你被APP偷听过吗？

你是否经常发现，自己刚刚谈论了一个话题，一些APP上就给你推送话题相关的广告或者其他内容？

3月18日，有媒体报道称，饿了么和美团疑似出现App麦克风“偷听”情况。随后，美团和饿了么均回应称：“偷听门”是无端猜测，该行为不存在。

但实际上，APP确实利用我们的信息获取了不菲的利益，以美股上市公司汽车之家为例，2014年——2018年，汽车之家靠销售线索获得了96亿元的收入。

信息被泄露，竟然是消费者自愿的？

汽车之家成立于2005年，注册资本1000万元，2013年12月于美国纽交所上市。

3月11日，网友文先生通过21聚投诉对汽车之家进行了投诉。原因是汽车之家将自己的信息泄露给了4S店，导致文先生遭到汽车销售人员的电话骚扰。文先生还提到，自己并未在汽车之家上进行过任何操作。

这并不是汽车之家第一次因泄露用户信息而被投诉了，2018年8月，21聚投诉收到两起关于汽车之家的投诉，原因均为信息被泄露，遭到来自汽车经销商的电话骚扰。被同时投诉的，还有易车网。

然而，汽车之家将信息提供给4S店，并非投诉人所说的“私自公开”。

在汽车之家注册并登录，需要用户提供手机、邮箱。汽车之家提供的几乎所有服务，也都需要用户提供一些信息，包括换车、卖车、估值等。

每个服务页面下方都有一行小字：“提交代表我同意《个人信息保护声明》，并接受合作商的来电服务。”这一行小字很少会有用户注意，而这份《个人信息保护声明》，更是少有用户点开细看。

这份被忽略的《声明》中，明确写着：

“这些能够单独或者与其他信息结合识别您的个人身份的信息，包括：姓名、移动电话、电子邮箱、车牌号、住址等，均是您自愿提供。您有权拒绝，但如果您拒绝提供某些个人信息，您将可能无法使用我们提供的产品、服务……”

“您同意，汽车之家可以通过以下方式对个人信息进行使用和分享：我们和关联公司使用；我们向相关汽车经销商、厂商及集团分享并由其使用；我们及关联公司及相关汽车经销商、厂商为满足您的需求，可能通过您提供的信息与您联系……”

“您同意免除上述信息的接收和/或使用方在按照本法律声明所述情况下进行信息披露和使用而导致的或可能导致的所有索赔、责任和损失。”

总结起来就是：使用汽车之家的时候，用户已经无偿将自己的个人信息，送给了汽车之家平台以及相关联的公司、经销商和厂商。并且，同意不对平台或经销商的行为追责。

换句话说，用户已经同意汽车屋“公开”了他的信息，并且还同意4S商店会骚扰自己。

  免费信息和高利润

  尽管用户提供的信息是免费的，但汽车之家使用此信息可以获取高额利润。

  2月26日，汽车之家（Car House）发布了2018年未经审计的第四季度和全年财务业绩。在财务报告中，收入分为三部分：媒体服务，潜在客户生成服务，在线市场等。

  根据财务报告，2018年全年，销售收入达到28.71亿美元。  2018年汽车之家的总收入为72.33亿元，销售线索占比近40％。

2018年财报中还提到，销售线索收入增长的原因在于，经销商支付给汽车之家的服务费平均增长了19.1%，且经销商客户群有所扩大。

什么是销售线索？ 如何实现呢？

  2019年1月，《中国汽车报》独家采访了汽车之家副总裁吴涛。 吴韬在接受采访时说，北京和上海的会员价格为每年20万元，这样的经销商在2018年平均可以从汽车之家获得7500条线索。通过4S店获得销售线索的成本通常是 200-300元，获得1000个潜在客户的费用也为20万元。

  可以看到，销售线索是用户在汽车之家平台上发布的汽车销售，汽车购买和估价等信息。  Car House收集愿意花钱的用户，然后将其提供给经销商，并向经销商收取服务费，这是实现销售线索的主要方式。

  早在2016年，汽车家用电器的讨论就邀请汽车经销商讨论“销售线索的精细管理”。 宁波嘉德汽车工业有限公司总经理程冠谈到了线索。 他说：“前线是专门寻找线索的，无论是Backstage或QQ组，还是潜入其他人的论坛，潜入其他人的组，所有都是渠道，只要嘴巴更大即可。第二个是 专门用于回访，筛选，最后一个是邀请商店交易。”

