本文原创:纷析咨询高级分析师 张依侬
你是否遇见过一些奇特的情形。例如,刚刚研究了某个产品,这个企业的销售就打电话到你的手机;或者,中午聚餐的时候跟朋友们提起某个你感兴趣的东西,下午在信息流广告上就看到类似产品的推销。
这样的广告已经不仅仅是在为我们带来方便。它们更让我们“毛骨悚然”。我们很容易认为,我们很私密的行为,甚至对话,被窃取并被别有用心的商家作为“搞定”我们的武器。
这类广告的背后是否真的是我们的个人信息的泄漏,尤其是我们本该不让任何第三方知晓的信息发生了泄漏。还是真的是巧合?
这篇文章,对六个常见的“信息窃取”用于广告投放的场景进行分析,以还原客观事实。
为什么刚退出一个教育网站,立马接到课程培训的电话?
你使用手机搜索了“成人教育”进入网站,浏览后没有留下信息直接退出网站。但,没几分钟,就接到教育培训课程的推销电话。或者是刚看了房价走势信息,立马接到推销最新楼盘的电话。
这种点击网页,手机号瞬间被抓取的技术有个高大上的名称:手机访客营销。
目前网上有很多提供此类服务的工具,按单条手机号码或包月的形式收费。付款安装代码后,会给你一个后台。当有访客点击网站后,会立马获取用户的信息。如下图所示,除了电话号码,包括搜索词等信息都可以知道。
图片来自网络
其实,是因为这些网站被植入恶意代码,当用户访问网站时,信息会被窃取。整个过程,用户是全然不知的。具体如下图所示:
上图中,我们注意到手机号泄露的一个关键点,就是“请求运营数据接口读取手机号”。首先,被泄露的手机号码的用户一般是在非wifi环境下访问网站时发生的。用户使用手机流量访问网页时,手机号会包含在通信字段中,正常情况下电信运营商是对此字段加密的。很可能是不法分子,掌握了加密技术,从而破解加密的手机号码;更有可能是,电信运营商的手机查询接口被第三方滥用。提供手机访客营销的服务平台,都表示自己拥有电信运营商的接口,不同商家拥有的接口也不同。例如,A家说自己有移动的接口,B家的说有电信和联通的。
除了可以获取自身网站访客的手机号码外,没有加密传输的http网站、app等也都可以抓取。不同的是,别人的网站需要系统建模,返回号码的时间无法实时(大概需要7天)且收费比较高。
现在这个情况已经被运营商意识到,因此已经减少很多了。但是,仍然还有网站在这么做,命真的不是一般的硬。
谁在偷窥我?在京东上看的东西,又出现在抖音上!
上午,你在京东上搜索蓝牙音箱,浏览一番就退出了。晚上,躺在床上刷抖音时,刚好给你推荐音箱,甚至连型号都一模一样。这场景,对投放人员来说并不陌生,但对普通用户来说却感觉不适。甚至怀疑是抖音窃取用户信息。
图片来自微博
背后到底是道德的沦丧,还是人性的扭曲?其实都不是,这个是通过程序化广告来实现的。
首先,无论是京东还是抖音,各个平台都会根据用户基本信息、用户兴趣和用户行为等给用户设置标签。当你在京东上搜索和浏览商品,都被标签记录下来。
后续,你在刷抖音时,此时要给你推送广告;抖音发出”通知“,包含你的行为信息和设备唯一识别号,有意向像你展示广告的都可以竞拍这个展示机会。京东通过唯一识别号,发现你就是那个刚看过蓝牙音箱人,通过ADX系统拍下这个广告位。然后,就出现了上述的情景:你又看到了这个音箱的广告。
这种广告形式在今天的中国乃至全世界都非常常见。这种广告利用你的数据是否合法呢?
