资料来源：证券时报

你刚才和朋友聊过理财、化妆、买房、贷款等日常话题吗？如何接收抖音(抖音)、腾讯新闻甚至一些视频网站推送的与聊天内容相关的广告？

对于个人的私生活，人们从来没有像现在这样焦虑过。今年的“315派对”揭露了智联招聘、前途担忧、猎网等缺乏管理导致大量简历泄露，形成了黑色产业的事实。另外，内存优化大师、超级清洁大师、手机管家Pro都有整理内存的名义，但通过技术手段，可以不断获取手机的信息，包括应用列表、位置信息、通讯录等。

最近，《证券时报》记者深入各种数据交易千人QQ群，各行各业的用户隐私数据正在肆意销售，令人震惊。有时人群中会出现“GM(股东)、WD(网贷)、BJ(保健)信息、拼多多、淘宝、京东、网购数据、数据联系是必要的。”有人喊。“这个数据是按行业定价的。据说，甚至还有收集个人信息的系统展示，可以收集全国总经理的个人联系方式。有多种数据抓取软件。网站上有“爬行”、应用程序中有“嵌入式”、“铲”数据。

在整个数据交易过程中，内鬼、黑客、爬虫软件开发者、清洗者、加工者、材料企业、购买者等寄生在一起，催生了“年产值”数千亿元的数据黑市。

应用权限申请泛滥

2020年网络出品的纪录片《监视资本主义：智能陷阱》中，社交软件后台的“三名工作人员”紧张地分析着眼前的这个年轻人。生动地展示了他在每张照片下会呆多久，什么样的感情更能引起共鸣，什么样的广告能吸引他。March)这三个人中有一个被称为停留目标，根据停留时间选择下一个推送内容，帮助画面继续滑动。被称为“增长目标”，请尽可能多的朋友来增加社会依赖。(本杰明富兰克林，SAMLIN)一个叫做广告目标，当你对某样东西感兴趣时，保证准确地向你发送订购链接。

所有这些行为的背后都有所谓的算法模型，正确算法的背后就是以大量数据为支撑，将人数据化。

那么，这些数据是从哪里来的呢？

获取权限是大小商家通过应用程序或小程序收集用户隐私数据的第一步。安装app时，当数万字的用户合同出现在手掌较大的手机屏幕上时，你能字面上看吗，还是能快速按下“同意”？)由于“不同意”，APP终止可能无法使用。

APP跨境现象已经是不争的事实。以美图数为例，很难想象PA软件能让一个人获得这么多信息，包括搜索记录、浏览记录、日历、地理位置等。仔细阅读美图秀秀隐私政策，如果将美图秀秀内容分享给第三方平台，还会阅读用户的应用程序列表信息。美图秀秀还向游戏伙伴提供身份证号码信息，并向伙伴共享用户的支付信息。

该条款还表示，根据现代移动互联网产品互联的特点，产品可以访问美图相关公司或外部合作伙伴在线接入的其他产品或功能。例如，使用钱包功能时，美图可以从第三方获得用户的手机号码、信用额度、还款金额、贷款成功状态、逾期状态等。

也就是说，如果用户使用mitu软件并授予权限，mito show不仅可以从自己的应用程序中获取用户信息，还可以在第三方平台上获取用户的更详细信息。

“这种行为其实很普遍。国内用户对个人信息保护的认识可能不是很强。这给了企业很大的选择，业界称之为“占领坑”。有些数据现在不需要，但并不意味着以后不需要。获得用户批准后捕获的用户信息越多越好。”某金融科技公司的大数据风控设计师肖强。

证券时报记者从服装、饮食、生活、行、社交、娱乐、理财等方面统计了25个与APP相关的权限，发现与用户社交圈密切相关的通讯录权限成为APP权限的标准。除此之外，这些应用程序还通过一些特定功能读取通信地址、手机存储、照片、甚至人脸识别、日历、通话记录，手机应用程序权限申请泛滥，达到了受害的地步。

APP过度申请权限收集数据，正在加强限制，这是一件有点高兴的事情。

3月22日，国家网信部、工信部、公安部、国家市场监督管理总局联合印发了《常见类型移动互联网应用程序必要个人信息范围规定》，明确了地图导航、即时通信、网上购物等39种常见的必要个人信息范围。运营商不同意用户提供不必要的个人信息，因此必须拒绝用户使用APP基本功能服务。

