bj是哪里(抖音里说的BJ是什么意思)

漫画创意/供图彭/制图

证券时报记者李翔

你有没有想过:刚和朋友聊完理财、美妆、购房、贷款等日常话题。，为什么会收到Tik Tok、腾讯新闻甚至一些视频网站推送的聊天内容相关的广告？

人们从来没有像现在这样对个人隐私如此焦虑。今年的“3·15晚会”曝光，由于管理缺失，智联招聘、前程无忧、猎聘网等大量简历。被泄露并转卖形成了一个黑色产业。此外，内存优化大师、超级清理大师、手机管家Pro等以清理内存为名，通过技术手段不断获取手机中的信息，包括应用列表、位置信息、通讯录等。

近日，证券时报记者深入几个有数千条数据交易的QQ群，发现各行各业用户的隐私数据被大肆出售，令人震惊。不时有人在群里喊单，“一手GM(股东)、WD(网贷)、BJ(医疗保健)信息，一手拼多多、淘宝、JD.COM的网购数据，需要数据请联系我……”这些数据按照行业分类明确标注。甚至还有收集个人信息的系统显示，号称可以收集全国大佬的个人联系方式。还有各种爬取数据的软件，“爬取”网站，“嵌入”APP，“铲取”数据。

在整个数据交易过程中，间谍、黑客、爬虫软件开发者、清洁工、加工商、供应商、买家等。寄生于此，催生出一个年产值数千亿的数据黑市。

APP权限应用泛滥

在网飞2020年制作的纪录片《监控资本主义:智能陷阱》中，生动地向人们展示了一个场景:社交软件后台的“三个工作人员”正在紧张地分析面前的这个年轻人，他在每张图片下停留多长时间，什么样的情绪更能引起共鸣，什么样的广告会吸引他打开。这三个人中有一个叫停止目标，帮你根据停留时间选择下一个推送内容，让你一直滑动屏幕；一个叫成长目标，让你尽可能多的邀请朋友加入，增加社交依赖；一个叫广告目标，保证你对某样东西感兴趣的时候，能准确的给你发订单链接。

这一切行为的背后是所谓的算法模型，精准的算法背后是依靠海量数据作为支撑，将人数字化。

那么，数据是从哪里来的呢？

获得权限是各种规模的企业通过app或小程序收集用户隐私数据的第一步。当你安装一个APP，你手掌大小的手机屏幕上就显示出上万字的用户协议。你会一字不漏的看还是快速按“同意”？“意见不合”很可能导致APP退出，无法使用。

APP越界主张权利是不争的事实。以美图秀秀为例，很难想象一个p图软件要获取一个人这么多的信息，包括搜索记录，浏览记录，甚至日历，地理位置。仔细阅读美图秀秀的个人信息保护政策可以发现，如果美图秀秀内容分享到第三方平台，用户的应用列表信息也会被读取。美图秀秀还会向游戏合作伙伴提供身份证号信息，甚至与合作伙伴共享用户的付费信息。

该条款还指出，基于现代移动互联网产品的互联特性，产品可能在线连接美图关联公司或外部合作伙伴的其他产品或功能。比如美图在使用钱包功能时，可能会从第三方获取用户的手机号、信用额度、还款金额、贷款成功状态、逾期状态等等。

这意味着，只要用户使用美图软件并授权，美图秀秀不仅可以从自有APP获取用户信息，还可以进一步从第三方平台获取更详细具体的信息。

“这种行为其实很常见。国内用户可能对个人信息保护意识不强，给了企业很大的选择余地，业内称之为“占坑”。有些数据现在不需要，但不代表以后不需要。当然，获得用户授权后抓取的用户信息越多越好。”某金融科技公司大数据风控架构师肖强说。

证券时报记者从衣食住行、社交娱乐、理财等方面对25款app相关权限的获取情况进行了统计，发现与用户社交圈密切相关的通讯录权限成为了app权限的标配。此外，这些app还可以通过一些特定的功能读取邮寄地址、手机存储、照片，甚至记录面部识别、日历和通话记录，手机app的权限申请已经达到泛滥的程度。

有点欣慰的是，APP过度申请权限收集的数据正在加强。

3月22日，国家网信办、工信部、公安部、国家市场监督管理总局联合发布《常见类型移动互联网应用程序必备个人信息范围规定》，明确了地图导航、即时通讯、网络购物等39种常见必备个人信息的范围，要求运营商不得因用户不同意提供不必要的个人信息而拒绝用户使用APP的基本功能服务。

