手机APP“偷窥”之路：隐私泄露的灰色产业链

据央视新闻报道，有网民手机增加了APP隐私记录功能后，发现手机上安装的很多常用社交、办公、娱乐APP存在频繁自启动、访问、读取手机信息的现象。有一款移动教学软件十几分钟访问手机照片和文件近2.5万次。我国个人信息泄露情况不容乐观，信息泄露途径和表现形式多样，甚至形成了地下产业链。谨防APP过度索取用户隐私，对于个人权益保护与互联网应用良性发展具有积极意义。

高收益低风险：手机APP偷窥何以发生

用户数据被手机APP任意收集处理的现象实际上由来已久，几乎与移动应用市场相伴而生。中国消费者协会2018年发布的《APP个人信息泄露情况调查报告》显示，85.2%的受访者遭遇过个人信息泄露，近七成认为手机APP在不必要情况下获取用户隐私权限。其中，经营者未经本人同意收集，经营者或不法分子故意泄露、出售或非法提供，是造成个人信息泄露的前两类原因。这表明，APP过度采集个人信息呈现普遍趋势，移动设备的个人隐私保护现状不容乐观。

为保障个人信息安全，有关部门展开了一系列整治市场乱象的行动。2019年1月至12月，中央网信办等四部门在全国范围组织开展APP违法违规收集使用个人信息专项治理。而对于APP收集使用个人信息的边界，相关政策法规也已明确了合法、正当、必要等原则。

隐私侵犯屡禁不止，这种“明知故犯”的背后，高收益低风险正是主要原因。

所谓“高收益”，来自于用户隐私数据帮助企业精准营销所创造的价值。大数据时代，企业笃信数据即价值的信条，以各种方式对用户上传或留痕的信息实现“变现”。采集APP功能需要之外的用户大数据，经过分析后可辅助呈现用户画像，从而实现广告的精准投放。例如，作为被强制获取的最常见数据，地理位置信息可用于提供用户周边的商业服务。手机上安装的其他应用信息有助于企业了解用户生活习惯，智能匹配关联服务。

隐私获利的另一条路径是对外售卖个人信息。部分手机APP过度索取数据调用权限，并私自共享给第三方。2019年9月，风靡网络的AI换脸软件ZAO因被指存在数据泄露风险而被约谈。根据ZAO用户协议的描述，该APP除了可免费使用并修改用户肖像，还可以将它任意授权给想授权的第三方，进行信息贩卖。当然，隐私贩卖的非法性质过于显露，对市场声誉影响大，因而通常不会被正规APP直接承认。倘若部分APP追逐短期利益，可能私下与关联度高的机构进行内部合作，或者经由少数内部人员之手将隐私信息流通市场。

与此同时，隐私被过度征用的风险，也是APP运营商反复突破隐私保护边界的现实考虑。一方面，企业违法成本低，而消费者维权成本高。我国已经制定了信息保护的若干法律规范，如2018年5月实施的《信息安全技术个人信息安全规范》等。但实际操作上存在诸多执法难点与模糊地带，个人信息保护政策未明确违规处罚措施，无法对互联网企业形成有力威慑。多数APP的隐私保护政策未达到个人信息安全的规范标准。

另一方面，企业会通过操作隐私协议“制造同意”，寻求隐私收集与处理的合法化，从而在形式上降低了违法风险。现有法律规范指导下，多数APP都形成一套隐私政策与隐私协议，供用户浏览并授权。但通常授权与使用相互绑定，用户数据实际上被强制征用；应用权限和隐私政策内容过长、可读性差，导致很少有人仔细阅读；预先勾选、凸显或间接遮蔽部分关键条款，也是APP引导用户授权的惯用操作。经由如此授权的隐私采集，并非真正获得了用户的知情同意。

因此，企业对现有政策漏洞的适应进一步降低了违法成本。在精准画像与数据贩卖的丰厚营利驱使下，过度采集、隐私泄露等乱象层出不穷。工业和信息化部赛迪研究院互联网研究所副所长陆峰指出，目前下载量较大的千余款移动APP平均申请25项权限，超过30%会申请与自身业务无关的权限。

个人数据交易的灰色产业链

事实上，用户隐私泄露行为远不止手机APP自身的参与。一些公开报道显示，在APP自身的隐私侵犯行为之外，个人信息买卖已形成一条规模大、链条长、利益大的产业链。中国人民大学法学院博士后刘笑岑介绍，这条灰色产业链结构完整、分工细化，个人信息被明码标价，包含上、中、下游完整的流通变现环节。其中，上游环节负责非法获取或向他人提供个人信息。除了上述APP内部合作与黑客非法入侵之外，信息来源大致可以分为三类：