但是肖刚对记者说：“谁都可能知道应用程序正在收集个人隐私数据，但除此之外，还可以从隐藏在应用程序中的第三方软件开发工具包(SDK)中收集用户数据。”

SDK收集的用户信息可以详细到什么程度？北京网贷协会数据安全专家韩洪慧说：“如果包括SDK，在该应用程序中注册，基本授权，就可以记录所有行为数据。”“下意识地查找手机通讯录、聊天记录、银行账户密码、短信、通讯录、位置信息等。”

因此，用户授予APP收集个人信息的权限，但通常不知道自己的个人信息何时以及如何共享到第三方SDK。很多APP“隐私政策”关于内容共享的相关表达中，最常见的是“可以将用户的个人信息共享给第三方”。但是，很少应用程序详细列出个人信息保护政策中包含所谓的“第三方”。

对个人信息安全的担忧反映了用户越来越敏感的神经，是用户对个人数据缺乏知情权和主导权的表现。SDK就像隐藏在用户身上的“定时炸弹”，危险性不言而喻。

SDK供应商泄露和滥用用户信息非常隐秘，甚至成为泄露用户隐私的来源之一。

谁窃取了用户的隐私？

苏腾科技的一位销售经理告诉记者，他们有特殊的渠道，可以获得部分数据，其中最多的是。

“这个渠道拿到的数据会更精确，类似漏斗模式，会把数据按照需求进行筛选。比如说网贷行业的用户数据，用户登录XX普惠，使用此款APP就要授权，一旦授权SDK就会收集这个用户的所有登录痕迹。其他消费金融公司如果也使用了这家SDK软件开发包，同样也能共享。”

记者进一步追问具体是跟哪家SDK友商合作时，该经理以“敏感信息”为由拒绝透露。

无法忽视的是，用户个人信息通过网络倒卖非常猖獗。近期记者潜入多个千人QQ群，发现群里不时有人喊单出售来自各行各业的公民个人信息。

记者以买家身份接触了一位QQ名为“空城”的卖家，并提出先测试数据真实性为由，要求对方提供股民个人信息数据。

为证明自己的数据来源，“空城”给记者提供了一张数据来源截图，收集的股民个人信息来自各大证券公司APP，广发证券、中投证券、国泰君安等都中招。

正如“空城”所说，QQ群里的确有部分人在卖数据的时候打着“公司内部信息”旗号公开倒卖数据。“内鬼”监守自盗是个人信息流入黑产的重要渠道之一。可以接触到大量个人信息的职业，并非高门槛，岗位职级也不需要太高，泄露源可能来自各层级。

2020年，公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为，各行业内部都有涉案人员，查获重点行业内部涉案人员500余名，而这不过是冰山一角。

除了“内鬼”泄密，还有通过各种技术手段窃取公民隐私。

在调查采访过程中，黑市数据交易市场非常活跃且采集数据软件五花八门，其中一款名为汇容客的APP，号称“全网最全大数据获客软件”。其销售经理向记者称，“我们这款软件是全自动采集，只要搜索关键词，就能在各大网站、三大地图、三大运营商搜索出你想要的客户资源和群体，不仅是获客功能，我们还能提供营销素材，带货视频等，每档功能都会对应不同价格。”

当记者问及跟哪三大地图合作时，该销售经理称主要是腾讯地图、高德地图以及百度地图，并且是经过授权使用他们的数据接口，并向记者发来跟三大地图运营商盖章的合同协议。

就此记者向百度、腾讯以及高德公司求证是否授权汇容客使用平台用户数据，对方均一致表示不清楚这家公司，也不会将API（数据接口）随意授权。腾讯内部相关人士向记者称，这个章是假的，字体不一样。

为力证此款软件的数据爬取能力，上述销售经理称可以帮忙后台注册后先测试。随后记者下载了此款APP，发现这款软件可以按照地理位置、行业、客户类型等进行搜索，然后导出相应的用户数据，并且一键添加微信。

“因为只是体验所以你不会看到客户手机号，这也是我们公司为了维护其他会员权益。我们会跟一些第三方SDK合作，也会跟一些大的互联网公司进行API数据接口对接，我们跟腾讯、百度、华为、阿里、抖音、快手、美团、饿了么都有战略级合作关系，资源高度整合。”该销售经理称。

