TrueCaller靠著「竊取個資」打造10億美元的帝國

TrueCaller靠著「竊取個資」打造10億美元的帝國

ADVERTISEMENT

2021年10月,我打電話給一位駐巴基斯坦的記者,我們互相並不認識,但令人驚訝的是,他們在接到電話時竟然叫了我的名字。當我問他們怎麼知道我的名字時,他們發了一張螢幕截圖過來,截圖來自他們手機上的Truecaller這支APP程式(譯者注:Truecaller是一款智慧型防騷擾撥號通訊APP。世界上最大的驗證手機社群,有2.5億個使用者。支援顯示來電資訊,自動辨識使用者通訊錄之外的未知來電,阻止騷擾電話、行銷來電和垃圾簡訊)。這個來電顯示截圖上有我的名字,我前雇主的名字,我在前公司的職位,我所在的州,以及我使用的手機門號電信商。這位記者告訴我,他們最近在一款Android手機上從Google Play中下載了Truecaller APP。 

這位記者說,我的手機辨識出是你,我甚至知道你這個號碼是在WhatsApp上註冊的。他們發給我了另外一張截圖,是Truecaller發送的通知,上面說我的號碼在WhatsApp上註冊。我很震驚,因為我從來沒有在Truecaller上使用過這個號碼,也沒有在使用的任何設備上下載過這個APP。由此看來,Truecaller和Google在使用或顯示我的私人號碼時從未征得我的同意。 

Truecaller由瑞典True Software Scandinavia公司開發,該公司於2009年由Nami Zarringhalam和Alan Mamedi創立。Mamedi是庫德人後裔,出生在瑞典北部的一個難民營,Zarringhalam三歲時從德黑蘭移居瑞典,兩人現在都是瑞典公民。 

Truecaller的官網上寫到:「當我們的聯合創始人還是學生時,他們就開始了這款APP的設計和研發,他們想創建一款能夠輕鬆辨識未知號碼來電的服務。」Truecaller還表明,這款APP是「來電顯示和垃圾郵件攔截的首選APP。」2021年10月8日,該公司在斯德哥爾摩那斯達克上市。根據Crunchbase(譯者注:Crunchbase2007年在美國舊金山創立,是覆蓋初創公司及投資機構生態的企業服務資料庫公司)的資料,該公司在8輪融資中總共籌集了9860萬美元,其中Zenith Venture Capital、Atomico(譯者注:是一家位於倫敦的風投公司,主要投資位於歐洲發展最迅速的科技中心,尤其是倫敦、斯德哥爾摩、赫爾辛基和柏林中的初創公司。)和紅杉資本印度公司(Sequoia Capital India)是主要投資方。 

該網站稱,截至2021年3月,這款APP的下載量已超過5.81億次。印度的下載量佔據了總下載量的三分之一以上,它的資料庫擁有驚人的57億個不同的手機身份。該公司總部設在斯德哥爾摩,但其大部分員工是印度人。這並不奇怪:根據該公司的資料,在175個國家超過2.78億的月活躍用戶(MAUs)中,僅印度就有2.05億使用者,這使印度成為該公司最大的市場。 

儘管印度是一個巨大且利潤豐厚的技術創新市場,但The Caravan長達數周的調查顯示,Truecaller在印度雖然取得了巨大的成功,但這種成功實際上相當可疑,根基並不穩固。我們採訪了在該公司工作了五年多的前高級員工、專攻隱私法的律師和政策研究智庫的專家,他們透露,Truecaller的大部分資料集都是在未經使用者同意的情況下完成收集的,這一成就之所以成為可能,是因為印度缺乏圍繞資料保護的、全面的法律框架。The Caravan的調查顯示,該公司目前的業務,可能還涉及為註冊用戶建立一份完整的財務檔案。 

在給The Caravan的一系列書面回復中,Truecaller堅稱,它提供的是一項「以隱私為中心的服務」,「承諾保持透明,並遵守營運國家的法律。」但是,就像律師Prasanna S(這位律師專門研究隱私問題,而且是程式設計師出身)告訴The Caravan雜誌的那樣,「他們的做法在某種程度上是正確的,因為這樣做可能不會違反法律。」然而,侵犯隱私是一種可起訴的錯誤行為,他們的行為,在未經對方同意的情況下向另外的乙方透露個人身份資訊,這絕對是一種侵犯隱私的行為。」他補充說,這「是Truecaller的傳統業務,已營運已久。Truecaller的運用場景實際上是這樣的,你的連絡人可以收集你的個人資料,然後在未經你同意的情況下使用這些資料。」鑒於議會尚未通過2018年首次提出的《個人資料保護法案》,Prasanna說:「如果有隱私保護的話,那也是最低限度的。」 

