神譯局是36氪旗下編譯團隊，關注科技、商業、職場、生活等領域，重點介紹國外的新技術、新觀點、新風向。

編者按：在數字經濟和智能設備高度發達的今天，整個世界是互聯的，但隨其而來的是一個極容易被人忽視卻至關重要的問題——個人數據安全和隱私問題。在印度，一款叫做“真實來電”（TrueCaller）的來電顯示應用風靡全國，這個來電顯示自帶神效，不僅可以顯示陌生來電者的姓名、職業、來自哪個地方，甚至其前雇主的名字也眾目具瞻。更可怕的是，這款應用竟然還可以根據個人設備上的個人財務數據推送貸款廣告和理財方案。這個應用來自瑞典，卻為何在印度成為下載量占其全球總量三分之一的熱門軟件？接下來為你揭秘。因篇幅原因，文章分為兩部分刊出，此為第二部分。本文來自編譯。

劃重點：

Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩固。

Truecaller的大部分數據集都是在未經用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數據保護的、全面的法律框架。

該公司目前的業務，可能還涉及為注冊用戶建立一份完整的財務檔案。

你手機中的每一個聯系人都將成為Truecaller數據庫的一部分，該數據庫包括那些未注冊或未同意將其號碼識別出來的用戶。

這是一種眾所周知的“同意疲勞”現象。

只要有人用他的電子郵件登錄網站，他的聯系人就會被上傳到Truecaller的服務器上。

Truecaller實際上是在從你的聯系人那里收集你的個人數據，然后在未經你同意的情況下使用這些數據。

2020年6月，一家國家銀行的一名助理經理（由于不想危及自己的安全，不愿透露姓名）搬到了孟加拉國，加入了印度外交使團所雇傭的合作方。這名銀行員工告訴The Caravan，他們一到孟加拉國，由于服務提供商的規定，手機上的常規短信功能就停止了工作。然而，這名銀行員工仍然可以收到短信通知，包括每次在線交易的一次性密碼（OTP），這是通過安裝在手機上的Truecaller實現的。他們與The Caravan分享了其中一些消息的截圖，有國家銀行的標志、他們的銀行余額，以及每條賬戶號的后四位數字。這導致了一個問題：Truecaller是否能夠訪問SMS內容，是否能夠見證與銀行的每一次“秘密握手”——通過一次性密碼而進行的銀行交易。

這位前雇員說：“除了追蹤你的電話、通話時長、你頻繁和最不頻繁的聯系人之外，Truecaller軟件還可以建立你的詳細財務資料，因為它可以訪問你的短信。”他們證實，該公司的算法可以讀取短信內容。“Truecaller軟件有一個叫做‘短信分類器’的特殊功能，能夠識別個人、高優先級（銀行一次性密碼OTP和交易），以及注冊用戶的垃圾短信。”他們補充說，當人們的銀行余額低于某個數字時，該應用程序會向他們發送貸款建議。Truecaller已經為注冊用戶提供了高達50萬盧比（約6600美元）的短期貸款，無需太多的文書工作。該公司還與提供個人貸款的WhizDM Innovations等公司建立了金融合作關系。

這位前雇員還指出，訪問短信存在安全風險，因為如果Truecaller系統被感染或出現bug，整個數據都可能被泄露。他們表示：“短信主要處理銀行交易，任何人都可以試圖獲取數百萬Truecaller用戶的財務信息，并竊取這些信息。”他們指出，2019年，“一個所謂的漏洞”自動創建了印度工業信貸投資銀行（ICICI Bank）的統一支付接口賬戶，“在Truecaller用戶中引發了恐慌和黑客攻擊恐懼。”Alan Mamedi隨后通過一篇博客文章表示道歉，他說：“我們理解這一消息和眾多謠言可能給人們帶來的擔憂和沮喪，我們真誠地向他們道歉。Truecaller的所有員工都為發生這樣的事情感到難過。”

Truecaller否認它有讀取短信內容的能力，并表示它只在本地分析手機上的短信，以識別發送者，并確定它是否是垃圾郵件。然而，該公司同時聲稱，通過將Truecaller作為一個默認的短信應用程序，用戶可以將郵件分類，如OTPs、約會、垃圾郵件、未保存的號碼等，從而保持收件箱的整潔。

此外，Truecaller適應世界部分地區不斷演變的立法的方式，也引發了對其在印度的做法的一些嚴重問題。該公司在另一個主要市場尼日利亞制定了嚴格的隱私規定，并在2016年歐盟通過《通用數據保護條例》（General Data Protection Regulation）后，為歐洲用戶重新構建了應用程序。然而，印度市場并沒有采取類似的嚴格措施。