记者发现汇容客软件上显示数据来源主要为地图数据、工商数据、抖音、快手、阿里巴巴、美团、饿了么、京东互联网巨头。

针对软件所提及的数据来源，证券时报记者向腾讯、阿里、美团、京东等都一一核实，多数均表示并没有将API数据接口跟名为汇容客的第三方共享，仅快手表示不回应。阿里公关进一步称，集团不可能允许该公司通过API接口爬取调用蚂蚁用户信息，目前已经在深入调查此事。

“能从这些网站爬取到用户数据肯定是用了相关一些技术，其实爬虫技术并不神秘，‘爬’上网页，‘铲’下数据，然后再进行加工清洗。这类软件众多，大部分是在全网进行无差别爬取客户资料，后面通过加工进行精准分类。由此还延伸出职业清洗数据和标注的人。”专门编写爬虫代码的阿强向记者透露。

除内鬼和通过技术手段之外，黑客是盗取大量个人信息的另一重要源头。从此前京东用户密码泄露事件到如家酒店的用户数据泄露，网站和黑客在用户数据上一直在进行着旷日持久的攻防战。

而黑客通过技术入侵网站盗取公民个人信息并不难，少则几天多则一个月，而且很少被管理员发现。在黑客圈子里，大家都有个默契，入侵网站获取权限和信息后，都会互相交换数据，互通有无，让盗取的公民个人信息库越来越大，掌握的个人信息也越全。

2020年全国公安机关在“净网2020”专项行动中，侦办黑客攻击及新技术犯罪案件1782起，共有2952名涉案黑客被抓获。事实上更多的黑客依然潜伏于地下。

个人信息通过内鬼、网络技术、黑客等渠道流入了数据黑市，并进入了大大小小的各层级代理“料商”手中。

个人信息明码标价

料商，即数据中间商，他们上通数据源头下达数据买家，是地下数据交易市场非常重要的一个角色。个人数据就是通过料商以不同价格在黑市流转。料商甚至还会发展自己的代理商，层级越高的料商数据源越多，数据信息更全。

前文提到的销售经理就是行业料商之一，他向记者表示，仅包含个人普通信息比如电话号码、微信、QQ号等，平均拿货成本价每条信息在4毛左右，卖出去的单条价格在7~8毛左右，每条个人信息约赚3~4毛左右。“我每个月销售数据流水大概在40万~50万元，金融、教育、医美等行业都做，这块需求量会比较大。”

记者在与多位料商接触采访过程中了解到，上述销售经理并非一级料商，一级料商的进货成本在0.15元/条左右，类似祝经理的二级料商进货成本为0.4元/条左右，三级料商进货成本0.7~0.8元/条，对终端售卖均价在1.2~1.5元/条。

上述不过是数据黑市交易中普通隐私数据价格。在数据黑市中，还有料商专门从事“渗透数据”交易，所谓的“渗透数据”就是所有信息都能够被抓取，除了电话号码、微信等基本信息以外，还包含用户的身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。

有料商甚至在QQ群里直接将“渗透数据”明码标价，查询个人简易信息15元/条，包含姓名、性别、手机号；中级信息50元/条，除了简易信息外，还包含户籍地址、身份证号、照片；高级信息100元/条，在中级信息基础上还包含现住地址、开房记录、车辆信息；VIP客户600元/条。

“正常行情价仅通话记录，叫价在1500元左右，开房记录价格在2200~2500元左右，家庭成员信息在300元左右。”网名“风”的料商称。

据不完全统计，国内个人信息泄露数达55.3亿条左右。平均算下来，每个人就有4条相关的个人信息泄露，车辆、房产、地址、职业、年龄、电话号码、身份证信息等在黑市上频繁流动。

国内知名信息安全团队“雨袭团”去年10月发布报告称，在一年半的时间内，高达8.6亿条个人信息数据被明码标价售卖，个人数据基本处于裸奔状态。

灰色产业链庞大

“本人求购炒股理财信息，数量上不封顶，有料的找我！”一位买家在QQ群内发布了这样一则消息，很快就有多位料商通过私聊向其推荐手上的数据资源。

在经过沟通和比价之后，上述买家告诉记者，他已经从一位料商手中拿到了1万条理财的个人信息，包含了姓名、电话号码和微信，价格为1元/条。记者进一步追问拿到这些数据主要用途，该买家表示，仅仅是为了推销理财产品。

