作者:罗聪冉
“您想知道每天有谁访问了您的网站吗?您想知道访问您网站客户的手机号码吗?”
“进入您网站的访客,大多都是对您的产品或服务感兴趣的潜在客户,辛辛苦苦带来的流量,你愿意让它付之东流吗?怎样与之建立沟通呢?不容质疑,取得联系方式是第一步。”
“获取到访客的联系方式,您就可以通过电话营销告知产品详情……现在开始:一段代码,主动营销!”
以上是一些标榜“精准访客抓取系统”的网站宣传语。这种“手机访客营销”黑色产业链已存在多年,其背后的技术原理是:不法人员编写用于抓取手机号的代码加载到特定网站上,当用户用手机浏览这些网站时,手机号等信息就会被抓取。
近日,这种网络黑产得到“围剿”——12月5日,北京市海淀区警方公布,破获一起涉及15省18地市的特大非法获取公民个人信息案,查获非法涉案网站26个、手机号等个人信息上百万条。目前,33人因涉嫌侵犯公民个人信息罪已被检察机关批准逮捕。
自上述案件公布后,法治周末记者调查发现,很多此前从事过销售“手机号抓取”服务的商家,都纷纷声称已不再从事这项业务。不过,值得一提的是,仍有部分商家提供“QQ号抓取”服务。
网站加装代码抓取手机号多人被逮捕
据媒体报道,今年6月初,在北京市海淀区IT领域工作的张某,无意中发现一网站提供“手机号抓取”服务。
为了确认该网站提供的“服务”是否属实,张某按照网站提示注册了会员,进行了试用,发现用户通过手机浏览植入代码的网站后,手机号码、型号等信息确实可以被抓取到。张某随即向北京市公安局海淀分局报警。
警方对涉案网站调查发现,该网站主要向一些“专科医院”“美容医疗机构”等网站出售抓取代码,不过编写代码的另有其人。
7月24日,警方启动了“滤网行动”,截至9月25日,警方共抓获26个涉案网站多名违法犯罪嫌疑人,查获公民信息一百余万条。目前,检察机关已批准逮捕包括制作和销售抓取手机号代码的嫌疑人梁某在内的33名嫌疑人,案件仍在进一步调查中。
记者了解到,近年来,“手机号抓取”这种黑色营销手段一直饱受诟病。早在2016年8月,就有媒体报道,人们在使用手机浏览器搜索病症介绍、点击浏览某些医院网站时,手机号等隐私信息很可能就被网站盗取。而根据网友反映,不只是医院,通过手机搜索培训学校、股票咨询等关键词,并点击进入一些网页后,就有莫名其妙的推销电话打进来。
那么,为何访客在使用手机上网时手机号会被抓取,这种抓取技术是如何实现的?猎豹移动安全专家李铁军告诉法治周末记者,这可能是因为部分手机系统存在安全漏洞,或者是运营商的某些业务存在安全漏洞,被不法分子所利用,从而导致用户在手机上浏览某些网页时,手机号就被网页记录下来。
QQ号抓取仍在“顶风作案”
海淀警方披露“滤网行动”案情后,记者以“手机抓取”为关键词在网上进行搜索,仍出现不少从事这项业务的网站,不过似乎受此次行动影响,一些网站工作人员多表示,不再提供手机号抓取服务了。
12月7日,记者随机点开了一家名为“抓取宝”的网站,其号称“专门抓取QQ和手机号的工具”,记者向“抓取宝”客服咨询收费问题,客服简短回复,“暂时用不了”。
随后,记者又选取了多家提供“手机抓取”服务的网站进行咨询,对方也纷纷表示不再运营了。不过,也有个别商家表示还可以提供QQ抓取服务。
12月8日,记者以购买者身份联系到一位QQ名为“A网站访客手机和QQ抓取”的商家,该商家称,目前只提供QQ获取服务,其提供代码,购买者将代码添加到自己的网站中即可;该代码可以获取电脑端的访客,只要访客在电脑上登录过QQ相关产品,就有一定概率能获取到QQ号,成功率为40%。