也就是2016年，汽车之家将收入结构进行调整，营收分为三类：媒体、线索、线上销售。2016年财报按新标准对2014年、2015年营收进行重新划分。

根据重新划分的结果，2014年至2018年销售线索的销售收入分别为8.4亿，14.04亿，19.16亿，26.16亿和28.71亿。 销售线索的五年销售收入总计96.47亿元。

  实际上，汽车之家收取的经销商服务费仍在增加。  2019年1月，由于2019年汽车之家的会员费增加20％，它引起了经销商的大规模抗议，并受到中盛，庞大和特快等许多汽车经销商组织的抵制。

  APP正在窥视我们的生活

  如今，人们越来越关注他们的隐私泄露问题，但是我们的隐私变得越来越脆弱。

  3月9日，深蓝军曾经在微博上向网民提问：是否有任何应用程序可以监视您的聊天？ 许多网民在其邮件中列出了可疑的拦截示例。

3月18日，有媒体报道，通过模拟使用场景，在Android手机，iPhone和iPad上进行了多轮测试以及美团点评之后，发现在谈论某种食物后，相关建议的可能性很大。 高达60％-70％ 另外，一些用户报告说，在谈论他们想吃什么之后，当他们打开外卖应用程序时，他们可以看到有关商店的推荐。 怀疑App麦克风在“偷听”。

  美团回应说，“基于麦克风中记录的语音关键词向外卖用户推荐”的行为不存在。 美团外卖仅会获得使用用户语音的授权，并且用户会主动启动美团外卖应用。 麦克风仅在有语音输入行为时使用。 此外，美团外卖仅在用户表达明确的需求信息并进行主动查询后，才执行相关推荐输出。

  饥饿的一方说，所谓的“监视用户的日常对话并进行信息分析”是一种毫无根据的猜测。 饿了没有做过类似的产品设置或相关的技术条件，并且饿了要严格保护用户的隐私，任何必要的信息收集都必须在用户事先同意的情况下进行，并在合法合规范围内使用。

  尽管操作员已拒绝收听用户的对话，但APP允许调用摄像机，录音和剪贴板的确是APP获取用户信息的渠道，确实存在风险。

  艾媒咨询发布的《 2018中国移动应用隐私权限评估报告》指出，超过60％的称为录音功能的APP引起了人们的关注。

  2018年，支持WLAN，摄像头，录音和蓝牙通话权限的各种中文APP的比例分别为90.8％，73.8％，66.3％和27.5％。  Ai Media Consulting分析师认为，这些类型的功能许可调用中的大多数都涉及应用程序启动和操作要求。 但是，在开放许可的情况下，犯罪分子仍会占用空间，从而导致恶意事件，例如用户信息泄漏。

此外，2018年中国各类APP调用读取联系人权限情况普遍。移动视频、网购、社交等六类APP调用读取联系人权限占比超过50%，成为用户隐私侵犯重灾区。同样被滥用并威胁用户隐私的权限调用，还有阅读短信和定位功能。

除了图片，语音和位置外，文本也没有保留。

  KEEN公司GeekPwn实验室的Song Yuhao曾经告诉IT Times，Apple手机的系统设计允许任何应用程序访问剪贴板。 如果用户将一些数据放在剪贴板上然后打开另一个应用程序，则其他应用程序自然会读取它。 剪贴板的内容。 一个更典型的应用是，如果您想在微信中访问淘宝中的某个产品，请复制一个淘宝密码，然后在再次打开淘宝时自动打开某个产品。

  此外，在APP读取信息之前，不会通知用户，而是秘密通知用户。

  据江苏卫视报道，3月5日，东南大学副教授宋玉波通过测试发现，一个应用程序读取41条信息，但告诉用户仅读取6条信息。 一些软件收集了超出范围的信息，而时钟软件实际上读取了通信信息； 即使退出某些软件，它仍会在后台发送数据。

  共享个人信息

  就像Car House可以向4S商店提供用户信息一样，独立的应用程序可能不需要通过监视来获取用户的即时信息，因为我们的信息不仅可以通过APP获得，而且可以通过第三方数据公司获得。 聚集并整合。

  日前，浙江日报互动网络技术有限公司（以下简称“日报互动”）招股说明书发布。

  Daily Interactive成立于2010年。其主要业务包括：在各个垂直领域提供开发人员服务，精准营销服务和大数据服务。 简而言之，它是基于APP的用户数据绘制用户肖像并推送消息。 新浪，百度，今日头条，滴滴，唯品会等知名互联网公司都是日常互动的客户，可以涵盖Android和IOS系统。

  作为第三方数据分析公司，Daily Interactive具有大量的“用户授权数据”。

  根据招股说明书，公司根据公司“软件开发套件（Software Development Kit）”运营积累的用户授权数据，构建了自己的“大数据平台”，形成“冷数据”，“温度数据”。 和“热数据”独特的数据分类。

