内鬼黑客狂卖个人信息 “年产值”飙上千亿

对于个人隐私，人们从未如当下这般焦虑。今年的“3·15晚会”曝光了智联招聘、前程无忧、猎聘 等由于缺乏管理，大量个人简历泄露，被倒卖形成黑色产业。此外，内存优化大师、超强清理大师、手机管家Pro打着清理内存的名义，却通过技术手段不断获取手机中的信息，包括应用列表、定位信息、通讯录等。

整个数据交易过程中，内鬼、黑客、爬虫软件开发商、清洗者、加工者、料商、买家等寄生于此，催生出一个“年产值”上千亿的数据黑市。

APP权限申请泛滥

2020年 飞出品的纪录片《监视资本主义：智能陷阱》中，形象地向人们展示了这样一幅场景： 交软件后台“三名工作人员”正在紧张地分析眼前这个年轻人，他在每张图片下停留多长时间，什么样的情感更能让人产生共鸣，什么样的广告会吸引他点开。这三个人一个叫停留目标，根据停留的时间帮你选择下一个推送内容，让你一直滑动屏幕；一个叫增长目标，让你尽可能多地邀请你的朋友加入增加 交依赖；一个叫广告目标，确保你在对某物感兴趣时精准为你送上一条下单链接。

这一切行为的背后就是所谓的算法模型，精准算法的背后正是依托海量数据作为支撑，将人数据化。

那么，这些数据从何而来/p>

获取权限，是大小商家通过APP或者小程序收集用户隐私数据的第一步。当你在安装一款APP时，上万字的用户协议，呈现在你巴掌大的手机屏幕上，你会逐字看还是快速按下“同意”不同意”很可能导致APP退出无法使用。

APP越界索权的现象已是不争的事实。以美图秀秀为例，实难想象，一款P图软件要获取一个人这么多信息，包括搜索记录、浏览记录，甚至是日历、地理位置。仔细阅读美图秀秀个人信息保护政策发现，若将美图秀秀内容分享至第三方平台时，还会读取用户的应用列表信息。美图秀秀还会向游戏合作伙伴提供身份证 信息，甚至还会向合作伙伴共享用户的付款信息。

条款中还声明，基于现代移动互联 产品互联互通的特性，产品可能接入美图关联公司或外部合作伙伴上线的其他产品或功能，比如在使用钱包功能时，美图可能从第三方获取用户的手机 、授信额度、还款金额、放款成功状态、逾期状态等。

这意味着，只要用户使用美图软件并授权，美图秀秀不仅可从自家APP上获取用户信息，还会从第三方平台上进一步获取用户更为详细具体的信息。

“这种行为其实十分普遍，国内用户可能对个人信息的保护意识并没有很强烈，这给了企业很大的选择度，行业称之为‘占坑’。有些数据现在不需要，但并不代表以后不需要，在获取用户授权后抓取到的用户信息当然越多越好。”某金融科技公司大数据风控架构师肖强称。

稍微值得欣慰的是，APP过度申请权限收集数据正在被加强监管。

3月22日，国家 信办、工信部、公安部、国家市场监督管理总局联合印发《常见类型移动互联 应用程序必要个人信息范围规定》，明确了地图导航、即时通信、 络购物等39类常见必要个人信息范围，要求运营商不得因用户不同意提供非必要个人信息，而拒绝用户使用APP基本功能服务。

SDK收集的用户信息可以详细到什么程度京 贷协会数据安全专家韩洪慧表示，“SDK一旦嵌入，如果你注册登录了这个APP，并默认授权，所有的行为数据都能记录，它会在不知不觉中爬取手机通讯录、聊天记录、银行账 的密码口令、短信、通讯录、位置信息等。”

因此，用户授权APP采集个人信息，但往往并不知道自己的个人信息在何时、以何种方式被共享给了第三方SDK。很多APP“隐私政策”的内容关于共享的相关表述中，最常见的是“可能会将用户的个人信息分享给第三方”。但是，几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

对于个人信息安全的忧虑，折射出的是用户日益敏感的神经，更是用户缺乏对个人数据的知情权和主动权的表现。SDK对于用户来说，犹如一颗隐藏的“定时炸弹”，危险性不言而喻。

SDK提供商泄露和滥用用户信息非常隐蔽，甚至成为了泄露用户隐私的源头之一。

谁窃取了用户隐私/p>

“这个渠道拿到的数据会更精确，类似漏斗模式，会把数据按照需求进行筛选。比如说 贷行业的用户数据，用户登录XX普惠，使用此款APP就要授权，一旦授权SDK就会收集这个用户的所有登录痕迹。其他消费金融公司如果也使用了这家SDK软件开发包，同样也能共享。”

正如“空城”所说，QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗 公开倒卖数据。“内鬼”监守自盗是个人信息流入黑产的重要渠道之一。可以接触到大量个人信息的职业，并非高门槛，岗位职级也不需要太高，泄露源可能来自各层级。

2020年，公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为，各行业内部都有涉案人员，查获重点行业内部涉案人员500余名，而这不过是冰山一角。

