大數(shù)據(jù)倒在2019

一場大數(shù)據(jù)行業(yè)誕生以來最大規(guī)模的“地震”正在發(fā)生。

2019年9月6日，第三方數(shù)據(jù)風控公司魔蝎數(shù)據(jù)和新顏科技的相關(guān)負責人在同一天被警方帶走調(diào)查，由此拉開了行業(yè)大整頓的序幕，聚信立、天翼征信、公信寶、同盾科技子公司、51信用卡、考拉征信等諸多公司也被納入調(diào)查行列。

業(yè)內(nèi)人士普遍認為，此次整頓與數(shù)據(jù)公司的爬蟲業(yè)務(wù)以及數(shù)據(jù)的違規(guī)利用有關(guān)。究其本質(zhì)，是對現(xiàn)金貸業(yè)務(wù)的整頓。

需求催生了市場。自2013年互聯(lián)網(wǎng)金融概念興起以來，催生了一批為網(wǎng)貸平臺、消費金融公司、現(xiàn)金貸公司提供征信風控服務(wù)的數(shù)據(jù)公司，他們利用爬蟲技術(shù)的成熟與國內(nèi)數(shù)據(jù)信息監(jiān)管的寬松，通過自有數(shù)據(jù)、爬蟲抓取、金融機構(gòu)二次授權(quán)、地下黑產(chǎn)交易等方式，野蠻生長。

伴隨著國家對暴力催收、現(xiàn)金貸業(yè)務(wù)的監(jiān)管力度加大，一批曾經(jīng)風光的數(shù)據(jù)風控公司密集被調(diào)查，爬蟲業(yè)務(wù)暫停，“灰產(chǎn)”行業(yè)人人自危。

就在12月4日，國家網(wǎng)絡(luò)安全通報中心發(fā)文通報下架整改100款違法違規(guī)APP，其中不乏知名的樊登讀書、糖豆、更美、房天下等，整改重點針對無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

曾經(jīng)，一度有觀點認為，大數(shù)據(jù)時代來臨，得大數(shù)據(jù)者得天下，電商、營銷等平臺把大數(shù)據(jù)作為自己核心的競爭力，殊不知，技術(shù)無罪，但技術(shù)也會成為作惡者的工具。

史上最嚴監(jiān)管已經(jīng)來臨，正如業(yè)內(nèi)人士所說：“大數(shù)據(jù)發(fā)展和利用從野蠻生長時代進入了正規(guī)化管理的關(guān)鍵時代。”

01 數(shù)據(jù)行業(yè)大地震

今年開始，互聯(lián)網(wǎng)金融行業(yè)進入大整頓，作為現(xiàn)金貸風控的關(guān)鍵一環(huán)，提供數(shù)據(jù)支撐的第三方公司成為三季度以來的監(jiān)管重點。

2019年9月6日，魔蝎數(shù)據(jù)被警方調(diào)查，高管被帶走；同日，新顏科技高管被帶走協(xié)助調(diào)查。9月11日，公信寶運營方杭州存信數(shù)據(jù)科技有限公司被警方查封；中秋節(jié)期間，同盾科技子公司信川科技也有相關(guān)人員被警方帶走協(xié)助調(diào)查；10月21日，51信用卡委托外包催收公司因涉嫌尋釁滋事等犯罪被調(diào)查，該公司利用爬蟲技術(shù)不正當竊取用戶數(shù)據(jù)、濫用用戶信息進行暴力催收。

這一系列整治的背后，矛頭指向的是網(wǎng)貸。11月14日，公安部網(wǎng)絡(luò)安全保衛(wèi)局局長王瑛瑋表示，今年5月25日以來，對“套路貸”實施團伙、催收團伙以及幫助“套路貸”犯罪的技術(shù)服務(wù)商、數(shù)據(jù)支撐服務(wù)商、支付服務(wù)商開展了全鏈條式打擊。

11月20日再傳出消息，江蘇淮安警方打擊了7家涉嫌侵犯公民個人信息犯罪的公司，涉嫌非法緩存公民個人信息1億多條，其中，拉卡拉支付旗下的考拉征信涉嫌從上游公司獲取接口后，違規(guī)將查詢接口出賣。

