神译局是36氪旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外的新技术、新观点、新风向。
编者按:在月活网民数量超过5亿的印度,由于相对宽松的隐私保护法规以及迅速增长的消费者需求,黑暗数据经济在印度蓬勃发展。在这一领域,无论是什么信息,你几乎都可以买到。这篇文章,原标题是Inside India’s booming dark data economy,两位作者SNIGDHA POONAM和SAMARTH BANSAL在文中揭秘了印度蓬勃发展的黑暗数据经济的内幕故事。这是文章的上篇,主要介绍的是印度间谍软件的快速普及现象以及“什么都能卖”的黑暗数据行业。
图片来源:Unsplash @Michael Dziedzic
阿尤枝·萨胡(Ayushi Sahu)曾遭过“突袭”。2018年某天晚上,即在她结婚五个月后,这位当时21岁的大学生回到位于印度中部恰蒂斯加尔邦(Chattisgarh)的家中看望父母时,她的丈夫意外地出现在她的家中。随同她丈夫一起的,还有他的父亲和叔叔。
随着这几个男人在客厅落座后,她丈夫说他有一些内容想让他们听。他拿出手机,按了“播放”按钮。一段响亮而清晰的音频内容在客厅里播放了出来,内容是萨胡和她的朋友及家人之间的私人对话,这些对话录音都是在未经她许可的情况录制的。
除了录音之外,“还有通话记录、短信、WhatsApp信息、手机相册所有的照片与视频,甚至还包括视频电话内容。他声称,他可以获取我手机上所有的信息。”萨胡说。
那个时候,她才意识到,她的丈夫已经监视她好几个月了。
萨胡也还了解到她丈夫在某些事情方面对她有所怨恨。萨胡曾经向她的母亲抱怨过与公婆相处的问题,对此 ,她丈夫感到有所不满。此外,对于萨胡跟某个男性朋友聊天一事,她丈夫也极力反对。“他大吵大闹的,仿佛是在‘揭发’我一样。”萨胡回忆道,“我只是在分享我的顾虑与担忧罢了,这是很正常的事情。”
随后,她的丈夫又播放了几段录音,直到她父亲最终介入并说道,“我不想再听到这些细节内容了。你们都听完了吧?那就行了。”话音一落,他就开始去安慰仍然处于震惊之中的萨胡。
对于这些内容,萨胡愿意不追究丈夫的责任、道歉并且继续过日子,但她新婚丈夫的表现仍然极其怪异。最终,她觉得自己别无选择,只好结束这段婚姻。
“我不明白的是,为什么他非要监视我。”萨胡回忆道,“他完全可以直接来问我的。你知道,在印度,男人是可以责骂妻子的。他也可以这样对我。我完全不知道他到底是处于何种目的,才会这般深入地监视我的手机,并且还录下各种通话录音。”
萨胡完全不了解自己的手机是如何被窃听的,也不知道丈夫窃听她有多长时间了。她只知道的是,这部智能手机是丈夫送给她的订婚礼物。
因此,很有可能的是,萨胡在得到这部手机的时候,里面就已经装有间谍软件。她的丈夫可能是自己安装的,甚至还有可能在和她结婚前咨询过私家侦探,并且是私家侦探向他提供的这部手机。无论是哪种情况,她丈夫的这种行为,只是印度越来越常见的这种趋势下的一个缩影。越来越多的人,通常都是疑心重重的情人或伴侣,都在使用这种个人窃听技术来监视身边的人。
据印度私家侦探协会(Association of Private Detectives and Investigators)会长昆瓦尔·维克拉姆·辛格(Kunwar Vikram Singh),现在的富裕家庭都在雇佣私家侦探,在结婚前调查了解某个准新娘或者准新郎。通常,单次委托收费大约为500美元。
辛格称,这种趋势的出现,主要是因为印度社会风气的变化,尤其是在城市精英群体中。“工作文化已经改变了。人们的价值观也发生了变化。”辛格说。
他提到,这一趋势的背后原因之一,就包括越来越多的女性开始走入职场。“我们会告诉这些人,‘你们在婚礼仪式上会花费大笔资金,不妨再多花几千美元在私家侦探身上’。”辛格补充说。
图片来源:Unsplash @Markus Winkler
抛开具体原因不谈,不可否认的是,印度的私家侦探服务在过去十年里一直在快速增长。据辛格估计,这一行业在印度全国范围内的产值约12亿美元。但由于这一领域的极其敏感性,无法真实得知确切数据:没有官方统计数据,许多客户仍然会选择现金支付。“他们不希望留下任何记录。”辛格说。
印度私家侦探提供的服务,主要有两大类:一类面向企业,一类面向个人。就前者而言,通常都是银行雇佣私家侦探调查个人纪录不良的贷款人,或者是金融机构雇佣私家侦探针对员工展开背景调查等情况。而后者的服务范围就从儿童监控到婚姻背景调查等等。
