神譯局是36氪旗下編譯團(tuán)隊(duì)，關(guān)注科技、商業(yè)、職場(chǎng)、生活等領(lǐng)域，重點(diǎn)介紹國(guó)外的新技術(shù)、新觀點(diǎn)、新風(fēng)向。

編者按：在數(shù)字經(jīng)濟(jì)和智能設(shè)備高度發(fā)達(dá)的今天，整個(gè)世界是互聯(lián)的，但隨其而來的是一個(gè)極容易被人忽視卻至關(guān)重要的問題——個(gè)人數(shù)據(jù)安全和隱私問題。在印度，一款叫做“真實(shí)來電”（TrueCaller）的來電顯示應(yīng)用風(fēng)靡全國(guó)，這個(gè)來電顯示自帶神效，不僅可以顯示陌生來電者的姓名、職業(yè)、來自哪個(gè)地方，甚至其前雇主的名字也眾目具瞻。更可怕的是，這款應(yīng)用竟然還可以根據(jù)個(gè)人設(shè)備上的個(gè)人財(cái)務(wù)數(shù)據(jù)推送貸款廣告和理財(cái)方案。這個(gè)應(yīng)用來自瑞典，卻為何在印度成為下載量占其全球總量三分之一的熱門軟件？接下來為你揭秘。因篇幅原因，文章分為兩部分刊出，此為第二部分。本文來自編譯。

劃重點(diǎn)：

Truecaller在印度雖然取得了巨大的成功，但這種成功實(shí)際上相當(dāng)可疑，根基并不穩(wěn)固。

Truecaller的大部分?jǐn)?shù)據(jù)集都是在未經(jīng)用戶同意的情況下完成收集的，這一成就之所以成為可能，是因?yàn)橛《热狈@數(shù)據(jù)保護(hù)的、全面的法律框架。

該公司目前的業(yè)務(wù)，可能還涉及為注冊(cè)用戶建立一份完整的財(cái)務(wù)檔案。

你手機(jī)中的每一個(gè)聯(lián)系人都將成為Truecaller數(shù)據(jù)庫(kù)的一部分，該數(shù)據(jù)庫(kù)包括那些未注冊(cè)或未同意將其號(hào)碼識(shí)別出來的用戶。

這是一種眾所周知的“同意疲勞”現(xiàn)象。

只要有人用他的電子郵件登錄網(wǎng)站，他的聯(lián)系人就會(huì)被上傳到Truecaller的服務(wù)器上。

Truecaller實(shí)際上是在從你的聯(lián)系人那里收集你的個(gè)人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)。

2020年6月，一家國(guó)家銀行的一名助理經(jīng)理（由于不想危及自己的安全，不愿透露姓名）搬到了孟加拉國(guó)，加入了印度外交使團(tuán)所雇傭的合作方。這名銀行員工告訴The Caravan，他們一到孟加拉國(guó)，由于服務(wù)提供商的規(guī)定，手機(jī)上的常規(guī)短信功能就停止了工作。然而，這名銀行員工仍然可以收到短信通知，包括每次在線交易的一次性密碼（OTP），這是通過安裝在手機(jī)上的Truecaller實(shí)現(xiàn)的。他們與The Caravan分享了其中一些消息的截圖，有國(guó)家銀行的標(biāo)志、他們的銀行余額，以及每條賬戶號(hào)的后四位數(shù)字。這導(dǎo)致了一個(gè)問題：Truecaller是否能夠訪問SMS內(nèi)容，是否能夠見證與銀行的每一次“秘密握手”——通過一次性密碼而進(jìn)行的銀行交易。

這位前雇員說：“除了追蹤你的電話、通話時(shí)長(zhǎng)、你頻繁和最不頻繁的聯(lián)系人之外，Truecaller軟件還可以建立你的詳細(xì)財(cái)務(wù)資料，因?yàn)樗梢栽L問你的短信。”他們證實(shí)，該公司的算法可以讀取短信內(nèi)容?！癟ruecaller軟件有一個(gè)叫做‘短信分類器’的特殊功能，能夠識(shí)別個(gè)人、高優(yōu)先級(jí)（銀行一次性密碼OTP和交易），以及注冊(cè)用戶的垃圾短信。”他們補(bǔ)充說，當(dāng)人們的銀行余額低于某個(gè)數(shù)字時(shí)，該應(yīng)用程序會(huì)向他們發(fā)送貸款建議。Truecaller已經(jīng)為注冊(cè)用戶提供了高達(dá)50萬盧比（約6600美元）的短期貸款，無需太多的文書工作。該公司還與提供個(gè)人貸款的WhizDM Innovations等公司建立了金融合作關(guān)系。

