數據爭奪戰：黑客、內鬼與行業潛規則

王梓輝

被指泄露并利用了5000萬Facebook用戶數據的數據公司“劍橋分析”近日被多位爆料人指出，該公司也參與了支持英國脫歐的活動。英國脫歐組織“投給脫歐”前員工沙尼（左）和“劍橋分析”前數據分析師克里斯托弗·威利出席活動

失控的數據

毫無疑問，馬克·扎克伯格（Mark Zuckerberg）肯定是進入2018年之后科技界心情最糟的人之一。此前順風順水的Facebook公司在3月下旬被曝出了嚴重的用戶數據泄露丑聞，截至本文寫作時，Facebook公司股價連日下挫，市值已經縮水近1000億美元。短短幾周時間，它就蒸發了相當于一個星巴克公司的市值。

打擊不僅來自于市場。4月4日，美國國會眾議院能源與商業委員會宣布，Facebook公司創始人扎克伯格已經同意于當地時間11日出席聽證會，就近期Facebook用戶數據泄露事件進行解釋。一時間，扎克伯格和他一手創立的社交帝國風雨飄搖。

導致這一切發生的原因是幾千萬Facebook用戶個人數據的泄露事件。事情的緣起聽上去有些不可思議。3月下旬，據美國《紐約時報》和英國《衛報》等媒體報道，劍橋分析（Cambridge Analytica）這家與Facebook有合作關系的數據分析公司未經許可收集了數萬Facebook用戶的信息資料，對這些用戶的行為模式、性格特征、價值觀取向等各種數據進行分析，然后有針對性地推送信息和競選廣告，以影響美國選民在總統大選中的投票。而美國總統特朗普就是他們的客戶。在其官網上，他們不僅毫不避諱地列出了這些選舉活動，還寫道：“CA Political重新定義了數據與競選之間的關系。通過更好地了解你的選民，你可以在降低整體成本的同時取得更大的影響力。”在視個人隱私為紅線的歐美社會，這種行為被視為是不可原諒的錯誤。

但事實上，在國內的互聯網安全圈看來，類似Facebook的信息泄露事件在國內早已司空見慣。“這樣的事情在國內其實是經常發生的，只是國內不像國外透明度這么高，全都被披露出來了。”360企業安全研究院院長裴智勇對本刊說道。中關村大數據產業聯盟秘書長趙國棟則直言：“中國的問題相比Facebook這樣的情況來講，有過之而無不及。”

一些數字能從客觀上證明這種說法。根據《2017政企機構信息泄露形勢分析報告》顯示，從2015到2017年，我國每年因網站漏洞導致的信息泄露數量超過50億條，而這還只是360這一家互聯網安全公司的統計數據，其中泄露的信息85%以上都是用戶的個人信息。今年1月，四川省公安廳召開“向人民報告”網安專場新聞通氣會，會上透露，2017年僅四川省就有250余億條公民個人信息被泄露，這意味著我們每個人平均至少有幾十條個人信息在網絡上流傳。

因為缺乏足夠的重視，很多類似的信息泄露事件只在媒體上停留少許就被略過，大部分用戶根本無從知曉自己的個人數據信息的泄露狀況。

一個簡單的例子很有說服力。《中華人民共和國網絡安全法》（簡稱《網絡安全法》）規定必須要實名制，但實名制又會讓公民的個人信息暴露在危機四伏的網絡環境中。中關村大數據產業聯盟秘書長趙國棟就向我們抱怨道：之前共享單車特別火的時候，各種單車公司都莫名其妙地成立了，但活下來的可能就一兩家，其他公司都倒閉破產了，但他們一樣搜集了你的大量數據，包括你的身份證號、你的手機號、你的銀行信息，這些都被他們拿走了，而他們破產之后還談得上對這些信息的保護嗎？

這種狀況不僅發生在創業小公司，幾千人的大公司也絕談不上足夠安全。去年5、6月份，跨境電商平臺“小紅書”被曝出用戶信息大面積泄露事件，先后有50名受害者因在小紅書上網購后遭遇假冒客服而被騙，累計受騙金額高達近90萬元。據報道，這些用戶在小紅書上網購之后，都接到自稱是“小紅書客服”的電話，假冒客服以客戶購買的商品存在質量問題而需要退款為由實施詐騙。對此，小紅書公司向媒體回應稱，他們了解情況后第一時間進行了內部驗證與技術排查，并未發現近期有批量賬號敏感數據泄露現象。

更早，2017年4月，黑客“CosmicDark”在網上售賣從優酷竊取約的1億用戶賬號，售價約2000元人民幣。CosmicDark稱，該數據庫于2016年被泄，去年才在互聯網上公開暴露，而直到現在都不清楚這些數據庫是如何被竊取的。

