新2线上开户（www.huangguan.us）_TrueCaller靠著「窃取个资」打造10亿美元的帝国

ADVERTISEMENT

2021年10月，我打电话给一位驻巴基斯坦的记者，我们互相并不认识，但令人惊讶的是，他们在接到电话时竟然叫了我的名字。当我问他们怎么知道我的名字时，他们发了一张萤幕截图过来，截图来自他们手机上的Truecaller这支APP程式（译者注：Truecaller是一款智慧型防骚扰拨号通讯APP。世界上最大的验证手机社群，有2.5亿个使用者。支援显示来电资讯，自动辨识使用者通讯录之外的未知来电，阻止骚扰电话、行销来电和垃圾简讯）。这个来电显示截图上有我的名字，我前雇主的名字，我在前公司的职位，我所在的州，以及我使用的手机门号电信商。这位记者告诉我，他们最近在一款Android手机上从Google Play中下载了Truecaller APP。 

这位记者说，我的手机辨识出是你，我甚至知道你这个号码是在WhatsApp上注册的。他们发给我了另外一张截图，是Truecaller发送的通知，上面说我的号码在WhatsApp上注册。我很震惊，因为我从来没有在Truecaller上使用过这个号码，也没有在使用的任何设备上下载过这个APP。由此看来，Truecaller和Google在使用或显示我的私人号码时从未征得我的同意。 

Truecaller由瑞典True Software Scandinavia公司开发，该公司于2009年由Nami Zarringhalam和Alan Mamedi创立。Mamedi是库德人后裔，出生在瑞典北部的一个难民营，Zarringhalam三岁时从德黑兰移居瑞典，两人现在都是瑞典公民。 

Truecaller的官网上写到：「当我们的联合创始人还是学生时，他们就开始了这款APP的设计和研发，他们想创建一款能够轻松辨识未知号码来电的服务。」Truecaller还表明，这款APP是「来电显示和垃圾邮件拦截的首选APP。」2021年10月8日，该公司在斯德哥尔摩那斯达克上市。根据Crunchbase（译者注：Crunchbase2007年在美国旧金山创立，是覆蓋初创公司及投资机构生态的企业服务资料库公司）的资料，该公司在8轮融资中总共筹集了9860万美元，其中Zenith Venture Capital、Atomico（译者注：是一家位于伦敦的风投公司，主要投资位于欧洲发展最迅速的科技中心，尤其是伦敦、斯德哥尔摩、赫尔辛基和柏林中的初创公司。）和红杉资本印度公司（Sequoia Capital India）是主要投资方。 

该网站称，截至2021年3月，这款APP的下载量已超过5.81亿次。印度的下载量占据了总下载量的三分之一以上，它的资料库拥有惊人的57亿个不同的手机身份。该公司总部设在斯德哥尔摩，但其大部分员工是印度人。这并不奇怪：根据该公司的资料，在175个国家超过2.78亿的月活跃用户（MAUs）中，仅印度就有2.05亿使用者，这使印度成为该公司最大的市场。 

尽管印度是一个巨大且利润丰厚的技术创新市场，但The Caravan长达数周的调查显示，Truecaller在印度虽然取得了巨大的成功，但这种成功实际上相当可疑，根基并不稳固。我们采访了在该公司工作了五年多的前高级员工、专攻隐私法的律师和政策研究智库的专家，他们透露，Truecaller的大部分资料集都是在未经使用者同意的情况下完成收集的，这一成就之所以成为可能，是因为印度缺乏围绕资料保护的、全面的法律框架。The Caravan的调查显示，该公司目前的业务，可能还涉及为注册用户建立一份完整的财务档案。 

在给The Caravan的一系列书面回复中，Truecaller坚称，它提供的是一项「以隐私为中心的服务」，「承诺保持透明，并遵守营运国家的法律。」但是，就像律师Prasanna S（这位律师专门研究隐私问题，而且是程式设计师出身）告诉The Caravan杂志的那样，「他们的做法在某种程度上是正确的，因为这样做可能不会违反法律。」然而，侵犯隐私是一种可起诉的错误行为，他们的行为，在未经对方同意的情况下向另外的乙方透露个人身份资讯，这绝对是一种侵犯隐私的行为。」他补充说，这「是Truecaller的传统业务，已营运已久。Truecaller的运用场景实际上是这样的，你的连络人可以收集你的个人资料，然后在未经你同意的情况下使用这些资料。」鉴于议会尚未通过2018年首次提出的《个人资料保护法案》，Prasanna说：「如果有隐私保护的话，那也是最低限度的。」 

