被“裸奔”的美國手機使用者

Editor發表於2019-01-28

被“裸奔”的美國手機使用者


2019剛剛開年,美國的移動運營商又被客戶位置資訊共享這個老問題纏上了。知名的科技媒體《主機板》(motherboard)報導,他們的記者在支付了300美元給“賞金獵人”後,順利地拿到了指定手機的實時位置資訊。引發爭議的是,在獲取位置資訊的整個過程中,目標手機使用者完全沒有被告知。


報導一出,美國的四大移動運營商又坐不住了。T-Mobile的CEO John Legere率先表示將馬上在今年3月份時“完全結束和位置聚合商的合作”。


AT&T也宣告,計劃3月份完全關閉所有位置聚合商的資料訪問通道。AT&T還表示,在2018年因為手機客戶位置資訊洩露醜聞被參議員公開質詢後,公司已經關閉了絕大部分所有位置聚合商的資料訪問通道,只保留了少數面向客戶提供特定服務企業的手機客戶位置查詢,如道路救援服務等。


另外兩家移動運營商Verizon和Sprint也做了類似的表態。


美國的手機客戶資訊為什麼會洩露,通過什麼方式洩露,為什麼屢禁不止呢?根源在移動運營商在行業轉型時數字化能力不足,最終導致它們只能以直接出賣客戶資訊為基礎盈利模式。


從行動通訊進入3G、4G時代以來,移動運營商的商業模式被全面顛覆。單一的資料流量無法再有效地進行價格區隔,整個收入結構在快速流失語音收入的基礎上越來越呈現月票式的單一收費模式,也稱為統一費率(flat fee)。換言之,從高階到低端的客戶套餐價格差異逐步變小。而在市場激烈競爭下,整體的通訊套餐價格水平還在不斷下移。


在市場飽和、主業收入不斷流失的嚴峻形勢下,美國的移動運營商不得不尋找數字化的新業務。既然前向收入(面向客戶,2C)增長有限,那麼拉動後向收入(面向企業,2B)增長就成為移動運營商有限的選擇。移動運營商擁有的客戶資訊就成為最好的後向收入發展的基礎。這裡談到的客戶資訊除了基本的客戶註冊資訊之外,還包括客戶使用時產生的位置資訊、客戶的瀏覽與應用互動歷史資訊等。


但如果要橫向比拼數字化能力,傳統的移動運營商會在Google和Facebook這樣的網際網路新貴面前敗下陣來。Google擁有美國超過40%的數字化廣告市場份額,而Facebook也有20%左右的市場份額。


更重要的是,單一的移動運營商,如Verizon、AT&T等,是無法做到客戶全覆蓋的。美國最大的移動運營商也沒有達到超過半數的市場份額。而Google一家,就可以做到Andriod手機全覆蓋,Apple手機覆蓋超過90%。這時,為移動運營商提供整合服務的資料“掮客”就出現了。



逐步失控的資料掮客


資料“掮客”的準確名稱為“資料聚合平臺”。顧名思義,就是把各個來源的客戶資料通過自己的平臺進行整合,並向下遊的客戶提供統一的資料訪問分析服務。

在美國,和移動運營商有合作關係的資料聚合平臺大大小小上百家。其中就有最近出事的Zumigo和去年被曝光的LocationSmart。


從2G時代以來,依託行動通訊網路的定位功能,慢慢出現一些新興行業需求,如取保候審監控、道路救援定位等。一些手機使用者在需要使用某些服務時,自願開放自己的位置資訊給第三方,便於第三方提供相應服務。2018年12月底,華為首席財務官孟晚舟在加拿大被扣後取保候審,就使用了基於移動運營商資料的取保候審監控服務。


當然,還有一些查詢需求是來自於執法部門。執法部門在獲得法官發出的搜查令後就可以到移動運營商那裡獲取手機的位置資訊。


這些各種各樣的位置資料需求服務五花八門,對於查詢的手機使用者也是遍佈於各個移動運營商,所以單一的移動運營商無法滿足要求,也沒有資源一一提供服務。於是,各家移動運營商就把位置資訊訪問許可權開放給這些資料聚合平臺,並要求資料聚合平臺在提供位置資訊時必須獲得目標手機使用者的許可,或者獲得執法部門發出的有效搜查令。


但是很遺憾,當移動運營商把位置資訊訪問控制權下發給資料聚合平臺後,資料聚合平臺並沒有完全按照移動運營商的要求進行許可權控制。


資料的洩露則是從合規的位置資訊查詢慢慢開始演變的。原先,某資料聚合平臺對地區的執法部門開放,當執法人員上傳有效搜查令後,可以對相關手機號碼進行位置資訊查詢。隨著查詢數量增大,因為來查詢的又都是執法部門的使用者,所以資料聚合平臺的合規性檢查越來越流於形式。


