一场App和隐私保护之间的“拉锯战”，正在愈演愈烈。

不久前，今日头条App用户公开称该App擅自上传并保存其通讯录后，今日头条辩护回应时，一句“通讯录不属于原告个人隐私信息”，引发轩然大波，没想到，才过去短短几天，上千款App便因类似原因被公安机关清理整治。

本月，广东省公关机关正在进行2019年第二季度超范围收集用户信息App清理整治工作，共检测发现了1048款App存在超范围手机用户信息行为。其中，“酷狗音乐”、“云集”、“即刻”等多款耳熟能详的App，都赫然在列。

国内的App不断试探用户底线，美国知名社交应用Facebook也因一款性格测试应用不当收集了多达8700万的Facebook用户数据，面临美国联邦贸易委员会（FTC）开出的大约50亿美元的罚款，这也是FTC有史以来开出的最大民事罚单。

广大用户对此感到非常愤怒，他们在网上怒喊：“真是天下乌鸦一般黑！”

他们的怒火合情合理：App本是休闲娱乐、处理公事的工具，如今却成了泄露信息、暴露隐私的帮凶，简直是拿着用户信任干“苟且勾当”。

这让人不禁好奇：究竟是什么在“诱惑”这些App，甚至是知名App纷纷“犯禁”？用户通讯录在黑市上有什么价值？如今这一场大规模整治这一行为，会动了谁的蛋糕？

晓程序观察（yinghoo-tech）多方打探，发现这一条黑产下的秘密。

App“越界”？

“安装手电筒App，都要授权通讯录”某用户哭笑不得的说。

天气与通讯录有什么关系？这一离奇搭配，让他脑子里全是黑人问号，更离奇的是，他还遇到过“使用指南针App需要授权摄像头，壁纸App需要读取短信信息”的奇葩要求。

然而，他并不是个例。2018年底，中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示，10类100个App中，多达91个App列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。

这一数据着实令人心惊，虽然App在使用过程中需要读取用户信息，是非常正常的行为，但过度读取又如何解释？

我们咨询了从事律师行业多年的“老将”赵占领，他对“超范围读取用信息”进行了简单概括：与App自身功能相关的属于合理读取，与自身功能不相关的则属于过度读取。

也就是说，用户使用微信扫一扫需要授权摄像头，这属于与功能设计相关的合理读取；而前文提到使用手电筒App却要授权通讯录，就属于典型的超范围读取。

超纲作业，无外乎利益的趋势。不少App运营者认为，掌握用户更多的个人信息就能为运营商带来更多收益。

大数据时代，一个App只需获取用户几个数据，就能全方位还原一个人。

有些App需要用户提供WiFi连接信息，看似无关紧要，其实开发者能通过用户的WiFi进行定位，甚至刻画出用户一天的轨迹。比如你经常在什么地方出现、住址、单位等等。如果再拿到用户手机号、身份证号，那么你的征信数据、电信定位数据、移动主机数据、快递数据、公安系统数据都成了别人的资料库。

届时，App就能通过你的种种喜好、习惯，给你推送各种营销广告。

这便导致，很多App对于用户信息的态度都是：你要我也要，既然要了不如多要几项。“围猎”用户信息，成了大家约定俗成的“市场病态”。

他们拿通讯录去做什么？

各个App宛如群雄逐鹿般的存在，不断地搜刮用户信息，而对于通讯录的收集，是整个“市场病态”的最大缩影。随着公安机关不断清查，App超范围读取用户通讯录的黑产，终于曝光在大众面前。

黑产的产业链其实就是信息倒卖生意，可分工为：数据源头 - 大中间商 - 小中间商 - 诈骗团伙。

数据源头就是可以获得核心数据的人，可以是App开发商，也能是其工作人员。他们将用户数据收集起来，卖给大中间商，由大中间商进行分类，再将分好的数据转卖给中小中间商，最后才会贩卖给诈骗团伙、私人侦探等有需求的人。

在晓程序观察看来，这条黑产下的变现之路，竟然是随着互联网产品的创新，进而不断进化的。

进化1.0，短信骚扰是最常见的路子。

正因App可以通过用户的通讯录构建出一个用户的关系网，能针对性的给用户推送相关的最新消息，此时用户会有一种“亲切感”，非常有利于产品的推广，这是很多短视频App、职场App的基本玩法。

“我就是通过短信通知，下载了某求职App”某自媒体运营者对我们说。

某天下午，他突然收到一条短信，称自己被前公司同事评价你“专业靠谱”，并推荐了177个人脉。这位用户心想，既然是熟人推荐的，下载一个也无妨。于是他就通过短信中的链接，下载了该职场App。

打开App进行注册后，一个页面弹出来，要求自己开放手机通讯录，还加了特别注意事项：确保通讯录不为空且手机号码有效。这时，他就明白了其中缘由，那条短信并非熟人推荐，而是App读取了熟人的通讯录，才找到自己。

进化2.0，电话催款令人“崩溃”。

今年3月一份遗书进入公安人员的视野，遗书的主人董女士因店铺周转困难，被电话推销（黑产的末端）下载了某借贷App，平台显示利率每个月仅0.6%，这让她动了心。

董女士填写完自己的个人信息，并通过“手机实名制验证”（其中就包含了通讯录信息）的运营商认证后，借了1500元。随后，她陆续接到其他推销贷款的电话，一天之内，她一共借了7000元钱。很明显，董女士的电话被这些团伙共享了。

随着所谓的“砍头息”以及利滚利的作用下，董女士最初的7000元滚到40000元。贷款产生的逾期费用每一天竟高达本金的5%—10%。新贷款还旧贷款，起初7000元的债务短短三个月就滚到50多万元。

