你的隱私信息是如何泄露的？

張毅

買賣，灰黑產猖獗盜取個人信息

灰黑產買賣：每條信息不到1分錢的個人信息買賣背后，早已催生出千億級規模的灰黑產業。而經過多年的沉淀，以用戶個人信息為核心的灰黑產業“細分賽道”分工已經相當明確，從漏洞挖掘、入侵工具研發到詐騙勒索等環節均存在具有專業性的分工模式，個人信息通過信息泄露途徑進入多種傳播交易環節，這些信息包括手機號、姓名、身份證號和家庭地址等，而越來越多的網絡詐騙案件是詐騙分子獲取公民個人信息后，有針對性地實施詐騙犯罪。

而在今年2月，自稱為“星鏈”的黑灰產頻道公開發布消息稱其在說明文字中表示已設置一個查詢機器人，用戶輸入電話號碼便能查詢關聯的姓名和地址信息。依據永安在線發表的信息，2月7日，“星鏈”頻道發布“更新45億名字地址庫最新”消息。2月12日9時40分，黑產開始在多個數據售賣群發布廣告“45億訂單機器人”，并引起廣泛關注。

“星鏈”頻道創立于2021年4月28日，但“蟄伏”近兩年后才開始發布消息，其交易模式便是典型的灰黑產運用境外社交渠道進行信息生意和數據生意，只不過影響過于巨大且高調，其浮出水面不久就宣布永久封閉。有不愿具名的安全行業從業者稱，從搜索結果和類型上看，此次45億條個人信息或由包括頭部電商在內的多個信息源拼接而成，雖然數據量巨大，但來源并不新鮮：

1.網絡攻擊，據統計，60%以上的數據泄露是由網絡攻擊導致；

2.內部泄露，現在各行各業都推進數字化轉型，大量員工、開源人員、合作伙伴都可以接觸到數據，其間管理不當就可能造成數據泄露；

3.數據交互Bug，各組織之間的流通受阻，數據給出后無法收回。

官方買賣：“銳步在中國大陸運營過程中收集或生成的數據，將于2022年5月1日轉讓至上海聯亞商業有限公司（‘接收方），其中可能包含消費者的個人信息。短信中還表示，轉讓完成后，阿迪達斯將不再保留消費者的個人信息。消費者可聯系接收方行使個人信息權利。若接收方變更個人信息的處理目的或方式，將按照當地法律的要求重新取得消費者同意。”——阿迪達斯在轉賣旗下品牌銳步時，將銳步在中國大陸運營過程中收集或生成的數據打包給了接收方，而這樣一條短信讓不少用戶感到不可思議，難道我的個人隱私能被企業堂而皇之地轉賣嗎？

隨著個人信息數據價值的提升，品牌官方往往也會將這類數據視作企業資產，從而進行官方買賣。品牌方看似公平、公正、公開的交易背后，顯然對用戶個人信息造成了泄露風險，而前不久，著名化妝品品牌絲芙蘭（SEPHORA）就其侵犯消費者隱私一事與加州居民達成和解協議，決定支付120萬美元的罰款，并在隱私政策中披露其向第三方出售消費者個人信息的事實，為消費者提供個人信息出售的退出機制。

當下虛擬數字資產定性還在討論中，對于品牌方的這種行為并沒有太多的規范和約束，更多時候監管機構也就是要求品牌方在隱私策略中以顯著方式提供“不要出售我的個人信息”的選項，這點卻需要用戶主動留意并強化自己的個人信息安全防護意識。

頑疾，豪奪隱私的互聯網應用

手機App過度采集信息：許多手機App在安裝時，會彈出要求用戶授權各類信息權限的條款，包括通訊錄、短消息、攝像頭、麥克風、地理位置等，有的像天氣預報、手電筒這類功能單一的手機App，在安裝協議中也提出要讀取通訊錄。這種情形下，大多用戶只能接受這些“霸王條款”，選擇提供個人信息，否則就無法使用該手機App。前不久，中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對“地圖導航類”公眾大量使用的部分App收集個人信息情況進行了測試。

本次測試選取了19家應用商店累計下載量達到5000萬次的“地圖導航類”App，包括高德地圖、百度地圖、騰訊地圖。測試場景以完成一次地圖導航活動作為測試單元，包括啟動App、搜索地點、點擊導航3種用戶使用場景，以及后臺靜默應用場景。

針對系統權限調用，測試發現，3款App在點擊導航場景中，調用系統權限種類最多的為高德地圖和百度地圖，調用系統權限次數最多的為騰訊地圖（62次）。而在后臺靜默場景中，3款App調用系統權限種類均為2類，調用系統權限次數最多的為騰訊地圖（282次），如此數量的系統權限調用，真的是有必要的嗎？

