前两天,我的一个朋友告诉我,他的一个"有趣"经历。
因为工作原因,他新换了个手机号码。当他用这个号码注册微信的时候,微信提示他说,这个号码已经注册过了。
然后他就试了一下"找回密码",还好,微信设置了一道好友验证,需要寻找两位经常联系的微信好友,输入一串指定的验证码。如果不是这个设置,他就真能登录到别人的微信上了。
我给他解释说:看来这个手机号码之前的主人,将手机号设为了登陆的ID,而在手机销户之后,又没有及时变更或者清除订购关系。
所以,对于微信、邮箱、电商等互联网应用来说,这个手机号码依然是登陆的ID和凭证。
我顺便问这个朋友:你之前的号码销号之后,清理订购关系了么?
朋友吓坏了。
他已经记不清,曾经用原来的手机号码,注册过多少应用和业务?这些业务目前是否还"活着"?在这些地方又保留了多少自己的隐私信息?
他无法评估,如果这个号码被他人使用后,可能给自己带来多大的安全风险。
订购关系是什么?
如果客户购买的是实体商品,那么,订购关系可以理解为客户的"订单":用户的订购、消费和服务,都是一次性完成的,订购关系的管理也相对简单。
对于"一次购买、多次服务、周期性付费"的商品和服务,比如电信运营商提供的信息服务、水电煤气等基础设施提供的持续性服务、每周一次的鲜花送达等等,订购关系就相对复杂,除了订购之外,还需要有变更和退订等流程。
一条完整的订购关系,应该包括以下要素:
- 第一,发起者是谁,是哪个客户?
- 第二,是在什么时间发起的订购/退订行为?
- 第三,通过什么渠道/方式(如短信、APP、代理)发起的订购/退订行为?
- 第四,购买/退订的是什么产商品/服务?
从某种角度来说,订购关系就是消费者与商家约定的商业合同,当双方产生纠纷时,可以作为法律依据。
当用户得到服务而拒绝付费的时候,商家就可以依据订购关系来说明自己履约而用户违约;反之亦然。
如果消费者完成了订购,而没有享受到服务,也可以依据订购关系进行索赔。
订购关系的管理
订购关系里的信息,具有极高的商业价值。无论是订购关系的管理,还是这些数据信息的使用,都是商家关注的重点。
但在以前,订购关系的管理并没有被提到这么重要的程度,由此也出现过很多问题。
最早,运营商在信息服务方面,曾经广泛采取简单的"代收费"模式。比如语音信息台服务、最初的梦网等,都是信息服务提供者借助运营商的渠道来收费。
每到月底,信息服务的内容提供者(CP,Content Provider)就会给运营商提供代收费的名单以及费用,运营商照单向用户去收钱。
在这个阶段,运营商并没有进行订购关系管理和控制,订购关系全部听CP的。
因此,运营商的客户服务和业务管理工作一度出现很大困难:如果CP对客户有欺诈或者强行定制等行为,运营商完全不知情;然而,用户是把钱交给运营商的,他们只会向收钱的运营商投诉。
替CP代收费的佣金看似不少;但相对于运营商的收入规模,实在是微不足道。所以,当运营商被代收费搞得焦头烂额,自然会想办法解决。
解决方案的核心,就是强化对订购关系的管理。
起初,中国移动将合伙类的业务放到DSMP平台上管理,到后来直接由BOSS系统来管理所有用户的订购关系。这样一来, SP(Service Provider)和CP只是增值业务的提供者和订购渠道,而增值业务的管理就由运营商自己来掌控了。
在这样的运营模式下,无论是用户在SP那里订购,还是通过运营商的渠道订购业务,所有的增值业务订购关系,都必须在运营商那里确认之后,才会正式生效,可以由运营商代为收费。
简而言之,就是互联网与用户之间的订购关系,以运营商侧的记录为准。
久而久之,运营商管理着客户的信息,同时又控制着客户所有订购/退订业务的情况,渐渐成为互联网业务提供者和最终客户之间的一道难以逾越的壁垒,也奠定了运营商在信息服务领域的霸主地位。