在2017年K.S. Puttaswamy訴印度聯邦(Union of India)案的裁決中,最高法院認為,根據《憲法》第14條、第19條和第21條,隱私權是一項基本權利。然而,五年過去了,政府仍然在審議資料保護法案,儘管經過了幾次反覆運算——一次比一次更具爭議。這一法律漏洞使得印度公民容易受到政府機構和私營公司的監控、監視和資料採擷。 

Truecaller的資料庫是透過四個主要來源建立的:APP的下載;國外白黃頁不受隱私顧慮限制;與公開顯示的社群媒體平臺合作;APP程計發展介面(APIs)和軟體開發套件(SDKs)的免費認證。The Caravan採訪過的Truecaller前員工稱,與那些未經本人同意就被加到Truecaller資料庫的使用者相比,同意將自己的電話號碼辨識並加入Truecaller資料庫的使用者數量微不足道。 

奈及利亞科技刊物TechCabal在一份詳細的報告中指出,一旦使用者註冊或下載Truecaller,就會出現一種相互交換的動態。如果你想使用來電顯示功能和APP的其他功能,那麼你必須放棄手機連絡人方面的隱私,這樣其他使用者才能使用相同的功能。你手機中的每一個連絡人都將成為Truecaller資料庫的一部分,該資料庫包括那些未註冊或未同意將其號碼辨識出來的使用者。 

由於Truecaller已經在尋求註冊用戶的同意,以將其連絡人清單在資料庫中,這個動作使其從未面臨過法律訴訟。Truecaller的發言人告訴The Caravan,該公司為人們提供自願分享連絡人的選項,這有助於提高演算法的準確性。 

我與大約一百個印度Truecaller使用者建立了歷時三個月的聯繫溝通,發現大多數人是由於同意條款的複雜性和協定內容的長度等原因,進而不分青紅皂白地點選「我同意」分享連絡人與該公司簽約。這是一種眾所周知的「同意疲勞」現象。大多數使用者甚至沒有意識到,他們通訊錄中的每個電話號碼在Truecaller資料庫中都已成為一個「註冊電話身份」。 

此外,很多使用者也沒有直接從Google或蘋果商店下載這款Truecaller這支APP,而是使用預裝了該APP程式的設備,像是Micromax、三星和Wileyfox的一些型號設備。在這種情況下,大多數使用者都允許共用他們連絡人的姓名、號碼、GoogleID和電子郵寄地址,因為一個名為「強化搜尋」的功能會自動檢查。該公司在其網站上也預設准許了這項功能,並在其隱私政策中提到了這一功能。

TrueCaller靠著「竊取個資」打造10億美元的帝國

這位前雇員說,「強化搜尋」功能只不過是終端使用者自動同意將同步的連絡人上傳到他們的電子郵件帳戶。他們告訴The Caravan:「登入頁面清楚地表明,透過檢查強化的搜尋選項,你將與Truecaller分享你的連絡人。」「只要有人用他的電子郵件登入網站,他的連絡人就會被上傳到Truecaller的伺服器上。」 

由於每個人都會根據方便程度來保存電話號碼,Truecaller演算法會將個人保存的聯繫方式上傳。例如,如果有人將一個垃圾電話號碼保存為「chor ka phone mat uthaiyo」——當這個號碼打來電話時不要接聽——它將被列在Truecaller的資料庫中以進行全球辨識。 

「Truecaller受到Google和Apple Store指南的限制,所以並不能從他們的使用者那裡直接下載通訊錄,但是他們在預裝的APP和共用的apk(Android安裝包)上不遵守這樣的規則,」這位前員工,曾經也就職於Truecaller的資料品質部門,告訴The Caravan,「所以,如果你被列入Truecaller的任何一個註冊使用者的電話簿,你的隱私已經在未經同意的情況下被洩露了,你的電話號碼——可能帶有你的職業身份——已經準備好被全世界看到了。」 

根據Truecaller的招股書和對The Caravan的聲明,Truecaller還為APP開發者提供免費的API和SDK認證。SDK和認證服務免費提供給APP開發者,表面上是「為了Truecaller使用者的利益」,它使APP開發者可以快速而輕鬆地吸引新使用者,前提是這些開發者也是Truecaller的使用者。它減少了典型的新入職流程的時間和摩擦,而根據慣例,新入職流程依賴於未接來電或OTP。」SDK透過製造通話中斷支援對未註冊客戶進行使用者驗證 — 透過使用者號碼在後臺製造通話中斷來完成驗證流程。這裡需要指出的是,由於缺乏嚴格的隱私法律,目前只有印度才有這種選擇。這位前員工說:「也正是因為這個原因,有時候打電話的人會給對方起奇怪的名字,比如『德里-waale chacha』或『Pinky parlor waali』。」「這些連絡人並不知道他們的姓名和職業身份是在未經自己同意的情況下被Truecalle收集的。」 