圖 / Pexels

這些被調(diào)查的公司，可能面臨的共同問題是利用網(wǎng)絡(luò)爬蟲技術(shù)抓取數(shù)據(jù)并販賣，涉嫌侵犯公民個人信息。

網(wǎng)絡(luò)爬蟲是指按照一定規(guī)則，自動抓取互聯(lián)網(wǎng)信息的程序。這項技術(shù)并無原罪，業(yè)內(nèi)不少公司會通過爬蟲技術(shù)，將用戶在互聯(lián)網(wǎng)上的數(shù)據(jù)收集起來，做出更精準的用戶風控模型。某數(shù)據(jù)研究院院長劉志告訴燃財經(jīng)，搜索引擎、天眼查、企查查等公司都是用爬蟲技術(shù)爬取公開數(shù)據(jù)，在不涉及個人敏感數(shù)據(jù)的情況下，使用這項技術(shù)沒有問題。

但對于這些大數(shù)據(jù)公司來說，他們把爬蟲做成了產(chǎn)品，并且“走了兩步”。第一步是在面向用戶的產(chǎn)品中，讓個人用戶填寫賬號密碼，從公積金、社保局、信用卡中心等系統(tǒng)中幫用戶把里面的信息拿出來，第二步是把這些包含很多個人敏感數(shù)據(jù)的信息緩存在系統(tǒng)，之后對外提供給高利貸、催收公司等使用。“到第一步?jīng)]有問題，但到第二步就涉嫌過度采集、違規(guī)使用數(shù)據(jù)，侵犯用戶隱私。”劉志說。

這些數(shù)據(jù)有多大殺傷力？新金融深度曾報道，大數(shù)據(jù)服務(wù)公司聚信立只要獲取用戶的手機號碼和服務(wù)碼，就可登錄各大運營商的系統(tǒng)爬取通話記錄的數(shù)據(jù)，形成“個人用戶報告”，包括通話號碼、次數(shù)、時長等，借款人的通訊信息就會成為借貸機構(gòu)向借款人及其家人朋友催收的“利器”。這時，這類公司相當于協(xié)助了貸款平臺的暴力催收。

劉志解釋，做風控需要多維度的數(shù)據(jù)，如果全部通過正規(guī)渠道去拿，一方面目前行業(yè)內(nèi)沒有太多渠道，另一方面數(shù)據(jù)成本很高，但通過爬蟲去獲取，邊際成本很低。另外，數(shù)據(jù)公司通過爬蟲拿到的數(shù)據(jù)顆粒度更細，除了做風控還可以提供給一些公司做營銷，獲益更大。因此，業(yè)內(nèi)出現(xiàn)一大批違規(guī)操作的數(shù)據(jù)公司。

02 數(shù)據(jù)從何而來？

多名業(yè)內(nèi)人士介紹，數(shù)據(jù)公司的數(shù)據(jù)來源通常分為四大類：企業(yè)自身或其相關(guān)公司的數(shù)據(jù)、爬蟲技術(shù)爬取數(shù)據(jù)、相關(guān)現(xiàn)金貸公司在用戶協(xié)議上進行二次授權(quán)、通過地下交易非法購買相關(guān)信息。

金融行業(yè)從業(yè)者張豐介紹，對于第一種情況，公信寶推出手機挖礦產(chǎn)品，用戶免費使用的同時，需要提供大量個人信息，公司即可借此收集數(shù)據(jù)；考拉征信屬于拉卡拉支付參股公司，其數(shù)據(jù)來源可能包括在拉卡拉上進行信用卡還款、繳費、金融業(yè)務(wù)的個人用戶數(shù)據(jù)，以及線下商戶經(jīng)營的數(shù)據(jù)。

另外，一些合規(guī)的企業(yè)不少也具備“數(shù)據(jù)基因”，如前海征信是平安集團旗下全資子公司，其官網(wǎng)顯示：前海征信植根于平安集團，探索多樣化和創(chuàng)新性的數(shù)據(jù)采集、存儲、處理與分析方式，有著自身獨有的優(yōu)勢。

第二種情況是數(shù)據(jù)公司用爬蟲技術(shù)去公開網(wǎng)站等地方爬取數(shù)據(jù)，主要分為司法信息、電商信息、銀行卡信息、運營商信息、社交信息、開放數(shù)據(jù)等幾大類。

云鼎實驗室2018年發(fā)布的《互聯(lián)網(wǎng)惡意爬蟲分析》報告顯示，排名前三位的流量目標行業(yè)來自出行、電商、社交，運營商和公共行政分別占比4.91%，被爬的頻率也較為靠前。

其中，公共行政類惡意爬蟲主要集中在法院文書、知識產(chǎn)權(quán)、企業(yè)信息、信用信息等常規(guī)商業(yè)信息領(lǐng)域，而另一個受爬蟲青睞的是掛號類平臺。