在2017年K.S. Puttaswamy诉印度联邦（Union of India）案的裁决中，最高法院认为，根据《宪法》第14条、第19条和第21条，隐私权是一项基本权利。然而，五年过去了，政府仍然在审议资料保护法案，尽管经过了几次反复运算——一次比一次更具争议。这一法律漏洞使得印度公民容易受到政府机构和私营公司的监控、监视和资料采撷。 

Truecaller的资料库是透过四个主要来源建立的：APP的下载；国外白黄页不受隐私顾虑限制；与公开显示的社群媒体平台合作；APP程计发展介面（APIs）和软体开发套件（SDKs）的免费认证。The Caravan采访过的Truecaller前员工称，与那些未经本人同意就被加到Truecaller资料库的使用者相比，同意将自己的电话号码辨识并加入Truecaller资料库的使用者数量微不足道。 

奈及利亚科技刊物TechCabal在一份详细的报告中指出，一旦使用者注册或下载Truecaller，就会出现一种相互交换的动态。如果你想使用来电显示功能和APP的其他功能，那么你必须放弃手机连络人方面的隐私，这样其他使用者才能使用相同的功能。你手机中的每一个连络人都将成为Truecaller资料库的一部分，该资料库包括那些未注册或未同意将其号码辨识出来的使用者。 

由于Truecaller已经在寻求注册用户的同意，以将其连络人清单在资料库中，这个动作使其从未面临过法律诉讼。Truecaller的发言人告诉The Caravan，该公司为人们提供自愿分享连络人的选项，这有助于提高演算法的准确性。 

我与大约一百个印度Truecaller使用者建立了历时三个月的联系沟通，发现大多数人是由于同意条款的复杂性和协定内容的长度等原因，进而不分青红皂白地点选「我同意」分享连络人与该公司签约。这是一种众所周知的「同意疲劳」现象。大多数使用者甚至没有意识到，他们通讯录中的每个电话号码在Truecaller资料库中都已成为一个「注册电话身份」。 

此外，很多使用者也没有直接从Google或苹果商店下载这款Truecaller这支APP，而是使用预装了该APP程式的设备，像是Micromax、三星和Wileyfox的一些型号设备。在这种情况下，大多数使用者都允许共用他们连络人的姓名、号码、GoogleID和电子邮寄地址，因为一个名为「强化搜寻」的功能会自动检查。该公司在其网站上也预设准许了这项功能，并在其隐私政策中提到了这一功能。

这位前雇员说，「强化搜寻」功能只不过是终端使用者自动同意将同步的连络人上传到他们的电子邮件帐户。他们告诉The Caravan：「登入页面清楚地表明，透过检查强化的搜寻选项，你将与Truecaller分享你的连络人。」「只要有人用他的电子邮件登入网站，他的连络人就会被上传到Truecaller的伺服器上。」 

由于每个人都会根据方便程度来保存电话号码，Truecaller演算法会将个人保存的联系方式上传。例如，如果有人将一个垃圾电话号码保存为「chor ka phone mat uthaiyo」——当这个号码打来电话时不要接听——它将被列在Truecaller的资料库中以进行全球辨识。 

「Truecaller受到Google和Apple Store指南的限制，所以并不能从他们的使用者那里直接下载通讯录，但是他们在预装的APP和共用的apk（Android安装包）上不遵守这样的规则，」这位前员工，曾经也就职于Truecaller的资料品质部门，告诉The Caravan，「所以，如果你被列入Truecaller的任何一个注册使用者的电话簿，你的隐私已经在未经同意的情况下被泄露了，你的电话号码——可能带有你的职业身份——已经准备好被全世界看到了。」 

根据Truecaller的招股书和对The Caravan的声明，Truecaller还为APP开发者提供免费的API和SDK认证。SDK和认证服务免费提供给APP开发者，表面上是「为了Truecaller使用者的利益」，它使APP开发者可以快速而轻松地吸引新使用者，前提是这些开发者也是Truecaller的使用者。它减少了典型的新入职流程的时间和摩擦，而根据惯例，新入职流程依赖于未接来电或OTP。」SDK透过制造通话中断支援对未注册客户进行使用者验证 — 透过使用者号码在后台制造通话中断来完成验证流程。这里需要指出的是，由于缺乏严格的隐私法律，目前只有印度才有这种选择。这位前员工说：「也正是因为这个原因，有时候打电话的人会给对方起奇怪的名字，比如『德里-waale chacha』或『Pinky parlor waali』。」「这些连络人并不知道他们的姓名和职业身份是在未经自己同意的情况下被Truecalle收集的。」 

