神譯局是36氪旗下編譯團隊，關注科技、商業(yè)、職場、生活等領域，重點介紹國外的新技術、新觀點、新風向。

編者按：在數(shù)字經(jīng)濟和智能設備高度發(fā)達的今天，整個世界是互聯(lián)的，但隨其而來的是一個極容易被人忽視卻至關重要的問題——個人數(shù)據(jù)安全和隱私問題。在印度，一款叫做“真實來電”（TrueCaller）的來電顯示應用風靡全國，這個來電顯示自帶神效，不僅可以顯示陌生來電者的姓名、職業(yè)、來自哪個地方，甚至其前雇主的名字也眾目具瞻。更可怕的是，這款應用竟然還可以根據(jù)個人設備上的個人財務數(shù)據(jù)推送貸款廣告和理財方案。這個應用來自瑞典，卻為何在印度成為下載量占其全球總量三分之一的熱門軟件？接下來為你揭秘。因篇幅原因，文章分為兩部分刊出，此為第二部分。本文來自編譯。

劃重點：

Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩(wěn)固。

Truecaller的大部分數(shù)據(jù)集都是在未經(jīng)用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數(shù)據(jù)保護的、全面的法律框架。

該公司目前的業(yè)務，可能還涉及為注冊用戶建立一份完整的財務檔案。

你手機中的每一個聯(lián)系人都將成為Truecaller數(shù)據(jù)庫的一部分，該數(shù)據(jù)庫包括那些未注冊或未同意將其號碼識別出來的用戶。

這是一種眾所周知的“同意疲勞”現(xiàn)象。

只要有人用他的電子郵件登錄網(wǎng)站，他的聯(lián)系人就會被上傳到Truecaller的服務器上。

Truecaller實際上是在從你的聯(lián)系人那里收集你的個人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)。

2020年6月，一家國家銀行的一名助理經(jīng)理（由于不想危及自己的安全，不愿透露姓名）搬到了孟加拉國，加入了印度外交使團所雇傭的合作方。這名銀行員工告訴The Caravan，他們一到孟加拉國，由于服務提供商的規(guī)定，手機上的常規(guī)短信功能就停止了工作。然而，這名銀行員工仍然可以收到短信通知，包括每次在線交易的一次性密碼（OTP），這是通過安裝在手機上的Truecaller實現(xiàn)的。他們與The Caravan分享了其中一些消息的截圖，有國家銀行的標志、他們的銀行余額，以及每條賬戶號的后四位數(shù)字。這導致了一個問題：Truecaller是否能夠訪問SMS內(nèi)容，是否能夠見證與銀行的每一次“秘密握手”——通過一次性密碼而進行的銀行交易。

這位前雇員說：“除了追蹤你的電話、通話時長、你頻繁和最不頻繁的聯(lián)系人之外，Truecaller軟件還可以建立你的詳細財務資料，因為它可以訪問你的短信?！彼麄冏C實，該公司的算法可以讀取短信內(nèi)容。“Truecaller軟件有一個叫做‘短信分類器’的特殊功能，能夠識別個人、高優(yōu)先級（銀行一次性密碼OTP和交易），以及注冊用戶的垃圾短信。”他們補充說，當人們的銀行余額低于某個數(shù)字時，該應用程序會向他們發(fā)送貸款建議。Truecaller已經(jīng)為注冊用戶提供了高達50萬盧比（約6600美元）的短期貸款，無需太多的文書工作。該公司還與提供個人貸款的WhizDM Innovations等公司建立了金融合作關系。

這位前雇員還指出，訪問短信存在安全風險，因為如果Truecaller系統(tǒng)被感染或出現(xiàn)bug，整個數(shù)據(jù)都可能被泄露。他們表示：“短信主要處理銀行交易，任何人都可以試圖獲取數(shù)百萬Truecaller用戶的財務信息，并竊取這些信息。”他們指出，2019年，“一個所謂的漏洞”自動創(chuàng)建了印度工業(yè)信貸投資銀行（ICICI Bank）的統(tǒng)一支付接口賬戶，“在Truecaller用戶中引發(fā)了恐慌和黑客攻擊恐懼?！盇lan Mamedi隨后通過一篇博客文章表示道歉，他說：“我們理解這一消息和眾多謠言可能給人們帶來的擔憂和沮喪，我們真誠地向他們道歉。Truecaller的所有員工都為發(fā)生這樣的事情感到難過?！?/p>

Truecaller否認它有讀取短信內(nèi)容的能力，并表示它只在本地分析手機上的短信，以識別發(fā)送者，并確定它是否是垃圾郵件。然而，該公司同時聲稱，通過將Truecaller作為一個默認的短信應用程序，用戶可以將郵件分類，如OTPs、約會、垃圾郵件、未保存的號碼等，從而保持收件箱的整潔。

此外，Truecaller適應世界部分地區(qū)不斷演變的立法的方式，也引發(fā)了對其在印度的做法的一些嚴重問題。該公司在另一個主要市場尼日利亞制定了嚴格的隱私規(guī)定，并在2016年歐盟通過《通用數(shù)據(jù)保護條例》（General Data Protection Regulation）后，為歐洲用戶重新構(gòu)建了應用程序。然而，印度市場并沒有采取類似的嚴格措施。