除了“内鬼”泄密，还有通过各种技术手段窃取公民隐私。

“因为只是体验所以你不会看到客户手机 ，这也是我们公司为了维护其他会员权益。我们会跟一些第三方SDK合作，也会跟一些大的互联 公司进行API数据接口对接，我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系，资源高度整合。”该销售经理称。

除内鬼和通过技术手段之外，黑客是盗取大量个人信息的另一重要源头。从此前京东用户密码泄露事件到如家酒店的用户数据泄露， 站和黑客在用户数据上一直在进行着旷日持久的攻防战。

而黑客通过技术入侵 站盗取公民个人信息并不难，少则几天多则一个月，而且很少被管理员发现。在黑客圈子里，大家都有个默契，入侵 站获取权限和信息后，都会互相交换数据，互通有无，让盗取的公民个人信息库越来越大，掌握的个人信息也越全。

2020年全国公安机关在“净 2020”专项行动中，侦办黑客攻击及新技术犯罪案件1782起，共有2952名涉案黑客被抓获。事实上更多的黑客依然潜伏于地下。

个人信息通过内鬼、 络技术、黑客等渠道流入了数据黑市，并进入了大大小小的各层级代理“料商”手中。

个人信息明码标价

料商，即数据中间商，他们上通数据源头下达数据买家，是地下数据交易市场非常重要的一个角色。个人数据就是通过料商以不同价格在黑市流转。料商甚至还会发展自己的代理商，层级越高的料商数据源越多，数据信息更全。

上述不过是数据黑市交易中普通隐私数据价格。在数据黑市中，还有料商专门从事“渗透数据”交易，所谓的“渗透数据”就是所有信息都能够被抓取，除了电话 码、微信等基本信息以外，还包含用户的身份证 、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。

有料商甚至在QQ群里直接将“渗透数据”明码标价，查询个人简易信息15元/条，包含姓名、性别、手机 ；中级信息50元/条，除了简易信息外，还包含户籍地址、身份证 、照片；高级信息100元/条，在中级信息基础上还包含现住地址、开房记录、车辆信息；VIP客户600元/条。

“正常行情价仅通话记录，叫价在1500元左右，开房记录价格在2200~2500元左右，家庭成员信息在300元左右。” 名“风”的料商称。

据不完全统计，国内个人信息泄露数达55.3亿条左右。平均算下来，每个人就有4条相关的个人信息泄露，车辆、房产、地址、职业、年龄、电话 码、身份证信息等在黑市上频繁流动。

国内知名信息安全团队“雨袭团”去年10月发布 告称，在一年半的时间内，高达8.6亿条个人信息数据被明码标价售卖，个人数据基本处于裸奔状态。

灰色产业链庞大

“本人求购炒股理财信息，数量上不封顶，有料的找我！”一位买家在QQ群内发布了这样一则消息，很快就有多位料商通过私聊向其推荐手上的数据资源。

综合多方采访，购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息，以及从事 贷催收的人。其中房地产、理财公司、保险公司、母婴以及保健品行业、教育培训机构是对个人信息趋之若鹜的核心群体。

被盗取的个人信息也不乏用于诈骗。比如保健品用户信息主要针对老年人，专门用来诈骗。

从信息收集到信息售卖再到信息利用，每一个交易环节环环相扣，而由此产生的“灰色产业链”让人难以估量。据猎聘 告，目前中国 络黑产从业者已经超过40万人，依托其进行 络诈骗行业人数至少有160万人，“年产值”在1000亿元以上。

数据合规交易痛点

海量的个人信息地下市场规模多大，目前没有准确数字统计。但从公安机关的专项打击行动中，可窥一斑。

2020年全国公安机关深入推进“净 2020”专项行动，全年共侦办 络犯罪案件5.6万起，抓获犯罪嫌疑人8万余名。其中，侦办侵犯公民个人信息类案件6524起，抓获犯罪嫌疑人1.3万名。

大数据服务商聚立信CEO罗皓以及陈经理都同时提到，数据交易过程中产生的数据确权、数据回溯，交易过程中的安全性、合法性、隐私性保障等问题，迄今为止还没有得到很好的解决。尤其是数据确权，例如数据的采集、加工、采用、交易等环节可能有多个参与方，什么情况下什么类型的参与方可以获得数据的权利，在实践中尚未达成一致共识。

另外，数据的开放程度还远远不够，导致市面上合法流通的数据品类和数量有限，玩家们难以施展拳脚。

像腾讯、阿里这样的互联 巨头，在拥有海量数据的同时本身还能实现大数据云计算闭环，它们更希望是打包成数据产品和服务卖出，比单纯买卖数据更值钱，也更能避免法律风险。这些玩家共享数据的意愿不强，这从腾讯、阿里与贵阳大数据交易所自合同到期再无续约就可窥见。

根据张骏雪介绍，上述联邦学习算法目前只是解决了B2B之间的数据合规化交易，且主要还是用于银行金融机构之间的数据交易，且成本较高，并没有被大规模应用。