,

新2线上开户（www.huangguan.us）是一个开放皇冠正网即时比分、新2线上开户的平台。新2线上开户平台（www.huangguan.us）提供最新皇冠登录，皇冠APP下载包含新皇冠体育代理、会员APP。

,

Truecaller的一名发言人证实，该公司正在与APP程式开发者共用姓名和经过验证的电话号码，但表示这并不违反Google准则。该发言人表示：「除了姓名和truecaller验证的号码外，其他资料并未与APP开发商共用。」「这并没有违反Google的准则。Google也为APP开发者提供过类似的服务。」该公司还称：「截止招股书发布之日，Truecaller使用者的登入请求已超过12亿次，登入次数超过7.45亿次。Truecaller大约23%的业务客户来自现有的API SDK合作伙伴。」 

令人惊讶的是，该公司并没有采取任何措施征求数十亿电话号码拥有者的同意，而是透过协力厂商API悄无声息地建立其庞大的资料库。 

根据Truecaller自己的资料，它共有57亿个手机身份；自2014年以来，每一个下载和注册的用户中，大约有1 / 2仍然是月活跃用户。这意味着该公司目前拥有超过2.78亿月活跃用户，拥有大约5亿未经同意的使用者身份。即使考虑到其他三种资料来源，Truecaller的全部资料库似乎也不太可能有超过三分之一的用户同意被辨识并添加到该公司的资料库中。 

Truecaller庞大的资料库引发了一个问题：该公司正在利用这个资料库做什么？The Caravan的调查揭示了一种可能性：该公司可能正在为注册用户建立一份完整的财务档案。 

「简讯主要处理银行交易，任何人都可以试图获取数以百万计的Truecaller使用者的财务资讯，并窃取这些资讯。」

2020年6月，一家国家银行的一名助理经理（由于不想危及自己的安全，不愿透露姓名）搬到了孟加拉，加入了印度外交使团所雇佣的合作方。这名银行员工告诉The Caravan，他们一到孟加拉，由于服务提供者的规定，手机上的简讯功能就无法使用。然而，这名银行员工仍然可以收到简讯通知，包括每次线上交易的一次性密码（OTP），这是透过安装在手机上的Truecaller实现的。他们与The Caravan分享了其中一些消息的截图，有国家银行的标志、他们的银行余额，以及每条帐户号的后四位数字。这导致了一个问题：Truecaller是否能够读取SMS内容，是否能够知道与银行的每一次「秘密握手」——透过一次性密码而进行的银行交易。 

这位前雇员说：「除了追踪你的电话、通话时长、你频繁和最不频繁的连络人之外，Truecaller软体还可以建立你的详细财务资料，因为它可以读取你的简讯。」他们证实，该公司的演算法可以读取简讯内容。「Truecaller软体有一个叫做『简讯分类器』的特殊功能，能够辨识个人、高优先顺序（银行一次性密码OTP和交易），以及注册使用者的垃圾简讯。」他们补充说，当人们的银行余额低于某个数位时，该APP程式会向他们发送贷款建议。Truecaller已经为注册用户提供了高达50万卢比（约6600美元）的短期贷款，无需太多的文书工作。该公司还与提供个人贷款的WhizDM Innovations等公司建立了金融合作关系。 

这位前雇员还指出，读取简讯存在安全风险，因为如果Truecaller系统被感染或出现bug，整个资料都可能被泄露。他们表示：「简讯主要处理银行交易，任何人都可以试图获取数百万Truecaller使用者的财务资讯，并窃取这些资讯。」他们指出，2019年，「一个所谓的漏洞」自动创建了印度工业信贷投资银行（ICICI Bank）的统一支付介面帐户，「在Truecaller使用者中引发了恐慌和骇客攻击恐惧。」Alan Mamedi随后透过一篇文章表示道歉，他说：「我们理解这一消息和众多谣言可能给人们带来的担忧和沮丧，我们真诚地向他们道歉。Truecaller的所有员工都为发生这样的事情感到难过。」 

Truecaller否认它有读取简讯内容的能力，并表示它只在本地分析手机上的简讯，以辨识发送者，并确定它是否是垃圾邮件。然而，该公司同时声称，透过将Truecaller作为一个预设的简讯APP，使用者可以将邮件分类，如OTPs、约会、垃圾邮件、未保存的号码等，进而保持收件箱的整洁。 

