征信公司“得数据者得天下” 行业监管难以覆盖
摘要:我国法律还没有明确规定哪些是个人数据、哪些数据能够传输、数据应该脱敏到哪一步以及信息流转的界限等,这些细则不规范,个人信息的流通和数据的使用就会陷入模棱两可的阶段。
摘要:我国法律还没有明确规定哪些是个人数据、哪些数据能够传输、数据应该脱敏到哪一步以及信息流转的界限等,这些细则不规范,个人信息的流通和数据的使用就会陷入模棱两可的阶段。
“君子之言,信而有征,故怨远于其身。”这句话出自《左传·昭公四年》。其中的“信而有征”意为,可以被验证为信实。这被业内人士看做是“征信”一词最早的出处。
现代社会里,征信是指对企业信用信息和个人信用信息进行采集、整理、保存、加工,并向信息使用者(银行等金融机构)提供的活动。征信不仅可以方便企业或个人顺利获得借款,也能为银行降低金融风险。尤其进入互联网时代,随着消费、借贷活动的增加,对征信的需求也越发强烈。
然而,经过多年的“野蛮生长”,征信行业的弊端开始逐渐显现。数据泄露、被转卖等事件不断出现,安全隐患突出。日前,考拉征信(个人征信公司)和admaster(数据公司)公司的高管因信息安全问题被调查。
有业内人士指出,我国对于信息安全的重视程度非常高,但是具体到征信业,还没有明确规定哪些数据可以被传输、哪些不能,也没有规定数据脱敏的审核标准,从而导致信息的流通和使用较为混乱。因此,相关部门还需要进一步完善征信业相关的法律法规,行业也需要加强自律,形成信息自我监督和自我纠正的正循环。
谁动了我的信息?
“要贷款吗?”“最近有投资需求吗?”不少人曾被铺天盖地的贷款推销电话连番“轰炸”,对此虽然烦恼不已,但却百思不得其解,不知自己的信息何时泄露给他人。
更令人不可思议的是,有些人因为申请贷款,而被多家放贷机构频繁查询个人征信报告,最终导致贷款失败。张丽(化名)就中了招,导致现在走各种渠道都无法获得贷款。
不久前,张丽在申请车贷时,却遭到拒绝,被对方告知是因“综合信用评分不足”所致贷款失败。
在张丽回忆中,今年确实有过一次网贷经历,但数额并不多,也并未逾期。而且在自己以往的信用卡消费经历中,并不存在任何违约情况。贷款被拒,究竟事出何因?
后来经朋友指点,张丽才得知,自己的个人征信报告可能被过度查阅,导致贷款银行不予贷款。
“一年内征信报告查询不能超过6次。”某车贷公司业务员曾贤(化名)向法治周末记者透露,“有时客户着急用钱,一些贷款公司的业务员可能将客户信息推荐给多家平台,这些平台都会查询客户的征信报告。查询多、放款少,出借方会认作客户无还款能力,最终导致贷款失败。”
另外,某些贷款平台因为资质较低,被正规的征信公司挡在了门外,转而与某些数据公司合作。而这些数据公司对待客户的信息更是毫不“客气”。
曾贤告诉法治周末记者,自己的一位客户在办理车贷时也遭到拒绝。该客户自己经营公司,年往来款上亿元,却在车贷上卡了壳。事后才得知,问题出在与其有合作的某网贷公司,其个人信息被这家网贷公司迅速“分享”到了50家网贷平台。一段时间里,该客户频繁接到贷款推销电话,最严重的时候平均半个小时就会接到一通推销电话。
除了贷款平台,在很多生活场景中,个人信息都有可能被“盯梢”,甚至被获取后倒卖。
10月初,江苏淮安警方侦破了一起“黑客”攻击破坏案件。警方披露的信息显示,某快递公司的信息系统后台被黑客攻破,约有1亿条左右的公民信息数据被窃取。这些被窃取的个人信息,根据新旧不同,用途也不同,“老旧的信息被卖给做推销的,最新的信息则被卖给做诈骗的”。涉案4名犯罪嫌疑人,非法获利100万元。
除了“黑客”的攻击,还有“内鬼”在作怪。10月,江苏常州警方破获一起特大侵犯公民信息案,该案件中“内鬼”多达48名,涵盖银行、卫生、教育、社保、快递、保险、网购、汽修等多个行业。买卖的信息包括个人征信、车辆信息、开房住宿、收货地址等数十个种类实时信息。
行业监管难覆盖
我国的征信业起始于上世纪九十年代。最初由中国人民银行组织商业银行建成了企业和个人征信系统。经过了二十年的发展,除了中国人民银行组织的“官方”征信,不少“民营征信机构”(企业征信机构和个人征信机构)纷纷涌现。截至11月,有133家企业征信机构在各级人民银行完成备案。今年1月,人民银行向首家市场化个人征信机构——百行征信公司发放个人征信牌照。
“事实上,这个领域的玩家,远不止这些。”易观高级分析师李子川曾表示,很多所谓大数据公司,其实也在做征信公司的事,“征信和数据公司的界限并不清晰”。可以说,在征信这条赛道上,涌入了三股势力:征信公司、大数据公司以及各个金融公司的风控部门。
某移动互联网公司技术人员告诉记者,对于征信行业公司来说,为了冲业绩,首要的任务就是获取数据。因为无论是获客还是优化产品和服务都要建立在大量数据基础之上,正所谓“得数据者得天下”。
“数据采集上,除了一部分正规途径,他们更多的是通过窃取、网络攻击等方式获取,给客户信息安全带来损害。”中国人民银行参事室副巡视员张韶华曾指出,目前,大数据公司和社会上的这些第三方数据风管的公司、分析的公司虽然做了征信的事情,但是却没有受到应有的监督,这加剧了征信市场上的混乱状况。
