灰产牟利逾千亿 隐私之痛何时休

　　◎ 记者 汪建君

　　【名词解释】

　　网络黑产，指以互联网为媒介、以网络技术为主要手段，给计算机信息系统安全和网络空间管理秩序，甚至国家安全、社会政治稳定带来潜在威胁或重大安全隐患的非法行为。相较于此，灰产则常常游走于法律边缘的灰色地带，因此比黑产更加难以界定，治理与打击力度也更加难以把握。

　　移动互联网时代，隐私问题已成为悬在消费者头上的一把达摩克利斯之剑。  

　　日前，APP专项治理工作组发布了一份个人信息专项治理公告，共有40款APP在个人信息收集使用方面存在问题，且未公开有效联系方式。而此前几日， 另有30款APP同样因隐私问题被该工作组通报，并被要求限期整改。

　　《国际金融报》记者梳理发现，这70款APP涉及金融、交通、快递、掌上学习以及互联网医疗等领域，尽管多家相关企业回复记者称，“目前正在整改”，但有业内人士分析认为，由于利益链条千丝万缕，隐私安全问题或沉疴难起。

　　记者调查发现，在收集用户信息上，已然形成了贩卖数据的黑灰产业链，一些厂商甚至与黑灰产业团伙“合谋”，寻求最大化的利益空间。

　　据一名接近黑灰产业链的知情人士透露，整个市场每年因售卖数据信息获利超过千亿元。而灰产的主要手段就是瞄准了厂商跑量安装APP的市场需求，“一个安装量的价格从几毛钱到几元不等”。

　　一周70款APP被通报

　　按照APP专项治理工作组的要求，被通报的APP运营者自通知发出之日起10日内联系工作组，领取整改通知，于通知发布之日起30日内完成整改并向工作组提交整改报告，逾期未领取整改通知或未完成整改的，工作组将建议相关部门予以处置。

　　7月17日，韵达快递和上海二三四五网络科技有限公司相关负责人均回应《国际金融报》记者：“目前，已经针对相应问题进行整改。”

　　此前，中国银行手机银行、二三四五、韵达快递、北京交通等30款APP就因违反《网络安全法》关于收集使用个人信息的规定，被通报整改。

　　其中，中国银行手机银行、春雨医生、北京预约挂号、北京交通等10款APP违反《网络安全法》第四十一条“公开使用收集个人信息规则”的要求，无隐私政策；天天酷跑、探探、猎豹安全大师、人人、全能相机等20款APP要求用户一次性同意开启多个可收集个人信息权限，不同意则无法安装使用，同样违反了《网络安全法》的相关要求。

　　中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领在接受《国际金融报》记者采访时表示，无隐私政策是指APP没有制定和颁布收集、使用用户个人隐私的政策，这本身就是违法的。强制获取权限的做法违反了网络安全法的规定，收集、使用用户个人信息应当经过用户的同意，而且应当遵循必要性原则，所收集的个人信息与所提供的产品功能或服务有一定关联性。如果这个产品本身的基本功能并不需要这些个人信息，那就属于违法行为。

　　“痛点”普遍存在

　　7月16日，在APP专项治理工作组通报的40款APP中，与互联网金融相关的APP总数达16个，占40%。公开数据显示，金融借贷类APP收集用户通讯录等，占比约为31.2%，这一收集范围遭到业内的一片质疑。

　　移动互联网系统与应用安全国家工程实验室高级安全研究员朱易翔对《国际金融报》记者表示，金融类APP理论上不需要收集用户通讯录等信息，尤其是近年来，金融借贷类APP上逾期现象频发，导致欠款者的家人朋友被疯狂催债的案例屡见不鲜，读取通讯录信息应该更加谨慎。

　　然而，类似的情况在各类APP上都有发生。7月18日，记者在华为应用市场尝试下载一款外卖APP，然而，该APP要求开通设备信息、位置信息及存储空间等权限。其中，存储空间包括手机上的照片、媒体内容和文件等多项内容。

　　朱易翔分析认为，正常情况下对于外卖APP而言，手机设备上的照片、媒体内容和文件是不必要的信息，但目前这类收集颇为普遍。“这也是一个模糊地带，应用APP可以在技术上提供一个小的功能，从而让数据搜集变得合理。”

　　央视“3·15晚会”也曾提到这一“痛点”，即大部分手机上的APP在使用前，都必须强迫用户同意自己的定位、麦克风、照相机等权限可以被APP使用。除此之外，部分APP还存在窃取个人隐私等有害行为。

　　不过，相关的整治行动也早已展开。6月1日，全国信息安全标准化技术委员会发布《网络安全实践指南———移动互联网应用基本业务功能必要信息规范》(下称《规范》)首次明确，不应强制读取用户的通讯录。