這位前雇員還指出，訪問短信存在安全風(fēng)險(xiǎn)，因?yàn)槿绻鸗ruecaller系統(tǒng)被感染或出現(xiàn)bug，整個(gè)數(shù)據(jù)都可能被泄露。他們表示：“短信主要處理銀行交易，任何人都可以試圖獲取數(shù)百萬Truecaller用戶的財(cái)務(wù)信息，并竊取這些信息?！彼麄冎赋?，2019年，“一個(gè)所謂的漏洞”自動(dòng)創(chuàng)建了印度工業(yè)信貸投資銀行（ICICI Bank）的統(tǒng)一支付接口賬戶，“在Truecaller用戶中引發(fā)了恐慌和黑客攻擊恐懼。”Alan Mamedi隨后通過一篇博客文章表示道歉，他說：“我們理解這一消息和眾多謠言可能給人們帶來的擔(dān)憂和沮喪，我們真誠(chéng)地向他們道歉。Truecaller的所有員工都為發(fā)生這樣的事情感到難過?！?/p>

Truecaller否認(rèn)它有讀取短信內(nèi)容的能力，并表示它只在本地分析手機(jī)上的短信，以識(shí)別發(fā)送者，并確定它是否是垃圾郵件。然而，該公司同時(shí)聲稱，通過將Truecaller作為一個(gè)默認(rèn)的短信應(yīng)用程序，用戶可以將郵件分類，如OTPs、約會(huì)、垃圾郵件、未保存的號(hào)碼等，從而保持收件箱的整潔。

此外，Truecaller適應(yīng)世界部分地區(qū)不斷演變的立法的方式，也引發(fā)了對(duì)其在印度的做法的一些嚴(yán)重問題。該公司在另一個(gè)主要市場(chǎng)尼日利亞制定了嚴(yán)格的隱私規(guī)定，并在2016年歐盟通過《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）后，為歐洲用戶重新構(gòu)建了應(yīng)用程序。然而，印度市場(chǎng)并沒有采取類似的嚴(yán)格措施。

例如，這款應(yīng)用的歐盟用戶擁有基于六個(gè)法律關(guān)卡的多層保護(hù)：同意、合同履行、合法利益、重大利益、法律要求和公共利益。因此，該應(yīng)用程序?yàn)槠錃W盟用戶在隱私中心提供了額外的訪問和控制功能，允許他們?cè)L問、糾正、刪除、限制處理和傳輸他們的數(shù)據(jù)。印度用戶沒有這樣的選項(xiàng)。在《通用數(shù)據(jù)保護(hù)條例》GDPR實(shí)施后，一個(gè)獨(dú)立的歐洲數(shù)據(jù)保護(hù)和隱私咨詢機(jī)構(gòu)——工作組（Working Party）于2017年6月致函Mamedi，對(duì)True Software收集個(gè)人數(shù)據(jù)的方式表示擔(dān)憂。這封信的副本在The Caravan里，上面寫著：

“Truecaller實(shí)際上是在從你的聯(lián)系人那里收集你的個(gè)人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)?！?/p>

True Software似乎既從Truecaller用戶的聯(lián)系人列表中獲取個(gè)人數(shù)據(jù)，也在某些情況下從他們的社交媒體頁(yè)面中獲取個(gè)人數(shù)據(jù)（包括姓名、電話號(hào)碼、電子郵件地址，如果可能的話，還包括人口統(tǒng)計(jì)信息和其他聯(lián)系信息）。這些信息會(huì)通過在Truecaller的網(wǎng)站和移動(dòng)應(yīng)用程序上進(jìn)行反向搜索而公開。除非這些人經(jīng)常關(guān)注自己的網(wǎng)站或主動(dòng)下載這款應(yīng)用程序，否則完全有可能對(duì)自己數(shù)據(jù)的使用情況一無所知。這意味著他們被剝奪了自己下指令的權(quán)利，他們的隱私受到了侵犯。

