神譯局是36氪旗下編譯團隊，關注科技、商業、職場、生活等領域，重點介紹國外的新技術、新觀點、新風向。

編者按：在數字經濟和智能設備高度發達的今天，整個世界是互聯的，但隨其而來的是一個極容易被人忽視卻至關重要的問題——個人數據安全和隱私問題。在印度，一款叫做“真實來電”（TrueCaller）的來電顯示應用風靡全國，這個來電顯示自帶神效，不僅可以顯示陌生來電者的姓名、職業、來自哪個地方，甚至其前雇主的名字也眾目具瞻。更可怕的是，這款應用竟然還可以根據個人設備上的財務數據推送貸款廣告和理財方案。這個應用來自瑞典，卻為何在印度成為下載量占其全球總量三分之一的熱門軟件？接下來為你揭秘。因篇幅原因，文章分為兩部分刊出，此為第一部分。本文來自編譯。

劃重點：

Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩固。

Truecaller的大部分數據集都是在未經用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數據保護的、全面的法律框架。

該公司目前的業務，可能還涉及為注冊用戶建立一份完整的財務檔案。

你手機中的每一個聯系人都將成為Truecaller數據庫的一部分，該數據庫包括那些未注冊或未同意將其號碼識別出來的用戶。

這是一種眾所周知的“同意疲勞”現象。

只要有人用他的電子郵件登錄網站，他的聯系人就會被上傳到Truecaller的服務器上。

Truecaller實際上是從你的聯系人那里收集你的個人數據，然后在未經你同意的情況下使用這些數據的。

2021年10月，我給一位駐巴基斯坦的記者打了電話，我們互相并不認識，但令人驚訝的是，他們在接到電話時竟然叫了我的名字。當我問他們怎么知道我的名字時，他們發送了一張屏幕截圖，截圖來自他們手機上的Truecaller應用程序（譯者注：Truecaller是一款智能防騷擾撥號通訊應用。世界上最大的驗證手機社區，有2.5億用戶。支持顯示來電信息，自動識別用戶通訊錄之外的未知來電，阻止騷擾電話、營銷來電和垃圾短信）。這個來電顯示截圖上有我的名字，我前雇主的名字，我在前公司的職位，我所在的州，以及我使用的移動運營商的名字。這位記者告訴我，他們最近在一款安卓手機上從谷歌應用商店中下載了Truecaller應用。

這位記者說，我的手機識別出是你，我甚至知道你這個號碼是在WhatsApp上注冊的。他們給我發了另一張截圖，是Truecaller發送的通知，上面說我的號碼在WhatsApp上注冊。我很震驚，因為我從來沒有在這個號碼上使用過Truecaller，也沒有在使用的任何設備上下載過這個應用程序。由此看來，Truecaller和谷歌在使用或顯示我的私人號碼時從未征得我的同意。

Truecaller由瑞典True Software Scandinavia公司開發，該公司于2009年由Nami Zarringhalam和Alan Mamedi創立。Mamedi是庫爾德人后裔，出生在瑞典北部的一個難民營，Zarringhalam三歲時從德黑蘭移居瑞典，兩人現在都是瑞典公民。

Truecaller的官網上寫到：“當我們的聯合創始人還是學生時，他們就開始了這款應用的設計和研發，他們想創建一款能夠輕松識別未知號碼來電的服務。”Truecaller還表明，這款應用是“來電顯示和垃圾郵件攔截的首選應用。”2021年10月8日，該公司在斯德哥爾摩納斯達克上市。根據Crunchbase（譯者注：Crunchbase2007年在美國舊金山創立，是覆蓋初創公司及投資機構生態的企業服務數據庫公司）的數據，該公司在8輪融資中總共籌集了9860萬美元，其中Zenith Venture Capital、Atomico（譯者注：是一家位于倫敦的風投公司，主要投資位于歐洲發展最迅速的科技中心，尤其是倫敦、斯德哥爾摩、赫爾辛基和柏林中的初創公司。）和紅杉資本印度公司（Sequoia Capital India）是主要投資方。