是否合法一般取决于你在注册使用抖音或者京东或者其他任何app时签订的“隐私协议”。如果这个协议中明确提及将收集你的个人信息用于广告的投放等,并且你点击同意,那么这种广告形式并不违法。
但如果没有这样的同意,情况可能会不同,不过,我们国家针对性的相关法规还没有出现,因此,在没有用户授权同意下使用他们的设备唯一识别号,也就是设备ID进行广告定位,是否违规存在很大争议。由于在这个过程中,使用的并没有包含一个人的实名信息(主要是他的电话号码和姓名住址等),而只是利用了他的设备ID,因此,并不能简单认为,这是获取了个人的隐私——广告投放相关方并不真的知道这个人具体是谁。因此,最终是否违规违法,需要国家最终解释。
巧合?打开今日头条,为什么会看到上午逛过的4S店的广告?
当你打开今日头条,优酷时,发现都推送了今天去过的4S店的广告。这真的只是一个巧合吗?甚至不只是推送广告,有些电话甚至打到你的手机上,问你是否对某某品牌的汽车感兴趣,这个品牌正是你逛4S店的品牌。
其实,问题是发生在那家4S店,有人(并不一定是4S店的人,有可能4S店自己都不知道)利用WiFi探针(如下图)收集你的数据并进行了广告投放
图片来自网络
上图可以看到,这些wifi探针并不贵,而且体积很小,塞入一个随身包中完全没有问题。因此,如果有人偷偷用一个小设备在4S店收集来往顾客的信息,这种可能性完全存在,并且4S店也很可能毫不知情。
当然,这并不意味着4S店就能摆脱嫌疑。
在已经被“植入”WiFi探针的商城或商店,用户进入探针信号覆盖区域且WiFi设备是开启状态的,它就会获取设备的MAC地址。此时,仅仅是获取MAC地址的话,还是无法知道你是谁。只有,MAC地址与电信运营商或者是拥有用户画像的数据公司合作,就能清楚了解你是谁。经过多次换代升级的WiFi探针已经可以收集分析如客户性别、消费水平、收入情况、购物偏好、生活轨迹等信息。
而这些数据,应用场景也十分丰富。除了上述可以用于广告投放,也会用来实体店铺新老客户的精准服务。
图片来自网络
甚至,有一些第三方数据公司,它们提供将MAC地址转变为手机的device ID(设备ID),甚至进一步转变为电话号码的能力。因此,你收到询问是否你考虑购买某某品牌汽车的电话,很可能就是通过这样的方式泄漏的。
你一定会问这种方式是否合法。事实上,在被央视的3·15晚会曝光前,这种方式大行其道,但被央视曝光之后,这一方法显然被划定为非常不合理的用户数据收集行为。
但是否合法呢?从目前的法律看,将MAC地址转为电话号码而不征得消费者的同意是非法的,如果买卖或者利用了这些电话号码更是非常严重的侵权违法行为。而直接收集MAC地址,尽管在该文行文时尚没有明确的成文法律提及MAC地址(除了国标35273,但国标并不是成文法),但也普遍认为,没有经过用户的同意,该用户的MAC地址不能够被采集。
聊天被监控?微信聊天提到日本旅行,就在朋友圈看到日本樱花游的广告。
之前,有不少人反应自己的微信聊天内容与公众号和朋友圈推送的广告一样。上一秒,刚提到想去日本玩,下一秒就在朋友圈刷到日本樱花游的广告。很多人怀疑是不是微信在监控聊天内容,再依据内容推送广告。
对此微信团队表示:微信不会监测用户的聊天记录。出现这种情况的原因是一方面是腾讯广告投放的人群广,且是基于用户点击行为呈现;第二是,当时属于旅行旺季,存在个别巧合。
微信确实是不太可能会监测你的聊天记录,并非技术问题,而是对它来说弊远大于利。但输入法却有可能泄露你的信息。输入法不仅可以监控你的输入,还可以直接读取你的剪贴板,甚至监控你的键盘轨迹。这样,你打出但又删除的内容,一样可以获取。
在今年的315晚会上,就有点名璧合科技借助讯飞输入法的数据,判断用户的性别年龄等个人信息。甚至,知道用户正在搜索什么,依此精准标记出高质量的人群属性标签。用于电销和精准广告投放。
输入法这么做是否是合法的?由于输入法并不一定直接利用了你的实名信息,而可能只是通过设备ID或者其他比较匿名化的“假名信息”来定位你,因此这一情形是否属于非法目前有很多争议,因为在本文撰写时,互联网业界仍在等待国家立法靴子的落地。在具体法律落地之后,这些数据如果没有经过用户的明确授权同意而被采用,肯定是不合法的。
饿了么在偷听我的聊天?和同事说想喝奶茶,打开饿了么就看见推荐奶茶!
