A3：聚焦总第4667期 >2019-11-27编印

□ 本报记者 李豪悦

当所有消费者在体验由信息数据时代所带来的全方位便利时，也正在面临更大的危机——隐私信息泄漏。

据多家媒体报道，曾一度能解锁市面上二十多家共享单车的APP——“全能车”，其背后的相关人员近期已因“破坏计算机信息系统罪”而被上海警方抓获。据了解，“全能车”通过诱导用户共享信息，“帮助”超过400万的用户破解包括摩拜、哈啰、ofo等多家共享单车的智能锁，在导致行业部分企业受损超过数亿元的同时，也让使用过“全能车”的用户都存在信息泄露的风险。

    “薅羊毛”：明目张胆的侵权违法

根据“全能车”百度百科的介绍，“全能车”是一款涵盖网约车、共享单车、电单车等多项出行服务在内的一站式出行APP。且“全能车”号称用户可免押金、免车费骑行市面主流品牌共享单车，与此同时，还可做到一键呼叫市面主流品牌网约车服务。

事实上，“全能车”确实能帮用户解决使用不同品牌的共享单车，要缴纳多份押金的问题，但却不是“免押金”。据AI财经社报道，用户使用“全能车”以达到免费骑所有单车目的之前，首先要在“全能车”充值299元的押金，其次，用户在其他共享单车的个人信息也会被“全能车”拿去“共享”。业内人士解释“全能车”的运营方式，是用A的个人信息注册的账号提供给B用户使用，再将B用户注册的账号提供给C使用。

更早之前，ofo负责人也曾介绍过“全能车”对用户信息的肆意利用。“‘全能车’大量购买个人的身份证信息，再去用这些信息实名认证注册ofo、摩拜、小蓝等共享单车。也就是说，用‘全能车’的行为，实质上就是用别人的身份信息来用车。”

此外，“全能车”也同样做到了一键呼叫市面主流品牌网约车，但和破解共享单车智能锁遵从同一个逻辑，用户对自己在其他平台个人信息的“上缴”。

然而，无论是“全能车”承诺的免费骑车，还是一键呼叫，全部都是建立在其他共享单车、网约车企业均未授权的情况下。毫无疑问，“全能车”一直以来都在用别人的车，赚自己的钱。这种行为导致包括哈啰，摩拜，青桔等在内的单车企业，乃至网约车等近20家出行企业均受到影响，受害用户数直接和间接达到上亿。

    用户是“帮凶”也是受害者

针对“全能车”对用户信息的滥用，以及未经授权破解其他共享单车智能锁的行为，业内人士表示，根据《民法总则》，“全能车”将客户信息提供给他人使用的情形，已经涉嫌侵犯公民信息安全。另外，“全能车”的行为也涉嫌违反《反不正当竞争法》，属于不正当竞争行为。警方表示，该案中犯罪嫌疑人利用黑客技术侵入并破解其他品牌共享单车服务器进行非法牟利，造成计算机信息系统不能正常运行，属于违法行为，违反了《中华人民共和国刑法》第286条。

值得一提的是，“全能车”的使用用户数量曾超过400万人。有消费者在接受记者采访时表示，“全能车”的押金远低于其它品牌包月服务费，“交一分钱，骑多款车”的承诺很容易让经常骑单车的用户感到心动，“以为它是正规APP”。因此，“全能车”的用户都在无意间加入了这场“薅羊毛”的行为中，成为助推“全能车”获利的“帮凶”。

现实远比消费者预想的更惨痛。根据哈啰单车相关人员的介绍，使用“全能车”的用户，首先安全无法得到保障。“全能车”尽管收取了费用，但是未对用户提供任何保险，若发生交通事故，理赔责任难以认定；而许多企业都会为用户购买保险，如果“全能车”用户骑行非自己认证开启的车辆，遇到交通事故则可能出现无法向保险公司索赔的问题。其次，“全能车”诱导用户共享账户，用户将个人信息上传至“全能车”APP然后开放使用，个人信息完全无法得到保障，用户需要自己承担个人信息完全被泄露的后果和风险。

    要便利还是要安全？

事实上，“全能车”获取用户信息进而获利却让消费者承担隐私泄露风险的行为，在互联网时代并不罕见。

2018年8月至11月，酒店行业连发三起信息泄露事件。先是8月份华住酒店集团约5亿条用户数据被曝在暗网售卖，随后华住宣布报警。11月初，丽笙酒店发布公告，称会员信息疑似泄露。11月30日，万豪国际集团称旗下喜达屋的客户预订数据库发生信息泄露，最多可涉及5亿名宾客的个人信息。

尽管这些酒店并非主观泄露用户信息，但有业内人士认为，商家对用户信息过度索取也是不争的事实。根据新华社报道，华住集团旗下有酒店要求住客使用微信扫码办理入住，实际上却是将住客变成自己的“会员”。住客的身份证、家庭地址、生日、邮箱、账号、密码以及银行账户等信息均可能被收集留存。用户的信息被随意获取和泄露还并非仅是酒店行业。

11月26日，新京报曝出考拉征信涉嫌非法提供身份证返照查询近亿次。据悉，征信机构非法缓存身份信息后，靠下游借贷公司和信息贩子牟利，用户却从始至终都毫不知情。

更早之前，在中央网信办、工信部、公安部、市场监管总局指导下，APP专项治理工作组对包括餐饮外卖、地图导航、网上购物、短视频、金融借贷、工具软件、即时通讯、交通票务、浏览器、拍照美化、社区社交、输入法、网络支付、新闻资讯、学习教育、网络游戏、影音娱乐以及其他近20大类共计100个APP进行用户信息收集情况统计，显示所有APP均存在申请收集个人信息相关权限情况；此外，在用户不同意开启权限情况下，APP无法安装或运行。甚至有一款APP夸张到需要用户至少开启19项权限。

当用户被市面上尽是需要获取个人信息的APP包围时，拒绝奉上个人信息便被禁止使用。而一旦越来越多APP都如此行事，用户便不得不在便利和安全当中二选一。对此，浙江大学网络空间安全研究中心“百人计划”研究员秦湛表示，保障隐私数据安全，应首先给数据的掌控者套上“紧箍咒”。因为在现有商业模式中，他们往往才是隐私泄露的主体。