各类App有哪些问题呢？摄影/刘绮黎

美团共享单车界面有小“坑”。

黑灰产群只是庞大的个人信息买卖黑灰产市场的“冰山一角”。

2022年，上海警方全链条捣毁一系列刷单炒信非法经营团伙，图为收网现场之一。

一旦撕开“信息收集”这道口子，公众将掉入信息“黑洞”，逐渐失控。

记者｜吴雪

早高峰，一群上班族涌向地铁站，街边一排共享单车，你打开手机扫一扫，谁知，隔天就接收到了金融产品的推销短信；中午时分，一位自称快递公司的人打来电话，你在淘宝网购的商品，显示丢件，可加倍赔偿，但需要发送你的收款二维码；傍晚，你的家人、朋友、同事接到了多个催收电话，事实却是你在京东金融上的借款逾期。

周末，你打开飞猪，规划很久的出国游，显示出票成功，但很快，开头106的非官方短信告诉你“航班取消”。生活在大数据构建的世界，人们在享受数据便利的同时，也正在被一些过度收集个人信息或过度索权的行为所困扰。而网络黑产链条传播的根源，恰恰在于公众对个人信息的“被迫放逐”。

上海正策律师事务所律师张兢忆告诉《新民周刊》，企业方获取一揽子数据要素，进行加工处理，人群画像，共享转让，有利润亦有价值。但对于一揽子授权、强制同意等问题，公众反映强烈。

目前，针对市面上购物类、金融类、出行类、服务类等App，用户敏感信息如何收集与处理，数据收集、使用范围的边界是什么？如果用户点击不同意，商家拒绝提供App服务是否合理？撤回同意及删除信息的方式是否畅通？

谁收集，收集什么，卖给谁，怎么使用？《新民周刊》记者展开了调查。

同意与拒绝

3月15日，中消协发布2023年“提振消费信心”消费维权年主题调查，结果显示，个人信息泄露问题仍然困扰着消费者，排在各类问题首位37.3%。对照2022年消费维权年主题调查结果，多数受访者反感互联网平台App产品强制要求授权和索取个人信息的行为，不支持当前App产品强制要求授权和索取个人信息的比例达46.7%。

早在2021年，中国人民大学一个团队调查了数十万款App后，研究发现，App的各类权限有30多个，但很多权限跟App实现功能的需求并不匹配。App在登录前后，往往也会调用部分权限，同意相关隐私协议，但对于权限授权哪些信息，隐私信息的用途，多数用户并不清楚。

3月16日，记者扫码了一辆“美团单车”，进入小程序后发现，其对于个人信息授权的提醒，相对隐蔽。在提示登录页面，首先弹出一个申请页面——“使用你的蓝牙，解锁单车。”请求允许或拒绝，记者以为此处提示，应当仅作为“使用蓝牙”功能，文字上也并未提示额外的个人用户信息授权。

但仔细观察，在该弹框右上角，还有两个小字“申请”，旁边有个灰色感叹号，点进去才发现“内有乾坤”。大标题为“第三方用户信息授权说明”的弹窗写着：你授权后，小程序开发者、小程序引用的插件开发者将访问你的蓝牙，为你提供相关服务。开发者将严格按照《美团| 外卖美食买菜酒店电影购物小程序隐私保护指引》，处理你的个人信息。

记者与大多数用户一样，因着急扫码使用单车，而快速点击“允许”，不会对隐私政策全文通读，判定一二，便默认同意美团单车收集信息的行为。该收集流程同样出现在“美团打车”小程序。只不过登录页面，显示并非“开启蓝牙”，而是“获取你的位置信息”。

当天，记者又点击进入另一小程序，扫码用车。在该登录页面，有一个勾选选项写着：“登录代表您已同意《法律条款与隐私政策》”，当记者未点击勾选，则再次弹出提示要求用户阅读该隐私条款，当记者点击拒绝，则再次跳转到起初页面，意味着如果记者拒绝，将无法正常登录该程序，且无法用车。

进入飞猪App，同样需要经过“被同意”三道弹窗。首先是“温馨提示”，其中包含了飞猪隐私政策，如果不同意，将进入第二道弹窗。“你需要同意本隐私政策，才能继续使用飞猪。”如果点击不同意，直接到第三道弹窗，“亲，要不要再想想。”，并给出选项“退出应用”和“查看协议”。

