被盯上的个人信息儿童手表变偷窥器，免费WiFi一天定位6万次

　　图片来源视觉中国
　　文深燃，作者王敏，编辑金玙璠
　　网上冲浪多年，你可能对自己成为互联网透明人并不意外，但当得知自己的信息是如何被收集、倒卖，还是否能依然保持冷静？
　　就在2022年的315晚会上，央视用一个接一个触目惊心的案例，让消费者们再一次意识到在互联网世界，想不裸奔有多难，信息泄露实在防不胜防。
　　从一天可能收集你的位置信息数万次的免费WiFi、可能随时都在监听监控你家孩子的儿童智能手表，到浏览网页时被匹配手机号码、给你打骚扰电话背后的产业链，有用户表示，看完信息泄露的潜在风险，感到头皮发麻，你觉得自己全副武装，但是在对方眼里你却是一丝不挂，毫无秘密。
　　很难想象，在这些过度收集用户信息的黑色产业链上，中小学生的智能手表也会被盯上，成为行走的偷窥器，而拥有手机的成年人，手机号码更是被明码标价，一个15元，服务商为了规避监管，甚至会采用虚拟货币交易。
　　个人信息管理和泄露，是近几年315晚会持续关注的焦点，本届315晚会曝光的窃取个人信息的方式却在持续迭代，有些可以靠用户提高自我防范意识来解决，有些实在防无可防。尽管2021年有关部门一直在加大对APP过度收集用户行为的规范力度，但不得不承认，个人信息保护依然任重而道远，这一顽疾的连根去除依旧还需跨过一座座大山。
　　信息泄露了，你可能还一无所知
　　谁能想到，一款APP，一天收集你的位置信息的次数居然高达六万次。
　　今年在315晚会上首次出现的315信息安全实验室，专门对市场上的免费WiFi类APP进行了测试。测试人员发现，很多APP打着免费WiFi连接的旗号，罗列的WiFi资源全都连接不上，这也就罢了，这些APP还会捆绑多个手机应用，每天推送弹窗广告，像甩不掉的癞皮糖。
　　更可怕的是，这类APP可能会在后台大量收集用户信息。测试人员提到一个名叫越豹WiFi助手的APP，可以不断自启动，读取用户信息，推送弹窗广告。还有一款叫雷达WiFi的应用程序，一天之内访问手机的位置信息，高达67899次。
　　315信息安全实验室相关专家何延哲表示，上万次，意味着，用户从早到晚、包括睡觉，这些应用程序都在一直定位，可以把用户的生活轨迹、行踪全部串起来，掌握用户的生活规律、职业、喜好。
　　雷达WiFi访问次数逾6万次图片来源315晚会
　　瞄上你的喜好、消费习惯、个人联系方式的，还有越来越精准的骚扰电话。很多用户可能会有这样的经历，只是用手机浏览了某些网站，并没有留下电话和个人信息，却常常能接到相关行业的推销电话。
　　图片来源315晚会
　　晚会中，被曝光的杭州以渔公司相关人员介绍道，用户都是近期用手机浏览过一些家具、装修网站，虽然没有留下电话号码，但通过每个人手机上对应着一个MAC号（手机识别码），就能匹配到用户的手机，可以直接给用户打电话。
　　中小学生更是信息泄露的高危区，一块看似其貌不扬的儿童智能手表，风险性却极高。
　　儿童智能手表是父母们和孩子取得联系、掌握孩子行踪的重要载体，更是一些小学生社交的必备工具，已经能融合人脸识别、高清拍照、社交、字典查询、听音乐、看视频、健康检测等多个智能功能。
　　防范意识不强的小学生，佩戴上低配版的儿童智能手表，很容易被诱导下载恶意程序，可能会泄露用户的位置、声音、影像等信息。根据央视报道，315信息安全实验室的工程师为了测试，在以抽奖为由头吸引小学生下载一款程序后，就将恶意程序植入了孩子的智能手表。
　　远程控制儿童智能手表便可获取位置图片来源315晚会
