被盯上的個人信息：兒童手表變偷窺器，免費WiFi一天定位6萬次

深燃（shenrancaijing）原創

作者 | 王敏

編輯 | 金玙璠

網上沖浪多年，你可能對自己成為互聯網“透明人”并不意外，但當得知自己的信息是如何被收集、倒賣，還是否能依然保持冷靜？

 

就在2022年的3·15晚會上，央視用一個接一個觸目驚心的案例，讓消費者們再一次意識到在互聯網世界，想不“裸奔”有多難，信息泄露實在防不勝防。

 

從一天可能收集你的位置信息數萬次的“免費WiFi”、可能隨時都在監聽監控你家孩子的兒童智能手表，到瀏覽網頁時被“匹配”手機號碼、給你打騷擾電話背后的產業鏈，有用戶表示，看完信息泄露的潛在風險，感到頭皮發麻，“你覺得自己全副武裝，但是在對方眼里你卻是一絲不掛，毫無秘密”。

 

很難想象，在這些過度收集用戶信息的黑色產業鏈上，中小學生的智能手表也會被盯上，成為“行走的偷窺器”，而擁有手機的成年人，手機號碼更是被明碼標價，一個15元，服務商為了規避監管，甚至會采用虛擬貨幣交易。

 

個人信息管理和泄露，是近幾年3·15晚會持續關注的焦點，本屆3·15晚會曝光的竊取個人信息的方式卻在持續迭代，有些可以靠用戶提高自我防范意識來解決，有些實在防無可防。盡管2021年有關部門一直在加大對APP過度收集用戶行為的規范力度，但不得不承認，個人信息保護依然任重而道遠，這一“頑疾”的連根去除依舊還需跨過一座座大山。

 

誰能想到，一款APP，一天收集你的位置信息的次數居然高達六萬次。

 

今年在3·15晚會上首次出現的“3·15信息安全實驗室”，專門對市場上的“免費WiFi”類APP進行了測試。測試人員發現，很多APP打著“免費WiFi連接”的旗號，羅列的WiFi資源全都連接不上，這也就罷了，這些APP還會捆綁多個手機應用，每天推送彈窗廣告，像甩不掉的癩皮糖。

 

更可怕的是，這類APP可能會在后臺大量收集用戶信息。測試人員提到一個名叫越豹WiFi助手的APP，可以不斷自啟動，讀取用戶信息，推送彈窗廣告。還有一款叫“雷達WiFi”的應用程序，一天之內訪問手機的位置信息，高達67899次。

 

“3·15信息安全實驗室”相關專家何延哲表示，上萬次，意味著，用戶從早到晚、包括睡覺，這些應用程序都在一直定位，可以把用戶的生活軌跡、行蹤全部串起來，掌握用戶的生活規律、職業、喜好。

 

                                  雷達WiFi訪問次數逾6萬次 來源 / 3·15晚會

 

瞄上你的喜好、消費習慣、個人聯系方式的，還有越來越精準的騷擾電話。很多用戶可能會有這樣的經歷，只是用手機瀏覽了某些網站，并沒有留下電話和個人信息，卻常常能接到相關行業的推銷電話。

 

                                                       來源 / 3·15晚會

晚會中，被曝光的杭州以漁公司相關人員介紹道，用戶都是近期用手機瀏覽過一些家具、裝修網站，雖然沒有留下電話號碼，但通過每個人手機上對應著一個MAC號（手機識別碼），就能匹配到用戶的手機，可以直接給用戶打電話。

 

中小學生更是信息泄露的高危區，一塊看似其貌不揚的兒童智能手表，風險性卻極高。

 

兒童智能手表是父母們和孩子取得聯系、掌握孩子行蹤的重要載體，更是一些小學生社交的必備工具，已經能融合人臉識別、高清拍照、社交、字典查詢、聽音樂、看視頻、健康檢測等多個智能功能。

 

防范意識不強的小學生，佩戴上低配版的兒童智能手表，很容易被誘導下載惡意程序，可能會泄露用戶的位置、聲音、影像等信息。根據央視報道，“3·15信息安全實驗室”的工程師為了測試，在以抽獎為由頭吸引小學生下載一款程序后，就將惡意程序植入了孩子的智能手表。

 