不久之后，該公司于2018年將其數(shù)據(jù)中心移至印度。普拉納什·普拉卡什是總部位于班加羅爾的非營(yíng)利組織互聯(lián)網(wǎng)與社會(huì)中心的創(chuàng)始成員之一。據(jù)他說，Truecaller在印度的運(yùn)作方式是不作為的。他說：“當(dāng)Truecaller說‘我們用戶的權(quán)利和利益是頭等大事，因此我們?yōu)樗械赜虻挠脩籼峁┗鞠嗤臋?quán)利’時(shí)，他們是在撒謊?！痹谟《龋琓ruecaller會(huì)從你的地址簿中存儲(chǔ)聯(lián)系人的個(gè)人信息，并提供聯(lián)系人的反向號(hào)碼查找功能。這不是一個(gè)跨地域“基本相同的權(quán)利”的例子。歐盟用戶的隱私權(quán)顯然得到了Truecaller的尊重，而Truecaller卻不尊重印度人的隱私權(quán)?！?/p>

Truecaller的做法似乎也違反了谷歌的隱私準(zhǔn)則。谷歌Play Store的公關(guān)經(jīng)理里什圖·阿瑪納尼（Rishitu Amarnani）對(duì)The Caravan關(guān)于Truecaller做法的問題給出了不明確的回答。我們被告知，“你們分享的信息已轉(zhuǎn)交給相關(guān)團(tuán)隊(duì)”，該團(tuán)隊(duì)“正在對(duì)此進(jìn)行調(diào)查，并將根據(jù)調(diào)查結(jié)果采取適當(dāng)行動(dòng)”。程序員出身的律師Prasanna告訴The Caravan，“不幸的是，谷歌的隱私政策非常有限”，因?yàn)樗哪康闹皇且?guī)范應(yīng)用程序如何從用戶那里收集個(gè)人數(shù)據(jù)。“Truecaller實(shí)際上是在從你的聯(lián)系人那里收集你的個(gè)人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)?！?/p>

盡管印度政府在數(shù)據(jù)保護(hù)法案上拖拖拉拉，憂心忡忡的印度公民已經(jīng)開始介入了，開始填補(bǔ)隱私保護(hù)這一空白。2021年7月，孟買高等法院向印度政府、馬哈拉施特拉邦政府和印度國(guó)家支付公司（National Payments Corporation of India）發(fā)出通知，回應(yīng)有關(guān)Truecaller應(yīng)用程序違反規(guī)定共享用戶數(shù)據(jù)的公益訴訟。提交請(qǐng)?jiān)笗膶?shí)習(xí)律師Shashank Posture稱，Truecaller在未經(jīng)用戶同意的情況下與一些合作伙伴共享數(shù)據(jù)，然后將責(zé)任推給用戶。

“像Truecaller這樣的數(shù)據(jù)驅(qū)動(dòng)公司的一個(gè)主要優(yōu)勢(shì)是，印度人還沒有理解隱私的價(jià)值和需要，”Posture告訴The Caravan雜志。“在印度，沒有明確的隱私法，人們對(duì)可以接觸到數(shù)以百計(jì)的私人隱私號(hào)碼這件事并未感到不妥，甚至并未想到這可能會(huì)招致廣告電話對(duì)他們及親朋好友進(jìn)行轟炸，甚至不覺得將他們的名字和職業(yè)身份公布在公共領(lǐng)域是一件危險(xiǎn)的事情?！?/p>

數(shù)據(jù)保護(hù)法案能否解決與Truecaller相關(guān)的隱私和數(shù)據(jù)問題，還有待觀察?！皩?duì)于即將到來的DPB，我們一直與主要利益相關(guān)者保持著定期聯(lián)系，”該公司發(fā)言人告訴The Caravan?！拔覀兊氖紫瘓?zhí)行官Alan Mamedi在2020年親自會(huì)見了聯(lián)合議會(huì)委員會(huì)的主要成員，傳達(dá)了我們的立場(chǎng)，解釋了Truecaller的工作原理，并表示我們會(huì)遵守最終法案的所有條款?！?/p>

Prasanna對(duì)該法案不抱太大希望。他說，盡管它明確禁止未經(jīng)同意收集數(shù)據(jù)，但只有當(dāng)受影響的一方能夠證明受到損害而不是隱私損失時(shí)，它才提供賠償?！斑@可能會(huì)讓DPB變成一只沒有牙齒的老虎——即使有罰款和處罰的規(guī)定?！?/p>

譯者：Vivi

關(guān)鍵詞： 數(shù)據(jù)竊取