神譯局是36氪旗下編譯團隊，關(guān)注科技、商業(yè)、職場、生活等領(lǐng)域，重點介紹國外的新技術(shù)、新觀點、新風向。

編者按：在數(shù)字經(jīng)濟和智能設(shè)備高度發(fā)達的今天，整個世界是互聯(lián)的，但隨其而來的是一個極容易被人忽視卻至關(guān)重要的問題——個人數(shù)據(jù)安全和隱私問題。在印度，一款叫做“真實來電”（TrueCaller）的來電顯示應(yīng)用風靡全國，這個來電顯示自帶神效，不僅可以顯示陌生來電者的姓名、職業(yè)、來自哪個地方，甚至其前雇主的名字也眾目具瞻。更可怕的是，這款應(yīng)用竟然還可以根據(jù)個人設(shè)備上的財務(wù)數(shù)據(jù)推送貸款廣告和理財方案。這個應(yīng)用來自瑞典，卻為何在印度成為下載量占其全球總量三分之一的熱門軟件？接下來為你揭秘。因篇幅原因，文章分為兩部分刊出，此為第一部分。本文來自編譯。

劃重點：

Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩(wěn)固。

Truecaller的大部分數(shù)據(jù)集都是在未經(jīng)用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數(shù)據(jù)保護的、全面的法律框架。

該公司目前的業(yè)務(wù)，可能還涉及為注冊用戶建立一份完整的財務(wù)檔案。

你手機中的每一個聯(lián)系人都將成為Truecaller數(shù)據(jù)庫的一部分，該數(shù)據(jù)庫包括那些未注冊或未同意將其號碼識別出來的用戶。

這是一種眾所周知的“同意疲勞”現(xiàn)象。

只要有人用他的電子郵件登錄網(wǎng)站，他的聯(lián)系人就會被上傳到Truecaller的服務(wù)器上。

Truecaller實際上是從你的聯(lián)系人那里收集你的個人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)的。

2021年10月，我給一位駐巴基斯坦的記者打了電話，我們互相并不認識，但令人驚訝的是，他們在接到電話時竟然叫了我的名字。當我問他們怎么知道我的名字時，他們發(fā)送了一張屏幕截圖，截圖來自他們手機上的Truecaller應(yīng)用程序（譯者注：Truecaller是一款智能防騷擾撥號通訊應(yīng)用。世界上最大的驗證手機社區(qū)，有2.5億用戶。支持顯示來電信息，自動識別用戶通訊錄之外的未知來電，阻止騷擾電話、營銷來電和垃圾短信）。這個來電顯示截圖上有我的名字，我前雇主的名字，我在前公司的職位，我所在的州，以及我使用的移動運營商的名字。這位記者告訴我，他們最近在一款安卓手機上從谷歌應(yīng)用商店中下載了Truecaller應(yīng)用。

這位記者說，我的手機識別出是你，我甚至知道你這個號碼是在WhatsApp上注冊的。他們給我發(fā)了另一張截圖，是Truecaller發(fā)送的通知，上面說我的號碼在WhatsApp上注冊。我很震驚，因為我從來沒有在這個號碼上使用過Truecaller，也沒有在使用的任何設(shè)備上下載過這個應(yīng)用程序。由此看來，Truecaller和谷歌在使用或顯示我的私人號碼時從未征得我的同意。

Truecaller由瑞典True Software Scandinavia公司開發(fā)，該公司于2009年由Nami Zarringhalam和Alan Mamedi創(chuàng)立。Mamedi是庫爾德人后裔，出生在瑞典北部的一個難民營，Zarringhalam三歲時從德黑蘭移居瑞典，兩人現(xiàn)在都是瑞典公民。

Truecaller的官網(wǎng)上寫到：“當我們的聯(lián)合創(chuàng)始人還是學(xué)生時，他們就開始了這款應(yīng)用的設(shè)計和研發(fā)，他們想創(chuàng)建一款能夠輕松識別未知號碼來電的服務(wù)?！盩ruecaller還表明，這款應(yīng)用是“來電顯示和垃圾郵件攔截的首選應(yīng)用?！?021年10月8日，該公司在斯德哥爾摩納斯達克上市。根據(jù)Crunchbase（譯者注：Crunchbase2007年在美國舊金山創(chuàng)立，是覆蓋初創(chuàng)公司及投資機構(gòu)生態(tài)的企業(yè)服務(wù)數(shù)據(jù)庫公司）的數(shù)據(jù)，該公司在8輪融資中總共籌集了9860萬美元，其中Zenith Venture Capital、Atomico（譯者注：是一家位于倫敦的風投公司，主要投資位于歐洲發(fā)展最迅速的科技中心，尤其是倫敦、斯德哥爾摩、赫爾辛基和柏林中的初創(chuàng)公司。）和紅杉資本印度公司（Sequoia Capital India）是主要投資方。

