研究 | 印度的“数据黑市”，何时休？

500

在软件大国印度，数据泄露频繁，数据交易成本低，针对数据获取和保护的法律监管呈现不对称且松散的特点，加之监控行业的繁荣，印度数据交易黑市逐渐壮大。许多跨国公司受困于印度的数据泄漏，且反对近年来印度政府推行的数据本地化。短期内，数据本地化继续占据印美贸易谈判的焦点，为了实现本国生产要素的积累，扶持本地企业迅速发展，印度政府有可能维持对本土的数据交易黑市“睁只眼、闭只眼”的态度。

2017年，印度发生了史上最大规模的一次数据泄露事件。印度运营商Reliance Jio通过提供免费的4G服务在事发前吸引了1亿多用户。但这一亿多用户的数据被泄漏到Magicapk.com网站上，包括姓名、手机号、电子信箱、SIM激活日期，甚至还包括Aadhaar号码（身份识别信息）。据新加坡中立杂志（CPO Magazine）统计，印度的数据隐私保护力度在全球范围内处于下游。许多跨国公司作为印度软件外包产业的服务对象，因此承担了巨大的经济损失。

500

图源：https://restofworld.org/2020/all-the-data-fit-to-sell/

一、印度数据交易黑市：数据泄露和监控行业的发展

近年来，印度恶性数据泄露事件频发。2016年，由于日立支付服务系统中的恶意软件注入，来自印度主要银行的320万张借记卡遭到破坏，交易损失近1300万卢比（2016年为19.5万美元）。2017年，印度运营商Reliance Jio的一亿多用户的数据被泄漏到Magicapk.com网站上，包括姓名、手机号、电子信箱、SIM激活日期，甚至还包括Aadhaar号码（身份识别信息）。2019年1月，印度国家银行（SBI）从其孟买数据中心的一台未受保护的服务器上泄露了客户数据，包括手机号码、部分账号、余额和交易详细信息。同年4月，总部位于孟买的本地搜索引擎Justdial遭到数据泄露，泄露了近1000万（1亿）用户的姓名、手机号码、电子邮件ID、职业和地址等详细信息。2020和2021每年也发生了几起大规模数据泄露事故，涉及公司有BigBasket，Unacademy，印度航空和Domino’s India等等。

印度拥有庞大的互联网用户量和数据来源。印度每个月都有5亿多人使用互联网，通过点击、滚动、滑动和下载，创造出大量的私人信息。他们看什么，如何约会，为谁工作，在哪里花钱，这些都在不断地被捕获和货币化。所有这些导致了一个数百万美元的黑暗数据经济。在这个经济中，任何个人信息都可以被交易，且难以受到法律的有效管制。这一交易市场处在法律的边缘地带，因而被称为数据交易黑市。

印度数据交易黑市的形成离不开监控业的发展与壮大。研究数据表明，在印度的100家网络安全领域的公司里，就有76家卖过监控相关产品，15家卖手机监控软件。所有公司都有提供修补数据安全的服务。提供的监控服务包括但不限于：大众监控，IP和语音监控，精准监控，手机监控，WIFI监控，远程拦截，反监控技术提供。服务对象中有44.1%为执法机构或政府机关，其次35.3%为大型公司或机构，11.8%为互联网供应商（ISPs）和电信供应商（TSPs），剩下8.8%为普通大众。其中有两成的公司总部在海外。大多数公司的主营业务包括处理客户数据、销售产品和解决方案，而这些产品和解决方案同时也有第三方的参与。这样的数据泄露直接导致了利用数据进行的诈骗。通常诈骗犯通过数据中介（有可能是大公司的员工或第三方员工）获得数据信息，并以此对公司敲诈勒索。不过印度警察主要关注诈骗犯，而常常忽略了中间提供数据的中介。

该国监控业的四类服务对象也正是监控产品的需求来源。其中普通大众的需求可进一步分为两类：1）家长用于约束青少年的不良行为；2）情侣、夫妻之间相互监控。早在2013年，一名古吉拉特邦的程序员Mepani迎合一些家长的需求研发出一款青少年追踪软件，EasySpyPhone，用于录制通话、收集短信和位置数据。这款软件的最新版本已经可以监视Facebook和WhatsApp等社交媒体平台，秘密打开手机麦克风录制通话和视频，并捕获截图。所有这些服务每月的费用大约为20或40美元。创始人Mepani认为，这样父母便可以了解到自己孩子的行踪与交到的朋友，可以为少年儿童创造一个更好的成长环境。

