淘宝店铺售卖客源数据：1280元可永久获取信息 高德地图等成“供货商”

信息泄露，仍是互联网时代不可规避的问题之一。日前，延期播出的央视“315晚会” 曝光手机APP中SDK插件窃取用户隐私信息，再度引发热议。

各类APP过度收集用户信息、个人资料被明码标价公开售卖、精准的电信诈骗等早已不是稀奇事。而随着用户对于自身信息的重视不断加强，监管也开始对违规行为进行严厉打击。

7月24日，工信部对外公布《关于侵害用户权益行为的APP通报（2020年第三批）》指出，天弘基金、微众银行、交通银行等58款APP侵害用户权益，并要求整改。

监管围追堵截在前，用户信息泄露事件却依旧频频发生。近日，柒财经在电商平台淘宝上注意到，一家名为“黄石客源”的店铺正在公开售卖获取到的客源数据。

01 用户信息公开售卖

信息显示，“黄石客源”代理的产品是一款名为“客源管家”的手机APP，“行业齐全”、“真实数据”、“实时更新”等标签醒目的挂在商品展示页面。

根据客服提供的APP使用教程，“客源管家”主要功能包括超级搜客、范围采集、同城客源以及全网采集等四个方面。

除同城客源针对个人信息外，其他三个功能主要针对目标地址所在地的商户信息。其中，“超级搜客”在选择好行业、城市后，点击搜索可以看到搜索到的信息，“数据是可以刷新的，每次点击搜索会出现不同数据。”

“范围采集”与“全网采集”是针对目标行业信息的主动采集功能。“范围采集”在选择城市、输入地址并进一步设置关键词后，点击开始采集，可看到数据在采集中，足够后点击停止采集即可。搜索范围可更改，用户可自行选择搜索距离。

“全网采集”是通过其他APP获取商户信息，具体包括高德地图、赶集网、行业网等。以高德地图为例，用户进入高德地图采集后，先输入要搜索的关键字，再选择一个城市和地区，点击开始采集。页面会不断显示采集到的数据数量，用户可以自行选择停止采集。

“同城客源”则是通过先选定目标城市和运营商、号码头和号码段等，在选择生成数量后，即可生成电话号码。

在采集目标信息后，用户可以在APP中的“资源管理页”面，查看采集到的具体信息。除了可用关键词重新进行搜索外，商户信息还可以分类选择手机号/座机号。

同时，采集到的信息，可以一键导入用户通讯录，也可以直接导出生成表格进行分享。通过客源管家APP，用户还可以对导入通讯录的联系人进行一键删除，删除后不会影响通讯录原有的联系人。

从客源管家APP的数据分类来看，涉及行业包括保险、汽车、金融、信托、信用卡等多个领域。“黄石客源”店铺销售详情页面显示，可根据地区、号段、性别、职业生成用户想要的客源。

而对于这些信息是如何获得的，客服并未对此进行正面回应，只是强调信息真实，“只有电话号码，其他信息没有。”

此外，柒财经注意到，在客服提供的使用教程视频中，“全网采集”的来源中出现了外卖平台“饿了么”的身影，但在柒财经7月27日下载的版本中，“饿了么”已经被下线。

02 地图类APP等成“供货商”

“黄石客源”店铺信息显示，该店铺的开店时间在2017年5月。从店铺粉丝数量以及信用等级来看，店铺的真实运营时间并不长。目前，店铺仅有“客源管家”这一款虚拟产品在售，标价100元，月销量为71。

用户评论页面显示，店铺目前41条评论均为好评。有用户评论称，通过收集到的信息拓展了很多新用户，数据量大并且是真实信息。

不过，柒财经使用发现，客源管家APP在手机应用商城内可以直接下载，店铺标价100元并非该APP的真实售价。

根据客服介绍，想要获得完整电话信息、使用APP的全部功能，需要在下载APP后通过客服开通会员功能。“原价月卡298元，季卡580元，年卡980元，永久1980元。现在软件版本升级有特价活动，季卡380元，年卡680元，永久1280元”。

而作为一款采集、售卖用户信息的APP，客源管家自身在收集用户信息方面也存在问题。按照工信部出台的《APP违法违规收集使用个人信息行为认定方法》，未单独设置隐私政策、未明示收集使用个人信息的目的、方式和范围等行为均属违规。

