你的隱私信息是如何泄露的？

張毅

買賣，灰黑產(chǎn)猖獗盜取個(gè)人信息

灰黑產(chǎn)買賣：每條信息不到1分錢的個(gè)人信息買賣背后，早已催生出千億級(jí)規(guī)模的灰黑產(chǎn)業(yè)。而經(jīng)過(guò)多年的沉淀，以用戶個(gè)人信息為核心的灰黑產(chǎn)業(yè)“細(xì)分賽道”分工已經(jīng)相當(dāng)明確，從漏洞挖掘、入侵工具研發(fā)到詐騙勒索等環(huán)節(jié)均存在具有專業(yè)性的分工模式，個(gè)人信息通過(guò)信息泄露途徑進(jìn)入多種傳播交易環(huán)節(jié)，這些信息包括手機(jī)號(hào)、姓名、身份證號(hào)和家庭地址等，而越來(lái)越多的網(wǎng)絡(luò)詐騙案件是詐騙分子獲取公民個(gè)人信息后，有針對(duì)性地實(shí)施詐騙犯罪。

而在今年2月，自稱為“星鏈”的黑灰產(chǎn)頻道公開發(fā)布消息稱其在說(shuō)明文字中表示已設(shè)置一個(gè)查詢機(jī)器人，用戶輸入電話號(hào)碼便能查詢關(guān)聯(lián)的姓名和地址信息。依據(jù)永安在線發(fā)表的信息，2月7日，“星鏈”頻道發(fā)布“更新45億名字地址庫(kù)最新”消息。2月12日9時(shí)40分，黑產(chǎn)開始在多個(gè)數(shù)據(jù)售賣群發(fā)布廣告“45億訂單機(jī)器人”，并引起廣泛關(guān)注。

“星鏈”頻道創(chuàng)立于2021年4月28日，但“蟄伏”近兩年后才開始發(fā)布消息，其交易模式便是典型的灰黑產(chǎn)運(yùn)用境外社交渠道進(jìn)行信息生意和數(shù)據(jù)生意，只不過(guò)影響過(guò)于巨大且高調(diào)，其浮出水面不久就宣布永久封閉。有不愿具名的安全行業(yè)從業(yè)者稱，從搜索結(jié)果和類型上看，此次45億條個(gè)人信息或由包括頭部電商在內(nèi)的多個(gè)信息源拼接而成，雖然數(shù)據(jù)量巨大，但來(lái)源并不新鮮：

1.網(wǎng)絡(luò)攻擊，據(jù)統(tǒng)計(jì)，60%以上的數(shù)據(jù)泄露是由網(wǎng)絡(luò)攻擊導(dǎo)致；

2.內(nèi)部泄露，現(xiàn)在各行各業(yè)都推進(jìn)數(shù)字化轉(zhuǎn)型，大量員工、開源人員、合作伙伴都可以接觸到數(shù)據(jù)，其間管理不當(dāng)就可能造成數(shù)據(jù)泄露；

3.數(shù)據(jù)交互Bug，各組織之間的流通受阻，數(shù)據(jù)給出后無(wú)法收回。

官方買賣：“銳步在中國(guó)大陸運(yùn)營(yíng)過(guò)程中收集或生成的數(shù)據(jù)，將于2022年5月1日轉(zhuǎn)讓至上海聯(lián)亞商業(yè)有限公司（‘接收方），其中可能包含消費(fèi)者的個(gè)人信息。短信中還表示，轉(zhuǎn)讓完成后，阿迪達(dá)斯將不再保留消費(fèi)者的個(gè)人信息。消費(fèi)者可聯(lián)系接收方行使個(gè)人信息權(quán)利。若接收方變更個(gè)人信息的處理目的或方式，將按照當(dāng)?shù)胤傻囊笾匦氯〉孟M(fèi)者同意。”——阿迪達(dá)斯在轉(zhuǎn)賣旗下品牌銳步時(shí)，將銳步在中國(guó)大陸運(yùn)營(yíng)過(guò)程中收集或生成的數(shù)據(jù)打包給了接收方，而這樣一條短信讓不少用戶感到不可思議，難道我的個(gè)人隱私能被企業(yè)堂而皇之地轉(zhuǎn)賣嗎？

隨著個(gè)人信息數(shù)據(jù)價(jià)值的提升，品牌官方往往也會(huì)將這類數(shù)據(jù)視作企業(yè)資產(chǎn)，從而進(jìn)行官方買賣。品牌方看似公平、公正、公開的交易背后，顯然對(duì)用戶個(gè)人信息造成了泄露風(fēng)險(xiǎn)，而前不久，著名化妝品品牌絲芙蘭（SEPHORA）就其侵犯消費(fèi)者隱私一事與加州居民達(dá)成和解協(xié)議，決定支付120萬(wàn)美元的罰款，并在隱私政策中披露其向第三方出售消費(fèi)者個(gè)人信息的事實(shí)，為消費(fèi)者提供個(gè)人信息出售的退出機(jī)制。

