，这要求企业有一定的社会责任，用户有主动筛选的意识，并有法律和行政政策的指导。这将是一个相对较长的过程。”

陈华表示，许多垃圾应用将组成行业联盟，私下交换用户数据，以追踪个人。因此，用户应该警惕一些应用程序，小心使用wi-fi主密钥和其他软件，因为这个应用程序可以分析手机的唯一mac地址和其他信息。对于一般应用程序，在设置访问权限时也应注意。在你不能打开权限的地方，最好尽可能选择禁止。此外，我们应该警惕一些链接或扫描代码声称优惠活动，并试图忽略它们。

然而，中国人民大学法学院副教授丁晓东认为，与其把重点放在限制应用程序收集的信息上，不如更多地关注后续链接。

“大数据本身的发展依赖于数据的合理使用，消费者会感到很多麻烦。例如，他们不知道什么时候需要打开权限，什么时候不需要打开权限，所以他们应该给企业一些收集信息的自主权。此外，在给予自主权的同时，有必要严格审查收集和使用信息的过程，是否存在数据道德，或者数据的后续处理和利用是否标准化和合规，这是监督的重点。”丁小冬说道。

来源：搜狐微门户