例如，這款應用的歐盟用戶擁有基于六個法律關卡的多層保護：同意、合同履行、合法利益、重大利益、法律要求和公共利益。因此，該應用程序為其歐盟用戶在隱私中心提供了額外的訪問和控制功能，允許他們訪問、糾正、刪除、限制處理和傳輸他們的數(shù)據(jù)。印度用戶沒有這樣的選項。在《通用數(shù)據(jù)保護條例》GDPR實施后，一個獨立的歐洲數(shù)據(jù)保護和隱私咨詢機構(gòu)——工作組（Working Party）于2017年6月致函Mamedi，對True Software收集個人數(shù)據(jù)的方式表示擔憂。這封信的副本在The Caravan里，上面寫著：

“Truecaller實際上是在從你的聯(lián)系人那里收集你的個人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)?！?/p>

True Software似乎既從Truecaller用戶的聯(lián)系人列表中獲取個人數(shù)據(jù)，也在某些情況下從他們的社交媒體頁面中獲取個人數(shù)據(jù)（包括姓名、電話號碼、電子郵件地址，如果可能的話，還包括人口統(tǒng)計信息和其他聯(lián)系信息）。這些信息會通過在Truecaller的網(wǎng)站和移動應用程序上進行反向搜索而公開。除非這些人經(jīng)常關注自己的網(wǎng)站或主動下載這款應用程序，否則完全有可能對自己數(shù)據(jù)的使用情況一無所知。這意味著他們被剝奪了自己下指令的權(quán)利，他們的隱私受到了侵犯。

不久之后，該公司于2018年將其數(shù)據(jù)中心移至印度。普拉納什·普拉卡什是總部位于班加羅爾的非營利組織互聯(lián)網(wǎng)與社會中心的創(chuàng)始成員之一。據(jù)他說，Truecaller在印度的運作方式是不作為的。他說：“當Truecaller說‘我們用戶的權(quán)利和利益是頭等大事，因此我們?yōu)樗械赜虻挠脩籼峁┗鞠嗤臋?quán)利’時，他們是在撒謊?！痹谟《?，Truecaller會從你的地址簿中存儲聯(lián)系人的個人信息，并提供聯(lián)系人的反向號碼查找功能。這不是一個跨地域“基本相同的權(quán)利”的例子。歐盟用戶的隱私權(quán)顯然得到了Truecaller的尊重，而Truecaller卻不尊重印度人的隱私權(quán)?！?/p>

Truecaller的做法似乎也違反了谷歌的隱私準則。谷歌Play Store的公關經(jīng)理里什圖·阿瑪納尼（Rishitu Amarnani）對The Caravan關于Truecaller做法的問題給出了不明確的回答。我們被告知，“你們分享的信息已轉(zhuǎn)交給相關團隊”，該團隊“正在對此進行調(diào)查，并將根據(jù)調(diào)查結(jié)果采取適當行動”。程序員出身的律師Prasanna告訴The Caravan，“不幸的是，谷歌的隱私政策非常有限”，因為它的目的只是規(guī)范應用程序如何從用戶那里收集個人數(shù)據(jù)?！癟ruecaller實際上是在從你的聯(lián)系人那里收集你的個人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)。”

盡管印度政府在數(shù)據(jù)保護法案上拖拖拉拉，憂心忡忡的印度公民已經(jīng)開始介入了，開始填補隱私保護這一空白。2021年7月，孟買高等法院向印度政府、馬哈拉施特拉邦政府和印度國家支付公司（National Payments Corporation of India）發(fā)出通知，回應有關Truecaller應用程序違反規(guī)定共享用戶數(shù)據(jù)的公益訴訟。提交請愿書的實習律師Shashank Posture稱，Truecaller在未經(jīng)用戶同意的情況下與一些合作伙伴共享數(shù)據(jù)，然后將責任推給用戶。

“像Truecaller這樣的數(shù)據(jù)驅(qū)動公司的一個主要優(yōu)勢是，印度人還沒有理解隱私的價值和需要，”Posture告訴The Caravan雜志。“在印度，沒有明確的隱私法，人們對可以接觸到數(shù)以百計的私人隱私號碼這件事并未感到不妥，甚至并未想到這可能會招致廣告電話對他們及親朋好友進行轟炸，甚至不覺得將他們的名字和職業(yè)身份公布在公共領域是一件危險的事情?！?/p>

數(shù)據(jù)保護法案能否解決與Truecaller相關的隱私和數(shù)據(jù)問題，還有待觀察?！皩τ诩磳⒌絹淼腄PB，我們一直與主要利益相關者保持著定期聯(lián)系，”該公司發(fā)言人告訴The Caravan?！拔覀兊氖紫瘓?zhí)行官Alan Mamedi在2020年親自會見了聯(lián)合議會委員會的主要成員，傳達了我們的立場，解釋了Truecaller的工作原理，并表示我們會遵守最終法案的所有條款?！?/p>

Prasanna對該法案不抱太大希望。他說，盡管它明確禁止未經(jīng)同意收集數(shù)據(jù)，但只有當受影響的一方能夠證明受到損害而不是隱私損失時，它才提供賠償?！斑@可能會讓DPB變成一只沒有牙齒的老虎——即使有罰款和處罰的規(guī)定?！?/p>

譯者：Vivi

關鍵詞： 數(shù)據(jù)竊取