                               遠程控制兒童智能手表便可獲取位置 來源 / 3·15晚會

 

接下來，工程師通過遠程控制，就可以對孩子實時定位，在后臺通過多次采集孩子的移動軌跡，推斷孩子的活動范圍，比如她家離學校其實很近，大概兩三百米，5分鐘就能走到。回家后，孩子和姥姥聊天，通過調用手表里的麥克風，身在異處的工程師可以對談話內容一清二楚。飯后，孩子在書桌前做手工，一舉一動也被隨時掌握。

 

問題出在，廠商給這款兒童智能手表搭載的是安卓4.4操作系統，是近10年之前發布的版本，而最新版本已經更新到了安卓12。為了節省成本，廠商搭載了過于老舊的系統，而忽略了安全性，給了不法分子可乘之機。

 

還有一些低配版的兒童智能手表，搭載的是安卓9，操作系統看似較新，安裝APP時，系統會彈窗提示是否給予某個權限。用戶一旦拒絕授權，APP就會拒絕提供任何服務。比如，測試人員打開一款叫“天氣”的應用程序，它會出現一個彈窗，索要用戶的存儲權限，被拒絕后，會索要打電話權限，再次拒絕后又會索要定位權限，一直被拒絕后，這款APP就閃退了。這逼得用戶要使用服務，就不得不“交出”各種權限。

 

“不敢下單了”，有家長看到兒童智能手表被評價是“行走的偷窺器”，暫緩了給孩子購置的打算。

 

個人信息泄露的方式、環節眾多，但對于普通人而言，結果就只有一個，面臨的生命財產安全風險增多。

 

表面無關要緊的數據，但如果“有心人”通過點、線、面將個人信息一點一點結合起來，實際上能夠對一個人了如指掌，進行精準營銷乃至詐騙。

 

都是誰在背后，悄悄盯著你的個人信息？

 

免費WiFi這類蹭網類APP，從誕生之日起，就一直因為安全性和隱私問題飽受詬病。

 

早在約四年前，工信部就曾專門通報了“蹭網”類APP。“WiFi萬能鑰匙”和“WiFi鑰匙”具有免費向用戶提供使用他人WiFi網絡的功能，涉嫌入侵他人WiFi網絡和竊取用戶個人信息。相關部門還特別提醒，WiFi網絡提供者應謹慎共享自己的WiFi網絡，并定期更換WiFi網絡密碼；WiFi網絡使用者應增強安全上網意識，謹慎使用WiFi“蹭網”類移動應用程序。

 

一直到2021年，上海消保委還專門發文提醒消費者，號稱“蹭網神器”的APP極有可能造成個人隱私信息的泄露和濫用。

 

“蹭網”類APP不僅可能過度收集用戶信息，還通過讓用戶躲不掉的彈窗廣告來牟利。

 

也因此，有評價稱，“蹭網神器”的真面目，其實是“帶毒的蘋果”。而騷擾電話的產業鏈更是有過之而無不及。

 

央視3·15晚會深扒了越來越精準的騷擾電話背后的產業鏈。這個產業鏈上的公司，將騷擾電話隱晦地稱為“陌拜”（陌生拜訪電話）。

 

杭州以漁每為客戶匹配一個陌拜手機號，收取3元左右。融營通信專門為一些電銷公司隱藏打陌拜時的主叫號碼，1分鐘0.1元，一年純話費收入將近一個億，服務大概兩萬多家客戶，其中打陌拜的，有80%以上。

 

電話信息從何而來？乘移信息技術有限公司業務經理指出，抓取自身廣告頁面的用戶，管理后臺是可以看到客戶手機號碼的，價格為15元一條。

 

                                                          來源 / pexels

做類似業務的鄭州綠牽，一個月能獲得一百萬條用戶數據，而且，為了規避監管，會采用虛擬貨幣進行交易。

 

騷擾電話的產業鏈，還涉及了美股上市公司容聯云，其旗下容聯七陌的相關人員介紹道，通過幾十甚至上千的號碼池幫助客戶呼出，來規避投訴和監管，平臺客戶達到了3萬多家。但2021年前三季度，容聯云依舊還處于虧損狀態，財報顯示，營收為約7.55億元，凈虧損為約3.9億元。美東時間3月15日收盤，容聯云股價報收1.46美元，較開盤價下降了8.18%。

