只要20美元,就可以买到1400万人的个人信息。在印度互联网高速发展的十几年里,这已经是司空见惯的事情:从个人、企业乃至政府,都在觊觎哪怕可能小之又小的个人数据,有关你个人的一切数据都成为数据“掮客”变现的工具。
在独立新闻网站Restofworld近日发布的一篇长文里,可以看到印度的数据黑市是如何兴盛起来的,人们不禁要思考,若按照这种势头发展,也许在十年后,个人隐私将无所遁形。
新婚妻子获赠手机,原来是丈夫的监听工具
萨胡被自己的丈夫设计了。2018年,结婚五个月后的一个傍晚,这名21岁的大学生在印度中部的恰蒂斯加尔邦探望自己的父母。她的丈夫,还有他的父亲和叔叔突然出现。
三个男人在客厅里坐下后,她的丈夫说,有些东西要给大家听。他拿出手机按了播放键,声音响亮又清晰,里面是萨胡和自己朋友家人的私密对话——都在她未允许的情况下被录了下来。而且还不只是音频,通话记录、短信、WhatApp消息、照片、视频、视频通话记录等等,萨胡的丈夫声称自己有所有这些记录。直到这时,她才意识到,自己已经被丈夫监视了好几个月。
也直到这时候她才知道,丈夫在很多事情上并不认同自己(她把自己的名字改了,怕遭到报复)。当听到萨胡向母亲抱怨公婆的时候,他觉得很受冒犯;他还反对她和男性朋友通话。她说:“这场面就像是把我示众一样。我只是在分享我的一些担忧而已,很正常。”
她的丈夫又继续放了几个录音,直到他的父亲喊停。“我不想再听下去了,你们都听到了吧?”然后试图去安慰还在震惊中的萨胡。
在这之后,萨胡决定道歉,毕竟生活还是要继续。但她的丈夫却不依不挠,表现得很奇怪。最后,她别无选择,只能离婚。她说:“他直接问就行了,为什么要做个间谍?”
在印度,男人可以责怪妻子,“他可以直接这么做。所以究竟为什么要窥探我的电话还录下来,有什么必要这么做?”
萨胡不知道自己的手机是如何被窃听的,也不知道自己被监视了多久,她只知道,她的Vivo手机是丈夫送给她的订婚礼物。
很有可能她的手机上就有现成的监视软件,可能是她丈夫装上去的,也可能在娶她之前就找了一个私家侦探,找了这样一部电话。无论哪种情况,作为一个嫉妒心泛滥的爱人,他和越来越多的人一样,用了监视技术来达到自己的目的。
印度私家侦探和调查员协会主席昆瓦尔·维克拉姆·辛格称,现在印度的有钱人在婚嫁前,普遍都会请一些私家侦探来了解情况,费用大致在500美元。
他把这一现象解释为印度精英阶层中日益变化的社会风气,他认为职场的文化变了,人们的价值观也变了,越来越多的女性参与工作是一个重要因素。人们要在婚礼上花数十万英镑,而在调查人员身上,只需要花费数千美元。
蓬勃的监视软件产业
无论出于何种原因,印度的私家侦探行业在过去十年中一直在增长。辛格估计,该行业目前在印度的市场大约达到12亿美元。但由于行业的敏感性,无法确定具体的数字:没有官方统计数据,许多客户仍用现金付款。“他们不想留下任何痕迹,”他说。
侦探提供的服务主要分为两类:公司服务和个人服务。公司调查通常是银行聘请调查员以获取借款人的信息,或者是金融公司对雇员做背景调查。个人服务涵盖了儿童监护、婚姻背景调查。
每家机构都有自己擅长的领域。斋浦尔的一名侦探卡尔南·乔杜里经营着一个叫做Siyol侦探网络的公司,在全国有约1500名自由职业侦探,他说,从2016年以来,个人案件占了七成。
私人侦探行业的迅猛发展和个人监视软件日益增长的需求相辅相成。这些软件通常是安装在智能手机上的应用,不易被发觉,它们悄悄记录了电子设备上的各种活动,然后把这些数据放到一个第三方的数据库里。
