征信APP业务查询激增 个人数据存被窃取风险
这些征信APP的运作模式,一方面是为现金贷平台导流、一方面则是为了留存个人信息数据进行技术开发,如果再不规范还可能涉及放贷、甚至泄露和倒卖个人数据信息
征信APP:正在生成你的数据画像
这些征信APP的运作模式,一方面是为现金贷平台导流、一方面则是为了留存个人信息数据进行技术开发,如果再不规范还可能涉及放贷、甚至泄露和倒卖个人数据信息
法治周末记者 宋媛媛
近年来,第三方个人征信在贷款、买房、租车等方面得到广泛应用,公众逐渐开始意识到个人信用记录的重要性,与此同时也催生了个人征信查询业务。
按照央行的规定,到银行贷款需要的个人信用记录主要还是指央行征信库中的报告,该报告目前仅有三个严格设定的查询渠道。但多数用户并不了解个人征信,这也留给征信APP的存在留下了空间——即便在央行明确无授权的情况下,仍有不少相关APP平台在运行。
更具风险的是,这类APP很有可能收集个人信息后交易给非法机构,衍生出新的“买卖”,用户则最终成为受害者。
征信APP业务查询激增
通过手机快速了解自己的征信情况,防止逾期情况发生成了很多用户的需求,这也让一些从事贷款、导流的平台找到了一个新“买卖”。
记者随机在安卓和苹果相关应用商店搜索“征信查询”“信用”等关键词。“信用无忧”“天眼查”“信用管家”“征信宝”等近百家相关APP跃然而出。
在这些信用APP的应用介绍中,多标注“查询社保公积金”“直观了解信用状况”“免费提供服务”“解决贷款难题”等字样。
5月15日,法治周末记者随机找到了一个名为“查征信”的APP,其应用介绍显示,可为用户提供全国范围内集征信、社保、公积金查询管理,服务免费,可解决贷款难题。 在随后的注册中,手机提示显示,要求用户按照要求填写姓名、身份证、手机号码等真实信息。
注册成功后,进入到查征信APP界面。首先进入视线的是征信查询功能,在查询功能下方有小字体标注,该功能还可以“直连央行征信”“24小时获取报告”。但在点入该功能项目后,却一直无法登录该个人征信平台。记者随即致电该平台咨询,截至记者发稿时,一直无人应答。
另一款名为“信用管家”的APP在《用户协议》里提到:“用户可以通过该公司提供的个人信用查询直连插件,直接从中国征信中心或其他征信机构的官网获取、收集、处理、汇集自己的个人相关数据服务。”在获取用户原始数据后,平台表示将使用自动归类、自动区分、数据对比等数据解析技术等,将其转化和汇集成可供使用的数据。
另外,在其他相关APP的注册过程中,记者手机被APP平台要求通过GPS、访问通讯录、相册、摄像头等多项涉及隐私权限。
征信行业人士吴征(化名)表示,目前查询央行征信中心信用报告只有三个正规接口:第一个是央行征信中心官网;第二个是线下柜台、自助机;第三个是商业银行柜台及网银委托查询。此外,中信银行和招商银行两家征信查询试点银行,持有两家银行借记卡和U盾,也可通过网银查询。但至今没有授权任何一家征信APP平台运营。目前市场中的这些APP也是利用了这种查询方式帮用户代查征信报告。
记者注意到,早在今年年初,央行网站首页显著位置挂出提示:“未授权任何第三方应用程序提供个人信用报告查询服务,敬请广大用户注意。”
号称“直连央行征信”的第三方APP又是如何做到的呢?
吴征称,目前除正式接入持牌金融机构之外,央行征信系统没有对外开放过任何查询信用报告的接口。目前市面上所谓的第三方APP,都是在没有授权下,采用“模拟网页登录方式”,连接央行征信中心的“互联网个人信用信息服务平台”(面向普通个人信息用户查询的页面),来“代查”个人信用报告,简单讲就是“中介”。
个人数据存被窃取风险
既然可以直接通过央行的相关系统查询个人信用,为何众多相关APP平台如此热衷信用查询业务?