“非常糟糕。”這是某知名網絡安全公司公司研發總監阿吉用來形容國內網絡數據安全狀況的詞。而普通用戶對此幾乎毫無還手之力。

與Facebook有合作關系的“劍橋分析”數據分析公司被指未經許可收集了數萬Facebook 用戶的信息資料，圖為“劍橋分析”在倫敦的辦公樓

黑客與內鬼

要知道你的數據都被怎樣竊取了，你可以簡單地將它們分為兩類：黑產與白產。它們之間的根本區別就是，黑產是在地下以完全非法的手段進行數據竊取與交易，而白產則是利用法律的漏洞與不健全在灰色地帶以合法身份進行相關的操作。

在我國，網絡黑產早已不是一個新的話題了。根據相關統計，截至2017年年中，中國網絡黑產從業人員已超過150萬，市場規模高達千億。通常情況下，你不太容易發現網絡黑產的蹤跡。裴智勇告訴本刊，網絡黑市們通常活躍在一些普通人不知道的地下網站、專業QQ群和專業社區里，還有一些比較極端的會在暗網上進行交易，而這里流通的數據就是那些通過黑客竊取、網絡攻擊等非法行為獲得的數據。

“在網絡安全上面，只有兩種企業，一種是被黑過的企業，另外一種是不知道自己被黑的。”阿吉頗為促狹的話中道出的卻是國內互聯網安全的現狀。

“拖庫”是目前黑產上信息來源規模最大的一種方式。所謂“拖庫”就是指黑客入侵網站，把賬號、密碼等用戶信息相關的數據庫全部盜走的行為，因為這種方式能夠一下子把一個網站大量的信息全部盜走，一般來說比別的方式效率都高。而可怕的是，這種信息大規模泄露的情況絕不僅僅發生在那些缺乏自我保護能力的小公司身上，根據裴智勇所知的情況，你能想到的國內的互聯網企業基本都被拖過庫，“比如說BAT，比如說360，都被拖過庫，只是程度范圍不一樣”。

2015年10月，網易郵箱被曝出過億數據泄露，泄露信息包括用戶名、密碼、密碼保護信息、登錄IP以及用戶生日等多個原始信息，影響數量共近5億條。雖然網易方面拒絕承認，但業界基本公認這種情況就是被拖庫了。

除了企業，事實上，只要一家機構的信息出現在互聯網上，它都有可能被拖庫。而且相比具備一定專業防護能力的互聯網公司，很多政府及民間機構毫無防備之力。裴智勇在采訪中告訴本刊，前兩年，他們發現有一個地方的政府網站在3年內被不同的組織拖庫了7次，查出來這個問題之后問該網站負責人怎么辦，那位負責人覺得這個網站反正也沒有人運維，就把它關了，但是關了也沒有解決數據泄露的問題。

與地下黑客們“交相呼應”的則是企業內鬼。去年7月由電商生態安全聯盟發布的《電子商務生態安全白皮書》顯示，內鬼類風險導致的信息泄露事件占比達到了49%。騰訊玄武實驗室負責人于旸是業內知名專家，他曾經透露自己2015年在查看某應聘者時，就注意到一位應聘者的身份可疑，不僅曾在多家公司連續跳槽，而且不斷換城市，還存在簡歷造假的情況，最終經過調查發現該應聘者果然是黑產團伙成員。“內鬼遠比你們想象的常見。”于旸說道。

去年3月，京東內鬼事件就頗引人關注。該公司前網絡工程師鄭某在2016年6月加入京東之后，利用職務之便，越權非法獲取大量所供職公司的數據，然后將之售賣給地下黑產，其中涉及交通、物流、醫療、社交、銀行等個人信息50億條。當時鄭某加入京東還不足半年，尚處于試用期。

更早的時候，支付寶的前技術員工李某在2010年分多次在公司后臺下載了支付寶用戶的資料，內容超過20G。李某隨后伙同兩人將用戶信息多次出售給電商公司、數據公司，據稱3萬條可賣500元。支付寶后來承認數據被盜，但表示其銷售的數據不含密碼、不含核心身份信息，并在調查后將李某移交公安機關偵辦。

對于黑客和內鬼的危害程度，業界說法不一。一位曾經做過黑客的網絡安全從業者對本刊表示，80%的數據泄露是企業內鬼所為，黑客和其他方式僅占20%。但裴智勇則認為內鬼只是偶發，更多的都是員工違規操作和外部侵入。但不管是通過何種方式從BAT還是地方政府網站泄露出去的數據，大部分都出現在了網絡黑市上。有知情人士向本刊透露，一般的“網銀四大件”（即姓名、身份證號、電話號碼、賬號密碼）在黑市上的價格大致在5元100條;而如果你愿意花更多的錢，幾百元就能讓你獲得另一個人幾乎全部的信息。“過去他住過哪個酒店、去過哪里都能給你查出來，這個人在你面前基本就透明了。”