過度采集用戶個人信息數據的同時，App在利益的驅使下往往也會主動泄露用戶數據。以“汽車之家”App為例，其平臺客服明確表示用戶只有點擊詢價才會將個人信息推送給所在城市的3-5家經銷商，如最近無購車意向，可向客服反饋進行相應屏蔽處理，或在設置中手動關閉。然而，不少用戶反饋即便未點擊“詢價”功能，在單純瀏覽平臺信息的情況下，也會接到推銷電話。而在主動點擊平臺自動推送的詢價信息后，推銷電話更為密集。

“暗模式”誘導用戶授權：平臺個性化推薦成為消費者快速了解消費趨勢、便捷購物的重要渠道。個性化推薦的精準高效離不開對用戶的跟蹤識別和對個人信息的收集處理，隨著法律法規的健全以及消費者對個人信息數據安全的重視，App們很難再打著“個性化內容服務”的旗幟大肆采集用戶個人信息數據了，可即便大部分App均設置了個性化推薦的關閉路徑，但在關閉的步驟上存在不少“小心思”。

而且，廠商會借助某些“話術”引導，用戶往往會做出無意識、非自愿且可能不利的決定，如在“關閉后可能影響您的瀏覽體驗”等消極語句的影響下，用戶不自覺地放開個人信息數據授權。除此之外，第三方機構以“辦業務”的名義套走用戶個人信息數據也很常見。以房貸“轉貸”為例，部分“貸款中介”獲取消費者貸款信息等個人信息后，在消費者不知情的情況下向他人泄露、出售謀取非法利益，甚至在其貸款后騙走貸款，嚴重侵害消費者合法權益。

技術，盜取數據的人工智能

從瘋狂采集人臉的攝像頭到擁有聰明過頭的ChatGPT，技術的進步往往意味著個人信息數據進一步泄露的可能，提前了解新一代信息技術，往往能有效削弱個人信息數據丟失的風險。

聰明過頭的ChatGPT：ChatGPT是由一個需要大量數據來支撐和運行的大型語言模型，其背后的OpenAI公司向該工具系統地提供了從互聯網上抓取的約3000億字的書籍、文章、網站和帖子，其中顯然會包括海量個人信息數據。如果你在網上曾經寫過一篇博客文章或產品評論，或者在網上評論過一篇文章，這些信息則很有可能被ChatGPT獲取或使用過。

所以，如果你希望ChatGPT類AI應用更聰明一些，那你就需要用足夠的數據去喂養它，可當他成長起來后，卻很容易被壞人利用。通過來自社交平臺的數據對ChatGPT進行模型訓練，可能生成虛假信息、誘騙信息和網絡釣魚軟件，破壞網絡輿論生態。其次，惡意使用者可能利用ChatGPT生成大量用戶名和密碼的組合，用于對在線賬戶“撞庫”攻擊，加之ChatGPT的自然語言編寫能夠生成逃避防病毒軟件監測的惡意軟件，這可能帶來網絡安全隱患。

從人臉采集到AI換臉：對濫用人臉識別技術的聲討已經不是一兩天了，售樓盤違規采集人臉識別信息并泄漏給第三方曾引起互聯網廣泛討論并被專項整治，“人臉識別”技術本身是一種基于人的臉部特征信息進行身份識別的新型人工智能技術，在公共場所、刷臉支付等多個線下線上場景中均得到了廣泛應用，對保障公共安全、提供生活便利具有積極推進作用。

但人臉信息屬于敏感個人信息中的生物識別信息，是生物識別信息中社交屬性最強最容易采集的個人信息，具有唯一性和不可更改性，一旦泄露將對個人的人身和財產安全造成損害。而且人臉信息一般會和姓名等身份信息相綁定，如果是在小區門禁這些場所進行錄入的話，還會與住址等位置信息相綁定，這些信息一旦泄露，將會給個人隱私造成巨大危害。

然而，隨著技術的進一步發展和人臉數據庫的積累，AI換臉技術逐漸成為新的個人信息數據安全威脅?！暗烷T檻、高效率、高質量”的特性，讓一眾AI換臉軟件并不需要太多目標的人臉信息，就可“輕松”通過采集大數據內的人臉表情特征，來不斷修改和識別，最終得到惟妙惟肖的換臉視頻，使其被大規模濫用于偽造身份、混淆視聽，以實現網絡欺詐、虛假宣傳與操縱輿論等目的。

不僅對個人名譽權與肖像權構成嚴重侵害，而且不法分子還可以利用漏洞劫持手機識別攝像頭，將照片活化、表情操縱等深度偽造技術冒充機主，進而對機主的微信好友實行轉賬詐騙。同樣，電信詐騙中也有類似利用“語音偽造”技術的案例。

隨著仿真精度的提升，這種問題有愈演愈烈的趨勢——數據隱私、技術濫用等伴生安全問題為社會公共治理帶來嚴峻挑戰。