每家侦探机构都有自己的专业领域。私家侦探机构Siyol Detective Network在印度全国范围内拥有共计约1500名自由职业的私家侦探。位于斋浦尔(Jaipur)的该机构负责人卡南·乔杜里(Karnam Choudhary)称,“自2016年以来,其机构的个人委托案件几乎占了70%左右。”
这一行业蓬勃发展的同时,人们对消费级间谍软件的依赖程度也越来越高。这些在智能手机上安装的软件,大都不容易被检测发现,它们可以秘密地记录智能设备上的所有活动,并将这些数据传输到第三方。在过去,私家侦探一般首先会亲自跟踪某人,但如今,大多数侦探会直接建议客户,向其怀疑对象提供一部已经装有恶意软件的智能手机。
早在新冠疫情暴发的几年之前,间谍软件日益增长的需求就开始引起了许多印度软件工程师的关注。
塔萨尔·梅帕尼(Tushar Mepani)是古吉拉特邦(Gujarat)的一位程序员。2013年,当梅帕尼还在针对毕业设计项目而研究病毒和网络安全问题时,他就已经接触并认识了一些希望更密切地监视青少年行踪的父母。
“当那些百万富翁跟我分享他们孩子的行为时,我晚上都睡不着觉。”梅帕尼认真地说。
梅帕尼设计的应用程序EasySpyPhone,是一款追踪孩子的应用,最初的原型仅限于通话录音和收集短信及位置数据。最新的迭代版本,功能已经包括监视Facebook和WhatsApp等社交媒体平台,偷偷地打开手机麦克风录制通话和视频对话,并捕获有关截图。这些“服务”的收费标准是每月20美元或40美元。
“那些家长们非常开心。”梅帕尼说,“他们对孩子所结识的朋友一清二楚,还可以了解哪些人会对孩子产生影响。总之,这款应用能够让孩子们免于遭到‘伤害’。
不过,梅帕尼在销售的,不仅仅局限于一两款产品。通过他自己针对Android系统成立的间谍软件公司Convants Information Security,梅帕尼已经将他设计的窃听软件授权给了多个卖家,这些卖家还会通过不同的产品名字再次包装其产品。
梅帕尼不愿透露过多细节信息,并称其为“内部业务”,但他能够透露的是,他设计的软件销售已经超过了2万件。
2014年,斋浦尔的侦探乔杜里在获得梅帕尼授权过后,推出了其侦探机构自己的应用程序Spy Mobile Process。客户不必付款请求乔杜里展开全面私家侦探调查,只需购买其推出的应用程序,即可自己展开调查,这一过程还会获得侦探们的指导。
“我们当时也并不知道人们会不会对这个产品感兴趣,但事实证明,这款应用非常受欢迎。”乔杜里说。
这一切都游走在法律的灰色地带。截至目前,印度并没有相关法律法规来规范所谓跟踪软件的销售与购买,现行有关隐私法律条款也没有太明确的规定。例如,在印度,对目标进行人身监视并不违法,但当涉及到通过手机追踪某人的定位时,事情就有点模棱两可了。
对此,法院不得不逐案制定法规。比如,2018年,德里(Delhi)某家事法院在处理一个婚姻纠纷案件时,就接受并认可了通过间谍软件收集的证据,并称公平审判的权利大于隐私保护。
然而,站在法律的一边似乎也并没有给众多兜售间谍软件的卖家带来困扰与麻烦。就他们担心的法律风险而言,大多数人只会简单地添加一则免责声明,把责任推给客户。在安装软件前,用户应该获得“智能手机所有者的绝对书面同意”,并明白和同意“买方有责任遵守本国的所有法律”。
2020年8月,谷歌公司推出了新的广告政策,对间谍软件和监控技术相关的广告施加了限制。谷歌在更新的政策中写道:“更新后的政策将禁止推广在未经他人授权情况下追踪或监控他人或其活动的产品或服务。”
不过,谷歌也特别指出了两种例外情况:一种是私人调查服务,比如乔杜里提供的侦探服务,另一种是为父母追踪或监控其未成年子女而设计的产品或服务,比如梅帕尼提供的应用程序。
承认使用过间谍软件的私家侦探几乎全部都声称,任何源于间谍软件的问题,都是滥用的结果。但他们公开说什么是一回事,具体如何做的时候则是另一回事。虽然乔杜里声称他的应用不是用来监视配偶的,但他的机构官方推特账号于2015年11月发布的一条推文却刚好相反。
在一系列电话采访中,梅帕尼也否认未曾向有疑心的丈夫或妻子推销其应用程序,但他公司网站上却把这些人明确描述为目标客户群体。“你必须知道,”梅帕尼说,“这就像一把刀一样,你可以用来切水果,或者也可以用来割别人的头。”
图片来源:Unsplash @Markus Spiske
就间谍软件这一行业而言,无论它有多么令人不安,它只不过是一个更庞大的基础设施中的一小部分。在印度,每个月的活跃网民超过了5亿,他们每一次的点击、滚动、滑动和下载,都会产生大量的个人数据信息。
他们在互联网上看什么,如何约会,为谁工作,在哪里花钱等信息,都在不断地被捕捉,并以此变现。所有这一切,催生出了一个价值数百万美元的黑暗数据经济,其中所有信息都称不上是个人信息,并且还可以用来交易。