另外一家名为“罗网访客统计”网站的客服也声称:“全国都没手机抓取了,犯法做不了,抓到判刑,现在只能采集用户设置允许公开的信息或虚拟信息。”在该客服看来,QQ属于虚拟信息,不过当记者追问是否可以提供QQ抓取服务时,该客服表示,需要根据购买者所处的IP地址进行判断,再下结论。
在李铁军看来,这种抓取电脑端访客QQ的做法之所以能得逞,是因为QQ有一个快速登录的接口,只要用户在电脑网页上启动过快速一键登录的服务,用户的这项授权可能就会被一些恶意软件技术所利用。
资深互联网安全专家、北京炜衡(上海)律师事务所高级合伙人邹晓晨向法治周末记者分析,用户安装QQ时会在电脑上留下安装目录,如果有人执行了恶意代码,就会在用户电脑本地上获取到该目录里的QQ号码。
抓取QQ号是否属侵犯个人信息
QQ号是否属于公民个人信息?抓取访客QQ号的做法,是否涉嫌侵犯公民个人信息呢?
北京邮电大学互联网治理与法律研究中心常务副主任谢永江在接受法治周末记者采访时表示,根据网络安全法,网络运营者为用户办理网络接入、域名注册服务,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息;用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
“目前已以法律形式明确网络实名制,用户QQ号背后是用户的实名信息,通过QQ号相关联的信息,是能够识别个人身份的,所以QQ属于个人信息范畴。”谢永江指出,根据网络安全法等法律法规的要求,企业收集用户信息必须经过用户同意;收集、使用个人信息应遵循合法、正当、必要原则,这种通过安装代码抓取用户手机号、QQ号的做法,并未经过用户同意,是私自利用网络技术获取个人信息,涉嫌滥用信息技术从事非法行为。
不过,邹晓晨认为,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“公民个人信息”是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
“以上司法解释,未把QQ号列入到公民个人信息;目前用户的QQ号需要绑定一个手机号,以此来验证QQ用户的身份信息;所以,如果商家在没有用户手机号的前提下,单凭一个QQ号是无法辨别出公民身份的,很难据此作出侵犯个人信息罪的处理。”邹晓晨说。
不过,邹晓晨认为,“这并不意味着这种行为就会受到法律保护,如果是通过技术手段执行恶意代码,非法获取QQ号信息,可能会涉嫌构成非法获取计算机信息系统数据罪或者非法破坏计算机信息系统罪”。
应防止个人信息滥用
一些从事互联网营销多年的业内人士认为,此前,无论是自然流量还是竞价来的流量,转化率都很差,而手机号、QQ抓取软件给网络营销带来了巨变,因为对传统垂直行业来说,只要获得用户的电话号码或者联系方式,就会有很高的成功率,因此,个人信息对于传统营销模式向精准营销的转变具有重要的作用。
但一个比较残酷的现实是:个人信息商业价值的凸显,使得买卖个人信息、不当获取个人信息的现象越来越普遍。那么,在商业营销中,应如何进行个人信息保护?
“互联网商业营销非常关键的一点,就是在做大数据营销和数据分析整理时,不能把用户行为和用户身份关联起来。”李铁军谈道,“具体来说,当用户搜索一个关键字后,在相应的网页上可能会出现与关键字相关联的一些商业广告,这种做法是没问题的;但是如果用户搜索后,与个人身份相关联的号码马上就被获取,广告商直接就找到用户,这种做法是不允许的,涉及侵犯个人隐私问题。”
不过,北京师范大学法学院教授、亚太网络法律研究中心主任刘德良在接受法治周末记者采访时表示,结合大数据产业发展的背景,应注意区分个人信息和个人数据的概念。