　　接下来，工程师通过远程控制，就可以对孩子实时定位，在后台通过多次采集孩子的移动轨迹，推断孩子的活动范围，比如她家离学校其实很近，大概两三百米，5分钟就能走到。回家后，孩子和姥姥聊天，通过调用手表里的麦克风，身在异处的工程师可以对谈话内容一清二楚。饭后，孩子在书桌前做手工，一举一动也被随时掌握。
　　问题出在，厂商给这款儿童智能手表搭载的是安卓4。4操作系统，是近10年之前发布的版本，而最新版本已经更新到了安卓12。为了节省成本，厂商搭载了过于老旧的系统，而忽略了安全性，给了不法分子可乘之机。
　　还有一些低配版的儿童智能手表，搭载的是安卓9，操作系统看似较新，安装APP时，系统会弹窗提示是否给予某个权限。用户一旦拒绝授权，APP就会拒绝提供任何服务。比如，测试人员打开一款叫天气的应用程序，它会出现一个弹窗，索要用户的存储权限，被拒绝后，会索要打电话权限，再次拒绝后又会索要定位权限，一直被拒绝后，这款APP就闪退了。这逼得用户要使用服务，就不得不交出各种权限。
　　不敢下单了，有家长看到儿童智能手表被评价是行走的偷窥器，暂缓了给孩子购置的打算。
　　个人信息泄露的方式、环节众多，但对于普通人而言，结果就只有一个，面临的生命财产安全风险增多。
　　表面无关要紧的数据，但如果有心人通过点、线、面将个人信息一点一点结合起来，实际上能够对一个人了如指掌，进行精准营销乃至诈骗。
　　个人信息已被明码标价：一个手机号15元、用虚拟币交易
　　都是谁在背后，悄悄盯着你的个人信息？
　　免费WiFi这类蹭网类APP，从诞生之日起，就一直因为安全性和隐私问题饱受诟病。
　　早在约四年前，工信部就曾专门通报了蹭网类APP。WiFi万能钥匙和WiFi钥匙具有免费向用户提供使用他人WiFi网络的功能，涉嫌入侵他人WiFi网络和窃取用户个人信息。相关部门还特别提醒，WiFi网络提供者应谨慎共享自己的WiFi网络，并定期更换WiFi网络密码；WiFi网络使用者应增强安全上网意识，谨慎使用WiFi蹭网类移动应用程序。
　　一直到2021年，上海消保委还专门发文提醒消费者，号称蹭网神器的APP极有可能造成个人隐私信息的泄露和滥用。
　　蹭网类APP不仅可能过度收集用户信息，还通过让用户躲不掉的弹窗广告来牟利。
　　也因此，有评价称，蹭网神器的真面目，其实是带毒的苹果。而骚扰电话的产业链更是有过之而无不及。
　　央视315晚会深扒了越来越精准的骚扰电话背后的产业链。这个产业链上的公司，将骚扰电话隐晦地称为陌拜（陌生拜访电话）。
　　杭州以渔每为客户匹配一个陌拜手机号，收取3元左右。融营通信专门为一些电销公司隐藏打陌拜时的主叫号码，1分钟0。1元，一年纯话费收入将近一个亿，服务大概两万多家客户，其中打陌拜的，有80以上。
　　电话信息从何而来？乘移信息技术有限公司业务经理指出，抓取自身广告页面的用户，管理后台是可以看到客户手机号码的，价格为15元一条。
　　做类似业务的郑州绿牵，一个月能获得一百万条用户数据，而且，为了规避监管，会采用虚拟货币进行交易。
　　骚扰电话的产业链，还涉及了美股上市公司容联云，其旗下容联七陌的相关人员介绍道，通过几十甚至上千的号码池帮助客户呼出，来规避投诉和监管，平台客户达到了3万多家。但2021年前三季度，容联云依旧还处于亏损状态，财报显示，营收为约7。55亿元，净亏损为约3。9亿元。美东时间3月15日收盘，容联云股价报收1。46美元，较开盘价下降了8。18。
　　杭州以渔的工作人员也知道，这门生意是做不大的，一旦做大，反而风险越大。
