研究 | 印度的“數據黑市”，何時休？_風聞

點擊立即閲讀原文：研究 | 印度的“數據黑市”，何時休？

在軟件大國印度，數據泄露頻繁，數據交易成本低，針對數據獲取和保護的法律監管呈現不對稱且鬆散的特點，加之監控行業的繁榮，印度數據交易黑市逐漸壯大。許多跨國公司受困於印度的數據泄漏，且反對近年來印度政府推行的數據本地化。短期內，數據本地化繼續佔據印美貿易談判的焦點，為了實現本國生產要素的積累，扶持本地企業迅速發展，印度政府有可能維持對本土的數據交易黑市“睜隻眼、閉隻眼”的態度。

2017年，印度發生了史上最大規模的一次數據泄露事件。印度運營商Reliance Jio通過提供免費的4G服務在事發前吸引了1億多用户。但這一億多用户的數據被泄漏到Magicapk.com網站上，包括姓名、手機號、電子信箱、SIM激活日期，甚至還包括Aadhaar號碼（身份識別信息）。據新加坡中立雜誌（CPO Magazine）統計，印度的數據隱私保護力度在全球範圍內處於下游。許多跨國公司作為印度軟件外包產業的服務對象，因此承擔了巨大的經濟損失。

圖源：https://restofworld.org/2020/all-the-data-fit-to-sell/

**一、**印度數據交易黑市：數據泄露和監控行業的發展

近年來，印度惡性數據泄露事件頻發。2016年，由於日立支付服務系統中的惡意軟件注入，來自印度主要銀行的320萬張借記卡遭到破壞，交易損失近1300萬盧比（2016年為19.5萬美元）。2017年，印度運營商Reliance Jio的一億多用户的數據被泄漏到Magicapk.com網站上，包括姓名、手機號、電子信箱、SIM激活日期，甚至還包括Aadhaar號碼（身份識別信息）。2019年1月，印度國家銀行（SBI）從其孟買數據中心的一台未受保護的服務器上泄露了客户數據，包括手機號碼、部分賬號、餘額和交易詳細信息。同年4月，總部位於孟買的本地搜索引擎Justdial遭到數據泄露，泄露了近1000萬（1億）用户的姓名、手機號碼、電子郵件ID、職業和地址等詳細信息。2020和2021每年也發生了幾起大規模數據泄露事故，涉及公司有BigBasket，Unacademy，印度航空和Domino’s India等等。

**印度擁有龐大的互聯網用户量和數據來源。**印度每個月都有5億多人使用互聯網，通過點擊、滾動、滑動和下載，創造出大量的私人信息。他們看什麼，如何約會，為誰工作，在哪裏花錢，這些都在不斷地被捕獲和貨幣化。所有這些導致了一個數百萬美元的黑暗數據經濟。在這個經濟中，任何個人信息都可以被交易，且難以受到法律的有效管制。這一交易市場處在法律的邊緣地帶，因而被稱為數據交易黑市。

**印度數據交易黑市的形成離不開監控業的發展與壯大。**研究數據表明，在印度的100家網絡安全領域的公司裏，就有76家賣過監控相關產品，15家賣手機監控軟件。所有公司都有提供修補數據安全的服務。提供的監控服務包括但不限於：大眾監控，IP和語音監控，精準監控，手機監控，WIFI監控，遠程攔截，反監控技術提供。服務對象中有44.1%為執法機構或政府機關，其次35.3%為大型公司或機構，11.8%為互聯網供應商（ISPs）和電信供應商（TSPs），剩下8.8%為普通大眾。其中有兩成的公司總部在海外。大多數公司的主營業務包括處理客户數據、銷售產品和解決方案，而這些產品和解決方案同時也有第三方的參與。這樣的數據泄露直接導致了利用數據進行的詐騙。通常詐騙犯通過數據中介（有可能是大公司的員工或第三方員工）獲得數據信息，並以此對公司敲詐勒索。不過印度警察主要關注詐騙犯，而常常忽略了中間提供數據的中介。

該國監控業的四類服務對象也正是監控產品的需求來源。其中普通大眾的需求可進一步分為兩類：**1）家長用於約束青少年的不良行為；2）情侶、夫妻之間相互監控。**早在2013年，一名古吉拉特邦的程序員Mepani迎合一些家長的需求研發出一款青少年追蹤軟件，EasySpyPhone，用於錄製通話、收集短信和位置數據。這款軟件的最新版本已經可以監視Facebook和WhatsApp等社交媒體平台，秘密打開手機麥克風錄製通話和視頻，並捕獲截圖。所有這些服務每月的費用大約為20或40美元。創始人Mepani認為，這樣父母便可以瞭解到自己孩子的行蹤與交到的朋友，可以為少年兒童創造一個更好的成長環境。

然而監控產品的發展逐漸脱離了這樣的初衷。Mepani還開發出幾款類似的監控軟件，併成立了自己的安卓間諜軟件公司以及Convents信息安全公司。他將監控軟件許可借給多個供應商，而這些供應商用不同的名稱將產品重新包裝，再賣給客户。對於客户購買監控產品的目的和用途，供應商基本上不會過問。許多處在男女關係中的戀人以及需要做婚姻背景調查的家庭大多通過這樣的供應渠道購買間諜軟件或“私人偵探”服務。

