陈静 姚丁珏

3月19日晚，高鸿股份(000851.SZ)发布澄清公告称，公司在开展移动应用推广业务中通过使用“大唐神器”安装的三个后台应用程序收集IME1、MAC地址、手机型号和应用软件列表等信息，此事项属实。公告指出，该三个应用程序涉嫌手机用户的个人信息属实，对此致歉。

不过，就在“3 15晚会”的第二天，公司还称：从未传播吸费等任何恶意软件、用户可自由删除高鸿通信推广的移动应用产品、不存在收集用户个人信息的行为、“3 15晚会”报道中的北京鼎开联合信息技术有限公司(下称“鼎开联合”)与公司无任何关系。

据悉，其改口的缘由是：“公司在用户个人信息认识上和有关方面对国家的法律、法规规定的专业解读存在一定的偏差。”

在最新的公告中，其强调，“高鸿通信从未从事吸费、植入木马等任何恶意软件的传播”。

互联网安全从业人士、天融信副总裁刘辉接受21世纪经济报道记者采访时表示，国家在前几年发布过保护个人隐私的法规，但是在细节上没有界定得那么清晰。

同时，他对记者表示，由于手机从生产厂商到消费者手中的环节很长，中间会不会被预装恶意软件很难保证。据业内人士监测，目前行业内类似“大唐神器”的工具并不少。

谁在窃取用户数据？

按高鸿股份的说法，其仅收集到IME1、MAC地址、手机型号和应用软件列表等信息，并未涉及特定用户身份信息，如电话号码、通讯录、通讯记录等。

不过，21世纪经济报道记者从国内知名的网络安全厂商中获得一份其对“大唐神器”所做的安全技术报告却给出了不同的结论。

该技术报告指出，包名为“com.android.ds”的样本携带了“文件md5：a8910b0bb6cb3db27517fbe9a24f7183”，其危害是通过云指令控制用户手机上传通话记录、静默安装应用。

具体表述为：在用户不知情时，远程为其手机后台自动下载并自动安装任意应用(root机)；远程上报任意指定号码指定时间内通话记录(8位号)，记录包括：来去电通话人电话、通话开始时间、通话结束时间；上传用户手机已安装应用列表。

关于“大唐神器”安装的三个后台应用程序是否可以获取用户通话记录的问题，3月20日下午，记者致电高鸿股份证券部，工作人员称董秘和证代都出差在外，要求记者过两天再来电，记者随后拨打高鸿股份董秘王芊手机，对方电话已关机。

艾媒咨询CEO张毅把获取用户个人信息的应用分为两种：一是向用户索要授权而光明正大地获取信息，用户不授权就无法使用，只得无奈授权，这种方法几乎所有应用都会用到，令人讨厌但并不违法；另一种是利用软件跟随病毒恶意获取信息，显然违法。

3月20日，21世纪经济报道记者联系到鼎开联合技术人员，他告诉记者，“我们没有和高鸿股份合作。”并否认对用户扣费。而针对高鸿股份承认的获取用户信息，他称这是“高鸿自己的技术，这些技术不是难题，很多软件都能做到。”

一位IT从业人员对记者表示，“如果他们并没有合作，那么可能是鼎开联合与其他公司有商业合作，而这种合作涉及到了用户信息的数据分析，或者说鼎开联合与预装软件有直接关系。”

“两家公司应该是并列的关系。”张毅分析。

“数据就是王道，现在用户的数据太值钱，用来做广告推广、信息变卖都很有价值。”前述IT从业人员说。

对于央视曝光的扣费情况，高鸿股份、鼎开联合都予以了否认。刘辉分析，可能是用户在打开手机的数据通信的通道后，不知晓的应用软件偷偷在上网，一旦流量费用超过流量包，扣费就会比较严重。