私家侦探原先工作的第一步是随身跟踪,而现在他们开始建议客户把这些手机给到想要监视的对象。
几年前,印度的软件工程师们发现,人们对个人监视软件的需求越来越旺盛,而新冠疫情下,这种需求有了一轮激增。
2013年,在古吉拉特邦的程序员杜沙尔·美帕尼在完成他最后一年的工程项目——研究病毒和网络安全的时候,遇见了一些中年父母,他们想让他帮忙监视自己正值青春期的子女。“这些百万富翁跟我说了他们子女的种种行为,让我整晚睡不着,”他真诚地说道。
后来他发明了一款可以跟踪青少年的应用程序EasySpyPhone,最初的版本仅限于记录呼叫、收集短信和位置数据,但最近更新的版本可以监视孩子在脸书和WhatsApp等社交媒体平台上的活动,还能悄悄地打开手机的麦克风,以记录通话和视频,还有屏幕快照——所有这些需要每月20或40美元的费用。
美帕尼说,这些父母很高兴,他们了解到了谁是自己孩子的朋友,谁又在转移他们孩子的注意力。他认为,这款软件帮了他们的孩子,不让他们变坏。
不过,美帕尼不只卖一两种产品,他的安卓监视软件公司Convants Information Security已经将监视软件授权给了多个供应商,这些供应商又以不同的品牌重新进行包装。
他不愿意透露更多的细节,只是称这些是“内部业务”,并表示已经实现了2万多笔销售。2014年,斋浦尔的侦探乔达里用他的软件启动了自己的应用程序Spy Mobile Process,购买乔达里应用程序的客户不需要做全面调查,只需要在侦探的指导下自己安排监视活动。
所有这些活动都在法律的灰色地带里。截至目前,印度还没有一部法律来规范这种监视设备的买卖,书里也没有隐私法的清晰解释。在印度,物理和身体上的监视是非法的,但用手机跟踪某人的位置时,却法律上却语焉不详。
在一些案子里,法院曾被迫制定法规。2018年,德里的一家家庭法院在一桩婚姻纠纷案件中,承认了监视软件收集证据的合法性,也就是说,获得公正审判的权利比隐私保护来得重要。
是否遵行法律似乎也不会给这些监视软件商们带来多大麻烦。如果担心有法律风险,他们只需要加一些免责声明,让用户承担风险。在安装软件前,用户需要获得“手机拥有者的书面同意”,并且需要了解到“买方有责任遵守所在国家和地区的所有法律”。
2020年8月,谷歌出台了新的广告政策,限制这种间谍软件和监视技术的广告。它在更新后的政策中表示,将禁止为那些以明确跟踪或监视他人为目的产品做推广,但有两个例外——像乔达里那样的“私人调查服务”,以及像美帕尼那样的“专为父母追踪或监视未成年子女而设计的产品或服务”。
那些承认使用这种软件的私家侦探普遍认为,这中间出现的任何问题都是滥用的结果。但他们在推广自己服务的时候,却是另一回事。
乔达里声称,他的应用并非想要监视配偶,但该公司在2015年11月发布的一条推文却恰恰相反。采访中,美帕尼还否认向那些心存嫉妒的丈夫和妻子销售他的产品,即使他的网站明确指出,这些是他们的目标客户。他说,这就像一把刀,你可以切水果,也可以砍别人的头。
数据掮客
尽管令人不安,但监视软件只是庞大基础设施中的一小部分。每月有超过5亿印度人使用互联网,每次单击、滚动、滑动和下载时,都在创建大量的个人信息。他们看什么、怎么约会、为谁工作、花钱在哪些地方,始终都被记录和变现着。
所有这些都造就了价值数百万美元的黑暗数据经济,没有什么信息是因为太过私人而无法被交易的。
印度的黑市数据类似于批发蔬菜或走私货物的黑市。客户被怂恿大量购买各种让人难以置信的数据服务:关于父母的、有线电视用户的、孕妇的、吃披萨的人、基金的投资者、以及你可以想象到的任何的细分群体。