有不少网友抱怨,怀疑饿了么和美团等外卖APP偷听自己的聊天内容。和同事闲聊说想喝奶茶,结果打开饿了么上推荐商家首位,就出现奶茶的信息。
首先,APP通过监听来实现精准广告推送,在技术上是可以实现的。但成本高、效率低、风险高,这个不划算的生意平台是不会做的。同时还存在诸多问题,例如:
- 录音功能会消耗巨大的手机资源,APP会运行缓慢甚至卡顿;
- 录音文件占据大量的存储空间,用户不可能发现不了;
- 录音文件如果是实时上传,会消耗流量,用户也是会发现的;
- 录音数据本身有效的数据价值低,存在很多噪声,不够精准;
- 目前语义分析技术还不能完全理解人类语音,特别是方言;
综上所述,即使能解决上述的问题,通过录音来推送广告还是一件低收益且违法的行为。
回到上面的场景,饿了么是如何实现广告推送的呢?和微信聊天推送的情况相似,可能是巧合。但这个巧合是有一定数据依据基础的,因为要清楚我们在网上基本上是裸奔的状态;各类APP都通过我们的注册信息、搜索信息、浏览记录和社交关系,标记我们是谁以及与我们相似的人群的购买偏好。
“您好,我是XXX金融,您是不是需要贷款”
大家是不是也经常接听到陌生的推销电话,他们能知道你的性别、和最近的需求。但是,令人疑惑的是,我们没有在网上留下电话,他们怎么知道的一清二楚呢?
这种情形,很可能是用户个人信息被黑市出售。
用户信息从哪里来?主要是下面几种:
- 各类APP过度索取授权,背后大量的用户数据;
- 不法分子假借APP为由,暗中收集买卖用户数据;
- 平台或运营商内鬼泄露用户数据;
- 黑客攻击盗取用户数据。
被买卖的用户数据包括:性别、学历、收入、电话(现在不会直接给号码,会给拨打的接口)、兴趣爱好和购买偏好、有的身份证等信息都在售卖的范围内。被买卖的数据其中就有被用在精准营销。特别是金融借贷、房地产和医疗保健等行业,是主要的需求方。
以一个超利贷的用户为例,一般他们会同时在多个app进行贷款。所以,一旦知道他借了超利贷,马上打电话让他来自己平台借款,是一个非常有效的获客方式。而且这些用户一般被反复售卖,这也就是你会频繁接到许多家借贷平台的电话的原因。
这种场景下,如果没有得到用户的授权可以将他的相关信息转移给第三方,那么上面的所有行为,是严重违反了现行的中国法律,例如违法了中华人民共和国《网络安全法》。已经有人因为违反该法律买卖个人信息被追究法律责任。
小结
上面的六种情况,可能你遇到过其中的一种或者多种。事实上,你也能发现,大部分的情形是普通人无法避免的,只要你用app,或者你去了某个地方浑然不知道那里有wifi探针,你的相关信息都可能被用在广告上。
这一情况不仅仅在中国,在全球都正发生。相信在我们发布这篇文章之后的很短时间内,我们国家就将出台更清晰明确的法律,进一步界定我们上面所提到的暂时还没有明确界定的情形。
聊天被监控,好可怕