該網站稱，截至2021年3月，這款應用的下載量已超過5.81億次。印度的下載量占據了總下載量的三分之一以上，它的數據庫擁有驚人的57億個不同的手機身份。該公司總部設在斯德哥爾摩，但其大部分員工是印度人。這并不奇怪：根據該公司的數據，在175個國家超過2.78億的月活躍用戶（MAUs）中，僅印度就有2.05億用戶，這使印度成為該公司最大的市場。

盡管印度是一個巨大且利潤豐厚的技術創新市場，但The Caravan長達數周的調查顯示，Truecaller在印度雖然取得了巨大的成功，但這種成功實際上相當可疑，根基并不穩固。我們采訪了在該公司工作了五年多的前高級員工、專攻隱私法的律師和政策研究智庫的專家，他們透露，Truecaller的大部分數據集都是在未經用戶同意的情況下完成收集的，這一成就之所以成為可能，是因為印度缺乏圍繞數據保護的、全面的法律框架。The Caravan的調查顯示，該公司目前的業務，可能還涉及為注冊用戶建立一份完整的財務檔案。

在給The Caravan的一系列書面回復中，Truecaller堅稱，它提供的是一項“以隱私為中心的服務”，“承諾保持透明，并遵守運營國家的法律。”但是，就像律師Prasanna S（這位律師專門研究隱私問題，而且是程序員出身）告訴The Caravan雜志的那樣，“他們的做法在某種程度上是正確的，因為這樣做可能不會違反法律。”然而，侵犯隱私是一種可起訴的錯誤行為，他們的行為，在未經對方同意的情況下向另外的乙方透露個人身份信息，肯定是一種侵犯隱私的行為。”他補充說，這“是Truecaller的傳統業務，已運營已久。Truecaller的運用場景實際上是這樣的，你的聯系人可以收集你的個人數據，然后在未經你同意的情況下使用這些數據。”鑒于議會尚未通過2018年首次提出的《個人數據保護法案》，Prasanna說：“如果有隱私保護的話，那也是最低限度的。”

在2017年K.S. Puttaswamy訴印度聯邦（Union of India）案的裁決中，最高法院認為，根據《憲法》第14條、第19條和第21條，隱私權是一項基本權利。然而，五年過去了，政府仍然在審議數據保護法案，盡管經過了幾次迭代——一次比一次更具爭議。這一法律漏洞使得印度公民容易受到政府機構和私營公司的監控、監視和數據挖掘。

Truecaller的數據庫是通過四個主要來源建立的：應用程序的下載；國外白黃頁不受隱私顧慮限制；與公開顯示數字的社交媒體平臺合作；應用程序編程接口（APIs）和軟件開發工具包（SDKs）的免費認證。The Caravan采訪過的Truecaller前員工稱，與那些未經本人同意就被添加到Truecaller數據庫的用戶相比，同意將自己的電話號碼識別并添加到Truecaller數據庫的用戶數量微不足道。

尼日利亞科技刊物TechCabal在一份詳細的報告中指出，一旦用戶注冊或下載Truecaller，就會出現一種相互交換的動態。如果你想使用來電顯示功能和應用程序的其他功能，那么你必須放棄手機聯系人方面的隱私，這樣其他用戶才能使用相同的功能。你手機中的每一個聯系人都將成為Truecaller數據庫的一部分，該數據庫包括那些未注冊或未同意將其號碼識別出來的用戶。

由于Truecaller已經在尋求注冊用戶的批準，以將其聯系人列表在數據庫中，這個動作使其從未面臨過法律訴訟。Truecaller的發言人告訴The Caravan，該公司為人們提供自愿分享聯系人的選項，這有助于提高算法的準確性。

我與大約一百個印度Truecaller用戶建立了歷時三個月的聯系溝通，發現大多數人是由于文本的復雜性和協議的文本長度等原因，從而不分青紅皂白地點擊“我同意”分享聯系人與該公司簽約。這是一種眾所周知的“同意疲勞”現象。大多數用戶甚至沒有意識到，他們通訊錄中的每個電話號碼在Truecaller數據庫中都已成為一個“注冊電話身份”。