用戶授權(quán)也是一種常用的信息獲取手段，如一些現(xiàn)金貸公司在隱私條款用戶協(xié)議里寫了允許其對用戶信息二次授權(quán)，而下載軟件的時候可能讀取了用戶的通訊錄、定位、相冊等信息。

此前，中國信通院發(fā)布的《移動金融應(yīng)用安全白皮書（2019年）》中，抽樣選取了12款下載量過億的典型金融行業(yè)APP，所有APP均存在不同程度的超范圍權(quán)限采集現(xiàn)象。這些APP共獲取了29種高敏感權(quán)限、15種中敏感權(quán)限、33種低敏感權(quán)限。高敏感權(quán)限包括讀取手機狀態(tài)和身份、修改或刪除存儲卡中的內(nèi)容、讀取系統(tǒng)日志等等。

在隱私政策方面，抽樣的部分APP也涉嫌違法違規(guī)。例如，某款金融行業(yè)APP隱私政策中出現(xiàn)要求用戶提供指紋、面部識別信息等個人敏感信息，實際上進行登錄等操作時并不需要。

來源 / 信通院報告

曾有報道稱，摩羯科技的支付寶爬蟲產(chǎn)品只需要用支付寶掃描一下登錄“二維碼”（第三方生成），后臺就可爬取用戶的真實姓名、手機號、收貨地址、近一年的購物信息，甚至詳細到每筆交易的金額。而經(jīng)過授權(quán)的微信爬蟲則可以獲取用戶聯(lián)系人、關(guān)注的公眾號、自己是群主的群、微信交易記錄、綁定的手機號碼等信息。

目前，公安機關(guān)已經(jīng)開展APP違法采集個人信息集中整治。就在12月4日，樊登讀書、糖豆、更美、房天下、健康天津、考拉海購等在內(nèi)的100款A(yù)PP涉嫌違法違規(guī)被國家網(wǎng)絡(luò)安全中心通告下架整改。

此次整治，重點針對無隱私協(xié)議、收集使用個人信息范圍描述不清、超范圍采集個人信息和非必要采集個人信息等情形。

今年以來，公安部門已經(jīng)查處違規(guī)采集個人信息的APP共683款，嚴厲打擊個人信息黑灰產(chǎn)亂像。

另外還存在的是行業(yè)內(nèi)很普遍的數(shù)據(jù)互通和地下交易。

張豐介紹，一些小公司會把自己的數(shù)據(jù)上傳到一個第三方應(yīng)用庫，和同行一對一互查，但最后很可能數(shù)據(jù)都留存到了第三方被再次交易。網(wǎng)上還有不少Q(mào)Q群、暗網(wǎng)上出售數(shù)據(jù)，有的企業(yè)內(nèi)部員工有數(shù)據(jù)庫權(quán)限，私自留存交易用戶數(shù)據(jù)，用違規(guī)插件獲取數(shù)據(jù)等，使得這個市場更加混亂。

這些獲取數(shù)據(jù)的方式是否違規(guī)？

長期關(guān)注金融行業(yè)的律師肖颯表示，通過地下交易非法收購相關(guān)信息肯定違規(guī)，情節(jié)嚴重會有刑事犯罪風險，涉及到刑法規(guī)定的侵犯公民個人信息罪。根據(jù)規(guī)定，違規(guī)向他人出售或者提供公民個人信息，情節(jié)特別嚴重的，可處三年以上七年以下有期徒刑，并處罰金。

至于用爬蟲抓取信息是否違規(guī)，要看具體情形，如果通過爬蟲抓取網(wǎng)絡(luò)公開信息，并不違法，但涉及到公司或個人信息時，關(guān)鍵點在于是否得到個人或公司的授權(quán)。缺少授權(quán)，就會涉嫌違規(guī)，會構(gòu)成侵犯公民個人信息罪。

03 野蠻生長后的行業(yè)深淵

第三方數(shù)據(jù)產(chǎn)業(yè)幾乎是伴隨著國內(nèi)網(wǎng)貸行業(yè)紅利而生的一波企業(yè)。

根據(jù)億歐智庫發(fā)布的《2018中國智能風控研究報告》，截至去年年底，573家金融風控企業(yè)共獲得投資金額超過1000億元，其中三成企業(yè)獲得三次及以上的投資。

這些企業(yè)中，69.8%成立于2013年-2017年，2014年增長率達到156%。2015年，新增企業(yè)數(shù)目達到峰值