當(dāng)下虛擬數(shù)字資產(chǎn)定性還在討論中，對(duì)于品牌方的這種行為并沒(méi)有太多的規(guī)范和約束，更多時(shí)候監(jiān)管機(jī)構(gòu)也就是要求品牌方在隱私策略中以顯著方式提供“不要出售我的個(gè)人信息”的選項(xiàng)，這點(diǎn)卻需要用戶主動(dòng)留意并強(qiáng)化自己的個(gè)人信息安全防護(hù)意識(shí)。

頑疾，豪奪隱私的互聯(lián)網(wǎng)應(yīng)用

手機(jī)App過(guò)度采集信息：許多手機(jī)App在安裝時(shí)，會(huì)彈出要求用戶授權(quán)各類信息權(quán)限的條款，包括通訊錄、短消息、攝像頭、麥克風(fēng)、地理位置等，有的像天氣預(yù)報(bào)、手電筒這類功能單一的手機(jī)App，在安裝協(xié)議中也提出要讀取通訊錄。這種情形下，大多用戶只能接受這些“霸王條款”，選擇提供個(gè)人信息，否則就無(wú)法使用該手機(jī)App。前不久，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心對(duì)“地圖導(dǎo)航類”公眾大量使用的部分App收集個(gè)人信息情況進(jìn)行了測(cè)試。

本次測(cè)試選取了19家應(yīng)用商店累計(jì)下載量達(dá)到5000萬(wàn)次的“地圖導(dǎo)航類”App，包括高德地圖、百度地圖、騰訊地圖。測(cè)試場(chǎng)景以完成一次地圖導(dǎo)航活動(dòng)作為測(cè)試單元，包括啟動(dòng)App、搜索地點(diǎn)、點(diǎn)擊導(dǎo)航3種用戶使用場(chǎng)景，以及后臺(tái)靜默應(yīng)用場(chǎng)景。

針對(duì)系統(tǒng)權(quán)限調(diào)用，測(cè)試發(fā)現(xiàn)，3款A(yù)pp在點(diǎn)擊導(dǎo)航場(chǎng)景中，調(diào)用系統(tǒng)權(quán)限種類最多的為高德地圖和百度地圖，調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為騰訊地圖（62次）。而在后臺(tái)靜默場(chǎng)景中，3款A(yù)pp調(diào)用系統(tǒng)權(quán)限種類均為2類，調(diào)用系統(tǒng)權(quán)限次數(shù)最多的為騰訊地圖（282次），如此數(shù)量的系統(tǒng)權(quán)限調(diào)用，真的是有必要的嗎？

過(guò)度采集用戶個(gè)人信息數(shù)據(jù)的同時(shí)，App在利益的驅(qū)使下往往也會(huì)主動(dòng)泄露用戶數(shù)據(jù)。以“汽車之家”App為例，其平臺(tái)客服明確表示用戶只有點(diǎn)擊詢價(jià)才會(huì)將個(gè)人信息推送給所在城市的3-5家經(jīng)銷商，如最近無(wú)購(gòu)車意向，可向客服反饋進(jìn)行相應(yīng)屏蔽處理，或在設(shè)置中手動(dòng)關(guān)閉。然而，不少用戶反饋即便未點(diǎn)擊“詢價(jià)”功能，在單純?yōu)g覽平臺(tái)信息的情況下，也會(huì)接到推銷電話。而在主動(dòng)點(diǎn)擊平臺(tái)自動(dòng)推送的詢價(jià)信息后，推銷電話更為密集。

“暗模式”誘導(dǎo)用戶授權(quán)：平臺(tái)個(gè)性化推薦成為消費(fèi)者快速了解消費(fèi)趨勢(shì)、便捷購(gòu)物的重要渠道。個(gè)性化推薦的精準(zhǔn)高效離不開對(duì)用戶的跟蹤識(shí)別和對(duì)個(gè)人信息的收集處理，隨著法律法規(guī)的健全以及消費(fèi)者對(duì)個(gè)人信息數(shù)據(jù)安全的重視，App們很難再打著“個(gè)性化內(nèi)容服務(wù)”的旗幟大肆采集用戶個(gè)人信息數(shù)據(jù)了，可即便大部分App均設(shè)置了個(gè)性化推薦的關(guān)閉路徑，但在關(guān)閉的步驟上存在不少“小心思”。

而且，廠商會(huì)借助某些“話術(shù)”引導(dǎo)，用戶往往會(huì)做出無(wú)意識(shí)、非自愿且可能不利的決定，如在“關(guān)閉后可能影響您的瀏覽體驗(yàn)”等消極語(yǔ)句的影響下，用戶不自覺地放開個(gè)人信息數(shù)據(jù)授權(quán)。除此之外，第三方機(jī)構(gòu)以“辦業(yè)務(wù)”的名義套走用戶個(gè)人信息數(shù)據(jù)也很常見。以房貸“轉(zhuǎn)貸”為例，部分“貸款中介”獲取消費(fèi)者貸款信息等個(gè)人信息后，在消費(fèi)者不知情的情況下向他人泄露、出售謀取非法利益，甚至在其貸款后騙走貸款，嚴(yán)重侵害消費(fèi)者合法權(quán)益。