吴征透露,这些征信APP的运作模式,一方面是为现金贷平台导流,一方面则是为了留存个人信息数据进行技术开发,如果再不规范还可能涉及放贷、甚至泄露、倒卖个人数据信息。
上游财经专家顾问江瀚在接受媒体采访时曾指出,个人信息就是数据资产,个人的金融、行为、社交数据可以构成一个人的数据画像,如果将个人信息提供给征信查询APP的话,有着较大的个人隐私泄露风险。
“征信APP平台最大的风险就是征信APP平台会保存用户的征信报告。”零壹财经分析师孙爽表示认同,她认为由于查询个人信用信息时需要信息准确详实,因此大部分信息都具有真实性。但做信用APP平台,目的是为了利益,既然做征信了,肯定要用征信产品赚钱。用户信用信息在现金贷产业链条上被不断倒卖,相关机构“采集、整理、保存、加工信用信息,并向信息使用者提供”,而实际上并无机构有这样的资质。
具体操作过程是,征信查询APP在后台系统链接到央行征信中心互联网个人信用信息服务平台。通过个人用户提供的真实姓名和身份证号码,向央行征信中心提出查询请求,用回答问题的方式验证客户身份,在24小时内获取并提供个人信用报告。在这期间,这些APP可以视为央行征信中心与用户间的桥梁,非法截获用户信用信息。
相关数据显示,倒卖的价格根据数据的“新旧”程度而定,价格在0.1-1.5元/条不等。
而很多用户却不以为意,业内人士指出,用户对个人征信缺乏了解可能是最直接的原因。加上近年来一些第三方机构通过大数据挖掘自建信用评级系统,令一些用户将这套系统与央行的征信系统产生混淆。
融360发布的一份调查显示,近30%的用户并不了解个人征信,仅10%的用户对大数据征信比较了解,因为需要办贷款或信用卡才关注的占比高达84.6%。一连串数字后的结论为“关于个人信用方面的知识普及与教育还亟待提高”。
个人征信业务还未全面开展
虽然在全国企业信用信息公示系统网站上显示的涉征信业务的机构已超千家,但是截至目前,真正被授权开展个人征信业务的机构只有一家——百行征信有限公司。
从一开始积极筹备向机构颁发个人征信牌照,到几年来的悄无声音。人民银行征信局局长万存知曾用三个“没想到”描述征信业的状况。
2015年1月5日,央行下发《关于做好个人征信业务准备工作的通知》,要求芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信中心股份有限公司、鹏元征信有限公司、中诚信征信有限公司、中智诚征信有限公司、拉卡拉信用管理有限公司、北京华道征信有限公司8家机构,做好个人征信业务的准备工作,准备时间为6个月。
然而,两年后,仍然未有一家机构被授权。相反,个人征信业务的展开以“信联”的方式出现。1月4日,央行官网挂出百行征信有限公司(筹)相关情况的公示信息。这家注册资本为十亿元的百行征信有限公司,由市场自律组织中国互联网金融协会和8家前期进行个人征信业务准备的市场机构共同发起设立,每一发起人都是市场化机构,均不绝对控股。这意味着,只有百行征信有限公司一家的个人征信业务申请获央行许可,许可有效期三年。
万存知在接受媒体采访时表示,迟迟未能发照,主要是8家机构实际开业准备的情况离市场需求和监管要求差距较大。
万存知指出,上述8家机构除都想追求依托互联网形成自己的业务闭环,分割了市场的信息链,而且每一家的信息覆盖范围都受到限制,不利于信息共享。而且都各自依托某一个企业或者企业集团发起创建,在业务或者公司治理结构上不具备或者不具有第三方征信独立性。
吴征称,征信机构难被授权的原因主要来自于个人信息权益保护难。
“个人信息权益保护是个人征信机构监管的核心内容。”万存知曾在2017年4月21日的“个人信息保护与征信管理”国际研讨会上发表演讲时说道。
在互联网时代,个人征信业的快速发展,其必然深入到人们的日常生活,甚至可以事无巨细地搜索每个人的各项信息,甚至是隐私信息。
在第三方成为信息保护主体的情况下,如何保证信息权益不受损失成了重大问题。
“从目前来看,大部分征信机构并没有做到合规,这些机构对征信机构的基本理念和基本规则了解不够,而且也不太遵守。”吴征说。
对于个人征信机构的种种问题,央行监管不断加码,尤其是今年5月4日,央行征信工作会议强调,以零容忍态度严肃查处征信领域违法违规行为。
两天后,5月6日,央行下发《关于进一步加强征信信息安全管理的通知》(以下简称“102号文”),明确进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。其中,在“健全征信信息查询管理”部分特别规定:未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。
102号文称,将建立接入机构征信合规与信息安全年度考核评级制度,评为A、B、C、D四个等级,将结果作为现场检查、内部评级、费用优惠、查询权限等的重要依据。全国接入机构包括国开行等21家银行。严禁未经授权认可的APP介入征信系统。
“尽管目前征信机构众多,但监管的要求是‘在达不到监管标准情况下不能把牌照发出去’。”吴征说,相信为了保证公众信息不再“裸奔”,央行会不断整理、研究相关制度,在发展个人征信业的同时完善对个人信息的保护。