作为普通人,你可能对自己的数据被利用到何种境地还缺乏感受。但警觉的内行人,比如网络安全工程师魏从,却感受到了隐私环境的危机四伏。
去年10月网易邮箱疑似“疑似被黑”的事故,让大家印象深刻——过亿条用户名、密码、登陆IP、生日等信息被窃。尽管网易否认数据库遭到攻击,称是黑客获得了部分用户在其他平台相同的账号和密码,撞库所得。但魏从并不相信这种说法,因为他下载分析了这个被盗数据包,发现量特别大,“超大个儿一个。”
他的一个同事有个习惯,每次接到快递包裹,都会用黑色记号笔,逐条划掉快递包裹上的铅字——收货人姓名、联系方式、收货地址等等。她听说小区楼下收废品的人,会把纸箱上的信息单撕下来,转手倒卖出去。不久后这笔数据交易会变成一通推销甚至诈骗电话,再找上门来。
这些事可能发生在每个人身上,平日多做些预防工作总没错。但她不知道的是,个人信息泄露几乎防不胜防。“收废品捡快递单的方法效率太low了,现在都直接从淘宝店主那端买发货单,5块钱一张。”魏从说道。
世界从未变得如此数据驱动。诈骗只是个人数据的一种小范围用途。短短几年,随着市场爆发出的需求量,中国已经催生出市值21亿元的新三板数据服务商数据堂。大家都意识到了:数据,这是新商业时代最重要的议题。
一位行业内人士透露,为了描述一个用户画像,阿里巴巴构建了741个纬度,来收集数据。“所有的数据,你买过什么,购买频率和价格,你住在哪,银行里有多少钱,它全知道。”
今年,大公司之间为了争夺数据,爆发了前所未有之多的争斗。运满满举报货车帮盗取6000万条竞争对手货运数据;新浪微博诉脉脉过渡攫取用户数据;腾讯控诉华为Magic手机侵犯用户隐私……
由于中国数据监管尚且模糊,回国的硅谷技术人才,将中国视为创业天堂。一位从事人工智能+医疗的创业者说,“算法的门槛并不高,真正稀罕的是用户的医疗数据。在美国,病患数据的归属权是个人,很难拿到,但在国内,只要跟医疗机构合作,就能获取这些数据来训练智能诊疗模型。”
是啊,在不知情的情况下,你的隐私医疗数据正从医生电脑里流向一家商业公司。
隐私数据与商业的冲撞是如此激烈,连国家也意识到了。5月和7月,公安部和网信办两次集中审查大数据企业。首批,包括数据堂在内的15家公司被请去“喝茶”,询问数据来源和运营模式。掌握大量个人信息的互联网公司,比如招聘网站,也收到了执法部门的警示。
大数据的交易,一直在黑、白、灰色地带间游走。我们正生活在楚门的世界,这毫不夸张。
最近的一个大案,是2017年5月至7月间,一伙有组织的黑客盗取了美国征信巨头Equifax的服务器权限,卷走了1.43亿用户的个人隐私数据。这意味着44%美国人的姓名、出生日期、手机号码、住址、SNN
(社会安全号码,类似于身份证,可以追踪纳税情况),以及21万美国人的信用卡号,部分驾照号和法律文件,正躺在黑市上待价而沽。
因为保护数据不利,如今悬在Equifax头上的是一桩700亿美元的赔偿官司。
在中国,一个涵盖上千万条京东用户数据的12G数据包,去年底成了黑市上的“地摊货”。知情人士透露,这份数据包囊括了姓名、密码、邮箱、身份证、电话、QQ等多个维度的用户信息。已经在黑市上层层售卖转了上百道手,标价10万至70万不等。
今年6月,国内破获的一起案件中,22名苹果及相关公司的员工,利用自己的Apple ID进入公司内部系统,盗取了大量苹果用户的姓名、手机号码、Apple ID等数据,并在黑市以每人10元至180元的价格倒卖出去。
隐私数据倒卖远比你想象的猖獗。在已公布的案例中,携程、圆通快递、世纪佳缘、当当网、如家酒店……都曾遭遇过类似的数据洗劫。大型互联网公司约等于一个又一个肥美的大型数据库。盗取和贩卖隐私则是个产业。