Truecaller的一名發言人證實,該公司正在與APP程式開發者共用姓名和經過驗證的電話號碼,但表示這並不違反Google準則。該發言人表示:「除了姓名和truecaller驗證的號碼外,其他資料並未與APP開發商共用。」「這並沒有違反Google的準則。Google也為APP開發者提供過類似的服務。」該公司還稱:「截止招股書發布之日,Truecaller使用者的登入請求已超過12億次,登入次數超過7.45億次。Truecaller大約23%的業務客戶來自現有的API SDK合作夥伴。」 

令人驚訝的是,該公司並沒有採取任何措施徵求數十億電話號碼擁有者的同意,而是透過協力廠商API悄無聲息地建立其龐大的資料庫。 

根據Truecaller自己的資料,它共有57億個手機身份;自2014年以來,每一個下載和註冊的用戶中,大約有1 / 2仍然是月活躍用戶。這意味著該公司目前擁有超過2.78億月活躍用戶,擁有大約5億未經同意的使用者身份。即使考慮到其他三種資料來源,Truecaller的全部資料庫似乎也不太可能有超過三分之一的用戶同意被辨識並添加到該公司的資料庫中。 

Truecaller龐大的資料庫引發了一個問題:該公司正在利用這個資料庫做什麼?The Caravan的調查揭示了一種可能性:該公司可能正在為註冊用戶建立一份完整的財務檔案。 

「簡訊主要處理銀行交易,任何人都可以試圖獲取數以百萬計的Truecaller使用者的財務資訊,並竊取這些資訊。」

2020年6月,一家國家銀行的一名助理經理(由於不想危及自己的安全,不願透露姓名)搬到了孟加拉,加入了印度外交使團所雇傭的合作方。這名銀行員工告訴The Caravan,他們一到孟加拉,由於服務提供者的規定,手機上的簡訊功能就無法使用。然而,這名銀行員工仍然可以收到簡訊通知,包括每次線上交易的一次性密碼(OTP),這是透過安裝在手機上的Truecaller實現的。他們與The Caravan分享了其中一些消息的截圖,有國家銀行的標誌、他們的銀行餘額,以及每條帳戶號的後四位數字。這導致了一個問題:Truecaller是否能夠讀取SMS內容,是否能夠知道與銀行的每一次「秘密握手」——透過一次性密碼而進行的銀行交易。 

這位前雇員說:「除了追蹤你的電話、通話時長、你頻繁和最不頻繁的連絡人之外,Truecaller軟體還可以建立你的詳細財務資料,因為它可以讀取你的簡訊。」他們證實,該公司的演算法可以讀取簡訊內容。「Truecaller軟體有一個叫做『簡訊分類器』的特殊功能,能夠辨識個人、高優先順序(銀行一次性密碼OTP和交易),以及註冊使用者的垃圾簡訊。」他們補充說,當人們的銀行餘額低於某個數位時,該APP程式會向他們發送貸款建議。Truecaller已經為註冊用戶提供了高達50萬盧比(約6600美元)的短期貸款,無需太多的文書工作。該公司還與提供個人貸款的WhizDM Innovations等公司建立了金融合作關係。 

這位前雇員還指出,讀取簡訊存在安全風險,因為如果Truecaller系統被感染或出現bug,整個資料都可能被洩露。他們表示:「簡訊主要處理銀行交易,任何人都可以試圖獲取數百萬Truecaller使用者的財務資訊,並竊取這些資訊。」他們指出,2019年,「一個所謂的漏洞」自動創建了印度工業信貸投資銀行(ICICI Bank)的統一支付介面帳戶,「在Truecaller使用者中引發了恐慌和駭客攻擊恐懼。」Alan Mamedi隨後透過一篇文章表示道歉,他說:「我們理解這一消息和眾多謠言可能給人們帶來的擔憂和沮喪,我們真誠地向他們道歉。Truecaller的所有員工都為發生這樣的事情感到難過。」 

Truecaller否認它有讀取簡訊內容的能力,並表示它只在本地分析手機上的簡訊,以辨識發送者,並確定它是否是垃圾郵件。然而,該公司同時聲稱,透過將Truecaller作為一個預設的簡訊APP,使用者可以將郵件分類,如OTPs、約會、垃圾郵件、未保存的號碼等,進而保持收件箱的整潔。 

此外,Truecaller適應世界部分地區不斷演變的立法的方式,也引發了對其在印度的做法的一些嚴重問題。該公司在另一個主要市場奈及利亞制定了嚴格的隱私規定,並在2016年歐盟通過《一般資料保護規則》(General Data Protection Regulation)後,為歐洲使用者重新改寫了APP。然而,印度市場並沒有採取類似的嚴格措施。 