 

杭州以漁的工作人員也知道，這門生意是做不大的，一旦做大，反而風險越大。

 

至于兒童智能手表，作為一款可穿戴設備，其需求量呈逐年上漲趨勢。華經產業研究院發布的《2021-2026年中國智能手表行業投資分析及發展戰略研究咨詢報告》顯示，2015-2020年我國兒童智能手表需求量逐年增長，從2015年的800萬件增長至2990萬件。

 

但由于全國性行業標準缺失、市場監管力度不夠，兒童智能手表市場也出現信息及健康等安全隱患突出、產品過度娛樂社交化、產品質量參差不齊、創新性和智能化成色不足、服務保障及生態構建被輕視等問題。

 

早在2019年，我國兒童智能手表就被曝出存在安全防護漏洞等問題。天眼查數據顯示，我國有近1.4萬家可穿戴設備相關企業，52.0%的可穿戴設備相關企業分布在批發和零售業。超1500家可穿戴設備相關企業出現過經營異常，占總量的11.0%。

 

兒童智能手表行業的發展，還需要訂立全國性的行業標準，重點解決產品面臨的安全、續航、服務等問題，共建共享開放性底層技術平臺，打造適用于智能手表領域的“安卓”系統，及時糾偏產品過度娛樂社交化等傾向。

在用戶數據成為關鍵的互聯網時代，個人信息泄露早已不算是新鮮話題，但所泄露的信息，以及信息泄露的方式卻在持續迭代。

 

比如去年3·15晚會，一些商家通過安裝人臉識別攝像頭，非法采集甚至濫用人臉信息，洞察用戶的年齡、身份甚至情緒以及消費習慣。

 

個人信息泄露后，用戶持續收到垃圾短信、騷擾電話都還是輕的，坑蒙拐騙的詐騙團伙一旦乘虛而入，錢財損失，甚至身份被冒用有了違法犯罪的記錄，這些都有可能發生。

 

那么，應該如何防止信息泄露，拒絕成為“透明人”呢？北京至普律師事務所首席合伙人、主任律師李圣對深燃表示，普通人首先需要提高隱私信息保護意識，不要隨意安裝不明APP，登錄非法網站，定期清理手機，如果有被要求填寫個人隱私信息的，需要再三確認其正當性和合法性。

 

也有行業人士提醒，大部分APP在下載安裝時都會被要求開通多項權限，包括通訊錄、攝像頭、短信、錄音、位置等，用戶在授權時要仔細閱讀，非必要的可以選擇“拒絕”。

 

但是，用戶提升自我防范意識，只能是第一道屏障。畢竟，像騷擾電話越來越精準，這種情況，用戶根本無法抵抗。

 

                                                     來源 / pixabay

李圣提到，以本次3·15晚會曝光的信息泄露相關的幾種產業鏈為例，無一例外都違反了《個人信息保護法》。

 

2021年實施的《個人信息保護法》確定了個人信息保護和利用規則，對企業個人信息數據安全合規提出了新的要求。但從目前的情況來看，企業個人信息數據安全合規仍需要強化監管，遏制這種商家野蠻生長、隨意侵害消費者的情形發生。

 

李圣認為，商家非法獲取個人信息，監管部門可以責令改正，給予警告，沒收違法所得，責令暫停或者終止提供服務、罰款、停業整頓、吊銷營業執照等行政處罰，還可以處罰直接負責的主管人員和其他直接責任人員。

 

江蘇天煦律師事務所律師沈媛對深燃指出，“公民個人信息”包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

 

他提到，泄露個人信息情節比較嚴重的，需要承擔刑事責任。《民法典》要求，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

 

沈媛曾經辦過一個案件，是股票銷售人員在工作過程中，將客戶的姓名、身份證、手機號等信息保存，后來有人愿意購買，他便打包賣了數十萬條，從中獲利了700多元，最后被判處了三年有期徒刑。個人信息黑色產業鏈的每個環節，也都應該明白這其中的法律風險。

 

沈媛提醒，保護個人信息，個人層面再怎么謹慎都不夸張，企業更是應該承擔起本應肩負的責任。

*題圖來源于pexels。

本文來自微信公眾號 “深燃”（ID：shenrancaijing），作者：王敏，36氪經授權發布。