該網(wǎng)站稱，截至2021年3月，這款應(yīng)用的下載量已超過5.81億次。印度的下載量占據(jù)了總下載量的三分之一以上，它的數(shù)據(jù)庫擁有驚人的57億個不同的手機身份。該公司總部設(shè)在斯德哥爾摩，但其大部分員工是印度人。這并不奇怪：根據(jù)該公司的數(shù)據(jù)，在175個國家超過2.78億的月活躍用戶（MAUs）中，僅印度就有2.05億用戶，這使印度成為該公司最大的市場。

盡管印度是一個巨大且利潤豐厚的技術(shù)創(chuàng)新市場，但The Caravan長達數(shù)周的調(diào)查顯示，Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩(wěn)固。我們采訪了在該公司工作了五年多的前高級員工、專攻隱私法的律師和政策研究智庫的專家，他們透露，Truecaller的大部分數(shù)據(jù)集都是在未經(jīng)用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數(shù)據(jù)保護的、全面的法律框架。The Caravan的調(diào)查顯示，該公司目前的業(yè)務(wù)，可能還涉及為注冊用戶建立一份完整的財務(wù)檔案。

在給The Caravan的一系列書面回復(fù)中，Truecaller堅稱，它提供的是一項“以隱私為中心的服務(wù)”，“承諾保持透明，并遵守運營國家的法律?！钡牵拖衤蓭烶rasanna S（這位律師專門研究隱私問題，而且是程序員出身）告訴The Caravan雜志的那樣，“他們的做法在某種程度上是正確的，因為這樣做可能不會違反法律?！比欢?，侵犯隱私是一種可起訴的錯誤行為，他們的行為，在未經(jīng)對方同意的情況下向另外的乙方透露個人身份信息，肯定是一種侵犯隱私的行為?！彼a充說，這“是Truecaller的傳統(tǒng)業(yè)務(wù)，已運營已久。Truecaller的運用場景實際上是這樣的，你的聯(lián)系人可以收集你的個人數(shù)據(jù)，然后在未經(jīng)你同意的情況下使用這些數(shù)據(jù)。”鑒于議會尚未通過2018年首次提出的《個人數(shù)據(jù)保護法案》，Prasanna說：“如果有隱私保護的話，那也是最低限度的?！?/p>

在2017年K.S. Puttaswamy訴印度聯(lián)邦（Union of India）案的裁決中，最高法院認為，根據(jù)《憲法》第14條、第19條和第21條，隱私權(quán)是一項基本權(quán)利。然而，五年過去了，政府仍然在審議數(shù)據(jù)保護法案，盡管經(jīng)過了幾次迭代——一次比一次更具爭議。這一法律漏洞使得印度公民容易受到政府機構(gòu)和私營公司的監(jiān)控、監(jiān)視和數(shù)據(jù)挖掘。

Truecaller的數(shù)據(jù)庫是通過四個主要來源建立的：應(yīng)用程序的下載；國外白黃頁不受隱私顧慮限制；與公開顯示數(shù)字的社交媒體平臺合作；應(yīng)用程序編程接口（APIs）和軟件開發(fā)工具包（SDKs）的免費認證。The Caravan采訪過的Truecaller前員工稱，與那些未經(jīng)本人同意就被添加到Truecaller數(shù)據(jù)庫的用戶相比，同意將自己的電話號碼識別并添加到Truecaller數(shù)據(jù)庫的用戶數(shù)量微不足道。

尼日利亞科技刊物TechCabal在一份詳細的報告中指出，一旦用戶注冊或下載Truecaller，就會出現(xiàn)一種相互交換的動態(tài)。如果你想使用來電顯示功能和應(yīng)用程序的其他功能，那么你必須放棄手機聯(lián)系人方面的隱私，這樣其他用戶才能使用相同的功能。你手機中的每一個聯(lián)系人都將成為Truecaller數(shù)據(jù)庫的一部分，該數(shù)據(jù)庫包括那些未注冊或未同意將其號碼識別出來的用戶。

由于Truecaller已經(jīng)在尋求注冊用戶的批準，以將其聯(lián)系人列表在數(shù)據(jù)庫中，這個動作使其從未面臨過法律訴訟。Truecaller的發(fā)言人告訴The Caravan，該公司為人們提供自愿分享聯(lián)系人的選項，這有助于提高算法的準確性。

我與大約一百個印度Truecaller用戶建立了歷時三個月的聯(lián)系溝通，發(fā)現(xiàn)大多數(shù)人是由于文本的復(fù)雜性和協(xié)議的文本長度等原因，從而不分青紅皂白地點擊“我同意”分享聯(lián)系人與該公司簽約。這是一種眾所周知的“同意疲勞”現(xiàn)象。大多數(shù)用戶甚至沒有意識到，他們通訊錄中的每個電話號碼在Truecaller數(shù)據(jù)庫中都已成為一個“注冊電話身份”。