这些数据库通常有很多排,里面有名字和一些关键信息:现年35岁的Sheila Gupta居住在加尔各答,经营一家旅行社,拥有一辆宝马;现年52岁的Irfaan Khan居住在大诺伊达,有一个儿子刚刚申请工程学院。这些数据库通常每三个月更新一次(越旧的数据库,价值就越小)。如果同时购买多个数据库,就有折扣。
这种生意相当活跃,交易很快。没有人会问你的名字,也不会问你为什么要多达500万人的贷款申请者的电话号码。
印度数据经济每年究竟能产生多少收入,无法有准确的估算。每个人的说法都不一样,有人说只有大约一、两百名专业人士占据了最顶流的市场,有人说每个印度的大城市里,至少有一千人在买数据。
要找到这些数据,用户只需在社交媒体上找广告,或者在搜索引擎上打入关键词和标签,例如数据、线索、数据库,加上他们要找的数据类型就可以了。
隐私专家认为,互联网进入印度的早期,数据掮客行业就已经存在了。
“数据库在印度已经买卖了至少15年。我记得早在2006年,Naukri.com(印度最早的在线求职门户网站之)上泄露的员工数据就被出售了,”MediaNama的编辑和出版人尼基尔·帕瓦表示。MediaNama是一家报道科技政策的网站。
到2009年,数据掮客开始运营一些短信营销公司,这些公司提供的服务包括,获取目标数据和批量发送短信。那时候,数据少得可怜,而“那些拥有数据的人,可以以任何价格出售,”自称已退休的数据掮客希曼舒·巴特说。如今,每个人都有各种各样的数据。
没有数据掮客愿意公开讨论其寻找、收集和出售数据的方法。他们的日常工作通常是跟踪人们在互联网上浏览时留下的足迹,而他们则像撒网捞鱼一样把这些数据大批量捕获起来,巴特说。
有一次他竟然发现了大量Aadhaar卡(印度政府发行的生物识别卡),上面的图像可以连同贷款申请和薪资成批下载,这简直让他震惊了。
同样,这里的法律界限很模糊。任何曾经在优惠券网站上填写过表格、或者要求电影票退票的人,实际上都是把自己的信息输入进了一个数据库,而这个数据库可以在未经这些公司同意的情况下被出售。
手机店可以向某个政党出售人口统计信息,用于竞选活动;金融科技公司可以偷偷地将个人信息从一个占星应用程序上转移到自己的服务器上,以评估此人的信誉。在领英上分享自己的工作经历,或者在公开场合分享自己的联系方式时,数据掮客就可以用一些很基础的软件来提取这些数据。
如果可以直接购买数据库,还需要用相对麻烦的方式来侵入数据库吗?这些数据掮客们会直接联系银行员工,告诉他们自己需要高端数据库。随着数据需求的增加,数据的脆弱性也随之增加。
2019年的一项调查发现,69%的印度公司没有建立可靠的数据安全系统;44%的公司已经经历了至少一次泄露。全球网络情报公司Cyble的首席执行官比努·阿罗拉说,过去的12个月里,他们看到越来越多印度人的数据出现在暗网上。
当记者试图联系电商数据库e-commercedatabase.in的老板阿姆雷什,并试图想得到一些数据库样本的时候,他表示不愿透露自己的数据来源,也没有问任何问题,除了要记者的电子邮件和电话号码作为交换。
记者很快拿到了数据库,里面的信息无疑会让无数消费者不寒而栗:不仅有姓名、邮箱、地址、电话号码,还有买了什么,花多少钱买的,从27美元的睡衣到408美元的消音耳机。只要20美元,就可以买到1400万人的个人信息。
招生诈骗产业链
问题在于,一旦买家拿到了这些数据,他们会怎么变现。
要把数据变成现金,诈骗是最容易的一种方法:贷款诈骗人通过窃取银行客户的个人信息,退款诈骗人从电商购买记录拿到数据,而职场诈骗人则尽其所能从就业门户网站获取信息。有些数据库会比其他的更值钱,高净值群体的数据会比职场菜鸟的数据库贵。