2018年5月,《紐約時報》報導,密蘇里州密西西比縣的一位前警長在沒有獲得合法手續的前提下,使用資料聚合平臺Securus公司提供的服務來監視他人及警隊同事的手機。並且這樣的行為沒有獲得法院文書許可。


Cory Hutcheson是Securus公司的合法使用者。基於Securus公司的系統,他可以在數秒內查詢到被監視手機所在的位置。從2014年至2017年,Cory Hutcheson至少使用過11次該服務。他查詢的手機使用者包括一位法官和幾位州公路巡警。


類似的事情層出不窮。資料聚合平臺Securus公司服務的物件包括遍佈美國全國的幾千所監獄,監控這些執法部門要求的手機呼叫和位置資訊。同時作為美國最大的監獄電話系統服務提供商,Securus需要盡力滿足執法部門提出的監控要求,所以,對於一些不合規的查詢請求,Securus也沒有動力嚴格封殺。


除了面向執法部門的位置查詢服務被濫用,其他位置查詢的行業應用也存在被濫用的情況。比如卡車運輸公司需要了解自己車隊卡車的位置、電子商務網站需要了解配送車輛和配送員的位置、道路救援公司需要了解被救援客戶的具體位置等。


但在實際應用中,汽車銷售商往往通過道路救援公司偷偷獲取客戶拜訪汽車銷售商店的資料。移動運營商向企業營銷人員提供潛在手機使用者資料,以支援快餐連鎖店向多次開車經過其餐廳的使用者推送宣傳廣告等,都是客戶位置資訊被濫用的例項。


去年5月,在《紐約時報》和《華爾街日報》等媒體報導的推動下,美國聯邦參議員Ron Wyden分別向Verizon、AT&T、T-Mobile和Sprint發出質詢信件,要求它們解釋目前的客戶位置資料共享情況。


美國四大移動運營商全部都給予回覆,表示將重新審閱與第三方資料聚合平臺公司的商務合作條款,確保對客戶隱私資料的有力保護,並將儘快終止與部分資料聚合平臺公司,如LocationSmart 和Zumigo公司的合作。其中LocationSmart就是向Securus公司提供位置資訊服務的公司。


遺憾的是,目前美國的手機位置資料共享已經形成了一個完整的產業鏈。從上游移動運營商,到中游的各個資料聚合平臺,再到前端的各種位置查詢服務,各個環節都有可能在不合規的情況下把客戶位置資訊洩露出去。



資料洩露鏈條是如何形成的


這次《主機板》雜誌披露的資料洩露鏈條,就是從移動運營商T-Mobile開始,位置資料訪問授權給Zumigo。Zumigo進一步把小批量位置資料查詢打包成服務開放給Microbilt。Microbilt的部分使用者是保釋金服務公司,他們專門向無力支付保釋金的被檢控人員提供保釋金服務。為了防止被檢控人員棄保潛逃,保釋金服務公司通過內建SIM卡的電子手環/腳環監控被檢控人員的位置。最終向《主機板》雜誌提供位置資訊的是保釋金服務公司的“賞金獵人”。他們職責是尋找並抓獲棄保潛逃的被檢控人員。通過一級級的功能開放和業務分包,本來應該由移動運營商承擔的客戶隱私資料保護職責就被下放給各級合作伙伴乃至徹底被無視了。


需要指出的是,《主機板》雜誌披露的資料洩露鏈條中的Zumigo公司,早在去年6月就被各個移動運營商點名要終止資料共享合作,但到2019年1月新的報導披露的時候,還擁有位置資料訪問權。這從一個側面說明,目前移動運營商在資料變現方面乏善可陳。直接出賣客戶資料已經是其重要的資料變現手段。


在不到一年內,主流媒體兩次披露美國行動通訊行業客戶位置資訊洩露的現狀,將推動美國監管部門進一步收緊資料管控和隱私保護的政策。


對於美國,2018年是個人資料隱私被空前重視的年份。從貫穿全年的Facebook使用者資料濫用案,到6月最高法院在Timothy Carpenter訴美國政府案中裁決取得犯罪嫌疑人位置資訊必須獲取搜查令,再到12月的Google資料隱私國會聽證,都說明了個人隱私資料保護與實際的資料獲取和應用的現狀形成了尖銳的矛盾,現在已經到了需要重新制定個人資料監管規則的時候。


政府監管部門必須跳出現有的監管認知,從資料本身的歸屬權、使用權到合法應用邊界重新進行界定,才能真正在保護個人隱私的前提下鼓勵技術和應用創新,最大程度發揮網際網路時代資料潛在的價值。


來源:《財經》雜誌

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 



更多資訊:






相關文章