此外，很多用戶也沒有直接從谷歌或蘋果商店下載這款Truecaller應(yīng)用程序，而是使用預(yù)裝了該應(yīng)用程序的設(shè)備，如Micromax、三星和Wileyfox的一些型號設(shè)備。在這種情況下，大多數(shù)用戶都允許共享他們聯(lián)系人的姓名、號碼、谷歌ID和電子郵件地址，因為一個名為“增強搜索”的功能會自動檢查。該公司在其網(wǎng)站上也默認批準了這項功能，并在其隱私政策中提到了這一功能。

這位前雇員說，“增強搜索”功能只不過是終端用戶自動同意將同步的聯(lián)系人上傳到他們的電子郵件帳戶。他們告訴The Caravan：“登錄頁面清楚地表明，通過檢查增強的搜索選項，你將與Truecaller分享你的聯(lián)系人?！薄爸灰腥擞盟碾娮余]件登錄網(wǎng)站，他的聯(lián)系人就會被上傳到Truecaller的服務(wù)器上?！?/p>

由于每個人都會根據(jù)方便程度來保存電話號碼，Truecaller算法會將個人保存的聯(lián)系方式上傳。例如，如果有人將一個垃圾電話號碼保存為“chor ka phone mat uthaiyo”——當這個號碼打來電話時不要接聽——它將被列在Truecaller的數(shù)據(jù)庫中以進行全球識別。

“Truecaller受到谷歌和蘋果商店指南的限制，所以并不能從他們的用戶那里直接下載電話本，但是他們在預(yù)裝的應(yīng)用和共享的apk（Android安裝包）上不遵守這樣的規(guī)則，”這位前員工，曾經(jīng)也就職于Truecaller的數(shù)據(jù)質(zhì)量部門，告訴The Caravan，“所以，如果你被列入Truecaller的任何一個注冊用戶的電話簿，你的隱私已經(jīng)在未經(jīng)同意的情況下被泄露了，你的電話號碼——可能帶有你的職業(yè)身份——已經(jīng)準備好被全世界看到了。”

根據(jù)Truecaller的招股說明書和對The Caravan的聲明，Truecaller還為應(yīng)用開發(fā)者提供免費的API和SDK認證。SDK和認證服務(wù)免費提供給應(yīng)用開發(fā)者，表面上是“為了Truecaller用戶的利益”，它使應(yīng)用開發(fā)者可以快速而輕松地吸引新用戶，前提是這些開發(fā)者也是Truecaller的用戶。它減少了典型的新入職流程的時間和摩擦，而根據(jù)慣例，新入職流程依賴于未接來電或OTP?！盨DK通過制造通話中斷支持對未注冊客戶進行用戶驗證 — 通過用戶號碼在后臺制造通話中斷來完成驗證流程。這里需要指出的是，由于缺乏嚴格的隱私法律，目前只有印度才有這種選擇。這位前員工說：“也正是因為這個原因，有時候打電話的人會給對方起奇怪的名字，比如‘德里-waale chacha’或‘Pinky parlor waali’?！薄斑@些聯(lián)系人并不知道他們的姓名和職業(yè)身份是在未經(jīng)自己同意的情況下被Truecalle收集的?！?/p>

Truecaller的一名發(fā)言人證實，該公司正在與應(yīng)用程序開發(fā)者共享姓名和經(jīng)過驗證的電話號碼，但表示這并不違反谷歌準則。該發(fā)言人表示：“除了姓名和truecaller驗證的號碼外，其他數(shù)據(jù)并未與應(yīng)用開發(fā)商共享?！薄斑@并沒有違反谷歌的準則。谷歌也為應(yīng)用開發(fā)者提供過類似的服務(wù)?！痹摴具€稱：“截止招股說明書發(fā)布之日，Truecaller用戶的登錄請求已超過12億次，登錄次數(shù)超過7.45億次。Truecaller大約23%的業(yè)務(wù)客戶來自現(xiàn)有的API SDK合作伙伴?！?/p>

令人驚訝的是，該公司并沒有采取任何措施征求數(shù)十億電話號碼擁有者的同意，而是通過第三方API悄無聲息地建立其龐大的數(shù)據(jù)庫。

根據(jù)Truecaller自己的數(shù)據(jù)，它共有57億個手機身份；自2014年以來，每一個下載和注冊的用戶中，大約有1 / 2仍然是月活躍用戶。這意味著該公司目前擁有超過2.78億月活躍用戶，擁有大約5億未經(jīng)同意的用戶身份。即使考慮到其他三種數(shù)據(jù)來源，Truecaller的全部數(shù)據(jù)庫似乎也不太可能有超過三分之一的用戶同意被識別并添加到該公司的數(shù)據(jù)庫中。

Truecaller龐大的數(shù)據(jù)庫引發(fā)了一個問題：該公司正在利用這個數(shù)據(jù)庫做什么？The Caravan的調(diào)查揭示了一種可能性：該公司可能正在為注冊用戶建立一份完整的財務(wù)檔案。

“短信主要處理銀行交易，任何人都可以試圖獲取數(shù)以百萬計的Truecaller用戶的財務(wù)信息，并竊取這些信息?！?/p>

譯者：Vivi