然而监控产品的发展逐渐脱离了这样的初衷。Mepani还开发出几款类似的监控软件，并成立了自己的安卓间谍软件公司以及Convents信息安全公司。他将监控软件许可借给多个供应商，而这些供应商用不同的名称将产品重新包装，再卖给客户。对于客户购买监控产品的目的和用途，供应商基本上不会过问。许多处在男女关系中的恋人以及需要做婚姻背景调查的家庭大多通过这样的供应渠道购买间谍软件或“私人侦探”服务。

二、数据的获取与保护：不对称且松散的法律体系

在印度，与数据相关的法律大致可分为两类：数据获取监管类和数据保护类。数据获取监管旨在为执法机构、公共部门获取数据提供便利。早在1885年，当时的中央政府就颁布了印度电报法（Telecom Act），用于电话拦截。在1996年之前，政府一直依据电报法来执行电话窃听。2000年出台了IT法（IT Act），其中的第六十九节规定在国家安全为前提下可截取、监视和解密数字文件。这一法案的第419A条规定，截取任何信息或任何类别的信息只能由中央内政部部长或州内政部部长下达命令。《1973年刑事诉讼法》（Cr.P.C.）第91节也涉及对存储数据的访问，该节规定，印度法院或警察局的任何官员可以传唤某人出示任何调查、调查所需的任何文件或任何其他物品，为执法机构提供调取数据的依据。问题在于，这些法律法规没有对数据记录储存执照的发放提供统一标准，也没有专门的权威机构来评判是否可以发放执照。

相比之下，数据保护方面的法规简单很多。仅有2011年的数据保护规则（Data protection rules）以及IT法43节A项提到数据保护的准则。随着近几年当局对数据保护的重视程度逐渐提高，2013至2014年，印度资讯科技常务委员会发表第五十二号报告书“犯罪、网络安全和隐私权”，印度国会也于2018年推出《个人数据保障条例草案》。但这些提议尚未被正式纳入数据隐私保护的法律体系。

目前，印度的数据交易处在一个法律灰色地带。根据印度的司法体系，所有进行数据交易的公司都要经过认证并且在其网站或软件中包含隐私条款。但是绝大多数的公司都不公布其是否遵守信息法规和标准，且不到四成公司在自己的网站上放置了隐私条款。

三、跨国公司的挑战：数据泄漏和数据本地化

许多欧美公司受困于印度的数据泄漏。IBM公司的报告显示，在2018年7月至2019年4月期间，就美国、英国、德国和瑞典外包给印度的数据公司中，共出现过35,636次因各种数据泄露事件而受到的威胁或起诉，平均处理每条这类事故的花销在11万美元左右。例如今年四月，全球最大披萨供应商，Domino’s 在印度的数据库泄露了1.8亿份订单细节，数据量达到13TB。泄露的信息包括订单详细信息，如姓名、电子邮件、地址、GPS位置和电话号码，甚至有一百万张信用卡在内的付款信息也被盗，造成了近550万美元的损失。

近年来，印度政府希望通过数据公有化以及数据本地化来加强对数据的管理，减少数据泄露。一方面，2019年，Facebook在其“透明度报告”中表示，在要求该公司提供用户数据方面，印度仅次于美国，排名世界第二。目前为止，已有四十多个政府部门可接触到各类社交平台上的数据。另一方面，2018年以来，印度相继颁布了《电子药房规则草案》《个人数据保护法草案2018》《印度电子商务国家政策框架草案》，推动数据本地化。

作为数据自由化最大的受益者，美国极力反对印度的数据本地化。美方认为，数据本地化限制了数据流通，加大了贸易壁垒。印度政府则坚持认为，数据本地化有利于政府和执法机构的监管目的，提高数据安全。实际上，数据被认为是21世纪的“新型石油”，印度数据本地化可以依托印度自身的庞大数字经济市场实现本国生产要素的积累，提高数据价值。

2018年，美国的科技巨头如亚马逊、微软，联合反对印度数据本地化。同时，美国参议员致函印度总理，欧洲委员会向印度电子信息技术部正式提交意见，反抗印度数据的本地化。经沟通，印度于2019年修改了《个人数据保护法草案》，将需要本地化的数据类别减少至“敏感个人资料”以及“关键个人信息”。但数据本地化依旧成为2020年的印美贸易谈判中的重点争议话题。

四、结语

本文转载自“海国图智研究院”微信公众号2021年8月14日文章

作者为陈思齐，来源为《人工智能资讯周报》

原标题为《印度数据交易黑市：监控行业的繁荣和跨国公司的挑战》

本期编辑：穆祎璠江怡