**二、**數據的獲取與保護：不對稱且鬆散的法律體系

**在印度，與數據相關的法律大致可分為兩類：****數據獲取監管類和數據保護類。****數據獲取監管旨在為執法機構、公共部門獲取數據提供便利。**早在1885年，當時的中央政府就頒佈了印度電報法（Telecom Act），用於電話攔截。在1996年之前，政府一直依據電報法來執行電話竊聽。2000年出台了IT法（IT Act），其中的第六十九節規定在國家安全為前提下可截取、監視和解密數字文件。這一法案的第419A條規定，截取任何信息或任何類別的信息只能由中央內政部部長或州內政部部長下達命令。《1973年刑事訴訟法》（Cr.P.C.）第91節也涉及對存儲數據的訪問，該節規定，印度法院或警察局的任何官員可以傳喚某人出示任何調查、調查所需的任何文件或任何其他物品，為執法機構提供調取數據的依據。問題在於，這些法律法規沒有對數據記錄儲存執照的發放提供統一標準，也沒有專門的權威機構來評判是否可以發放執照。

相比之下，數據保護方面的法規簡單很多。僅有2011年的數據保護規則（Data protection rules）以及IT法43節A項提到數據保護的準則。隨着近幾年當局對數據保護的重視程度逐漸提高，2013至2014年，印度資訊科技常務委員會發表第五十二號報告書“犯罪、網絡安全和隱私權”，印度國會也於2018年推出《個人數據保障條例草案》。但這些提議尚未被正式納入數據隱私保護的法律體系。

**目前，印度的數據交易處在一個法律灰色地帶。**根據印度的司法體系，所有進行數據交易的公司都要經過認證並且在其網站或軟件中包含隱私條款。但是絕大多數的公司都不公佈其是否遵守信息法規和標準，且不到四成公司在自己的網站上放置了隱私條款。

**三、**跨國公司的挑戰：數據泄漏和數據本地化

**許多歐美公司受困於印度的數據泄漏。**IBM公司的報告顯示，在2018年7月至2019年4月期間，就美國、英國、德國和瑞典外包給印度的數據公司中，共出現過35,636次因各種數據泄露事件而受到的威脅或起訴，平均處理每條這類事故的花銷在11萬美元左右。例如今年四月，全球最大披薩供應商，Domino’s 在印度的數據庫泄露了1.8億份訂單細節，數據量達到13TB。泄露的信息包括訂單詳細信息，如姓名、電子郵件、地址、GPS位置和電話號碼，甚至有一百萬張信用卡在內的付款信息也被盜，造成了近550萬美元的損失。

近年來，**印度政府希望通過數據公有化以及數據本地化來加強對數據的管理，減少數據泄露。****一方面，**2019年，Facebook在其“透明度報告”中表示，在要求該公司提供用户數據方面，印度僅次於美國，排名世界第二。目前為止，已有四十多個政府部門可接觸到各類社交平台上的數據。**另一方面，**2018年以來，印度相繼頒佈了《電子藥房規則草案》《個人數據保護法草案2018》《印度電子商務國家政策框架草案》，推動數據本地化。

**作為數據自由化最大的受益者，美國極力反對印度的數據本地化。**美方認為，數據本地化限制了數據流通，加大了貿易壁壘。印度政府則堅持認為，數據本地化有利於政府和執法機構的監管目的，提高數據安全。實際上，數據被認為是21世紀的“新型石油”，印度數據本地化可以依託印度自身的龐大數字經濟市場實現本國生產要素的積累，提高數據價值。

2018年，美國的科技巨頭如亞馬遜、微軟，聯合反對印度數據本地化。同時，美國參議員致函印度總理，歐洲委員會向印度電子信息技術部正式提交意見，反抗印度數據的本地化。經溝通，印度於2019年修改了《個人數據保護法草案》，將需要本地化的數據類別減少至“敏感個人資料”以及“關鍵個人信息”。但數據本地化依舊成為2020年的印美貿易談判中的重點爭議話題。

四、結語

**在軟件大國印度，數據泄露頻繁，數據交易成本低，針對數據獲取和保護的法律監管呈現不對稱且鬆散的特點，加之監控行業的繁榮，印度數據交易黑市逐漸壯大。**許多跨國公司受困於印度的數據泄漏，且反對近年來印度政府推行的數據本地化。短期內，數據本地化繼續佔據印美貿易談判的焦點，為了實現本國生產要素的積累，扶持本地企業迅速發展，印度政府有可能維持對本土的數據交易黑市“睜隻眼、閉隻眼”的態度。

本文轉載自“海國圖智研究院”微信公眾號2021年8月14日文章

作者為陳思齊，來源為《人工智能資訊週報》

原標題為《印度數據交易黑市：監控行業的繁榮和跨國公司的挑戰》

本期編輯：穆禕璠 江怡