你的隐私信息是如何泄露的？

张毅

买卖，灰黑产猖獗盗取个人信息

灰黑产买卖：每条信息不到1分钱的个人信息买卖背后，早已催生出千亿级规模的灰黑产业。而经过多年的沉淀，以用户个人信息为核心的灰黑产业“细分赛道”分工已经相当明确，从漏洞挖掘、入侵工具研发到诈骗勒索等环节均存在具有专业性的分工模式，个人信息通过信息泄露途径进入多种传播交易环节，这些信息包括手机号、姓名、身份证号和家庭地址等，而越来越多的网络诈骗案件是诈骗分子获取公民个人信息后，有针对性地实施诈骗犯罪。

而在今年2月，自称为“星链”的黑灰产频道公开发布消息称其在说明文字中表示已设置一个查询机器人，用户输入电话号码便能查询关联的姓名和地址信息。依据永安在线发表的信息，2月7日，“星链”频道发布“更新45亿名字地址库最新”消息。2月12日9时40分，黑产开始在多个数据售卖群发布广告“45亿订单机器人”，并引起广泛关注。

“星链”频道创立于2021年4月28日，但“蛰伏”近两年后才开始发布消息，其交易模式便是典型的灰黑产运用境外社交渠道进行信息生意和数据生意，只不过影响过于巨大且高调，其浮出水面不久就宣布永久封闭。有不愿具名的安全行业从业者称，从搜索结果和类型上看，此次45亿条个人信息或由包括头部电商在内的多个信息源拼接而成，虽然数据量巨大，但来源并不新鲜：

1.網络攻击，据统计，60%以上的数据泄露是由网络攻击导致；

2.内部泄露，现在各行各业都推进数字化转型，大量员工、开源人员、合作伙伴都可以接触到数据，其间管理不当就可能造成数据泄露；

3.数据交互Bug，各组织之间的流通受阻，数据给出后无法收回。

官方买卖：“锐步在中国大陆运营过程中收集或生成的数据，将于2022年5月1日转让至上海联亚商业有限公司（‘接收方），其中可能包含消费者的个人信息。短信中还表示，转让完成后，阿迪达斯将不再保留消费者的个人信息。消费者可联系接收方行使个人信息权利。若接收方变更个人信息的处理目的或方式，将按照当地法律的要求重新取得消费者同意。”——阿迪达斯在转卖旗下品牌锐步时，将锐步在中国大陆运营过程中收集或生成的数据打包给了接收方，而这样一条短信让不少用户感到不可思议，难道我的个人隐私能被企业堂而皇之地转卖吗？

随着个人信息数据价值的提升，品牌官方往往也会将这类数据视作企业资产，从而进行官方买卖。品牌方看似公平、公正、公开的交易背后，显然对用户个人信息造成了泄露风险，而前不久，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。

当下虚拟数字资产定性还在讨论中，对于品牌方的这种行为并没有太多的规范和约束，更多时候监管机构也就是要求品牌方在隐私策略中以显著方式提供“不要出售我的个人信息”的选项，这点却需要用户主动留意并强化自己的个人信息安全防护意识。

顽疾，豪夺隐私的互联网应用

手机App过度采集信息：许多手机App在安装时，会弹出要求用户授权各类信息权限的条款，包括通讯录、短消息、摄像头、麦克风、地理位置等，有的像天气预报、手电筒这类功能单一的手机App，在安装协议中也提出要读取通讯录。这种情形下，大多用户只能接受这些“霸王条款”，选择提供个人信息，否则就无法使用该手机App。前不久，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“地图导航类”公众大量使用的部分App收集个人信息情况进行了测试。

本次测试选取了19家应用商店累计下载量达到5000万次的“地图导航类”App，包括高德地图、百度地图、腾讯地图。测试场景以完成一次地图导航活动作为测试单元，包括启动App、搜索地点、点击导航3种用户使用场景，以及后台静默应用场景。

针对系统权限调用，测试发现，3款App在点击导航场景中，调用系统权限种类最多的为高德地图和百度地图，调用系统权限次数最多的为腾讯地图（62次）。而在后台静默场景中，3款App调用系统权限种类均为2类，调用系统权限次数最多的为腾讯地图（282次），如此数量的系统权限调用，真的是有必要的吗？