  包含的信息如下：

  “冷数据”：用户性别，兴趣，居住地，职业，收入，年龄范围等。“热数据”：最近活动的应用程序，最近访问过的地方等。“热数据”：当前位置，当前打开的应用程序等 。

这些数据的获取都是合法的。 如招股说明书中所述，APP开发人员已同意通过诸如“用户协议”和“隐私政策”（统称为“用户协议”）之类的协议获得用户授权。

  “用户协议”类似于Car House的“个人信息保护声明”。 这些被忽略的协议允许我们使用或什至共享我们的信息。

  数据公司为您绘制图片，贴上标签，并以此为基础来推送消息。 即，“用户肖像”可以被多个APP使用。 这也导致我们在应用程序A中搜索热门单词，应用程序B也可以看到它； 授权一个应用程序浏览我们的联系人和短信等同于授权其他应用程序浏览我们的联系人和短信。

  每日互动的招股说明书还指出，该公司为数以万计的APP提供服务。 该公司使用合并链接技术合并使用“推送SDK”的APP之间的长期链接，只要其中一个应用程序处于活动状态，就可以完成消息的传递并实现跨APP的链接共享。

为了保证信息的精准、实现合并链接，个推SDK还会获取手机MAC地址和应用列表。

3·15晚会上曝光的探针盒子，正是通过获得手机的MAC地址，匹配出手机号，用户性别年龄、微博感兴趣话题，手机50天搜索关键词等。可见，手机MAC地址，是获取更多信息的钥匙。

每日互动招股书显示，通过“个推SDK”采集的用户数据包括：

① IMEI/IDFA/MAC 、机型等设备信息

② 应用列表（APP List）

③ 网络信息，包括WiFi、基站等网络信息连接状态。

而信息被汇聚在一个统一的平台，本身也增加了信息泄露的风险。2019年1月，360安全发布了《2018政企机构数据泄露形势分析报告》（以下简称《分析报告》）指出，2018年，平均每个漏洞可导致3089.2 万条个人数据泄露。如果平台系统出现漏洞或者“内鬼”，将导致大量信息泄露。

每日互动招股书中也提到了相关风险，对公司盈利能力产生重大不利影响的因素就包括，不当使用互联网用户信息的风险、数据资源安全风险。

还有谁对我们的隐私虎视眈眈

我们的信息不仅成为各类手机应用索取的资源，还成为了暗网上的交易商品。

360安全《分析报告》指出，网络攻击、内鬼窃取、内部人员操作失误，已经成为当前政企机构数据泄露的三大主要原因：

从2018年政企机构重大数据泄露事件泄露数据的原因来看，约一半的事件是由于外部攻击导致的；16%的事件是由于内部人员违规操作，主动泄露的数据；10.2%的事件是由于合作伙伴泄露。

《分析报告》显示，2018年1月到10月，共有86.5亿条数据泄露。2018年，全球政企机构重大数据泄漏事件中，13.1%为生活服务行业，12.1%为IT信息技术，11.7%为互联网行业。

而实名信息（主要是指姓名、电话、身份证、银行卡、家庭住址等），是政企机构泄露最多的信息类型，也是暗网上信息贩卖最多的类型。

实名信息在暗网上被贩卖后，一般用于：

① 营销

保健品、保险、理财、房地产中介等行业是数据的主要购买者。在众多公民个人信息中，老人和学生的信息相对来说更受欢迎。老人的信息经常会被相关公司用来推销保健品,而学生的信息则被一些教育机构用来招生宣传。

② 诈骗

中国银联也曾利用大数据分析向社会发布安全提醒，电信诈骗案、盗窃银行卡、非法套现、冒用他人银行卡、网络消费诈骗等，其中超过90%是由于个人数据泄露引致，已成为犯罪主要源头。

③ 再度贩卖获利

信息经销商以低价购买公民个人信息，然后以高价出售。 在齐齐哈尔市农垦区人民法院2017年的一项裁定中，被告崔文虎是从该热线以低价购买个人信息，然后以高价出售该信息的人。 自2015年5月以来，崔文虎一年半以来六次转售市民的个人信息，累计利润近万元。

  关于个人信息的泄露，东南大学法学院副教授单平吉说，法律需要为软件读取个人信息设置界限。

  Shan教授还说，保护个人信息的最基本方法是在立法层面上，将《个人信息保护法》纳入立法计划，并在制定《民法典》。 对于个人信息的保护，还有更清晰的规定。 完美的，互联网上的个人信息保护有望得到进一步加强。