综合多方采访，购买个人信息最多的是那些需要推销广告、出售假冒发票和发布垃圾信息，以及从事网贷催收的人。其中房地产、理财公司、保险公司、母婴以及保健品行业、教育培训机构是对个人信息趋之若鹜的核心群体。

被盗取的个人信息也不乏用于诈骗。比如保健品用户信息主要针对老年人，专门用来诈骗。

记者在与买家接触中发现，他们大部分人都知道买卖数据交易属于黑产，但依然作此举动，一个重要原因在于通过正规渠道打广告，比如百度竞价排名，获客成本在60~80元/左右，而通过地下黑市买用户数据，成本能大幅缩减。

从信息收集到信息售卖再到信息利用，每一个交易环节环环相扣，而由此产生的“灰色产业链”让人难以估量。据猎聘网报告，目前中国网络黑产从业者已经超过40万人，依托其进行网络诈骗行业人数至少有160万人，“年产值”在1000亿元以上。

数据合规交易痛点

海量的个人信息地下市场规模多大，目前没有准确数字统计。但从公安机关的专项打击行动中，可窥一斑。

2020年全国公安机关深入推进“净网2020”专项行动，全年共侦办网络犯罪案件5.6万起，抓获犯罪嫌疑人8万余名。其中，侦办侵犯公民个人信息类案件6524起，抓获犯罪嫌疑人1.3万名。

但很显然，这并非黑市全貌。贵阳大数据交易所业务经理陈经理向记者表示，“目前通过正规渠道进行数据交易的不多，更多的数据可能还是在黑市交易。”

贵阳大数据交易所是国内首家大数据交易所，2015年4月正式挂牌运营，喊出了未来3~5年每天交易量达到100多亿元的口号。如今，交易所成立已经6年，陈经理向记者透露，目前交易所日成交量远远没有达到当时定下的目标。

大数据服务商聚立信CEO罗皓以及陈经理都同时提到，数据交易过程中产生的数据确权、数据回溯，交易过程中的安全性、合法性、隐私性保障等问题，迄今为止还没有得到很好的解决。尤其是数据确权，例如数据的采集、加工、采用、交易等环节可能有多个参与方，什么情况下什么类型的参与方可以获得数据的权利，在实践中尚未达成一致共识。

目前可见的红线是来源是否合法，以及交易数据是否脱敏（涉及敏感信息进行去个人化，隐私化处理）。但问题在于，在数据的流转过程中，其中掺杂非法来源以及未脱敏数据实际上很难被发现。

另外，数据的开放程度还远远不够，导致市面上合法流通的数据品类和数量有限，玩家们难以施展拳脚。

像腾讯、阿里这样的互联网巨头，在拥有海量数据的同时本身还能实现大数据云计算闭环，它们更希望是打包成数据产品和服务卖出，比单纯买卖数据更值钱，也更能避免法律风险。这些玩家共享数据的意愿不强，这从腾讯、阿里与贵阳大数据交易所自合同到期再无续约就可窥见。

但从技术角度来讲，目前已经有一种技术可以实现B2B之间的数据合规化交易。大数据服务商星云Clustar CTO张骏雪向记者表示，目前公司已经采用了一套“联邦学习”算法。简单理解，就是基于双方现有的数据去共同建立一个坐标体系，这个坐标体系就是所谓的建模，建模完成后，就能较为精准地判断客户处于坐标体系安全的点还是危险的点。但是在建模过程中，双方并不知道彼此的用户资料，不用担心用户隐私被复制泄露。

根据张骏雪介绍，上述联邦学习算法目前只是解决了B2B之间的数据合规化交易，且主要还是用于银行金融机构之间的数据交易，且成本较高，并没有被大规模应用。

大成律师事务所律师肖飒告诉记者，个人信息的合规使用目前在中国较大程度依赖于公司的自我约束，各大运营商对于用户隐私是否尽到了保护责任，如何在公众隐私保护和商业模式中寻找一个平衡点，在保护个人权益的前提下规范、安全、有序地利用个人数据，释放大数据的红利值得深究。

【纠错】【责任编辑:高畅 】