数据黑产曝光：20亿条数据泄露背后，谁在“裸泳”？

出品｜虎嗅科技组

作者｜宋思杭

编辑｜苗正卿

头图｜电影《教父》

午夜12点，北京朝阳区某公寓楼内，张薇（化名） 第8次挂断陌生来电。这个月她已收到237通营销电话，从装修贷款到医美优惠，精准踩中她三个月前在短视频评论区留下的装修需求。

但她不知道的是，自己的手机号、微信ID、消费偏好，早已被打包成售价0.3元/条的“精准数据”，在“火眼云”系统的服务器里流转于土巴兔、美莱医美等企业的数据库。

这并非个例。就在近日的央视3·15晚会，获客软件产业链被一一曝光，包括火眼云、云企智能、绿信科技、企腾网络、智优擎网络、启科科技，而这其中还不乏被明星资本眷顾的企业。

在这背后揭开的是，一个数字经济时代下的“楚门世界”：

20亿条用户数据构成精密画像，3800项标签从“孕产周期”到“信用卡负债率”无所不包，6万品牌商通过三网运营商接口实时调取数据。当用户在短视频评论区写下“想装修”，云企智能的爬虫已在0.3秒内捕获关键词；当消费者点开医美公众号，绿信科技的SDK（软件开发工具包）正悄悄窃取微信好友列表。

值得一提的是，像上述涉及侵犯用户数据隐私的获客类软件，并非是首次被央视3·15晚会曝光。类似的案例出现在2022年央视3·15晚会上，CRM公司容联七陌同样因“骚扰电话问题”被曝光。

数字经济时代，数据早已成为新型石油。而在如今技术快速迭代升级的当下，数据黑产同样也被包装地愈加隐秘和“安全”。

数据屠宰场

在这场由算法驱动的围猎之下，个体隐私成为黑产链条上的标准件，另一边，企业则正在陷入“数据毒瘾”。

最直接的负面影响是，土巴兔依赖非法爬取的用户需求数据冲刺IPO，最终却因曝光折戟；拜博口腔通过购买“种植牙意向用户”数据，被监管部门罚款500万元。

而在这条数据黑产链条上，像土巴兔、美莱医美、拜博口腔所扮演的是“洗白中介”的角色。但这是把双刃剑。

拜博口腔通过火眼云获取公众号阅读者信息后，以“客户资源开发”名义将数据二次转售，单月获利超千万。更荒诞的是，部分企业将非法数据包装成“行业公开资料”，在招股书中将其列为核心竞争力——直到IPO前夕被监管机构叫停。

如果将这条数据黑产链条拆分，扮演洗白中介的土巴兔等企业是受害者，而真正的受益者是数据屠宰场里的屠夫。

这些屠夫便正是今年央视3·15晚会被曝光的获客类公司。

首先是被央视3·15晚会曝光的核心企业“火眼云”。其系统通过伪装成企业公众号SDK插件，在用户点击文章时触发恶意代码，0.3秒内窃取手机号及微信ID。

更隐秘的是“群组渗透”功能：当用户加入土巴兔装修交流群，火眼云可同步抓取群内所有成员信息。最终，这种技术暴力能让合作企业美莱医美单日收割上千条高净值客户数据，每条售价高达6元。

其次是在直播战场上号称“截流战士”的云企智能，其开发出的“云客引流”软件，以每分钟6条的速度扫荡评论区。只要有用户留言“老房改造”，算法即刻标记为装修潜在客户；当主播在直播间讲解报价，其竞品土巴兔可通过后台实时截流观众数据，形成“抢单-骚扰-转化”的猎杀链条。

另外还有背靠三网运营商接口，将通信大数据异化为黑产原料的启科科技。其通过伪造“企业公开数据合作”协议，启科每日处理100亿条实时信息，将用户浏览记录、套餐余额、地理位置切割成3800项标签。

不仅如此，这条黑产链的暴利远超传统行业。

作为屠夫，云企智能以0.3元/条低价倾销原始数据，可以达到日流水超百万；而启科科技对带消费能力标签的数据加价10倍，年费百万起步。

可以说，这些黑产公司如同数据屠宰场，将窃取的数据按行业需求做精细分割，从中赚取高额利润。

数据合规“生死局”

获客类SaaS企业的商业模式本质是一场“刀尖舔血”的游戏。

据调查发现，中国营销SaaS企业平均毛利率高达65%-70%；而根据安永发布的报告，中国通用型SaaS的平均毛利率为55%，远低于营销获客类SaaS。

但高毛利的代价则是将合规风险转嫁给用户——火眼云、启科科技等企业通过数据窃取将获客成本压缩至传统模式的1/3。

实际上，问题的根源在于“合规亏损定律”：一家合规运营的获客SaaS企业，需承担数据脱敏技术采购（年成本约800万元）、隐私计算系统部署（单项目投入超2000万元）等开支，导致毛利率骤降至40%以下。而黑产玩家通过爬虫劫持、虚拟运营商掩护等手段，可将毛利率拉升至90%。

然而近年来，从欧盟《通用数据保护条例》（GDPR）再到到中国《数据安全法》等法律的辐射下，一场数据合规革命也正在加速重构底层的商业逻辑。

如今，获客类SaaS正陷入自我否定的恶性循环。

一方面，土巴兔案例已经为整个行业敲响警钟，客户信任崩塌对企业带来的是客户续费率骤降；另一方面，资本对于获客类SaaS也更加谨慎。一些明星资本正在强化对合规风险的审查。

而更致命的是，这类企业的技术护城河正在瓦解。以绿信科技为例，其爬虫系统虽能穿透抖音防护，但随着平台AI反爬虫技术升级，数据捕获效率已经大幅下降。

然而，一个问题是，尽管隐私计算、联邦学习等技术被看作获客类SaaS的正解，但这些技术的训练成本是否能平衡企业最终的利润率，仍待考察。

而利益分配也正是在这其中更深层的冲突。如果数据无法被“明码标价”转售，那么获客SaaS企业必须重构商业模式。这也意味着放弃每年数十亿的黑产收入，转向订阅制、效果付费等长周期回报模式。但对于习惯“赚快钱”的玩家而言，无异于革自己的命。

也许，危机的破局点不在技术，而是价值重构。中国SaaS行业需要的是一场“价值祛魅”——从“数据掠夺者”到“数字服务商”的角色转变。