以美团等为例，各款App并未给出“不同意”的选项。有的小程序，如果用户点击同意《法律条款与隐私政策》，将一键默认同意26项协议，包括单车、助力车、电动车、顺风车等用户协议。按照每篇协议1万字，30分钟的阅读速度，全部读完需要13个小时。

而且，大多数企业的《隐私政策》普遍存在晦涩难懂、冗长繁琐、专业术语较多等问题，导致用户难以真正理解个人信息被收集的用途和目的。《新民周刊》记者阅读了多家App的隐私政策，不少协议内容超1万字，文字过小、排版较密、重点与非重点文字颜色相近，让不少用户忽略了重点信息。虽然有部分关键信息加粗，但对于没有法律背景的用户来说，很难从中判断其条款的合理性，更对协议中不同意的部分进行修改。

而在《应用权限申请与使用情况说明》部分，所涉及的权限有10—12种，比如，访问摄像头、媒体文件、通话记录等，实际使用过程中，用户难以判断是否允许App使用权限。

如果用户表示，不使用某一项业务，App是否可以拆分条款，能否给予用户“同意或不同意”的选择权利。张兢忆认为，技术层面有可能实现，但平台并没有驱动力去做这件事。原因有两点，一方面，技术拆分成本较高；另一方面，相当于用户在倒逼企业放弃这部分数据权利，而这些数据恰恰是企业方获取广告流量及收入的重要来源。

一位业内人士也表示，企业方通常面对C端客户，量很大，一百万人有一百万个需求，对于商家来说，成本覆盖不了，无法做出个性化安排。所以，明确告诉消费者“你不接受我的信息收集，请你不要使用我的App”是最简单省事的方法。

现实中，保护个人信息可能比想象中复杂。中国人民大学法学院副教授丁晓东说：“个人信息与非个人信息的界限并非如想象的那样清晰。收集行为是否合法等，也就不那么容易判断。”比如，个性化推荐、用户画像等收集的数据属于个人信息吗？

营销与黑产

一旦撕开“信息收集”这道口子，公众将掉入信息“黑洞”，逐渐失控。

身处乙方角色的公众，通常没有谈判的权利。北京市朝阳区的王先生担心信息被违规使用，在安装一些App时，曾想拒绝某些授权，可他发现，不同意授权，就无法使用。更让王先生困惑与后怕的是“一旦授权，我的个人信息去了哪儿？”。

一位开发者表示，获取权限后，后台甚至能够判断数据背后的人做什么工作、常去哪里。保护虚拟空间数据化的“我们”，通常依靠收集方自律。然而，倘若某些企业安全“防护墙”不结实，就可能造成信息泄露。而更大的风险是，一些数据收集方甚至会做起数据交换的“生意”，几经转手，数据可能被非法利用。

3月20日早上11点，记者接到了“010—5147××××”的营销电话，对方声称，这里有20万元的借款额度，可随借随还，还赠送30天的免息券。提供单车服务的公司，怎么做起了贷款生意，记者在小程序扫码单车的时候，也从未点击过任何贷款的按钮，这让记者感到疑惑。当记者问及如何操作借款时，对方表示，可在App首页“借钱”，两分钟即可到账。

下载了“臻有钱”App后，点击首页“借钱”按钮才发现，该业务是2019年上线的某助贷产品，最高贷款额度20万元，与湖北消费金融、中原消费金融、马上消费金融等多个机构合作。记者了解到，尽管该企业具备一定消费金融线上运营经验，但助贷业务并非一帆风顺。自其上线以来，被消费者多次投诉贷款利息高、暴力催收、电话骚扰等问题。在黑猫投诉平台显示，“臻有钱”相关的投诉信息有350条。

3月20日，有消费者投诉称，该平台连续拨打电话问需不需要贷款，在表明再打电话就投诉的情况下，业务员说不会再骚扰了，结果没几天，又收到“臻有钱”的短信继续推销贷款，且换不同的号码进行“电话轰炸”，已严重影响正常生活。