此外，Truecaller适应世界部分地区不断演变的立法的方式，也引发了对其在印度的做法的一些严重问题。该公司在另一个主要市场奈及利亚制定了严格的隐私规定，并在2016年欧盟通过《一般资料保护规则》（General Data Protection Regulation）后，为欧洲使用者重新改写了APP。然而，印度市场并没有采取类似的严格措施。 

例如，这款APP的欧盟使用者拥有基于六个法律关卡的多层保护：同意、合约履行、合法利益、重大利益、法律要求和公共利益。因此，该APP为其欧盟使用者在隐私中心提供了额外的存取和控制功能，允许他们存取、纠正、删除、限制处理和传输他们的资料。印度使用者没有这样的选项。在《一般资料保护规则》GDPR实施后，一个独立的欧洲资料保护和隐私咨询机构——工作组（Working Party）于2017年6月致函Mamedi，对True Software收集个人资料的方式表示担忧。这封信的副本在The Caravan里，上面写着： 

「Truecaller实际上是在从你的连络人那里收集你的个人资料，然后在未经你同意的情况下使用这些资料。」 

True Software似乎既从Truecaller使用者的连络人清单中获取个人资料，也在某些情况下从他们的社群媒体页面中获取个人资料（包括姓名、电话号码、电子邮寄地址，如果可能的话，还包括人口统计资讯和其他联系资讯）。这些资讯会透过在Truecaller的网站和行动APP上进行反向搜寻而公开。除非这些人经常关注自己的网站或主动下载这款APP，否则完全有可能对自己资料的使用情况一无所知。这意味着他们被剥夺了自己下指令的权利，他们的隐私受到了侵犯。 

不久之后，该公司于2018年将其资料中心移至印度。普拉纳希‧普拉卡什是总部位于班加罗尔的非营利组织网路与社会中心的创始成员之一。据他说，Truecaller在印度的运作方式是不作为的。他说：「当Truecaller说〞我们使用者的权利和利益是头等大事，因此我们为所有地域的使用者提供基本相同的权利』时，他们是在撒谎。」在印度，Truecaller会从你的电话簿中储存连络人的个人资讯，并提供连络人的反向号码查找功能。这不是一个跨地域「基本相同的权利」的例子。欧盟使用者的隐私权显然得到了Truecaller的尊重，而Truecaller却不尊重印度人的隐私权。」 

Truecaller的做法似乎也违反了Google的隐私准则。Google Play 的公关经理里希图‧阿玛纳尼（Rishitu Amarnani）对The Caravan关于Truecaller做法的问题给出了不明确的回答。我们被告知，「你们分享的资讯已转交给相关团队」，该团队「正在对此进行调查，并将根据调查结果采取适当行动」。程式设计师出身的律师Prasanna告诉The Caravan，「不幸的是，Google的隐私政策非常有限」，因为它的目的只是规范APP程式如何从使用者那里收集个人资料。「Truecaller实际上是在从你的连络人那里收集你的个人资料，然后在未经你同意的情况下使用这些资料。」 

尽管印度政府在资料保护法案上拖拖拉拉，忧心忡忡的印度公民已经开始介入了，开始填补隐私保护这一空白。2021年7月，孟买高等法院向印度政府、马哈拉斯特拉邦政府和印度国家支付公司（National Payments Corporation of India）发出通知，回应有关TruecallerAPP程式违反规定共用使用者资料的公益诉讼。提交请愿书的实习律师Shashank Posture称，Truecaller在未经使用者同意的情况下与一些合作伙伴共用资料，然后将责任推给使用者。 

「像Truecaller这样的资料驱动公司的一个主要优势是，印度人还没有理解隐私的价值和需要，」Posture告诉The Caravan杂志。「在印度，没有明确的隐私法，人们对可以接触到数以百计的私人隐私号码这件事并未感到不妥，甚至并未想到这可能会招致广告电话对他们及亲朋好友进行轰炸，甚至不觉得将他们的名字和职业身份公布在公共领域是一件危险的事情。」 

资料保护法案能否解决与Truecaller相关的隐私和资料问题，还有待观察。「对于即将到来的DPB，我们一直与主要利益相关者保持着定期联系，」该公司发言人告诉The Caravan。「我们的首席执行长Alan Mamedi在2020年亲自会见了联合议会委员会的主要成员，传达了我们的立场，解释了Truecaller的工作原理，并表示我们会遵守最终法案的所有条款。」 

Prasanna对该法案不抱太大希望。他说，尽管它明确禁止未经同意收集资料，但只有当受影响的一方能够证明受到损害而不是隐私损失时，它才提供赔偿。「这可能会让DPB变成一只没有牙齿的老虎——即使有罚款和处罚的规定。」