　　至于儿童智能手表，作为一款可穿戴设备，其需求量呈逐年上涨趋势。华经产业研究院发布的《20212026年中国智能手表行业投资分析及发展战略研究咨询报告》显示，20152020年我国儿童智能手表需求量逐年增长，从2015年的800万件增长至2990万件。
　　但由于全国性行业标准缺失、市场监管力度不够，儿童智能手表市场也出现信息及健康等安全隐患突出、产品过度娱乐社交化、产品质量参差不齐、创新性和智能化成色不足、服务保障及生态构建被轻视等问题。
　　早在2019年，我国儿童智能手表就被曝出存在安全防护漏洞等问题。天眼查数据显示，我国有近1。4万家可穿戴设备相关企业，52。0的可穿戴设备相关企业分布在批发和零售业。超1500家可穿戴设备相关企业出现过经营异常，占总量的11。0。
　　儿童智能手表行业的发展，还需要订立全国性的行业标准，重点解决产品面临的安全、续航、服务等问题，共建共享开放性底层技术平台，打造适用于智能手表领域的安卓系统，及时纠偏产品过度娱乐社交化等倾向。
　　如何拒绝成为透明人？
　　在用户数据成为关键的互联网时代，个人信息泄露早已不算是新鲜话题，但所泄露的信息，以及信息泄露的方式却在持续迭代。
　　比如去年315晚会，一些商家通过安装人脸识别摄像头，非法采集甚至滥用人脸信息，洞察用户的年龄、身份甚至情绪以及消费习惯。
　　个人信息泄露后，用户持续收到垃圾短信、骚扰电话都还是轻的，坑蒙拐骗的诈骗团伙一旦乘虚而入，钱财损失，甚至身份被冒用有了违法犯罪的记录，这些都有可能发生。
　　那么，应该如何防止信息泄露，拒绝成为透明人呢？北京至普律师事务所首席合伙人、主任律师李圣对深燃表示，普通人首先需要提高隐私信息保护意识，不要随意安装不明APP，登录非法网站，定期清理手机，如果有被要求填写个人隐私信息的，需要再三确认其正当性和合法性。
　　也有行业人士提醒，大部分APP在下载安装时都会被要求开通多项权限，包括通讯录、摄像头、短信、录音、位置等，用户在授权时要仔细阅读，非必要的可以选择拒绝。
　　但是，用户提升自我防范意识，只能是第一道屏障。毕竟，像骚扰电话越来越精准，这种情况，用户根本无法抵抗。
　　李圣提到，以本次315晚会曝光的信息泄露相关的几种产业链为例，无一例外都违反了《个人信息保护法》。
　　2021年实施的《个人信息保护法》确定了个人信息保护和利用规则，对企业个人信息数据安全合规提出了新的要求。但从目前的情况来看，企业个人信息数据安全合规仍需要强化监管，遏制这种商家野蛮生长、随意侵害消费者的情形发生。
　　李圣认为，商家非法获取个人信息，监管部门可以责令改正，给予警告，没收违法所得，责令暂停或者终止提供服务、罚款、停业整顿、吊销营业执照等行政处罚，还可以处罚直接负责的主管人员和其他直接责任人员。
　　江苏天煦律师事务所律师沈媛对深燃指出，公民个人信息包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
　　他提到，泄露个人信息情节比较严重的，需要承担刑事责任。《民法典》要求，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
　　沈媛曾经办过一个案件，是股票销售人员在工作过程中，将客户的姓名、身份证、手机号等信息保存，后来有人愿意购买，他便打包卖了数十万条，从中获利了700多元，最后被判处了三年有期徒刑。个人信息黑色产业链的每个环节，也都应该明白这其中的法律风险。
　　沈媛提醒，保护个人信息，个人层面再怎么谨慎都不夸张，企业更是应该承担起本应肩负的责任。