不过，肖强告诉记者，“可能大家都知道APP在收集个人隐私数据，但除此之外，用户的数据也可能被隐藏在APP中的第三方SDK(软件开发工具包)收集。”

SDK收集的用户信息能有多详细？北京网贷协会数据安全专家韩红辉表示，“SDK一旦嵌入，如果你注册登录这个APP，默认授权，所有行为数据都可以被记录，它会不自觉地抓取电话通讯录、聊天记录、银行账户密码、短信、通讯录、位置信息等。”

因此，用户授权APP收集个人信息，但往往不知道自己的个人信息何时、如何分享给第三方SDK。在APP隐私政策内容中关于分享的诸多表述中，最常见的表述是“用户的个人信息可能会与第三方分享”。然而，很少有应用程序会详细列出所谓的“第三方”在其隐私政策中实际包含的内容。

对个人信息安全的担忧反映了用户日益敏感的神经，也是用户对个人数据缺乏知情权和主动权的表现。对于用户来说，SDK就像一颗隐藏的“定时炸弹”，危险性不言而喻。

SDK提供商对用户信息的泄露和滥用非常隐蔽，甚至成为泄露用户隐私的源头之一。

谁窃取了用户隐私？

数码科技的一位销售经理告诉记者，他们有自己专门的渠道获取一些数据，最主要的渠道是通过第三方SDK获取数据。

“这种渠道获得的数据会更准确，类似于漏斗模式，会根据需求对数据进行筛选。比如网贷行业的用户数据，如果用户登录XX普惠，必须授权用户使用这个APP。一旦SDK被授权，该用户的所有登录痕迹都将被收集。如果其他消费金融公司也使用这个SDK软件开发包，也可以共享。”

当记者进一步询问与哪个SDK好友合作时，该经理以“敏感信息”为由拒绝透露。

不容忽视的是，通过网络倒卖用户个人信息的现象十分猖獗。近日，记者潜入几个千人QQ群，发现群里不时有人叫卖各行各业的公民个人信息。

记者以买家身份联系了一个名为“空 City”的QQ卖家，以先测试数据真实性为由，要求对方提供股东个人信息数据。

为证明其数据来源，“空 City”为记者提供了数据来源截图。收集到的投资者个人信息来自各大证券公司APP、广发证券、中投证券、国泰君安等。

正如“空 City”所说，QQ群里确实有一些人打着“公司内部资料”的旗号公然倒卖数据。内幕窃取是个人信息流入黑产的重要渠道之一。接触大量个人信息的职业门槛不高，职位等级也不需要太高。泄漏的来源可能来自各个层面。

2020年，公安机关严厉打击利用职务便利窃取、泄露公民个人信息的违法犯罪行为。各行业都有涉案人员，重点行业涉案人员500多人被查获，只是冰山一角。

除了“内鬼”泄密，还有各种技术手段窃取公民隐私。

在调查采访过程中，黑市数据交易市场非常活跃，数据采集软件种类繁多，其中有一款名为汇融科的APP，号称“全网最大的数据采集软件”。其销售经理告诉记者，“我们的软件是全自动催收的。只要搜索关键词，就可以在各大网站、三图、三运营商找到你想要的客户资源和群体，不仅是获客功能，还有营销资料、带货视频等。每个功能会对应不同的价格。”

当记者询问与哪三大地图合作时，销售经理表示主要是腾讯地图、高德地图和百度地图，授权使用他们的数据接口，并给记者发来一份盖有三大地图运营商印章的合同协议。

本报记者向百度、腾讯、高德公司询问是否授权汇融科使用平台用户数据，对方一致表示不清楚这家公司，不会随意授权API(数据接口)。腾讯内部人士告诉记者，这个章是假的，字体不一样。

为了证明这个软件的数据抓取能力，上面提到的销售经理说可以帮忙后台注册，然后先测试一下。随后，记者下载了这款APP，发现这款软件可以按地理位置、行业、客户类型等进行搜索。，然后导出相应的用户数据，一键添加。

