灰产牟利逾千亿，隐私之痛何时休

络黑产，指以互联 为媒介、以 络技术为主要手段，给计算机信息系统安全和 络空间管理秩序，甚至国家安全、 会政治稳定带来潜在威胁或重大安全隐患的非法行为。相较于此，灰产则常常游走于法律边缘的灰色地带，因此比黑产更加难以界定，治理与打击力度也更加难以把握。

移动互联 时代，隐私问题已成为悬在消费者头上的一把达摩克利斯之剑。

日前，APP专项治理工作组发布了一份个人信息专项治理公告，共有40款APP在个人信息收集使用方面存在问题，且未公开有效联系方式。而此前几日，另有30款APP同样因隐私问题被该工作组通 ，并被要求限期整改。

据一名接近黑灰产业链的知情人士透露，整个市场每年因售卖数据信息获利超过千亿元。而灰产的主要手段就是瞄准了厂商跑量安装APP的市场需求，“一个安装量的价格从几毛钱到几元不等”。

一周70款APP被通

按照APP专项治理工作组的要求，被通 的APP运营者自通知发出之日起10日内联系工作组，领取整改通知，于通知发布之日起30日内完成整改并向工作组提交整改 告，逾期未领取整改通知或未完成整改的，工作组将建议相关部门予以处置。

此前，中国银行手机银行、二三四五、韵达快递、北京交通等30款APP就因违反《 络安全法》关于收集使用个人信息的规定，被通 整改。

其中，中国银行手机银行、春雨医生、北京预约挂 、北京交通等10款APP违反《 络安全法》第四十一条“公开使用收集个人信息规则”的要求，无隐私政策;天天酷跑、探探、猎豹安全大师、人人、全能相机等20款APP要求用户一次性同意开启多个可收集个人信息权限，不同意则无法安装使用，同样违反了《 络安全法》的相关要求。

“痛点”普遍存在

7月16日，在APP专项治理工作组通 的40款APP中，与互联 金融相关的APP总数达16个，占40%。公开数据显示，金融借贷类APP收集用户通讯录等，占比约为31.2%，这一收集范围遭到业内的一片质疑。

朱易翔分析认为，正常情况下对于外卖APP而言，手机设备上的照片、媒体内容和文件是不必要的信息，但目前这类收集颇为普遍。“这也是一个模糊地带，应用APP可以在技术上提供一个小的功能，从而让数据搜集变得合理。”

央视“3·15晚会”也曾提到这一“痛点”，即大部分手机上的APP在使用前，都必须强迫用户同意自己的定位、麦克风、照相机等权限可以被APP使用。除此之外，部分APP还存在窃取个人隐私等有害行为。

不过，相关的整治行动也早已展开。6月1日，全国信息安全标准化技术委员会发布《 络安全实践指南——移动互联 应用基本业务功能必要信息规范》(下称《规范》)首次明确，不应强制读取用户的通讯录。

拿金融借贷类APP来说，根据《规范》要求，这类APP所收集的必要信息有手机 码、账 信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等七项。其中“紧急联系人信息”仅限两人，用于逾期不还情况下进行催款，且应允许手动输入，而非强制读取通讯录。

赵占领表示，违规收集个人用户信息主要包括五个方面：没有公示、制定用户个人信息保护的相关规则;收集用户信息范围过大，超出必要的范围;没有经过用户的同意、收集用户的信息;过度索权、强制授权;用户的个人信息没有提供注销的途径和方式。

已成行业潜规则?

对于国内市场APP的这种信息收集偏好，朱易翔称，主要因为从互联 发展到移动互联 期间，国家政策法规对信息安全保护的缺位，给市场留下了空白。

“这期间，精准营销的概念逐渐成为市场主流。这令很多企业有意识地去抓取更多用户信息，从而形成精准用户画像，以便开展广告推送和投放。这已然成了一种行业潜规则。”朱易翔称。

牟利上千亿元

值得注意的是，部分手机APP“越权”获取用户信息，已衍生出规模庞大的黑灰产业链。据中国互联 协会此前发布的 告，每年我国 民因诈骗信息、个人信息泄露等遭受的经济损失近千亿元。