记者在法律电商平台无讼网上搜索关键词“侵犯公民个人信息”,仅2018年就出现了1028份相关裁判文书。在此搜索结果中再次输入关键词“获利”,即检索出406份相关裁判文书。
对接入商户资质要求高
近年来,P2P、小贷以及消费金融的迅速崛起,不仅带动了征信行业的快速发展,也推动了征信行业市场化的进程。
“小额贷款公司和网贷公司规模上千家,接入央行征信系统的只占一小部分。”曾贤告诉法治周末记者,“央行征信系统不仅对接入机构的资质有高要求,而且这些机构的年化利率不能超过一定标准,而一些小额贷款或者网贷平台的年化利率普遍较高。从自身来说他们可能也并不愿意接入央行征信。”
为了向市场提供多元化的企业征信产品和服务。1月,中国人民央行向百行征信(包括芝麻信用、腾讯征信、前海征信、鹏元征信、中诚信征信、考拉征信、中智诚征信、北京华道征信)颁发了个人征信牌照。
首块个人征信牌照的含金量是毋庸置疑的。为了取得资质,芝麻信用早在2017年8月开始,就开始加强“自律”,对平台合作商户的资质进行排查,对于未具备相应资质的商户,逐步暂停提供服务。
之后芝麻信用又要求商户(信贷或网贷平台),出具银行业金融许可证或银监会关于同意开展消费金融业务的批复、网贷机构合作的网络借贷信息中介机构间的合作协议、互联网金融协会会员证书或在金融办登记及备案的证明文件等相关资质。对于未能提供相关资质证明文件的,芝麻信用陆续对相关商户停止了服务。
曾贤认为,虽然百行征信是市场化的征信机构,但对于接入的商户资质要求高。对于一些信贷、网贷机构而言,接入不但意味着增加成本,而且产品竞争力和市场选择上的压力也不小。因此,在接入百行征信没有成为必选项之前,某些信贷、网贷机构更倾向与大数据公司合作。
而某些游离在征信监管边缘的大数据公司和风控机构,有的直接从黑市上购买数据,有的甚至雇佣黑客去盗取数据。8月,绍兴市越城区公安分局侦破一起特大流量劫持案,新三板上市公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取客户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品。被盗取信息的客户被精准营销。
曾贤介绍,这些被盗取的信息,很可能在黑市上被多次转手买卖,甚至为了高额的回报,有的数据被添加虚假信息,例如,级别比较低的客户可能会被信息填充做成级别比较高的客户,而一些高净值客户会被填充一些骗保、逾期等劣迹放出,造成数据污染,甚至影响个人客户的信用。
脱敏审查仍未启动
中国网络安全产业联盟理事长肖新光曾表示,互联网大数据时代,信息互联互通。公民个人信息的泄露,损害的可能不仅是个人生命或财产安全,深度的数据挖掘和分析会给国家网络安全带来极大挑战。中国企业联合会数据显示,我国每年因为诚信缺失造成的经济损失约为5000多亿元。
上海汉盛律师事务所高级合伙人李旻举例指出,网络安全法于2017年6月1日起施行,该法明确规定了对于个人信息的收集应该遵循合法、合理的规范。
“合法,即在收集时必须经过个人客户的授权。合理则指的是收集的材料要与主营业务相对应。”李旻举例说明,P2P公司收集客户信息时,可以了解其工资收入、工作状况,如果和主营业务没有关系的个人信息,一旦收集则涉嫌违法。这同样适用于与P2P合作的征信公司或者一些大数据公司。
“另外,收集数据时,还需要明确如何一些细节,例如如何收集、如何披露和分享信息,数据需要保留多久,涉及到公权力的利益时,例如公安机关到数据公司调取客户个人资料,是否提供,如何提供,都应该在合同上有约定。”李旻说。
北京市京师律师事务所律师吴迎成强调,尤其是政府相关部门在提供给征信公司或大数据公司公民信息前需要对公司的合理合法性做充分的审查、综合判断,不仅如此,政府提提供这些数据时,也要经过当事人客户的同意。
对政府方提供信息方面,李旻进一步指出,实务中的普遍做法是,政府方在与数据公司合作时,需要先行对数据进行脱敏处理。也就是说,政府方所提供的数据并不能是数据源,以此前提进行合作。
“但是目前的相关法律虽然对于数据要求做脱敏处理,但是没有明确脱敏的程度,以及如何实现对于脱敏的审查。”李旻补充说道。
对此,易观征信分析师田杰也深有同感,“数据脱敏本质是规避隐私,让数据实现流通产生价值。但是,我国还未建立统一的监管体系和细则,对于数据脱敏的具体审查制度机制尚不明确。”
“要从法律上保证个人信息安全目前还比较难。”田杰指出,我国法律还没有明确规定哪些是个人数据、哪些数据能够传输、哪些不能、数据应该脱敏到哪一步以及信息流转的界限等,这些细则不规范,个人信息的流通和数据的使用就会陷入模棱两可的阶段,企业想要合规却不知道合规的标准,想要利益最大化却不知道监管的底线,这些都是法律应该解决的问题;其次就是加强行业自律,形成信息监管和自我纠正的正循环,让企业自己知道哪些信息不能碰,哪些不能购买等等。最后就是加强监管力度,例如,央行征信信息被银行员工违规查询的事件屡禁不止,此时或许加强惩罚力度会减少类似内部违规事件。