“因为只是体验，你不会看到客户的手机号，这也是我们公司维护其他会员权益的目的。我们会和一些第三方SDK合作，也会和一些大型互联网公司进行API数据的接口。我们与腾讯、百度、华为、阿里、Tik Tok、Aauto Quicker、美团、饿了么都有战略合作关系，资源高度整合。”销售经理说。

记者发现，汇融科软件上显示的数据来源主要是地图数据、工商数据、Tik Tok、Aauto Quicker、阿里巴巴、美团、饿了么、JD.COM互联网巨头。

根据软件中提到的数据来源，证券时报记者向腾讯、阿里、美团、JD.COM等核实，而且大部分都表示没有与名为汇融科的第三方共享API数据接口，只有Aauto Quicker表示不回应。阿里公关进一步表示，集团不可能允许公司通过API接口抓取来电蚂蚁用户的信息，已经在深入调查此事。

“必须使用一些相关技术从这些网站抓取用户数据。其实爬虫技术并不神秘。它“爬行”网页，在处理和清理之前“铲”数据。这类软件很多，大多是用来在全网乱爬客户信息，然后通过处理进行精准分类。这也延伸了职业清洁数据，给人贴标签。”专门编写爬虫代码的阿强告诉记者。

除了监守自盗和技术手段，黑客是窃取大量个人信息的另一个重要来源。从JD.COM用户密码泄露事件到如家酒店用户数据泄露事件，网站和黑客在用户数据上展开了一场旷日持久的攻防战。

但黑客通过技术入侵网站窃取公民个人信息并不难，少则几天，多则一个月，很少被管理员发现。在黑客圈，大家都很有默契。通过入侵网站获取访问权限和信息后，会互相交换数据，交换需要的物品，这样被窃取的公民个人信息数据库越来越大，掌握的个人信息也更加完整。

2020年，在“净2020”专项行动中，全国公安机关共侦办黑客攻击和新技术犯罪案件1782起，共抓获涉案黑客2952人。事实上，更多的黑客还潜伏在地下。

个人信息通过内线、网络技术、黑客等渠道流入数据黑市。，并落入大大小小的各级代理商“材料商”手中。

个人信息明码标价

供应商，也就是数据中间商，与数据源沟通，发送数据买家，是地下数据交易市场中非常重要的角色。个人数据通过分销商在黑市上以不同的价格流通。供应商甚至会开发自己的代理。级别越高，数据源越多，数据信息越完整。

上面提到的销售经理就是行业内的材料供应商之一。他告诉记者，里面只包含电话号码、QQ号等个人一般信息。平均每条信息的拿货成本在4分钱左右，卖出的单条信息约7~8分钱，每条个人信息约赚3~4分钱。“我一个月的销售数据流量大概在40 ~ 50万，在金融、教育、医美等行业做。这个需求会比较大。”

记者在对几家供应商的采访过程中了解到，上述销售经理并不是一级供应商，一级供应商的采购成本在0.15元/条左右，类似朱经理的二级供应商采购成本在0.4元/条左右，三级供应商采购成本在0.7~0.8元/条，终端销售均价在1.2~1.5元/条。

以上只是普通私人数据在数据黑市的价格。在数据黑市中，有专门从事“渗透数据”交易的材料商。所谓“渗透数据”是指可以捕捉到所有信息，包括用户的身份证号、出行记录、入住记录、通话记录、家庭成员、工作、婚姻状况、户籍所在地等。除了电话号码等基本信息。

有的供应商甚至直接在QQ群里标价“渗透数据”，查询个人简单信息15元/条，包括姓名、性别、手机号；中间资料50元/注，除了简单的资料，还包含户籍地址、身份证号、照片；高级信息100元/注，在中级信息的基础上还包括现住址、开房记录、车辆信息；VIP 600元/条。

“正常市场价只是通话记录，竞价在1500元左右，开房记录价在2200 ~ 2500元左右，家庭成员信息在300元左右。”这位名叫“风”的材料供应商说。

据不完全统计，我国约有55.3亿条个人信息泄露。平均每人有4次相关个人信息泄露，车辆、房产、住址、职业、年龄、电话号码、身份证信息等等在黑市上频繁流动。

国内知名信息安全团队“雨攻组”去年10月发布报告称，一年半时间内，多达8.6亿条个人信息数据被明码标价出售，个人数据基本处于裸奔状态。

庞大的灰色产业链

“我想买股票交易的财经信息，数量上不封顶。如果你有什么信息，请找我！”一个买家在QQ群里发布了这样一条消息，很快就有多家供应商通过私聊推荐他们的数据资源。

经过沟通和比价，上述买家告诉记者，他拿到了1万条关于理财的个人信息，包括姓名、电话，价格1元/条。记者进一步询问这些数据的主要用途，买家表示只是为了推广理财产品。

