内幕故事：印度蓬勃发展的“黑暗数据经济”（下）

神译局是36氪旗下编译团队，关注科技、商业、职场、生活等领域，重点介绍国外的新技术、新观点、新风向。

编者按：在月活网民数量超过5亿的印度，由于相对宽松的隐私保护法规以及迅速增长的消费者需求，黑暗数据经济在印度蓬勃发展。在这一领域，无论是什么信息，你几乎都可以买到。这篇文章，原标题是Inside India’s booming dark data economy，两位作者SNIGDHA POONAM和SAMARTH BANSAL在文中揭秘了印度蓬勃发展的黑暗数据经济的内幕故事。这是文章的下篇，主要介绍的是最值钱的学生数据以及不够健全的法律体系。

• 推荐阅读 | 内幕故事：印度蓬勃发展的黑暗数据经济（上）

图片来源：Unsplash @Fredy Jacob

学生数据：数据兜售行业的金矿

一旦买家拥有了这些数据过后，问题就在于，又可以如何将它变现？

诈骗是将数据信息变现的最简单方式之一。贷款诈骗者窃取银行客户的个人信息，退款诈骗者利用电商历史记录套现，而职场诈骗者则不择手段地从求职门户网站上获取各种信息。

在这一行业里，有些数据库的价值比其他数据库更高。一套以高净值人士为主题的数据库比以入门级员工为主题的数据库价格更高。此外，数据价格还受季节的变化而上下浮动。在印度重大节日之前的购物者数据库信息比节后更受欢迎，价格也更高。不过，还有一种最值钱的数据。“现在，学生数据信息简直是‘金矿’。”巴特说。

在印度，争夺顶级专业院校名额的竞争相当激烈，入学竞争很早就开始了。当学生进入高中后，他们已经参加过几次预备考试，他们的学术信息也很可能存储于不止一个数据库中。

临近高中毕业时，许多学生都忙于准备各种考试，比如报考工程院校需要参加的联合入学考试（JEE），或者报考医学院校需要参加的全国资格考入学考试（NEET），数据库中也可以找到这些考试的结果，同时还有考生成绩、考号、考生及家长的姓名和电话号码等信息。实际上，这些信息是为成千上万争夺教育优势的人精心编制的详细数据，他们也不惜花费数万美元来获取任何可能的教育优势。

要从 mobiledatabase.com（该网站现在已关闭，但还有许多同类网站）等网站购买数据库信息，任何感兴趣的人都必须联系主页上提供的电话号码购买。网站上的电话号码属于哈里·辛格（Harry Singh，化名），他坚持要求通过WhatsApp沟通。

于是，我们就这样达成了交易，花了20美元购买了2020年NEET考试有关的数据。他还建议通过数字钱包汇款，完成转账后，他就会把数据信息以谷歌表格的形式发送过来。当询问到这些数据是否可靠时，他确认说，“这些数据看都是NEET考试官方员工泄露出来的。”

除了好奇的记者，谁会购买这些数据呢？那只有招生中介了。每年，在JEE和NEET考试申请过程结束时，拿着内部人员泄露的数据以及兜售信息者出售的数据，这些招生中介就会去联系成千上万潜在申请者，并承诺保证他们会被工程院校或医学院校录取。

当然，他们几乎永远都做不到他们所保证的那样。来自德里的医生安瓦尔·侯赛因（Anwar Hussain），就是这些骗局中的受害者之一。2019年5月，侯赛因的儿子迪尔卡什（Dilkash）参加了NEET考试，并希望有朝一日能够当上医生。

“6月7日，”侯赛因回忆道，“是出成绩的那一天。在那之前，我们就查过录取网站，我也收到了中介的电话。她知道我儿子的考号。她跟我说，儿子通过了考试，但排名很低。因此，要进入知名院校会很难，但她告诉我，他们可以协调。她说她会跟他的老板谈谈。”

后来，侯赛因拜访了中介在德里的办公室。在那里，中介要求侯赛因预付6600美元，并让侯赛因回去准备学费，分期支付前述同等金额的款项。在随后的几周，侯赛因卖掉了自己用毕生积蓄购置的房子，还让兄弟们卖掉了他在祖先村子里的那份家族土地，并在三个信封里装满了现金。侯赛因支付了6600美元给布桑（那个中介的老板）和他的同事，然后又支付了27000美元给邻近一个邦的一所医学院的招生人员。

随后，中介就安排侯赛因先回去等候消息。但几个星期过去后，他既没有收到中介的消息，也没有收到来自学校的官方消息。他开始担心起来。“到9月20日，”侯赛因说，“我们知道自己被骗了。”2020年3月，德里警方在经过跨邦追捕后，成功逮捕了这一诈骗团伙的头目。不过，幸运的是，侯赛因最终如数追回了被骗的钱。

在印度，数据隐私案件很少会成为头条新闻。NEET考试相关的骗局，最早是在2018年爆出来的，当时一名学生将数据泄露的证据分享给了多家媒体。

“我尝试去了解那些中介到底是从哪里获得我们的信息的。通过在线搜索，我找到了大约30个交易学生数据的网站。”分享证据的那位学生运动人士维韦克·潘迪（Vivek Pandey）称。

潘迪还表示，“这类电话中，90%最终都会变成诈骗。”这一事件还引起了印度议会的关注，并就此事件展开过有关讨论，最后还移交给了印度中央调查局（Central Bureau of Investigation）进一步调查。