此外，三个月间，在董女士每天不断还款的同时，通讯录这个“定时炸弹”在亲友间炸裂，她和她的亲友不断地接到各种侮辱性的催收电话。在这种压力下，董女士写下了遗书。

幸好公安机关及时发现，拯救了董女士，才揭开了借贷App的真面目。不久后App读取用户信息就有了新规定，借贷类App不得强制要求用户授权通讯录信息。

如今，在互联网这个新载体下，随着新的营销工具出现，骗术也在大跃进，他们就如同寄生虫，母体越强，他们生命力越旺盛。

短视频App成黑产新战场

还记得那篇《我一个500强做食品的，被抖音卖烤虾的骗了》的文章吗？作者刷抖音时，刷到一个卖烤虾的广告，由于视频中的大妈一副诚意满满的样子，作者经不住诱惑果断下单，实付款194元买了250克烤虾干，货到付款后发现是三无产品，且外形口感与广告宣传天差地别。

由于在抖音查无订单信息，她的维权之路艰难坎坷，直到写了文章才在网络上引起广泛关注。

从这个故事里，不难发现一个巧合：作者是食品行业工作者，而诱惑她下单的恰好又是美食广告，这里面有联系吗？

答案：有，一种新型的营销方式，与短视频广告有着千丝万缕的关系。可以将这种模式，称之为进化3.0.

具体操作流程虽然不难，但可以用“处心积虑”来形容。

首先，购买大量用户手机号。

黑产的最末端——诈骗团伙（营销团队），从小中间商处，购买大量分类好的用户手机号。如学生家长号码、装修业主号码、大学生号码等等。

参考图

然后，伪造好友关系。

他们将用户手机号，录入准备好的手机中，建立起通讯录。然后通过一些软件，在手机里伪造出通话记录、短信记录等信息。比如：

• A手机里都是大学生的联系方式，和伪造的通话记录、短信等内容；

• B手机里都是在网上买过零食的买家联系方式，和伪造的通话记录、短信等；

• C手机里都是装修业主的联系方式，和伪造的其他信息。

这样分门别类的手机，可以达到几百台，并且还伪造出每个手机都是真实用户，以及与通讯录里的号码存在社交联系。

接下来，用短视频App营销。

黑产们在这些手机都装上抖音、快手、火山小视频等视频App，并全部开放通讯录等权限。通过伪造好友关系，当这些手机开放权限后，能成功骗取这些视频App的信任，认为手机是一个真实的人，而它的通讯录也有真实的好友关系。

于是，黑产们的好戏就正是开始了，他们在这些手机里不停的发布视频营销广告，比如，在A手机（大学生通讯录）发布服装推广类视频；B手机（零食爱好者通讯录）发布美食推广类视频；C手机（装修业主通讯）发布家居、装饰类视频。

由于视频App已经承认这台手机里的好友关系，只要通讯录里有人在刷短视频App，那么这些营销广告，就会以“你在对方通讯录”、“你们有共同好友”的形式，进入通讯录好友的视线。

可以说，黑产们是通过骗取短视频App的信任，让这些无辜的App去骗取更多人。要知道这些被推送广告的号码主人，可都是精准筛选过的用户，他们的需求非常精准，也将意味着这些用户的转化率将会非常高。

烤虾的广告能进入那位维权作者的手机，很有可能也是因为她本身就一个贴有食品标签的手机号主人。营销产品与手机号主人标签十分契合，才更容易上当。

这种“处心积虑”的营销方式，对黑产们来说还是一种覆盖面广，转化率高，且消耗人力成本低的赚钱方式。

用户同意授权的边界在哪里？

随着互联网技术不断“下沉”，用户对于互联网安全的质疑，越来越强烈，很多用户对开放权限充满抵触，即不用也不想授权。

为了让用户打消质疑的念头，许多App开始“自我加压”，主动把索取的权限“说个明白”。

简单来说就是，将向用户索取的权限以及其使用场景一一说明，还明明白白地告诉用户如果不愿意索取该项权限、可能影响使用的功能，方便用户做出选择。

看似是App良心发现，其实这里头也有不少“霸王条款”。比如，有的App会提出一些看似很对的理由，促使用户授权，只要用户同意，App就能以“这是用户同意了的”为由，进行其他骚操作。

有用户对我们说：“之前有个打车类App，称提供几个紧急联系人号码，可以在你遇到危险时联系到你好友，如有麻烦也可以直接授权联系人。”这个理由看似合情合理，但仔细一想为什么要有授权联系人这个选项？很明显，有可能这款App想要的不只是紧急联系人号码，而是该用户的通讯录。如果用户授权，那么通讯录将会被App读取。

该用户咨询：用户即使同意该App读取通讯录信息，但依然是属于App能够读取范围外的信息，那么该App是否依旧违法？

对此赵律师表示：“如果App存在超范围收集用户信息，在法律上有明确的规定，但在执行过程中，用户主动授权的界限怎么界定和理解，可能会产生争议。”

也就是说，App与用户之间，如何理解主动授权和诱导授权还存在争议，需要进一步完善这类规定。“如果发现自己被侵权，应该及时去网信办举报”赵律师嘱咐。

面对日趋严重的网络黑产，隐私泄露问题日益被大众所关注。特别是以Facebook数据丑闻爆发为标志，针对科技公司的数据问题，全球政企开始不断加大管制力度。相信有一天，我们使用App时，不必一边谨慎他的“霸王条款”，一边随时准备手动举报。