第一类是网络爬虫等方式非法爬取的数据信息。《新京报》曾报道，一些机构以“大数据营销”为名，依靠销售非法爬虫工具获利，从淘宝、京东等电商平台商家爬取数据，还有公司称可以获取任意网页及APP访客的手机号。这些网络爬虫业务通过数据贩卖和流量牵引牟利，不仅给用户带来了恶意营销、网络攻击等干扰，也影响了网站的正常服务与用户体验。但随着监管趋向严格和反爬虫技术的进步，此类现象正逐渐减少。

第二类是开发山寨APP骗取用户上传数据。山寨APP通常仿冒同类知名公司，引诱不明真相的用户上钩，进而窃取并贩卖位置、通讯录、身份证照片等数据，或者是以平台名义联系客户索要手续费等。这背后衍生出包括山寨APP开发者、伪造人员等团队参与的一整套产业链。3月，宁波、高平等多地警方发布关于山寨贷款APP的风险提示，其核心运作模式正与此相似。

第三类是能够接触到个人信息的内部工作人员盗取出售信息。“内鬼交易”的泄露方式与企业管理制度完善程度和员工个人道德水平有关，多发生在保险、物流等行业。少数员工利用职务之便非法出售高价值信息，为客户隐私带来巨大风险。

这些灰色数据经采集后，中游环节负责对其进行处理与再加工，通过买卖、交换等形式形成规模化市场，随后便将所获个人信息应用于电信诈骗、恶意营销等不法渠道以牟取高额利润。苏宁金融研究院发布的报告指出，数据变现的获利模式主要有工作室合作、倒卖收费与雇佣分成三种。有关组织在QQ群、论坛、暗网等各种渠道出售个人信息，同时，不同雇佣人员之间又存在信息倒卖关系。

更复杂的变现手段旨在使用网络技术获取用户私有财产。只要掌握姓名、身份证号、银行卡号、预留手机号等敏感信息，寻找银行网上支付、第三方快捷支付等支付漏洞，就能用盗取的银行卡信息进行盗刷或转账。比如，2019年年末央视网报道称，有QQ群提供技术手段帮人破解各类APP人脸认证的付费服务，进而破解并倒卖对方的实名社交账号。相比于推销与骚扰，这无疑对用户利益造成了实质性损害。

规范行业乱象，保障用户隐私安全

APP对个人信息的不必要索取，是个人信息泄露、非法买卖中的重要出口。不仅直接伤害用户权益，也影响到整体的网络治理效果，不利于互联网应用生态的健康长远发展。面对困扰已久的隐私泄露难题及其衍生的信息交易灰色产业链，有关部门除了敦促APP企业自觉自律，还需要采取一系列实质行动规范行业乱象。

第一，提高手机APP市场准入门槛，降低用户维权成本，多环节发力规范行业经营模式。不少APP把个人授权与功能开放捆绑，打着用户同意的旗号过度收集与处理隐私。强化源头治理，不妨就从APP研发、资质审核、上架环节入手，从细化个人授权操作上加以规范。比如，激发手机“应用市场”责任潜力，发挥出类似零售行业进货、上架核查、退货等功能。同时，大幅度降低消费者的维权门槛，如为消费者诉讼企业侵犯隐私开辟绿色通道，包括低成本、高效率的集体诉讼。对消费者因隐私被窃取的赔偿标准，可进一步探索。

第二，完善细化有关法律法规，探索个人信息分级分类保护体系，收集个人重要数据或敏感数据需备案。技术发展倒逼法律完善。进一步规范网络爬虫等自动化手段收集网站数据，对于妨碍网站运营或非法侵占数据的行为，制定明确的处罚措施。同时探索构建分级分类保护体系，引导行业对个人信息进行分类，明确敏感信息与一般信息各自的收集处理机制，避免信息采集主体过多、采集过度。也可以考虑建立收集重要数据备案制度，向网信部门备案。

第三，强化企业动态监管，各方形成监管合力，为行业有序发展提供坚实保障。手机APP的监管和个人信息的保护，需要工信、市场监管、公安、网安等部门协同共治、动态监管。明确个人信息保护的监管责任机制，将多家部门的监管效力拧成监管合力，形成对违法企业的强大威慑。加大对个人信息贩卖的黑灰产业链的打击力度，将执法范围辐射到网络边缘地带，促成常态化监管机制。

（作者：人民网新媒体智库研究员 张力、见习助理研究员 郭雨璠）

(责编：袁勃、陈泰然)