潘迪说，这些网站最终被关闭，“但到了第二年，他们还是会换个名字卷土重来。据我个人观察，起码发现至少四五个网站看起来都是一模一样的。”据潘迪估计，印度各地每年都有大概100至150起学生数据泄漏的报道，但这些骗局根本无法从源头上打击，每一次打击过后又会以新的形式出现，并且规律性极其明显。

图片来源：Unsplash @Tingey Injury Law Firm

不够健全的法律体系

目前，警方的关注焦点是策划这些诈骗行为的诈骗分子，而忽略了为他们提供数据信息的数据中介。在当局看来，一方是在实施明确界定的犯罪，而另一方只是在交易一张电子数据表格。鉴于大多数受害者往往并不知道自己的数据当初是如何泄露出去的，因此起诉实际上也特别困难。

但如果他们的确能找到证据的话，“那就有必要起诉数据中介侵犯他们的隐私。”资讯平台MediaNama的帕瓦说，“他们应该被逮捕，因为他们将人们置于危险之中，是诈骗分子的帮凶。否则，如果包括家庭住址或配偶姓名等信息都在流通贩卖的话，要伤害他人实际上易如反掌。”

最近几年，已经有好几起中介最终被告上法庭的案例。2017年，由于某个可疑网站上有大量客户数据在挂牌出售，印度电信运营商Reliance Jio向孟买警方提起了数据窃取控告。结果发现，这些数据被一名来自拉贾斯坦邦（Rajasthan）一个小城市的计算机科学专业辍学生从其服务器中窃走。

第二年，印度东岸城市金奈（Chennai）警方逮捕了三家数据公司的负责人，原因是他们出售了从印度教育部泄露出来的约80万名学生的信息。在众多家长收到各种承诺院校录取的电话或短信轰炸之后，他们向警方提出了控告，他们随之被卷入了这起丑闻之中。但最后，这些案件并没有从根本上改变任何事情。

相比于并不多见的逮捕，更健全的法律才能够更有效地打击数据黑市。2019年，印度议会提出了一项个人数据保护法案，该方案是对标欧盟的《通用数据保护条例》（General Data Protection Regulation）而制定的。在这一法案下，用户在自己的个人数字信息方面将有更多的控制权。

这项拟议的法案将要求企业内部设立“同意经理”一职，其主要职责包括：确保用户能“明确地”接受并同意有关条款，披露他们收集、处理和与第三方共享数据的原因，向客户告知潜在的风险，以及提供撤回同意和提出控告的方法。如果企业未能满足其中任何一项要求，用户都可以向根据这项法案将设立的数据保护机构提出上诉。

然而，这项法案却不适用于政府机构。根据这项数据保护法案，政府机构可以以国家安全利益之名，不需要透露利用这些数据的用途，要求获取各种形式的个人数据，并迫使私营企业交出相关数据。这一点尤为重要，因为每个印度公民从出生的那一刻起，政府就会收集他们的个人资料，以及日常生活中方方面面的重要信息，比如教育、收入、种姓、土地和财产所有权、关系和公民身份、子女等等。

印度是世界上数据最丰富的国家之一，政府会定期针对13亿公民展开大范围的数据收集工作。有时候，数据收集是基于合法治理需要；但另一些时候，则是为了推进某项政治议程。在某种程度上，在涉及到数据时，私营部门只不过是在跟随国家的步伐。

批评者则针对法律方面的后果提出了顾虑。印度国家公共财政与政策研究所（National Institute of Public Finance and Policy）的律师、政策研究员史密拉提·帕希拉（Smriti Parsheera）称，该法案给政府授予了广泛的豁免权。

“数据保护机构应该是一个面面俱到的机构，并且拥有前所未有的监管权力。”帕希拉强调称，“有人对其问责执行和独立范围表示担忧。”支持隐私保护的活动人士还担心政府不会有效地执行其通过的任何法律法规。“（官方）在隐私和安全方面的执法非常糟糕，”资讯平台MediaNama的帕瓦说，“他们的关注重点是在收集数据，而不是把保护隐私落实到位。”

对于这项法案，基本上无从了解印度人普遍对其的看法，也无从了解他们到底是如何了解隐私这个问题的。据2012年的一份报告，波努兰甘·库马拉古鲁（Ponnurangam Kumaraguru）和尼哈里卡·萨赫德瓦（Niharika Sachdeva）两位研究员发现，尽管人们更担心个人数字生活受到侵犯，而不是现实生活中的隐私，但是就保护个人在线隐私的预防措施而言，大多数人基本上一无所知。

该报告某项调查的一万多名参与者中，都表现出了相同的焦虑，即在未来，可能根本不存在个人隐私这个话题。正如一名受访学生所说，“对我来说，可怕的是，10年过后，将不再有个人隐私的概念，到处都能找到以这种或那种形式存在的个人信息。”

然而，印度国家公共财政与政策研究所的帕希拉乐观地认为，至少当前法案可以推动印度有关数据隐私未来的对话。“人们有一种与生俱来的保护个人信息的需求。”她称，“在印度，人们保护隐私的方式与政策框架中优先考虑的方式将有所不同。”

最简单的保护个人隐私方式，也许就是在使用科技过程中保持更加谨慎的态度。在丈夫违背她的信任之前，萨胡从未想象或怀疑过自己的设备会被做手脚。“我甚至没有设置锁屏功能，”萨胡说，“如果我的丈夫查看我的手机，我也不在乎。”

但自从她结束这段婚姻关系过后，她变得更加小心起来了。“现在，只要我一出门，我至少都会设置秘密来解锁屏幕。”

译者：俊一