在大数据风控正当风口时,大数据公司利用非法爬虫技术获取海量个人信息数据,打着征信公司的幌子对数据进行加工、贩卖。
近期,上海市浦东新区检察院以涉嫌侵犯公民个人信息罪对一个经营非法爬虫业务的大数据公司提起公诉,法院最后以侵犯公民个人信息罪判处8名相关被告有期徒刑三年至有期徒刑一年不等,并处罚金3万元至1万元不等。这个犯罪团伙在上海运营一家信息科技公司,以大数据征信的名义开展数据交易,与此前涉案的魔蝎科技、新颜科技类似。资料显示,这家公司和超过3000家上下游公司达成合作。它通过爬虫技术在网络上爬取用户的身份证、社保、学历、消费记录等信息,信息合计308万余条,通过提供查询服务违法所得1750余万元。在前两年,消费金融市场野蛮扩张时,无论是持牌机构还是非持牌机构,为了营销和风控疯狂寻找数据和流量,这就催生了产业链上游的大数据风控产业。此间,一些贷超平台和大数据服务商违规收集用户隐私数据,售卖至套路贷平台等,给消费者的财产安全带来隐患。随着监管穿透力度加深,消费者信息保护意识加强,逾越边界的爬虫和大数据风控均已收手。上述8人被判刑的犯罪团伙,开发了一个征信网站,这个征信网站为机构和个人提供有偿查询服务,所查询的信息均是个人敏感信息。关于数据来源,主要有两种方式,其一是通过资源交换或直接从其他数据机构购买,其二用爬虫在各类网站上非法爬取。
大量的数据汇集后,大数据公司会将它们归类整合,然后永久性地保存到公司租用的服务器中。如果有机构前来查询,单次查询费用0.5元至1.5元不等。
从客户分布来看,多集中在现金贷领域和部分人力资源企业。就查询流程而言,就存在较大的数据泄露风险和违规使用隐患,因为大数据公司对合作机构的资质审核缺乏严格的标准。
例如在大数据公司开设的征信网站上,机构只需简单地注册认证,这个环节一般需要交纳一定的押金,然后只需输入身份证号码、姓名、手机号码、手机验证码就能查询所需信息。对于被查询人,根本没有相关隐私保护设置,实际上也未得到被查询人的同意。当机构在使用非法征信网站查询时,会有一个授权协议出现,但这只是形式,根本无法得到被查询人的授权。
不久前,业内知名的大数据风控企业魔蝎科技一审判决出炉,法院也是判决魔蝎科技侵犯个人信息罪。魔蝎科技被判处罚金三千万元;法人周江翔被判有期徒刑三年,缓刑四年;技术总监袁冬被判有期徒刑三年。在数据来源方面,魔蝎科技同样将开发的前端插件嵌入网贷平台APP中,通过爬虫程序爬取用户的通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等个人信息。在此过程中,魔蝎科技存在欺骗用户的情况,对用户信息永久保存至租用的服务器中。魔蝎科技爬取相关信息后,提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。其中服务的客户不乏一些高利贷、套路贷机构。截至2019年9月案发时,法院等部门对魔蝎公司租用的阿里云服务器进行勘验检查,发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。
除了魔蝎科技,法院还公示《北京智借网络科技有限公司、贤俊江等侵犯公民个人信息罪一审刑事判决书》,智借网络法人代表贤俊江等人因侵犯公民个人信息罪被判刑。值得一提的是,拍拍贷、你我贷等公司都曾从该公司购买大量公民个人数据信息。凭借贷超和助贷模式,智借网络收集了大量具有借款需求的用户信息,仅速贷之家注册用户就超过1500万。数据体量达到量级后,智借网络为各类现金贷平台提供营销渠道、数据批发、征信管理等定制化服务,换言之就是进行数据贩卖。
随着大数据、云计算、人工智能等技术发展,大数据风控依然是未来金融科技的趋势。大数据风控为金融机构风控赋能的同时,也带来诸多安全问题,如数据的采集、应用、流通环节产生的隐私泄露。大数据风控经过野蛮发展后逐步回归理性,监管高压之下,数据安全成为焦点。“所有渠道的数据都必须非常干净,必须是用户主动授权,合规采集而来。一旦涉及非法盗取,再优质的数据也不能要。”有助贷平台对2019年大数据行业整顿仍心有余悸,坦言在用户隐私保护意识提升趋势下,不敢再打任何擦边球。这些涉案机构是与爬虫业务及侵犯公民个人信息有关。在大数据风控和爬虫整治期间,央行对银行及征信机构下发紧急通知,要求银行排查是否与第三方数据公司开展合作,排查的合作内容涉及数据采集、信用欺诈、信用评分、风控建模等方面。同时银行需要上报第三方公司的名字、股东背景、是否涉及爬虫,确认没有合作的,也需要按照要求进行报送。对于商业银行和数据公司合作在总行,执行在分支行的,也属于此次排查范围。银保监会去年下发并实施的《商业银行互联网贷款管理暂行办法》,从商业银行、助贷平台、借款人等多个层面规范商业银行互联网贷款业务经营行为,以促进互联网贷款业务获客、产品设计、风控、催收等环节合规发展。其中,风控是商业银行互联网贷款必须迈过的一道门槛。监管要求,商业银行应当针对互联网贷款业务建立全面风险管理体系,在贷前、贷中、贷后全流程进行风险控制,加强风险数据和风险模型管理,同时防范和管控信息科技风险。
同时,商业银行用于风控的大数据必须来源合规。当商业银行从合作机构获取借款人风险数据时,应通过适当方式确认合作机构的数据来源合法合规、真实有效,商业银行不得与违规收集和使用个人信息的第三方开展数据合作。
对征信机构而言,数据使用和保护边界也被严格限定。1月11日,中国人民银行央行就《征信业务管理办法(征求意见稿)》公开征求意见。《办法》指出,征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集。
此前,在中国人民银行举行“金融支持保市场主体”系列新闻发布会,征信管理局副局长田地表示:个人征信业务需要持牌经营,并纳入征信监管。打着大数据公司、金融科技公司等旗号,未经人民银行批准擅自从事个人征信业务的行为,均属于违法行为。
大数据风控被整顿,征信业务必须持牌,非法爬虫的生存空间必然会被压缩。