例如,這款APP的歐盟使用者擁有基於六個法律關卡的多層保護:同意、合約履行、合法利益、重大利益、法律要求和公共利益。因此,該APP為其歐盟使用者在隱私中心提供了額外的存取和控制功能,允許他們存取、糾正、刪除、限制處理和傳輸他們的資料。印度使用者沒有這樣的選項。在《一般資料保護規則》GDPR實施後,一個獨立的歐洲資料保護和隱私諮詢機構——工作組(Working Party)於2017年6月致函Mamedi,對True Software收集個人資料的方式表示擔憂。這封信的副本在The Caravan裡,上面寫著: 

「Truecaller實際上是在從你的連絡人那裡收集你的個人資料,然後在未經你同意的情況下使用這些資料。」 

True Software似乎既從Truecaller使用者的連絡人清單中獲取個人資料,也在某些情況下從他們的社群媒體頁面中獲取個人資料(包括姓名、電話號碼、電子郵寄地址,如果可能的話,還包括人口統計資訊和其他聯繫資訊)。這些資訊會透過在Truecaller的網站和行動APP上進行反向搜尋而公開。除非這些人經常關注自己的網站或主動下載這款APP,否則完全有可能對自己資料的使用情況一無所知。這意味著他們被剝奪了自己下指令的權利,他們的隱私受到了侵犯。 

不久之後,該公司於2018年將其資料中心移至印度。普拉納希‧普拉卡什是總部位於班加羅爾的非營利組織網路與社會中心的創始成員之一。據他說,Truecaller在印度的運作方式是不作為的。他說:「當Truecaller說〞我們使用者的權利和利益是頭等大事,因此我們為所有地域的使用者提供基本相同的權利』時,他們是在撒謊。」在印度,Truecaller會從你的電話簿中儲存連絡人的個人資訊,並提供連絡人的反向號碼查找功能。這不是一個跨地域「基本相同的權利」的例子。歐盟使用者的隱私權顯然得到了Truecaller的尊重,而Truecaller卻不尊重印度人的隱私權。」 

Truecaller的做法似乎也違反了Google的隱私準則。Google Play 的公關經理里希圖‧阿瑪納尼(Rishitu Amarnani)對The Caravan關於Truecaller做法的問題給出了不明確的回答。我們被告知,「你們分享的資訊已轉交給相關團隊」,該團隊「正在對此進行調查,並將根據調查結果採取適當行動」。程式設計師出身的律師Prasanna告訴The Caravan,「不幸的是,Google的隱私政策非常有限」,因為它的目的只是規範APP程式如何從使用者那裡收集個人資料。「Truecaller實際上是在從你的連絡人那裡收集你的個人資料,然後在未經你同意的情況下使用這些資料。」 

儘管印度政府在資料保護法案上拖拖拉拉,憂心忡忡的印度公民已經開始介入了,開始填補隱私保護這一空白。2021年7月,孟買高等法院向印度政府、馬哈拉斯特拉邦政府和印度國家支付公司(National Payments Corporation of India)發出通知,回應有關TruecallerAPP程式違反規定共用使用者資料的公益訴訟。提交請願書的實習律師Shashank Posture稱,Truecaller在未經使用者同意的情況下與一些合作夥伴共用資料,然後將責任推給使用者。 

「像Truecaller這樣的資料驅動公司的一個主要優勢是,印度人還沒有理解隱私的價值和需要,」Posture告訴The Caravan雜誌。「在印度,沒有明確的隱私法,人們對可以接觸到數以百計的私人隱私號碼這件事並未感到不妥,甚至並未想到這可能會招致廣告電話對他們及親朋好友進行轟炸,甚至不覺得將他們的名字和職業身份公佈在公共領域是一件危險的事情。」 

資料保護法案能否解決與Truecaller相關的隱私和資料問題,還有待觀察。「對於即將到來的DPB,我們一直與主要利益相關者保持著定期聯繫,」該公司發言人告訴The Caravan。「我們的首席執行長Alan Mamedi在2020年親自會見了聯合議會委員會的主要成員,傳達了我們的立場,解釋了Truecaller的工作原理,並表示我們會遵守最終法案的所有條款。」 

Prasanna對該法案不抱太大希望。他說,儘管它明確禁止未經同意收集資料,但只有當受影響的一方能夠證明受到損害而不是隱私損失時,它才提供賠償。「這可能會讓DPB變成一隻沒有牙齒的老虎——即使有罰款和處罰的規定。」

 

36Kr
作者

36氪(36Kr.com)累計發表超過10.8萬條包含圖文、音訊、影片在內的優質內容。氪原創內容體系涵蓋新創公司、大公司、投資機構、地方產業與二級市場等內容模組,設置有快訊、深度商業報導

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則