数据库的价格也会随季节的变化而变化,印度重大节日前的消费者数据库会比节后的贵。但有一种比其他任何一种都更值钱,“学生数据库就是一座金矿,”巴特说。
进入印度顶尖院校的竞争很残酷,入学竞争也很早就开始了。当一个学生进入高中的时候,他已经参加了一些预备考试,学术信息就很可能已经存储于多个数据库中。
高中快结束的时候,很多学生忙着准备联合入学考试(JEE)、工程学院、或者国家资格入学考试(NEET)、医学院校,这些成绩也会在数据库里,此外还有年级、申请号、学生本人和家长的姓名和电话号码,这一人数达到成千上万的群体要在此后花费数万美元在教育上。
如果想从mobiledatabase.com等网站购买数据库,用户必须拨打主页显示的手机号码(mobiledatabase.com虽然已关闭,但不妨作为一个代表),这个号码属于哈里·辛格(非真名),他坚持只通过WhatsApp与记者交流,让记者花费20美元拿到了NEET的数据。
他建议记者用数字钱包支付,转账后他将数据库以谷歌表单的形式发送了过来。当被问及这些数据是否可信时,他说:“这些数据库是NEET员工泄露的。”
除了好奇的记者,还有谁会购买这些数据呢?招生中间人(fixers)。每年JEE和NEET申请程序结束时,中间人会利用内部人士泄露的数据、以及数据掮客出售的数据,向数千名潜在申请者发出录取通知书,保证他们被医学院和工程学院录取。当然,他们几乎永远都做不到。
德里医生安瓦尔·侯赛因就是其中一起骗局的受害者。2019年5月,他的儿子迪尔卡什参加了NEET考试,希望能继承父亲的职业。
到了6月7日,结果出来了——在他上网站查到结果之前,他的母亲就接到了一个中间人的电话,这个人知道迪尔卡什的注册号,说他通过了考试,但排名很低。这个人还对她说,要进入一所好的大学会很困难,但可以办到——这需要和她的老板,一个叫布尚的人谈谈。
侯赛因就拜访了位于德里的这个“中间人”,他们要求其支付6600美元的预付款,并告诉侯赛因,要准备支付数倍于这个数额的学费。
接下来的几个星期里,侯赛因卖掉了用毕生积蓄买的房子,还让他的兄弟们卖掉了他在村里继承的土地份额,装了三个信封的现金,把6600美元交给了布尚和他的同事,还有2.7万美元,交给了邻近北方邦一所医学院的招生官员。
随后,侯赛因的家人被这些中间人送回到了德里。好几个星期过去了,他都没有从他们或者学校那里听到任何消息。他开始担心起来。
9月20日,他才意识到自己被骗了。第二年的3月,德里警方在一场州际追捕中逮捕了这起诈骗案的主犯。幸运的是,侯赛因最终拿回了被骗的钱。
在印度,数据隐私案很少能成为头条新闻。2018年,一名叫维韦克·潘迪的人士将学生信息被泄露的证据发给了媒体,这是NEET诈骗的首次曝光。
他说,自己想找出中间人从哪里得到的他们的号码,就在网上搜索,发现大约有30家网站在交易学生的数据,有九成的电话都是诈骗。印度议会随后讨论了此事,并将其移交给了印度中央调查局。
这些网站后来被关闭了,但是第二年又卷土重来,换了新名字。“我至少能找到四、五个看起来一模一样的网站,”潘迪估计,印度每年都有100到150起学生数据泄露事件被报道,诈骗事件以惊人的频率反复爆发。
目前,警方关注的只是这些诈骗犯,却忽略了为他们提供资料的数据中间商。在当局看来,一方是在犯下明确界定的罪行,而另一方只是在交易一张Excel表格。