例如，這款應用的歐盟用戶擁有基于六個法律關卡的多層保護：同意、合同履行、合法利益、重大利益、法律要求和公共利益。因此，該應用程序為其歐盟用戶在隱私中心提供了額外的訪問和控制功能，允許他們訪問、糾正、刪除、限制處理和傳輸他們的數據。印度用戶沒有這樣的選項。在《通用數據保護條例》GDPR實施后，一個獨立的歐洲數據保護和隱私咨詢機構——工作組（Working Party）于2017年6月致函Mamedi，對True Software收集個人數據的方式表示擔憂。這封信的副本在The Caravan里，上面寫著：

“Truecaller實際上是在從你的聯系人那里收集你的個人數據，然后在未經你同意的情況下使用這些數據。”

True Software似乎既從Truecaller用戶的聯系人列表中獲取個人數據，也在某些情況下從他們的社交媒體頁面中獲取個人數據（包括姓名、電話號碼、電子郵件地址，如果可能的話，還包括人口統計信息和其他聯系信息）。這些信息會通過在Truecaller的網站和移動應用程序上進行反向搜索而公開。除非這些人經常關注自己的網站或主動下載這款應用程序，否則完全有可能對自己數據的使用情況一無所知。這意味著他們被剝奪了自己下指令的權利，他們的隱私受到了侵犯。

不久之后，該公司于2018年將其數據中心移至印度。普拉納什·普拉卡什是總部位于班加羅爾的非營利組織互聯網與社會中心的創始成員之一。據他說，Truecaller在印度的運作方式是不作為的。他說：“當Truecaller說‘我們用戶的權利和利益是頭等大事，因此我們為所有地域的用戶提供基本相同的權利’時，他們是在撒謊。”在印度，Truecaller會從你的地址簿中存儲聯系人的個人信息，并提供聯系人的反向號碼查找功能。這不是一個跨地域“基本相同的權利”的例子。歐盟用戶的隱私權顯然得到了Truecaller的尊重，而Truecaller卻不尊重印度人的隱私權。”

Truecaller的做法似乎也違反了谷歌的隱私準則。谷歌Play Store的公關經理里什圖·阿瑪納尼（Rishitu Amarnani）對The Caravan關于Truecaller做法的問題給出了不明確的回答。我們被告知，“你們分享的信息已轉交給相關團隊”，該團隊“正在對此進行調查，并將根據調查結果采取適當行動”。程序員出身的律師Prasanna告訴The Caravan，“不幸的是，谷歌的隱私政策非常有限”，因為它的目的只是規范應用程序如何從用戶那里收集個人數據。“Truecaller實際上是在從你的聯系人那里收集你的個人數據，然后在未經你同意的情況下使用這些數據。”

盡管印度政府在數據保護法案上拖拖拉拉，憂心忡忡的印度公民已經開始介入了，開始填補隱私保護這一空白。2021年7月，孟買高等法院向印度政府、馬哈拉施特拉邦政府和印度國家支付公司（National Payments Corporation of India）發出通知，回應有關Truecaller應用程序違反規定共享用戶數據的公益訴訟。提交請愿書的實習律師Shashank Posture稱，Truecaller在未經用戶同意的情況下與一些合作伙伴共享數據，然后將責任推給用戶。

“像Truecaller這樣的數據驅動公司的一個主要優勢是，印度人還沒有理解隱私的價值和需要，”Posture告訴The Caravan雜志。“在印度，沒有明確的隱私法，人們對可以接觸到數以百計的私人隱私號碼這件事并未感到不妥，甚至并未想到這可能會招致廣告電話對他們及親朋好友進行轟炸，甚至不覺得將他們的名字和職業身份公布在公共領域是一件危險的事情。”

數據保護法案能否解決與Truecaller相關的隱私和數據問題，還有待觀察。“對于即將到來的DPB，我們一直與主要利益相關者保持著定期聯系，”該公司發言人告訴The Caravan。“我們的首席執行官Alan Mamedi在2020年親自會見了聯合議會委員會的主要成員，傳達了我們的立場，解釋了Truecaller的工作原理，并表示我們會遵守最終法案的所有條款。”

Prasanna對該法案不抱太大希望。他說，盡管它明確禁止未經同意收集數據，但只有當受影響的一方能夠證明受到損害而不是隱私損失時，它才提供賠償。“這可能會讓DPB變成一只沒有牙齒的老虎——即使有罰款和處罰的規定。”

譯者：Vivi