商業利益驅動的行業潛規則

黑客與內鬼游走在違法的邊緣，他們一旦失手將面臨法律制裁，但如果從每個用戶個人所遺失的信息規模角度看，商業利益驅動的行業內數據交易才是用戶避無可避、逃脫不掉的隱私之殤。

從數據采集，到數據交易，再到對數據的挖掘，這一環環串起了一個完整的生態系統，而廣告則是其中的核心。“整個互聯網行業的大半部分收入是來自于廣告，大概要到七成到八成左右。”《計算廣告》作者、大數據專家劉鵬告訴本刊。事實上，如果你了解互聯網行業，你會知道谷歌與Facebook這樣的世界級互聯網巨頭一年超過80%的收入來自在線廣告業務。而廣告則是大數據的最典型的應用。

一個簡單的例子就能說明數據的價值。有一個網站在它的廣告位投放了剃須刀的廣告，這個廣告位賣1萬元，如果能有10萬個用戶看到這個廣告，剃須刀廠商就要給這家網站1萬元。但剃須刀是主要面對男性的產品，女性用戶不是它的目標受眾，為此，這家網站又拉來一個化妝品的廣告投給女性用戶。這樣，這家網站找每一個廣告主各收6000元，一共能收入1.2萬元，投入產出比就提高了，多出來的這2000元就是數據變現的價值。而這僅僅是一個性別數據的價值，如果你能知道更多關于用戶的信息和購物偏好，你顯然能掙更多的錢，這些錢都是數據變現帶來的收益。

為了獲得關于你足夠多的數據，互聯網公司們想出了幾個辦法。在PC端，各家網站通過代碼來記錄用戶的行為;在移動端，最主要的辦法則是SDK。而在這個時代，移動端毫無疑問是我們所有人數據的主要來源。

SDK是Software Development Kit的縮寫，即“軟件開發工具包”。簡單來說，它是輔助開發某一類應用軟件的相關文檔、范例和工具的集合。很多APP開發者為了縮短工作周期與工作量，會將一些固定功能通過接入外部SDK來實現。這些SDK包一方面能夠幫助一款APP實現獲取定位、打開攝像頭等基礎功能，另一方面也在你不知道的時候拿走了你很多的個人數據。數據分析公司友盟+高級產品研發專家馬巍源曾說過，幾乎所有的APP都會使用SDK，而SDK收集用戶信息的行為非常普遍。這意味著，你授權APP收集的個人信息被第三方獲取了，而你很可能卻對此毫不知情。

北京網貸協會數據安全專家韓洪慧曾在采訪中提道：“SDK一旦嵌入，如果你注冊登錄了這個APP，并默認授權，所有的行為數據都能記錄，它會在不知不覺中扒取手機通訊詳單、聊天記錄、銀行賬號的密碼口令、短信、通訊錄、行動范圍、位置信息等。”“過度采集用戶信息在互聯網公司很普遍。”趙國棟則直言道。

而所有這些數據信息去哪兒了呢？很大一部分都流向了在線廣告聯盟。裴智勇為本刊解釋道，很多中小開發者為了方便自己變現，會加入由大公司牽頭成立的廣告聯盟，比如國外的谷歌和Facebook，國內的BAT等等;加入廣告聯盟之后，APP中就會嵌入這個廣告聯盟的SDK包，這個SDK包一方面能把用戶的行為數據同步給這個廣告聯盟，很多APP的數據匯集到一起就能對用戶的行為進行分析，知道用戶喜歡干什么、想干什么;再者就是廣告聯盟也會承接很多廣告，這些廣告會發布到各個聯盟成員的APP上，產生的收益雙方再來分錢。這就是廣告聯盟的作用。

除此之外，互聯網公司的數據采買需求也是用戶數據流失的一大方向。阿吉告訴本刊，目前很多中小開發商開發的APP一直在后臺不停地收集用戶各式各樣的信息，尤其是在安卓平臺上。拿到這些數據之后，他們會有兩種處理方式：一種是直接分析這些數據，然后把這些分析報告拿出去做一個價值轉換;另一種則是直接把它收集到的原始數據提供給有這種數據需求的公司。而這些數據信息甚至已經成了這些APP能免費供給用戶使用的價值來源。