技術(shù)，盜取數(shù)據(jù)的人工智能

從瘋狂采集人臉的攝像頭到擁有聰明過(guò)頭的ChatGPT，技術(shù)的進(jìn)步往往意味著個(gè)人信息數(shù)據(jù)進(jìn)一步泄露的可能，提前了解新一代信息技術(shù)，往往能有效削弱個(gè)人信息數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

聰明過(guò)頭的ChatGPT：ChatGPT是由一個(gè)需要大量數(shù)據(jù)來(lái)支撐和運(yùn)行的大型語(yǔ)言模型，其背后的OpenAI公司向該工具系統(tǒng)地提供了從互聯(lián)網(wǎng)上抓取的約3000億字的書籍、文章、網(wǎng)站和帖子，其中顯然會(huì)包括海量個(gè)人信息數(shù)據(jù)。如果你在網(wǎng)上曾經(jīng)寫過(guò)一篇博客文章或產(chǎn)品評(píng)論，或者在網(wǎng)上評(píng)論過(guò)一篇文章，這些信息則很有可能被ChatGPT獲取或使用過(guò)。

所以，如果你希望ChatGPT類AI應(yīng)用更聰明一些，那你就需要用足夠的數(shù)據(jù)去喂養(yǎng)它，可當(dāng)他成長(zhǎng)起來(lái)后，卻很容易被壞人利用。通過(guò)來(lái)自社交平臺(tái)的數(shù)據(jù)對(duì)ChatGPT進(jìn)行模型訓(xùn)練，可能生成虛假信息、誘騙信息和網(wǎng)絡(luò)釣魚軟件，破壞網(wǎng)絡(luò)輿論生態(tài)。其次，惡意使用者可能利用ChatGPT生成大量用戶名和密碼的組合，用于對(duì)在線賬戶“撞庫(kù)”攻擊，加之ChatGPT的自然語(yǔ)言編寫能夠生成逃避防病毒軟件監(jiān)測(cè)的惡意軟件，這可能帶來(lái)網(wǎng)絡(luò)安全隱患。

從人臉采集到AI換臉：對(duì)濫用人臉識(shí)別技術(shù)的聲討已經(jīng)不是一兩天了，售樓盤違規(guī)采集人臉識(shí)別信息并泄漏給第三方曾引起互聯(lián)網(wǎng)廣泛討論并被專項(xiàng)整治，“人臉識(shí)別”技術(shù)本身是一種基于人的臉部特征信息進(jìn)行身份識(shí)別的新型人工智能技術(shù)，在公共場(chǎng)所、刷臉支付等多個(gè)線下線上場(chǎng)景中均得到了廣泛應(yīng)用，對(duì)保障公共安全、提供生活便利具有積極推進(jìn)作用。

但人臉信息屬于敏感個(gè)人信息中的生物識(shí)別信息，是生物識(shí)別信息中社交屬性最強(qiáng)最容易采集的個(gè)人信息，具有唯一性和不可更改性，一旦泄露將對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成損害。而且人臉信息一般會(huì)和姓名等身份信息相綁定，如果是在小區(qū)門禁這些場(chǎng)所進(jìn)行錄入的話，還會(huì)與住址等位置信息相綁定，這些信息一旦泄露，將會(huì)給個(gè)人隱私造成巨大危害。

然而，隨著技術(shù)的進(jìn)一步發(fā)展和人臉數(shù)據(jù)庫(kù)的積累，AI換臉技術(shù)逐漸成為新的個(gè)人信息數(shù)據(jù)安全威脅。“低門檻、高效率、高質(zhì)量”的特性，讓一眾AI換臉軟件并不需要太多目標(biāo)的人臉信息，就可“輕松”通過(guò)采集大數(shù)據(jù)內(nèi)的人臉表情特征，來(lái)不斷修改和識(shí)別，最終得到惟妙惟肖的換臉視頻，使其被大規(guī)模濫用于偽造身份、混淆視聽，以實(shí)現(xiàn)網(wǎng)絡(luò)欺詐、虛假宣傳與操縱輿論等目的。

不僅對(duì)個(gè)人名譽(yù)權(quán)與肖像權(quán)構(gòu)成嚴(yán)重侵害，而且不法分子還可以利用漏洞劫持手機(jī)識(shí)別攝像頭，將照片活化、表情操縱等深度偽造技術(shù)冒充機(jī)主，進(jìn)而對(duì)機(jī)主的微信好友實(shí)行轉(zhuǎn)賬詐騙。同樣，電信詐騙中也有類似利用“語(yǔ)音偽造”技術(shù)的案例。

隨著仿真精度的提升，這種問(wèn)題有愈演愈烈的趨勢(shì)——數(shù)據(jù)隱私、技術(shù)濫用等伴生安全問(wèn)題為社會(huì)公共治理帶來(lái)嚴(yán)峻挑戰(zhàn)。