客源管家仅在注册页面提供了一份《注册协议》，并要求用户以真实姓名或电话注册。同时，《注册协议》可由运营方随时更新，但不承担通知义务。

《注册协议》中提到，“在不透露单个用户隐私资料的前提下，本站有权对整个用户数据库进行分析并对用户数据库进行商业上的利用。”由此来看，用户用来注册登录客源管家APP的手机号，大概率已经成为了客源管家的“同城客源”。

此外，《注册协议》提到，客源管家的所有权和运营权归属于河北佳言网络科技有限公司（下称“佳言网络”）。而“黄石客源”店铺销售详情页面披露的营业执照却显示名称为河北来创科技有限公司（下称“来创科技”）。

企查查显示，来创科技成立于2016年1月，公司旗下有亿点帮金融贷超APP、智能裂变名片小程序、掌中客源精准拓客软件等应用程序。2019年10月，因通过登记的住所或者经营场所无法联系，来创科技被河北省石家庄市裕华区市场监督管理局列入异常经营名录，至今尚未移出。

佳言网络成立于2019年5月，并在2019年9月获得了客源管家营销系统的著作权。两家公司在其他方面并没有关联，却在信息披露方面存在误差。

根据客源管家官网，公司数据采集的来源包括百度地图、高德地图、腾讯地图、阿里巴巴、大众点评等APP，“在软件全网采集站点里输入想要的行业和地区就可以搜索到精准的客户信息资源。数据不断的实时更新，掌握一手客源资料。”

03 有人买卖公民信息获刑

无独有偶，柒财经在手机应用商城内搜索“客源”发现，开展客源管家相同业务的APP不在少数。这些APP将从第三方获得的个人电话号码等信息打包售卖，却在用户协议中强调其他单位或个人不得通过机器抓取、复制、镜像等方式获得自身数据。

卖方通过售卖这些信息重复获利，买方通过购买信息后获得新客户，从而得到更大的回报。对于买卖双方来说，似乎都是一本万利。只有这些电话号码的主人，在毫不知情的情况下成为客源，日复一日被打扰。

一名从事软件开发的技术人员告诉柒财经，如果客源管家等APP获得的商户信息是公开展示的，则可以直接使用特定小程序或APP来自动收集。

但如果想要获得其他APP的用户数据，由于该部分数据直接存储于对方数据库，便需要获得授权。“即便是想要非法获得，基于对方风控强度，会有更严格的权限校验。难度不小”，前述人员称，“不过不论是公开信息还是用户数据，想要采集都涉及到爬虫技术。”

由于缺少会员权限，柒财经无法进一步确定客源管家采集的信息属于公开信息还是特定APP的用户数据。但可以肯定的是，通过技术获取信息后进行买卖是犯罪行为。尽管不涉及身份证、银行卡、账号密码等，但买卖用户电话号码也同样违法。

中闻律师事务所合伙人李亚律师表示，用户电话号码属于公民个人信息，买卖公民个人信息的属于侵犯公民个人信息的行为，情节严重的构成犯罪。第三方平台应当依据平台服务协议和交易规则对平台经营者的违法违规行为采取必要的措施，未采取必要措施的，依法与该平台内经营者承担连带责任。

值得注意的是，此前已有人因买卖公民电话号码被判刑。根据中国裁判文书网，近日，湖北省枣阳市人民法院发布的刑事判决书披露，被告人刘某坤等3人由于涉嫌犯侵犯公民个人信息罪被提起诉讼。

经查，2019年6月至7月，刘某坤开设开设“四海传媒工作室”，从事网络贷款引流推广业务。为开展业务提高业绩，被告人刘某坤联系被告人付某，出资500元求购公民电话号码。

最终，付某通过另一当事人李某昊获得一份文档，文档中记录的公民电话号码数量为9739条。2019年8月，刘某坤投案自首，后另两人被警方抓获。

法院审理认为，被告人刘某坤非法获取公民个人信息，被告人付某、李某昊违反国家有关规定，向他人出售、提供公民个人信息，其行为已触犯《中华人民共和国刑法》第二百五十三条之一的规定，均应当以侵犯公民个人信息罪追究其刑事责任。

依照《中华人民共和国刑法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关条例，湖北省枣阳市人民法院判处刘某坤有期徒刑八个月，并处罚金一千元；判处付某拘役五个月，缓刑六个月，并处罚金一千元；判处李某昊有期徒刑七个月，并处罚金一千元。