“全世界只有两种网站:被破解的网站,和还不知道自己被破解的网站。”网络安全工程师魏从说。
魏从这样的行内人,能看到黑色数据的贩卖在“暗网”上持续进行。全球共有7万个网站在暗网上潜伏,你可以在那找到隐私、军火、A片,甚至谋杀教程。尽管卖的都是些惊悚的“货品”,暗网看上去却与普通电商的货架无异。
在暗网上,身份证号美国id苹果账号免费2021无锁定无停用、社保账号、电话住址等个人数据被打包售卖,依据详细程度要价不同。
对于有技术的黑客,把几十万人的隐私数据偷出来贩卖只是分分钟的事。每时每刻,都有网站被攻破。
从黑灰色渠道购买,也是为了省钱。“灰色渠道的卖法无非是拷贝一份数据,所以可以卖得很便宜。去白色渠道国政通查询一次身份证需要5块钱,但很多互联网公司其实都掌握了大量的用户数据,开价2毛钱,甚至几分钱就可以查一次。”融之家CEO张建梁说。
企业对隐私数据的贪婪和越界获取,终归引发了政府的关注。是6月1日新出台的《网络安全法》,首批打击目标就是黑客、数据交易公司,互联网公司“内鬼”。
根据最高法、最高检的司法解释,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上”,即属情节严重,可入刑。
整肃开始了。今年的网络安全大会,魏从看到台上罕见的出现了“蓝帽子”嘉宾(即公安背景的“黑客”),演讲的核心就是不同程度的盗取数据行为,将受到怎样的法律制裁。
“过去我们给一些银行提供过这项服务,但对方具有完整的用户授权,”同盾科技副总裁顾威解释称,“我们并不靠这项边缘业务赚钱,只是为解决客户针对其恶意逾期用户的催款需求。”
据他估计,“至少80%沾染黑产,从事征信和反欺诈数据交易的公司会倒闭。”
“千万不要说我们是数据交易公司!”被接触的三家数据服务商提心吊胆地强调,现在“交易”是个敏感词,如果严格按照新出台的《网络安全法》的定义,“过往的数据交易没有纯白色的”。
大家纷纷强调,自己是做分析整合数据的;而且数据来源都来自客户,而客户在拿数据时,也得拿到用户的授权。
“授权”二字,是区别是否合法的关键。但很多时候,授权合法而不合理,较真来看,也处于灰色地带。
当你在安装一款APP的几分钟空档里,几万字用户协议,隐蔽地在你5.5英寸的手机屏幕上开了个小窗口,你会逐字看,还是快速地按下“同意”?而“不同意”意味着没有APP会为你提供服务。
在恶意软件之外,APP对用户的数据采集能力,往往是用户的盲区。安装APP时“同意”的用户协议,以及使用过程中APP申请开放的种种权限背后美国苹果卡充值苹果id,用户交付了超乎想象的权利。
你的手机中的用户隐私权限,可以划分为Root权限、读取联系人、获取手机号、读取短信记录、读取通话记录、获取用户位置信息、使用线项。
举个例子,开启了读取通讯录权限的APP,可以获得用户手机里所有联系人的数据。如果一款APP有上百万级别的用户量,那么能触及到的联系人名单,就有上千万体量。这些数据如果流入黑市,重要联系人的关系链,往往被诈骗分子所利用。
至于APP是否会把权限用于提供服务功能之外,侵犯你的隐私,只取决于它是否“选择”作恶。相应的,一旦点了使用协议的“我同意”按钮,用户就没有什么选择余地。
这种行为在开发者中十分普遍,行业称其为“占坑”。“有的功能是他们目前不需要的,申请下来是为了未来的某个版本可能会涉及到,备用。但更多时候压根就不需要这个功能,他们就是想要一些额外的东西。”李铁军说。
今年年初,美图秀秀因为一组特朗普的磨皮照片在美国市场迅速蹿红。24小时内冲刺到App Store总榜第55名的位置。