综合访谈来看，购买个人信息最多的是需要推广广告、卖假发票和发布垃圾信息、从事网贷催收的人群。其中，房地产、理财公司、保险公司、母婴、医疗保健行业和教育培训机构是对个人信息渴求的核心群体。

窃取的个人信息也被用于诈骗。比如保健品的用户信息，主要针对老年人，专门用来诈骗。

记者在与买家的接触中发现，他们大多知道买卖的数据交易属于黑产，但还是做出了这一举动。其中一个重要原因是通过正规渠道做广告，比如百度竞价排名，获客成本在60~80元/左右，而通过地下黑市购买用户数据的成本可以大大降低。

从信息收集到信息出售再到信息利用，每一个交易环节都环环相扣，由此形成的“灰色产业链”难以估量。根据狩猎队的报告。com，目前我国网络黑产从业者超过40万人，至少有160万人依靠其进行网络诈骗，年产值超过1000亿元。

数据合规性事务的棘手问题

对于海量个人信息地下市场的规模，目前还没有准确的统计。但从公安机关的专项打击中可以看出。

2020年，全国公安机关深入推进“净网2020”专项行动。全年查处网络犯罪案件5.6万起，抓获犯罪嫌疑人8万余名。其中，查处侵犯公民个人信息案件6524起，抓获犯罪嫌疑人1.3万人。

但显然，这并不是黑市的全貌。贵阳大数据交易所业务经理陈经理告诉记者，“目前通过正规渠道进行数据交易的并不多，更多的数据可能还在黑市上交易。”

贵阳大数据交易所是国内首家大数据交易所。2015年4月正式投入运营，喊出了未来3到5年内日交易额达到100亿元以上的口号。如今，交易所已经成立6年，陈经理告诉记者，目前交易所的日交易量远远没有达到当时设定的目标。

大数据服务商聚力信CEO、陈经理也提到，数据交易过程中的数据确认、数据回溯、安全、合法、隐私保护等问题至今没有得到很好的解决。尤其是数据的采集、加工、采用、交易等数据确认可能有多个参与方，在什么情况下、什么类型的参与方可以获得数据权，在实践中尚未达成共识。

目前可见的红线是来源是否合法，交易数据是否脱敏(涉及敏感信息的去人格化和隐私化处理)。但问题是，在数据流通过程中，实际上很难发现掺杂非法来源、不脱敏的数据。

另外，数据的开放程度远远不够，导致市场上合法流通的数据种类和数量有限，玩家难以施展拳脚。

像腾讯、阿里这样的互联网巨头，在拥有海量数据的同时，可以实现大数据云计算闭环。他们更喜欢将数据产品和服务打包出售，这比单纯买卖数据更有价值，也能规避法律风险。这些玩家不愿意分享数据，从腾讯、阿里、贵阳大数据交易所合同到期后一直没有续约就可以看出来。

但是从技术角度来说，已经有一种技术可以实现B2B之间的数据合规交易。大数据服务提供商Nebula Clusterar的CTO张告诉记者，该公司采用了一套“联邦学习”算法。简单理解就是共同建立一个基于双方现有数据的坐标系。这个坐标系就是所谓的建模。建模完成后，可以更准确的判断客户是在坐标系的安全点还是危险点。但是在建模的过程中，双方都不知道对方的用户信息，所以不用担心用户隐私被复制泄露。

据张介绍，目前上述联邦学习算法只是解决B2B之间的数据合规交易，主要用于银行和金融机构之间的数据交易，成本较高，没有大规模应用。

大成律师事务所律师肖飒告诉记者，目前我国个人信息的合规使用很大程度上取决于公司的自律。各大运营商是否尽到保护用户隐私的责任，如何在公共隐私保护和商业模式之间找到平衡点，在保护个人权益的前提下规范、安全、有序地使用个人数据，释放大数据红利，值得深入研究。

数据 个人信息 用户 信息 告诉记者