在印度,暗藏于互联网中的数据黑市,类似于蔬菜批发或走私商品的黑市。在这个市场里,卖家都建议客户批量购买,其中所提供的商品种类,也多得令人瞠目结舌。你可以购买有关于父母、有线电视客户、孕妇、喜欢吃披萨的人、共同基金投资人等几乎所有能想象到的小众群体的数据信息。
通常,某类数据信息都整理在一个电子表格中。表格里有一排又一排的名字和关键信息。比如,Sheila Gupta,35岁,住在加尔各答,宝马车车主,一家旅行社的经营者;Irfaan Khan,52岁,住在大诺伊达,有一个刚申请就读工程学院的儿子。
这些数据库通常每三个月更新一次(数据信息越旧越不值钱)。如果你同时购买多份,还可以享受折扣。这类交易总是很火爆,交易速度也很快。卖家从来不问买家叫什么名字,更不会问你为什么要购买500万个申请银行贷款的人的电话号码。
至于印度这一数据经济的规模有多大,或者说这一行业到底产值有多大,目前没有特别可靠的数据。就前者而言,我们采访过的人士都有不同的猜测。有的说真正掌握这些数据的底层核心人士只有大概一两百人,有的则说印度每个大城市都至少有一千人在买卖数据。
要找到这些人,潜在客户只需要在社交媒体平台上寻找他们的广告,或者在搜索引擎中通过“数据”“线索”“数据库”等关键词,结合他们想要的数据种类和城市等详细信息去搜索。
有关隐私专家认为,印度在互联网时代的早期,就已经出现了数据交易这一行业。
互联网政策资讯平台MediaNama编辑兼出版人尼基尔·帕瓦(Nikhil Pahwa)称,“印度的数据交易历史起码有15年了。我记得早在2006年就曾有一个案例,印度第一批在线求职门户网站Naukri的求职者数据泄露了出去,并且被制成光盘出售。”
到2009年时,兜售数据的人开始经营短信营销公司,提供采购特定目标群体数据信息和批量群发短信等补充服务。据一位声称已经退休的兜售数据人士希曼舒·巴特(Himanshu Bhatt)称,那个时候,数据体量相比现在小很多,“只要有数据,就可以以任何价格出售。但如今情况已经改变,每个人都有各种类型的数据。”
在我们采访过的兜售数据的人士当中,所有人都不愿公开透露他们搜寻、获取及销售数据的具体方式。但他们的日常工作,通常就是追踪人们在互联网上留下的各种痕迹。他们就像是在互联网上撒一张数字渔网,从各种存储数据的网站中“拖网捕鱼”。
“有一天,我在浏览云托管数据网站时,发现了许多阿达哈尔卡(译者注:Aadhaar cards,印度公民唯一的生物识别身份证,数据由印度唯一身份识别机构UIDAI负责收集),这让我感到十分震惊。”巴特说。大量阿达哈尔卡的图片可供批量下载,同时还包括已获批的贷款申请和工资表等信息。
同样地,这方面的法律界限也是模棱两可。任何曾经在优惠券网站上注册过或者申请过电影票退款的人,实际上都将自己的信息录入进了一个数据库,而这个数据库可以在未经他们同意的情况下被其所属的平台或公司出售。
住宅区附近的手机店可以将周边人口信息出售给某个政党,用于超本地化的竞选活动,而金融科技公司可以将用户个人详细信息从某个应用中偷偷地转移到自己的服务器上,从而评估用户的信用状况。当有人在领英平台分享就业经历信息,或者在公共目录上分享个人联系方式时,兜售数据信息者就可以通过爬虫工具来提取这些信息。
不过,既然明明可以直接购买数据信息,为什么还要想方设法地黑进数据库呢?通常,“兜售数据者都会直接找到银行员工,告诉他们,‘我需要高端数据库’。”巴特说。而随着信息需求的增加,数据脆弱性也同时在增加。
据2019年的一项调查,69%的印度公司都还没有建立可靠的数据安全系统;44%的公司已经经历过至少一次数据泄露事件。
据美国数据安全机构Cyble首席执行官比努·阿罗拉(Beenu Arora)称,“在过去的12个月里,我们看到许多印度人的数据信息都出现在暗网上,并且这种趋势越来越明显。”
当我们尝试联系印度电商数据销售平台e-commercedatabase负责人Amresh提供一份样本数据库时,对方不仅不愿透露其数据来源,而且也没有向我们提出任何问题。他只需要我们提供电话号码和邮件地址。
随后,我们立刻就收到了索求的数据库信息,里面的内容也可能会让大多数网购者不寒而栗。其中,不仅有数千人的姓名、邮件地址、电话号码和居住地信息,还包括他们的历史购物记录、消费金额,比如棉质睡衣(27美元),降噪耳机(408美元)。只需要付20美元,我们就可以买到他掌握的所有数据,其中包括1400万人的个人信息。
延伸阅读 | 内幕故事:印度蓬勃发展的黑暗数据经济(下)
译者:俊一