趙國棟告訴本刊，像BAT這樣的互聯網公司，雖然他們自己已經有很多很多的數據了，但他們依然是采買數據的大戶。“這些大公司深刻地理解‘數據霸權的意義和重要性，他們是如饑似渴地獲取更多的數據。”通過不同數據之間的互聯與映射，這些互聯網公司都具有了描繪出用戶個人畫像的能力，下一步，他們就能針對每個用戶的具體情況做出更有針對性的商業措施，最終形成具有馬太效應的數據霸權。

發展與制衡

令人沮喪的是，不同于Facebook被輿論圍攻以及各方介入調查的狀況，我國大部分的數據泄露事件因為無法可依，即便是上億條數據的交易，由于缺乏司法解釋，往往不了了之。阿吉告訴本刊，在兩三年前，我國根本就沒有任何法律去管理類似事情，直到去年6月1日正式生效的《中華人民共和國網絡安全法》才給這種混亂局面帶來了一些改變，其中規定非法獲取、出售公民個人信息最低50條以上即可認定為“情節嚴重”，達到入刑的標準。不過，由于技術的飛速發展，法律法規實際上是落后于技術發展的，因此在具體實施上仍然面臨很大的挑戰。

上海京衡律師事務所隋兵律師告訴本刊，目前針對個人信息保護主要依據的是《網絡安全法》第41條，即“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則”。合法當然是必須的，那么關鍵就落在“正當”和“必要”這兩個概念上了。但由于“正當”和“必要”這兩個概念比較寬泛，所以很多公司目前都是在形式上做到所謂的“合法”，然后在“正當”和“必要”上面打擦邊球。

今年1月，支付寶發布年度賬單，最下方的“我同意《芝麻服務協議》”一行字不僅字體小，而且默認打勾。協議聲稱，支付寶可以直接向第三方提供用戶相關信息，并且可以進行分析、推送給合作機構，以及有權不支持用戶撤銷第三方的信息查詢授權。之后被用戶發現并舉報，支付寶才道歉并修改了默認用戶同意的選項。“我個人認為這種行為就處于灰色地帶，它用了一種比較隱蔽、用戶可能忽略的方式，但它在形式上做到了獲得用戶授權的目的。”隋兵說道。

而諸如此類的擦邊球在互聯網行業非常普遍。在百度搜索、淘寶這些產品的“隱私協議”中，你仍然能看到他們列出了“會在第三方有合法、正當理由的前提下，與聯盟成員、合作伙伴及其他受信任的第三方供應商、服務商及代理商共享您的信息”的相關內容。這意味著，當用戶在初次使用這些產品時，對其彈出的一個詢問您是否同意的授權書點擊了“同意”之后，你的信息就被一大堆這些產品的合作方共享了。而我們都知道，幾乎不會有用戶真的認真看那些寫滿字符的“授權書”;即使你認真看了，如果你點擊“不同意”，你就無法使用這些產品了。兩相權衡之下，用戶幾乎沒得選。

在專業人士看來，這似乎是一個無法被徹底解決的難題。在數據已經成為互聯網行業發展原動力的情況下，各個公司對數據的渴求只會越來越大。從2017年開始，馬云就多次在演講中提到“人類將真正開始進入到數據時代”的觀點，他也表示“阿里巴巴不是零售公司，是一家數據公司”。

去年6月，順豐與阿里菜鳥就因為用戶數據的歸屬問題產生了激烈對峙。菜鳥率先指責順豐在2017年6月1日凌晨關閉了對菜鳥的數據接口;隨后，順豐方面回應稱是菜鳥基于自身商業利益出發，要求順豐提供與其無關的客戶隱私數據，但順豐拒絕配合，他們給出的理由是，此類信息隸屬于用戶，未經用戶許可，無法提供。最終，在國家郵政局的協調下，雙方才做出了妥協。這種級別的對抗也反映了數據對雙方的重要性。

作為在線廣告與大數據專家，劉鵬就認為這其實不是立法問題，反而是一個技術問題，“立法解決不了網絡數據的使用問題”。阿吉也認為目前的現狀就是數據使用技術的發展遠遠超過了法律法規的完善速度，在這種狀況下，我們很多時候只能依靠互聯網廠商的自覺性。

在可見的未來，我們也許都將處于這種用戶不得不接受的現狀中。在Facebook事件爆發之后，百度公司創始人李彥宏在中國高層發展論壇上就這個問題發表觀點：“我想中國人可以更加開放，對隱私問題沒有那么敏感。如果他們愿意用隱私交換便捷性，很多情況下他們是愿意的，那我們就可以用數據做一些事情。”盡管外界對這個觀點批評聲一片，但回歸現實層面，這也許就是我們不得不接受的現狀。