大數據倒在2019

一場大數據行業誕生以來最大規模的“地震”正在發生。

2019年9月6日，第三方數據風控公司魔蝎數據和新顏科技的相關負責人在同一天被警方帶走調查，由此拉開了行業大整頓的序幕，聚信立、天翼征信、公信寶、同盾科技子公司、51信用卡、考拉征信等諸多公司也被納入調查行列。

業內人士普遍認為，此次整頓與數據公司的爬蟲業務以及數據的違規利用有關。究其本質，是對現金貸業務的整頓。

需求催生了市場。自2013年互聯網金融概念興起以來，催生了一批為網貸平臺、消費金融公司、現金貸公司提供征信風控服務的數據公司，他們利用爬蟲技術的成熟與國內數據信息監管的寬松，通過自有數據、爬蟲抓取、金融機構二次授權、地下黑產交易等方式，野蠻生長。

伴隨著國家對暴力催收、現金貸業務的監管力度加大，一批曾經風光的數據風控公司密集被調查，爬蟲業務暫停，“灰產”行業人人自危。

就在12月4日，國家網絡安全通報中心發文通報下架整改100款違法違規APP，其中不乏知名的樊登讀書、糖豆、更美、房天下等，整改重點針對無隱私協議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

曾經，一度有觀點認為，大數據時代來臨，得大數據者得天下，電商、營銷等平臺把大數據作為自己核心的競爭力，殊不知，技術無罪，但技術也會成為作惡者的工具。

史上最嚴監管已經來臨，正如業內人士所說：“大數據發展和利用從野蠻生長時代進入了正規化管理的關鍵時代。”

01 數據行業大地震

今年開始，互聯網金融行業進入大整頓，作為現金貸風控的關鍵一環，提供數據支撐的第三方公司成為三季度以來的監管重點。

2019年9月6日，魔蝎數據被警方調查，高管被帶走；同日，新顏科技高管被帶走協助調查。9月11日，公信寶運營方杭州存信數據科技有限公司被警方查封；中秋節期間，同盾科技子公司信川科技也有相關人員被警方帶走協助調查；10月21日，51信用卡委托外包催收公司因涉嫌尋釁滋事等犯罪被調查，該公司利用爬蟲技術不正當竊取用戶數據、濫用用戶信息進行暴力催收。

這一系列整治的背后，矛頭指向的是網貸。11月14日，公安部網絡安全保衛局局長王瑛瑋表示，今年5月25日以來，對“套路貸”實施團伙、催收團伙以及幫助“套路貸”犯罪的技術服務商、數據支撐服務商、支付服務商開展了全鏈條式打擊。

11月20日再傳出消息，江蘇淮安警方打擊了7家涉嫌侵犯公民個人信息犯罪的公司，涉嫌非法緩存公民個人信息1億多條，其中，拉卡拉支付旗下的考拉征信涉嫌從上游公司獲取接口后，違規將查詢接口出賣。

圖 / Pexels

這些被調查的公司，可能面臨的共同問題是利用網絡爬蟲技術抓取數據并販賣，涉嫌侵犯公民個人信息。

網絡爬蟲是指按照一定規則，自動抓取互聯網信息的程序。這項技術并無原罪，業內不少公司會通過爬蟲技術，將用戶在互聯網上的數據收集起來，做出更精準的用戶風控模型。某數據研究院院長劉志告訴燃財經，搜索引擎、天眼查、企查查等公司都是用爬蟲技術爬取公開數據，在不涉及個人敏感數據的情況下，使用這項技術沒有問題。

但對于這些大數據公司來說，他們把爬蟲做成了產品，并且“走了兩步”。第一步是在面向用戶的產品中，讓個人用戶填寫賬號密碼，從公積金、社保局、信用卡中心等系統中幫用戶把里面的信息拿出來，第二步是把這些包含很多個人敏感數據的信息緩存在系統，之后對外提供給高利貸、催收公司等使用。“到第一步沒有問題，但到第二步就涉嫌過度采集、違規使用數據，侵犯用戶隱私。”劉志說。

這些數據有多大殺傷力？新金融深度曾報道，大數據服務公司聚信立只要獲取用戶的手機號碼和服務碼，就可登錄各大運營商的系統爬取通話記錄的數據，形成“個人用戶報告”，包括通話號碼、次數、時長等，借款人的通訊信息就會成為借貸機構向借款人及其家人朋友催收的“利器”。這時，這類公司相當于協助了貸款平臺的暴力催收。

劉志解釋，做風控需要多維度的數據，如果全部通過正規渠道去拿，一方面目前行業內沒有太多渠道，另一方面數據成本很高，但通過爬蟲去獲取，邊際成本很低。另外，數據公司通過爬蟲拿到的數據顆粒度更細，除了做風控還可以提供給一些公司做營銷，獲益更大。因此，業內出現一大批違規操作的數據公司。