据李晨介绍，黑灰产业组织往往盯紧热门APP，通过“爬虫”的方式来获取APP Top100或Top 50，然后对这些APP进行“反编译”(计算机术语，是指对他人软件的目标程序进行逆向研究分析，以推导出他人软件产品的源代码)，并更改相应源代码。随后，将APP投放到大量的应用市场来获取利益。

李晨出示的一份材料显示，在灰产关注的领域里，会定期跟踪安卓与苹果系统的APP下载榜与飙升榜，并且按照 交、交通、生活、游戏等类目分类。

“灰产的牟利方式是推动APP提升安装量，具体情况按照客户源而有所不同，一般情况下，一个海外安装量平均下来能获利1-2元，一个国内客户平均获利3-5角。”李晨称。

据其介绍，灰产之所以能够这样操作，是因为目前国内手机市场的大环境为其提供了极大的便利。一方面，国内各类应用市场层出不穷，具有较大影响力的就有应用宝、360手机助手、百度手机助手、华为应用市场、小米应用商店、vivo应用商店、阿里分发市场等，不知名的应用市场更是数以百计。这些门类多样的应用市场，为灰产投放“改装后”的APP提供了广阔的空间。

另一方面，作为APP的运营者，对APP有安装量、下载量及存活率的考核指标。而这一任务又以广告代理的模式层层分销下去。

“很多APP的广告推广是以行业内的广告联盟来完成，真正依靠自己企业推广的只占少部分。”李晨介绍称，这一比例大约为7:3。由此便形成了一条APP广告推广链条，即广告主(APP企业运营方)-行业中介广告联盟-二级分销市场-三级分销市场，然后层层转利。

“但在这一过程中，用户信息的泄漏却是多方位的，既有可能来自于APP运营者内部，也有可能发生在黑灰产组织进行‘反编译’的过程中。”李晨称。

治理需多管齐下

对于隐私安全这一沉疴积弊的治理，业界普遍认为是一项系统性工程，需要“多管齐下”。

郭涛表示，前几年，立法相对滞后，非法收集和买卖用户数据的现象非常泛滥，自2015年刑法修正案增加非法获取公民个人信息罪后，买卖用户数据现象有了较大的收敛;自2017年 络安全法实施后，企业过度收集用户数据现象也有所改善。目前，很多企业都是以打一些擦边球的形式来收集。

郭涛认为，《 络安全法》的颁布，对于整个互联 良性健康发展起到了重要作用，有关部门应该强化监管，简化举 流程，对过度收集、使用用户信息的APP进行严肃处理。

朱易翔则表示，立法行政手段是其一，市场或许才是更为行之有效的办法。“如果哪一天，那种强制收集用户信息、拥有霸王条款的APP，在市场上不被接受了，那么良性规范化的APP才有可能被重视，这类APP也才会越来越多。当然，这需要企业具备一定的 会责任，也需要用户具备主动筛选的意识，同时也需要法律、行政政策的引导。这会是一个相对漫长的过程。”

陈华表示，许多垃圾APP会结成行业联盟，私下互相交换用户数据来追踪个人。所以，用户要警惕一些APP，慎用Wi-Fi万能钥匙等软件，因为这种APP能分析手机唯一的MAC地址等信息。对于一般的APP，在设置访问权限时，也应该有所留意。在能够不打开权限的地方，最好尽量选择禁止。此外，对于一些声称优惠活动的链接或扫码也要保持警惕，尽量不要理会。

但在中国人民大学法学院副教授丁晓东看来，与其把注意力完全放在对APP收集信息进行限制上，不如把注意力更多地放在后续的环节。

“大数据的发展本身就依赖于数据的合理使用，而且消费者也会感到很多困扰，例如，弄不清哪些时候需要开启权限，哪些时候不需要开启，所以应该给企业一定的收集信息的自主性。此外，在给予自主性的同时，要更加严格地去审看企业对信息的收集和使用流程，是否有数据伦理，或者对数据后续的处理和利用是否规范、是否合规，这才是监管的重点。”丁晓东表示。