还有用户因不满隐私保护控诉，表示自己只是注册用来骑车，结果泄露了信息，发骚扰短信，并且短信中明明有回T退订，但是实际根本没有效果，存在误导用户，欺骗用户的行为。大多数用户表示，自己从未使用过这款产品。

为什么从未使用该产品，却接到相关营销电话？记者调查发现，问题出在相关的隐私信息授权。在记者曾使用过的小程序登录页面，里面包含了26项目协议，其中排在第二位置的《个人信息保护及隐私政策》第9条有关于“臻有钱”的相关条款。

这项金融服务收集的信息内容，包含人脸信息、学历、居住地、月薪、银行卡信息、详细地址，单位名称、单位地址、职业、行业等。甚至联系人信息，姓名、手机号、关系等都收集在内，并强调根据用户信息形成群体特征标签，用于提供可能感兴趣的营销活动通知，商业性广告、短信、电话语音等。

虽然提示可以按照方法进行退订，但并未明确提供“如何退订”的具体操作。值得一提的是，该小程序中并未有“借钱”业务，该业务只存在于App，但小程序却让用户“被同意”未开设的业务，这是否合理？

专家表示，个人信息保护法明确，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

电话营销只是“信息收集”使用场景的第一步，有消费者投诉，一旦借款逾期，不仅无法协商还款，还遭受到了大量网络催收电话，催收人员态度嚣张跋扈，并发送了一系列的含有恐吓威胁性质的短信，让其再去借贷周转；还有用户称，自己被催收威胁骚扰，借款时强制捆绑了保险单，除了利息，每期还要多还60元的保费。

暴力催收等情况，还存在于京东金融、分期乐等互联网金融产品，譬如，分期乐相关隐私条款，存在收集用户通话记录、通讯录等行为。“催缴电话会打给同事、朋友、家人，福建有一个朋友，遭遇银行催债，催收电话竟然打给了广东的一个人，可怕的是这个人只是在他通讯录里存在过，并不熟悉。”

张兢忆认为，用户登录软件时已经默认隐私政策，默认这些信息可以使用，企业作为债权人，要收回欠款，既然双方签订了看似平等的协议，企业就认定你的数据是可使用的。

2022年12月1日实施的《中华人民共和国反电信网络诈骗法》，规定对助贷、催收的一些特定行为构成违法，任何单位和个人不得出售、提供个人信息，并明确限制民营线上高利贷款平台。

互联网时代下，消费者的衣食住行、生活的方方面面早已被各大平台以数据形式一一记录下来，借此分析消费者的日常消费习惯、生活习惯等、进一步描绘出具体有效的用户画像，然后平台再针对每个消费者制定一套独特的方案进行营销。

滴滴出行、飞猪、京东、美团、饿了么等众多知名平台都曾被曝出疑似存在“杀熟”的问题。1月29日，市民张先生称自己在用飞猪平台订购从佳木斯飞往烟台的机票时，遭遇到了恶意涨价，张先生6分钟内下单6次都支付失败，之后机票价格一路飞涨。

因为同意了相关隐私条款，有网友还遭遇了凭空多出的订单及退款，疑似隐私泄露。有用户投诉称，自己在飞猪上定了一张昆明去往沈阳的机票，票价为635元，被莫名其妙退款。客服称是本人退的，但其实不是。更离谱的是，有人在飞猪上订购了酒店，没有办理入住，后面竟然显示成功入住。

一位用户更表示，2023年1月17日，自己收到开头106的短信，告知自己航班因故障取消，但飞猪页面显示出票成功，和航空公司核实后也显示没有取消。但短信上有用户的姓名、航班起落号等个人信息，后与飞猪客服协商无果。

张兢忆告诉《新民周刊》，之前有一位京东金融的用户，突然收到以他账户购买的东西，但其实不是他购买的，因为平台会把账户密码借出去。借出去的目的在于电商平台或企业方有证明其账户是活跃的需求，用户量越活跃，代表你的估值越高。如果企业拿去撞库的话，将会面临巨大风险。