02 數據從何而來？

多名業內人士介紹，數據公司的數據來源通常分為四大類：企業自身或其相關公司的數據、爬蟲技術爬取數據、相關現金貸公司在用戶協議上進行二次授權、通過地下交易非法購買相關信息。

金融行業從業者張豐介紹，對于第一種情況，公信寶推出手機挖礦產品，用戶免費使用的同時，需要提供大量個人信息，公司即可借此收集數據；考拉征信屬于拉卡拉支付參股公司，其數據來源可能包括在拉卡拉上進行信用卡還款、繳費、金融業務的個人用戶數據，以及線下商戶經營的數據。

另外，一些合規的企業不少也具備“數據基因”，如前海征信是平安集團旗下全資子公司，其官網顯示：前海征信植根于平安集團，探索多樣化和創新性的數據采集、存儲、處理與分析方式，有著自身獨有的優勢。

第二種情況是數據公司用爬蟲技術去公開網站等地方爬取數據，主要分為司法信息、電商信息、銀行卡信息、運營商信息、社交信息、開放數據等幾大類。

云鼎實驗室2018年發布的《互聯網惡意爬蟲分析》報告顯示，排名前三位的流量目標行業來自出行、電商、社交，運營商和公共行政分別占比4.91%，被爬的頻率也較為靠前。

其中，公共行政類惡意爬蟲主要集中在法院文書、知識產權、企業信息、信用信息等常規商業信息領域，而另一個受爬蟲青睞的是掛號類平臺。

用戶授權也是一種常用的信息獲取手段，如一些現金貸公司在隱私條款用戶協議里寫了允許其對用戶信息二次授權，而下載軟件的時候可能讀取了用戶的通訊錄、定位、相冊等信息。

此前，中國信通院發布的《移動金融應用安全白皮書（2019年）》中，抽樣選取了12款下載量過億的典型金融行業APP，所有APP均存在不同程度的超范圍權限采集現象。這些APP共獲取了29種高敏感權限、15種中敏感權限、33種低敏感權限。高敏感權限包括讀取手機狀態和身份、修改或刪除存儲卡中的內容、讀取系統日志等等。

在隱私政策方面，抽樣的部分APP也涉嫌違法違規。例如，某款金融行業APP隱私政策中出現要求用戶提供指紋、面部識別信息等個人敏感信息，實際上進行登錄等操作時并不需要。

來源 / 信通院報告

曾有報道稱，摩羯科技的支付寶爬蟲產品只需要用支付寶掃描一下登錄“二維碼”（第三方生成），后臺就可爬取用戶的真實姓名、手機號、收貨地址、近一年的購物信息，甚至詳細到每筆交易的金額。而經過授權的微信爬蟲則可以獲取用戶聯系人、關注的公眾號、自己是群主的群、微信交易記錄、綁定的手機號碼等信息。

目前，公安機關已經開展APP違法采集個人信息集中整治。就在12月4日，樊登讀書、糖豆、更美、房天下、健康天津、考拉海購等在內的100款APP涉嫌違法違規被國家網絡安全中心通告下架整改。

此次整治，重點針對無隱私協議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

今年以來，公安部門已經查處違規采集個人信息的APP共683款，嚴厲打擊個人信息黑灰產亂像。

另外還存在的是行業內很普遍的數據互通和地下交易。

張豐介紹，一些小公司會把自己的數據上傳到一個第三方應用庫，和同行一對一互查，但最后很可能數據都留存到了第三方被再次交易。網上還有不少QQ群、暗網上出售數據，有的企業內部員工有數據庫權限，私自留存交易用戶數據，用違規插件獲取數據等，使得這個市場更加混亂。

這些獲取數據的方式是否違規？

長期關注金融行業的律師肖颯表示，通過地下交易非法收購相關信息肯定違規，情節嚴重會有刑事犯罪風險，涉及到刑法規定的侵犯公民個人信息罪。根據規定，違規向他人出售或者提供公民個人信息，情節特別嚴重的，可處三年以上七年以下有期徒刑，并處罰金。

至于用爬蟲抓取信息是否違規，要看具體情形，如果通過爬蟲抓取網絡公開信息，并不違法，但涉及到公司或個人信息時，關鍵點在于是否得到個人或公司的授權。缺少授權，就會涉嫌違規，會構成侵犯公民個人信息罪。

03 野蠻生長后的行業深淵

第三方數據產業幾乎是伴隨著國內網貸行業紅利而生的一波企業。

根據億歐智庫發布的《2018中國智能風控研究報告》，截至去年年底，573家金融風控企業共獲得投資金額超過1000億元，其中三成企業獲得三次及以上的投資。

這些企業中，69.8%成立于2013年-2017年，2014年增長率達到156%。2015年，新增企業數目達到峰值