此外，很多用戶也沒有直接從谷歌或蘋果商店下載這款Truecaller應用程序，而是使用預裝了該應用程序的設備，如Micromax、三星和Wileyfox的一些型號設備。在這種情況下，大多數用戶都允許共享他們聯系人的姓名、號碼、谷歌ID和電子郵件地址，因為一個名為“增強搜索”的功能會自動檢查。該公司在其網站上也默認批準了這項功能，并在其隱私政策中提到了這一功能。

這位前雇員說，“增強搜索”功能只不過是終端用戶自動同意將同步的聯系人上傳到他們的電子郵件帳戶。他們告訴The Caravan：“登錄頁面清楚地表明，通過檢查增強的搜索選項，你將與Truecaller分享你的聯系人。”“只要有人用他的電子郵件登錄網站，他的聯系人就會被上傳到Truecaller的服務器上。”

由于每個人都會根據方便程度來保存電話號碼，Truecaller算法會將個人保存的聯系方式上傳。例如，如果有人將一個垃圾電話號碼保存為“chor ka phone mat uthaiyo”——當這個號碼打來電話時不要接聽——它將被列在Truecaller的數據庫中以進行全球識別。

“Truecaller受到谷歌和蘋果商店指南的限制，所以并不能從他們的用戶那里直接下載電話本，但是他們在預裝的應用和共享的apk（Android安裝包）上不遵守這樣的規則，”這位前員工，曾經也就職于Truecaller的數據質量部門，告訴The Caravan，“所以，如果你被列入Truecaller的任何一個注冊用戶的電話簿，你的隱私已經在未經同意的情況下被泄露了，你的電話號碼——可能帶有你的職業身份——已經準備好被全世界看到了。”

根據Truecaller的招股說明書和對The Caravan的聲明，Truecaller還為應用開發者提供免費的API和SDK認證。SDK和認證服務免費提供給應用開發者，表面上是“為了Truecaller用戶的利益”，它使應用開發者可以快速而輕松地吸引新用戶，前提是這些開發者也是Truecaller的用戶。它減少了典型的新入職流程的時間和摩擦，而根據慣例，新入職流程依賴于未接來電或OTP。”SDK通過制造通話中斷支持對未注冊客戶進行用戶驗證 — 通過用戶號碼在后臺制造通話中斷來完成驗證流程。這里需要指出的是，由于缺乏嚴格的隱私法律，目前只有印度才有這種選擇。這位前員工說：“也正是因為這個原因，有時候打電話的人會給對方起奇怪的名字，比如‘德里-waale chacha’或‘Pinky parlor waali’。”“這些聯系人并不知道他們的姓名和職業身份是在未經自己同意的情況下被Truecalle收集的。”

Truecaller的一名發言人證實，該公司正在與應用程序開發者共享姓名和經過驗證的電話號碼，但表示這并不違反谷歌準則。該發言人表示：“除了姓名和truecaller驗證的號碼外，其他數據并未與應用開發商共享。”“這并沒有違反谷歌的準則。谷歌也為應用開發者提供過類似的服務。”該公司還稱：“截止招股說明書發布之日，Truecaller用戶的登錄請求已超過12億次，登錄次數超過7.45億次。Truecaller大約23%的業務客戶來自現有的API SDK合作伙伴。”

令人驚訝的是，該公司并沒有采取任何措施征求數十億電話號碼擁有者的同意，而是通過第三方API悄無聲息地建立其龐大的數據庫。

根據Truecaller自己的數據，它共有57億個手機身份；自2014年以來，每一個下載和注冊的用戶中，大約有1 / 2仍然是月活躍用戶。這意味著該公司目前擁有超過2.78億月活躍用戶，擁有大約5億未經同意的用戶身份。即使考慮到其他三種數據來源，Truecaller的全部數據庫似乎也不太可能有超過三分之一的用戶同意被識別并添加到該公司的數據庫中。

Truecaller龐大的數據庫引發了一個問題：該公司正在利用這個數據庫做什么？The Caravan的調查揭示了一種可能性：該公司可能正在為注冊用戶建立一份完整的財務檔案。

“短信主要處理銀行交易，任何人都可以試圖獲取數以百萬計的Truecaller用戶的財務信息，并竊取這些信息。”

譯者：Vivi