据《路透社》报道，当地时间27日，有消息人士透露，美国联邦通讯委员会（Federal Communications Commission， FCC）计划对美国四大运营商处以总计至少两亿美元的罚款，原因是它们不正当地披露了用户的实时位置数据。

上述四大运营商分别为AT&T、Verizon、Sprint和T-Mobile，最终处罚结果将于本周五公布。消息人士称，这些公司有权在此之前提出质疑，所以确切的罚款金额还可能发生变化，但也不排除会有所增加。

南都记者梳理发现，自2018年以来，四大运营商已经至少两次被曝售卖用户位置数据。虽然四大运营商此前均表示将停止与数据聚合商共享位置数据，但也许正如一位消息人士所言：“只要有钱可赚，他们还将继续出售数据。”

源头

只需手机号即可精准定位任何人

FCC的此次罚款，源于其在2019年1月美国四大运营商被曝出涉嫌违规披露用户实时位置数据后展开的一次调查。

《VICE》旗下的科技媒体Motherboard报道称，记者仅向一名线人提供了手机号，并支付了300美元，就成功定位了另一个人的手机——无需“黑”进手机，也无需更多信息。

这是一项面向个人和企业开放的定位服务，误差不过几百米。它的原理是对手机进行实时定位，而位置数据的源头正是美国的运营商：T-Mobile、AT&T和Sprint。

据进一步调查，位置数据流入记者手中经过了六次转手。

以记者使用的T-Mobile为例。T-Mobile将数据共享给数据聚合商Zumigo，后者再共享给位置追踪服务商Microbilt。然后Microbilt通过自己的手机追踪服务将数据提供给付费用户，该用户查到信息后交给线人，最后给到记者。

简而言之，运营商会出售获取位置数据的接口给数据聚合商，数据聚合商再将数据卖给下游的客户，用于促销、道路援助、欺诈保护等场景。他们之间通常会签署协议，承诺将获得用户的同意——如回复短信或点击按钮，使其合法化。

另一位关注位置追踪产业的消息人士告诉Motherboard，“只要有钱可赚，他们还将继续出售数据。”

很快，在15名参议员的联名要求下，FCC对此展开了调查。FCC委员长Ajit Pai坦言：“很明显，有一个或多个运营商违反了联邦法律。”

佐证

运营商未经用户同意售卖位置数据

不过，南都记者梳理发现，四大运营商售卖用户定位数据的产业链并不是由Motherboard第一次发现，相关证据还能追溯到更早。

有家1986年在达拉斯成立的公司，叫Securus，它可以提供和监测囚犯的通讯，美国有成千上万的监狱在使用。而事实上，Securus还有另一项鲜为人知的服务——手机定位。

2018年，密西西比郡前警长Cory Hutcheson因滥用Securus的手机定位服务追踪同事、出狱犯人的位置而被起诉，四大运营商售卖用户定位数据产业链也随之曝光。

据《纽约时报》报道，Securus从移动营销公司3Cinteractive获得用户的位置数据，而3Cinteractive的数据是从数据聚合商LocationSmart公司得来。上游的LocationSmart则直接从四大运营商获取一手的位置数据。

和Motherboard报道中的Zumigo一样，LocationSmart也是数据聚合商之一。他们的下游鱼龙混杂，数据层层转手，最上游的运营商根本无从得知自己的用户位置数据被谁使用、用在哪里。

尽管Securus辩称，使用定位服务的前提是上传法律文件，以证明该行为已获得授权，但Hutcheson在没有提供任何文件的情况下，仍然使用了该服务多达11次。

除此之外，有政府官员和多名律师认为，还需要获得手机用户本人的同意。

参议员Wyden在给FCC的一封信中强调，Securus仅要求用户提交法律文件是远远不够的，运营商也有义务进行审核，但现实是运营商根本无法获取该文件。在美国有些州，警方追踪手机甚至无需提供法律文件。

讨论

运营商是否有权出售用户位置数据？

Securus事件之后，AT&T, T-Mobile and Verizon陆续停止了与Securus的合作，只有Sprint例外。Motherboard的报道刊出后，四大运营商再次分别对违规披露用户位置数据的指控做出了回应。

“Verizon已经通知LocationSmart和Securus，将尽快切断他们对用户位置数据的访问”，Verizon首席隐私官Karen Zacharia称，“在我们有信心保障用户数据之前，我们将暂停接入新的数据聚合商。”

AT&T一开始表现得较为强硬，称其不打算停止与第三方共享用户的位置数据。不过，在Verizon发出声明后不久，AT&T便转换了态度，跟剩下两家运营商一起表态，将停止与第三方数据聚合商的合作。

根据美国《电信法案》，电话公司对保护用户数据负有法律责任，包括呼叫位置在内，并可以在法令要求下提供该数据或经用户同意进行出售。

但是，斯坦福互联网与社会中心专家Albert Gidari认为，非通话过程中收集到的位置信息在法律上不应受到同等保护。

他指出，只要运营商严格遵守自己的隐私政策，就“可以自由地利用所获得的信息来做他们想做的，包括位置数据，只要它与通话本身无关”。他解释说，即使不在通话中，手机系统也会自动获取准确的位置数据。

不过，也有专家认为，上述法律应该适用于网络上的任何通信，而不仅仅是电话。

乔治敦隐私与技术法律中心副主任Laura Moy表示：“如果运营商直接向某人提供访问其所有用户实时位置数据的接口，那他们应该对此进行监管。”

文/南都个人信息保护研究中心研究员蒋琳