过度采集用户个人信息数据的同时，App在利益的驱使下往往也会主动泄露用户数据。以“汽车之家”App为例，其平台客服明确表示用户只有点击询价才会将个人信息推送给所在城市的3-5家经销商，如最近无购车意向，可向客服反馈进行相应屏蔽处理，或在设置中手动关闭。然而，不少用户反馈即便未点击“询价”功能，在单纯浏览平台信息的情况下，也会接到推销电话。而在主动点击平台自动推送的询价信息后，推销电话更为密集。

“暗模式”诱导用户授权：平台个性化推荐成为消费者快速了解消费趋势、便捷购物的重要渠道。个性化推荐的精准高效离不开对用户的跟踪识别和对个人信息的收集处理，随着法律法规的健全以及消费者对个人信息数据安全的重视，App们很难再打着“个性化内容服务”的旗帜大肆采集用户个人信息数据了，可即便大部分App均设置了个性化推荐的关闭路径，但在关闭的步骤上存在不少“小心思”。

而且，厂商会借助某些“话术”引导，用户往往会做出无意识、非自愿且可能不利的决定，如在“关闭后可能影响您的浏览体验”等消极语句的影响下，用户不自觉地放开个人信息数据授权。除此之外，第三方机构以“办业务”的名义套走用户个人信息数据也很常见。以房贷“转贷”为例，部分“贷款中介”获取消费者贷款信息等个人信息后，在消费者不知情的情况下向他人泄露、出售谋取非法利益，甚至在其贷款后骗走贷款，严重侵害消费者合法权益。

技术，盗取数据的人工智能

从疯狂采集人脸的摄像头到拥有聪明过头的ChatGPT，技术的进步往往意味着个人信息数据进一步泄露的可能，提前了解新一代信息技术，往往能有效削弱个人信息数据丢失的风险。

聪明过头的ChatGPT：ChatGPT是由一个需要大量数据来支撑和运行的大型语言模型，其背后的OpenAI公司向该工具系统地提供了从互联网上抓取的约3000亿字的书籍、文章、网站和帖子，其中显然会包括海量个人信息数据。如果你在网上曾经写过一篇博客文章或产品评论，或者在网上评论过一篇文章，这些信息则很有可能被ChatGPT获取或使用过。

所以，如果你希望ChatGPT类AI应用更聪明一些，那你就需要用足够的数据去喂养它，可当他成长起来后，却很容易被坏人利用。通过来自社交平台的数据对ChatGPT进行模型训练，可能生成虚假信息、诱骗信息和网络钓鱼软件，破坏网络舆论生态。其次，恶意使用者可能利用ChatGPT生成大量用户名和密码的组合，用于对在线账户“撞库”攻击，加之ChatGPT的自然语言编写能够生成逃避防病毒软件监测的恶意软件，这可能带来网络安全隐患。

从人脸采集到AI换脸：对滥用人脸识别技术的声讨已经不是一两天了，售楼盘违规采集人脸识别信息并泄漏给第三方曾引起互联网广泛讨论并被专项整治，“人脸识别”技术本身是一种基于人的脸部特征信息进行身份识别的新型人工智能技术，在公共场所、刷脸支付等多个线下线上场景中均得到了广泛应用，对保障公共安全、提供生活便利具有积极推进作用。

但人脸信息属于敏感个人信息中的生物识别信息，是生物识别信息中社交属性最强最容易采集的个人信息，具有唯一性和不可更改性，一旦泄露将对个人的人身和财产安全造成损害。而且人脸信息一般会和姓名等身份信息相绑定，如果是在小区门禁这些场所进行录入的话，还会与住址等位置信息相绑定，这些信息一旦泄露，将会给个人隐私造成巨大危害。

然而，随着技术的进一步发展和人脸数据库的积累，AI换脸技术逐渐成为新的个人信息数据安全威胁。“低门槛、高效率、高质量”的特性，让一众AI换脸软件并不需要太多目标的人脸信息，就可“轻松”通过采集大数据内的人脸表情特征，来不断修改和识别，最终得到惟妙惟肖的换脸视频，使其被大规模滥用于伪造身份、混淆视听，以实现网络欺诈、虚假宣传与操纵輿论等目的。

不仅对个人名誉权与肖像权构成严重侵害，而且不法分子还可以利用漏洞劫持手机识别摄像头，将照片活化、表情操纵等深度伪造技术冒充机主，进而对机主的微信好友实行转账诈骗。同样，电信诈骗中也有类似利用“语音伪造”技术的案例。

随着仿真精度的提升，这种问题有愈演愈烈的趋势——数据隐私、技术滥用等伴生安全问题为社会公共治理带来严峻挑战。