针对这些案件的起诉也很困难,因为许多受害者往往不知道他们的数据最初是如何被泄露的。但MediaNama的帕瓦认为,人们仍有必要起诉这些数据中介侵犯了他们的隐私。
“他们应该被逮捕,因为他们将别人置于危险之中,是诈骗的从犯。有了这些信息,从家庭地址到配偶姓名,很容易伤害到别人,”他说。
最重要的参与者却不受约束
近年来,有几起中间人被送上法庭的案例。2017年,电信巨头Reliance Jio向孟买警方提交了一份数据盗窃投诉,其大量客户的数据被放在一个可疑的网站上出售。后来发现,这些数据是被拉贾斯坦邦一个小城市的计算机科学辍学生从公司的服务器上窃取的。
第二年,金奈市警方逮捕了三家数据公司的老板,他们出售的信息是从州教育部泄露的,约有80万名学生的数据信息。而警方之所以会关注这些案件,是因为很多家长收到了大量的录取通知书。这些案件几乎没有改变任何事情。
在打击黑市数据方面,更强有力的法律比偶尔的逮捕更有效。2019年,印度议会提出了一项个人数据保护法案,该法案是按照欧盟《一般数据保护条例》的思路设计的,将赋予个人对自己数据更多的控制权。
拟议中的法律将要求公司任命“同意管理者”以确保“明确的”用户购买;披露其收集、处理和与第三方共享该数据的原因;告知客户潜在的风险;并向他们提供撤回同意和提出投诉的途径。如果公司不能满足任何这些要求,用户可以向即将建立的数据保护机构申诉。
不过,在这一框架下,一个重要的参与者却不受约束:政府。
根据这一数据保护法案,政府机构可要求获取任何被认为涉及国家安全利益的个人数据,且无需说明这些数据的用途,并可强迫私人企业提交这些数据。印度政府从公民出生的那一刻起就开始收集每个公民的个人信息,以及教育、收入、种姓、土地和财产所有权、关系和公民身份、子女等重要信息。
印度邦是世界上数据最丰富的地区之一。政府定期发起大范围的调查,收集13亿人口更多的数据。有时,这是出于合法的治理方面的原因,有时,他们是在推进一项政治议程。从某种意义上说,在数据方面,私人部门只是在跟随政府的脚步。
批评者对这一法律的影响充满担忧。美国国家公共财政与政策研究所律师兼政策研究员斯米提•帕希拉担心,该法案包含了对政府的广泛性豁免。
帕希拉强调,数据保护局应该是一个无所不包的机构,拥有前所未有的监管权力,而它目前的问责制和独立性让人感到担忧。支持隐私的民权人士还担心,政府不会有效执行他们立下的任何规定。MediaNama的帕瓦认为,官方的隐私和安全措施非常糟糕,他们的重点是收集信息,而不是保护措施。
印度老百姓如何看待这项立法?信息非常少,或者说他们对隐私的了解就很少。在2012年的一份报告中,研究人员发现,人们更担心自己的数字生活被侵犯,而不是现实世界中的隐私,大多数人都不知道他们可以采取什么预防措施来保护自己在网络上的隐私。
参与这项调查的1万多个人有一种普遍的焦虑:在未来,隐私可能会被侵蚀到完全消失的地步。“这是一个可怕的想法,十年之后,个人的概念将不复存在;在任何地方,总有关于你的一些信息,”一个学生说道。
不过,律师帕西拉乐观地认为,目前的法案至少将推动关于印度数据隐私的讨论。
更谨慎地使用科技,可能是最简单的保护个人隐私的方法。在丈夫辜负自己的信任之前,萨胡几乎没把手机和其他电子设备里的隐私太当回事。“我甚至从不锁屏,也不在乎他是不是看我的手机。
”但在婚姻结束后,她变得更谨慎了。“现在,我出门前至少要设置一个密码。”
原文链接:https://restofworld.org/2020/all-the-data-fit-to-sell/
作者:Snigdha Poonam 、Samarth Bansal