但随即,美图秀秀在舆论上遭遇低谷:大批美国安全专家指出,美图在获取能满足拍摄、编辑、存储的访问相机权限后,还试图获取用户的通信记录、Wifi信息、运营商信息,以及手机唯一的 IMSI 码,这意味着美图将获知你在手机端浏览网页及使用其他APP的信息。
“技术、算法是没有门槛的。”算话征信CEO蒋庆军毕业于北大数学系,在普通人看来很高级的算法,在他看来,其实有足量的技术人才可以做,没什么稀罕,也构不成竞争门槛,“真正的门槛是数据。”
前不久,他谈了家手机品牌客户。模型已经设计好,到了快签约的环节,单子却被突然杀出来的一家电商巨头夺走了。“因为人家直接就有数据,而我们还在用模型去猜测用户行为,自然没有对方直接准确。”
例如,当该电商公司发现10%的三星手机用户,已经开始浏览华为手机,甚至放进购物车里,它就可以把这部分用户的数据交给三星,让后者有针对性地做营销来挽回老用户。
对何崇而言,这种优势差异是断崖性的。“以往大家还能从各种渠道搞到点数据,现在这些渠道被堵死了,数据生意成了几家巨头垄断的生意。”
而且,要服务大客户就要有大的数据量。“如果客户让你精准营销5万人,匹配度至少要达到80%,才能赚钱。这就要求你有非常大的装机量。”何崇说。
6月初,阿里系估值500亿元的物流平台菜鸟,和顺丰因为数据掐起来了。菜鸟控诉合作方顺丰,关闭了丰巢自提柜和淘宝平台物流数据的信息回传。顺丰则指责菜鸟,说它越权,索要了顺丰上非淘宝系电商的用户消费数据。
华为和腾讯的数据战争在今年8月爆发。华为的“未来手机”Magic“惊”到了腾讯:当你在微信里跟同事聊起明天要参加某个活动,Magic可以调动手机内应用,根据这个日程为你生成日历。除了基于读取微信和QQ的聊天记录,它还能干很多事:比如为你推荐食品、调动其他APP服务。腾讯大动肝火,指责华为侵犯了用户隐私。
李开复公开称,人工智能领域有“七个黑洞”:美国的 Google、Facebook、Microsoft和 Amazon,还有中国的 BAT。“这对人工智能的发展并不是好现象,反而造成了困扰。因为大量资料(数据)并没有被(他们)分享。”
央行旗下的中国互联网金融,正牵头组建一个叫“信联”的征信机构。它号召芝麻信用、腾讯征信这类个人征信试点机构,和百度、360、网易等互联网公司,共享出自己的数据,央行控股,成员机构依据贡献情况获得股份。两年前,政府原本计划向8家机构发放个人征信牌照,但今年,央行征信管理局却宣布,没有一家合规、能发牌。
不仅巨头们在碰撞中互不相让,国与国之间也在展开数据资源竞赛。一个明显的信号是,新发布的《网络安全法》特意提及了数据跨境问题。
“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
成立5年后,今日头条的估值已经达到110亿美元。这家用数据+算法分发内容的公司,给下一代商业场景做了个示范——“AI+”正在取代“互联网+”,成为下一代商业的基础设施。
既然新闻app能推送你想看的新闻了,广告也越来越精准了,地图和打车App已经能决定你的行车路线了……那下一步,你走进商场,迎宾员叫出你的名字,推荐你有兴趣的商品,或者根据你的信用评分,决定你走贵宾通道还是普通通道,乃至你的手机系统陪你聊天——这些原本科幻电影中想象的未来,看起来也并不遥远。
只是,这一切都需要建立在每个人的数据是自愿提供的基础下,建立在数据使用者有所克制、不去滥用的情况下,建立在违规者被惩罚、不至于劣币驱逐良币的生态下。
国喜天下整理编辑,意在传播价值,如有版权异议,请联系我们。返回搜狐,查看更多