彼时,互联网企业之所以在运营商面前忍气吞声,是因为通过运营商代收费,几乎是当时互联网业务唯一的前向收入。
然而,中国的互联网发展非常迅猛,支付宝、微信支付等移动支付方式的兴起,打破了运营商在支付收费方面的垄断地位,产业格局发生了巨变。
既然不必通过运营商才能收到钱,那么互联网公司当然希望自己能管理订购关系,于是运营商掌控的订购关系不再完整。
新的问题就此出现。
订购关系的新问题
前面已经说过,完整的订购关系至少应该包括订购者、订购/退订时间、涉及的产品等,最核心的当然就是订购者。
然而,互联网公司往往允许用户以多个ID关联同一个账号,比如手机号、QQ号、邮箱等,并且提供了密码找回的手段,尽量满足用户便利登录的需求。
其中,手机号更已经被普遍当作"最后的堡垒"。
便利性提高的代价,是牺牲了安全性。在诸多可登录的ID之中,只要有一个出现问题,就可能给用户带来损失。
事实上,近年来出现的很多安全事件中,都有这样的情况发生:犯罪嫌疑人通过用户不常用的ID和一些冷门业务进行组合,最终冒用客户名义成功登录某网站,甚至攻破同一用户一连串的登录信息。
多个ID中有任何一个被攻破,都可能造成这样的后果;那么如果手机号这个ID不再安全,会有哪些可能的漏洞与风险?
我就以用户换号码为例,说说运营商管理订购关系,和互联网公司自己管理订购关系的差异。
如今,运营商的营销花样频出,尤其专注于抢夺新用户,再加上异地生活、工作需要等场景,经常会出现用户离网之后,换号重新入网。
用户离网这个行为,运营商知道,可互联网公司并不知道。
如果移动用户所有的订购关系都由运营商管理,那么在用户离网的时候,运营商有义务帮助客户清理订购关系,也就是说,运营商会通知相关的业务合作伙伴,解除与该客户的订购关系。
但如果订购关系由互联网公司自己管理呢?
运营商不知道销户的用户订购过哪家业务,他又该通知谁做订购关系注销呢?
而如果用户不去互联网公司主动清理,那互联网公司又怎么知道,这个用户已经注销了自己的移动号码呢?
也许有人会说:用户注册或者做其他操作时,要通过运营商的号码进行短信验证,这下运营商不就知道用户订过什么业务么?
对不起,这种场景下运营商只是提供了通信通道,并不会对内容进行检查和过滤,所以运营商只是知道一个互联网公司平台和一个客户进行了通信,但并不清楚他们之间发生了什么。
换个位置想一下,如果你是那个用户,你真的希望运营商对你的上网内容了解得一清二楚吗?
然后,最大的问题来了。
手机号码并不是无限多的,这个资源是限的。根据法律和业务规则,运营商为了提高号码利用率,对于已经销户的号码,在经过一段时间的冷冻期后,就可以重新启用。
此时,A用户已经销户的号码,会被重新分配给B用户使用。
而当这个号码去尝试登录的时候,互联网怎么能搞清楚,这到底是A用户,还是B用户?
这个时代发展太快了,会出现越来越多的新问题,等着我们去破解。
从目前来看,用户/消费者对订购关系的关注和保护意识非常差,有几个人会清楚地记录下自己的订购行为?
而且,一旦发生这方面的纠纷,往往相关信息只能由商家提供,所以消费者处于劣势。如果商家对订购关系的管理出现问题,那这笔糊涂账又该如何解?
根据《网络安全法》实名制要求,请绑定手机号后发表评论
1、互联网如何搞清楚A用户和B用户这个问题,有二次卡识别的正规软件诸如天翼账号这些就够了 2、订购关系是整个国内互联网发展的一个漏洞,也是必经的阶段 3、没有第三了
事实上,依赖手机号码来鉴别用户,是互联网公司退化的迹象,是逃避帐户管理责任的手段。另外手机号码是Local的,而互联网天然是国际化的,用手机号来绑定用户信息的做法,更像是一个客户群有限的作坊,而不是全球视角的高科技公司。
这不还是运营商的锅嘛!归属地转移,携号转网提了多少年,真正落地了吗?落地了又有多少人愿意频繁换号销号?