难点在于，用户不知道同意了哪个条款，就把自己给卖了，更无法证明就是平台泄露的信息。

操控与买卖

信息收集看似简单无害，却揭开了更深层的黑产幕后交易。

有记者潜入一个名为“网购料子”的2万人网络黑灰产群，每隔几天，就会有人发布“出料”信息，“料子”是网络地下交易的“黑话”，即各类用户个人信息。卖家小志出售多家知名电商平台的“料子”，其中某电商平台的用户订单，实时订单4元一条，本月内下单1.5元一条。

小志称，购买者不仅可以指定平台，还可以选择商品类型和用户下单时间等。交易方式需用“U币”支付。他口中的“U币”指泰达币，是一种基于区块链技术的虚拟货币，具有匿名性特点。公开报道显示，泰达币还被用于网络赌博、贩毒、洗钱等犯罪活动。

除了电商订单，在该社交平台的其他群组中，招聘、婚恋交友、小额贷款、酒店出行、在线教育等平台的用户个人信息也被公开出售。

黑灰产群只是庞大的个人信息买卖黑灰产市场的“冰山一角”。据国内知名网络安全公司奇安信集团监测的数据显示，仅去年1月到10月，就有超过950亿条的中国境内机构数据在海外被非法交易，其中60%是公民个人信息。

这些用户个人信息最终会流向何处？记者调查发现，经过层层转卖，这些数据往往会落入不法分子手中，用于非法营销甚至诈骗。至于用户的个人信息是在哪个环节“丢失”的？卖家小志对此比较谨慎，并未直接回复。

有业内人士总结，数据泄露往往有三种原因。一是黑客攻击，据统计，60%以上的数据泄露是由网络攻击导致；二是“内鬼”泄露。现在各行各业都推进数字化转型，大量员工、开源人员、合作伙伴都可以接触到数据，其间管理不当就可能造成数据泄露；三是在各组织之间的流通受阻，数据给出后无法收回。

以电商平台为例，漏洞可能出现在平台和商家之间的环节。李云供职于某互联网公司，长期从事数据安全保护工作。在他看来，大型电商平台的防护体系相对成熟，通常不易被直接攻击。但平台内的商家为了提高运营效率，会使用第三方订单管理软件接入平台API端口。这些第三方软件的防护能力相对薄弱，较容易成为黑客攻击的目标。

其次，“内鬼”违规获取，如快递站点工作人员进行面单拍摄、数据人为导出，后在黑灰产交易平台出售。3月15日，公安部公布的8起打击侵犯公民个人信息典型案例中，江苏公安侦查发现犯罪嫌疑人勾结快递公司员工，通过在公司内部电脑安装木马程序等方式，窃取物流寄递信息。

国内数据安全服务商“威胁猎人”发布的《2022年数据资产泄露分析报告》中提到，工具软件泄露已成为电商行业数据泄露的第三大原因。事实上，黑灰产从业者使用境外社交平台进行信息买卖和数据交易屡见不鲜。

2月12日9时40分，黑产开始在多个数据售卖群发布广告“45亿订单机器人”，并引起广泛关注。这一自称为“星链”的黑灰产频道，其在说明文字中表示已设置一个查询机器人，用户输入电话号码便能查询关联的姓名和地址信息。

目前，机器人已经永久关闭，但记者登录多个频道发现，将自己收集到的信息积累成“数据库”并创立频道、设置自动回复机器人进行信息买卖，已是一种常见且方便的交易模式。一些运行较久的黑灰产买卖机器人可以通过打造“积分”系统实现交易，即用户花钱购买积分，再使用积分到黑灰产频道设置的机器人中进行查询，每次查询再扣除积分。

另外一类黑灰产频道则设置专人客服，直接进行VIP式服务，帮助查询户口甚至银行流水信息，不过价格通常较贵。户口信息需要数百元，银行流水则要上千甚至上万元。

不管是黑客攻击、内鬼泄露还是建立黑产频道，业内人士表示，即便明确了泄露源头，追查幕后黑手仍然困难重重。“料商”们手中的数据大多经过层层“清洗”，追查起来非常困难。

北京盈科（杭州）律师事务所律师朋礼松表示，信息贩卖者通过境外社交软件或暗网进行交易，导致办案机关无法通过数据调取方式获取证据，通常只能通过对聊天软件中相关内容的截图来进行认定。“司法实践中，可能会存在证据链不完整等问题。”