何治民

近日，51信用卡有限公司被杭州警方突然調(diào)查，讓非法爬取個人隱私數(shù)據(jù)用于暴力催收的行業(yè)做法，浮出水面。

“別人在用（個人敏感數(shù)據(jù)），你不用就是落后。”事實上，受業(yè)務(wù)競爭的驅(qū)動，個人敏感數(shù)據(jù)的使用一直游走在灰色地帶。2017年開始，《網(wǎng)絡(luò)安全法》等法規(guī)都對非法爬蟲等數(shù)據(jù)收集和使用行為早有規(guī)范，但一直屢禁不止。

直到《個人金融信息（數(shù)據(jù)）保護試行辦法（初稿）》（下稱《試行辦法》）出臺，規(guī)范個人金融信息的收集與使用，非法爬蟲一時成眾矢之的，各大數(shù)據(jù)公司因爬蟲業(yè)務(wù)被查的消息也隨之傳來。自今年9月以來，北京、杭州等地先后有10余家大數(shù)據(jù)公司被警方調(diào)查，其中不乏頭部平臺和國企，大數(shù)據(jù)行業(yè)風(fēng)聲鶴唳。

個人金融信息被濫用到了該管管的時候了。

誰是非法爬蟲？

移動互聯(lián)網(wǎng)時代，數(shù)據(jù)是一種資產(chǎn)已成為各方共識。截至2019年6月，我國已有8.54億網(wǎng)民，當網(wǎng)民在各大互聯(lián)網(wǎng)電商平臺、社交平臺等產(chǎn)生的行為數(shù)據(jù)，與在運營商里的身份數(shù)據(jù)，金融機構(gòu)里產(chǎn)生的信用數(shù)據(jù)，以及電子政府系統(tǒng)中產(chǎn)生的政務(wù)數(shù)據(jù)，匯聚在一起，通過大數(shù)據(jù)技術(shù)分析，可以形成用戶畫像，具有極高的商業(yè)價值。

個人金融信息是決定用戶畫像是否精準的重要一環(huán)。個人金融信息的概念是從隱私權(quán)衍生而來，2011年，央行將個人金融信息保護范圍具體劃定為身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息、衍生信息及其他信息七類。

與其他個人信息不同，作為個人隱私信息最重要部分，個人金融信息具有財產(chǎn)權(quán)益的特性，通過它可以窺探用戶的財力，還可以助力放貸業(yè)務(wù)風(fēng)控?？萍嫉慕槿?，極大挖掘了個人數(shù)據(jù)的價值，用戶在享受個性化、貼心服務(wù)的同時，個人隱私安全也隨之襲來。

“太瘋狂了，不管什么數(shù)據(jù)都拿出來賣?！贝髷?shù)據(jù)行業(yè)從業(yè)人員朱偉對記者說，行業(yè)對個人敏感數(shù)據(jù)的使用一直處于灰色地帶。近幾年，各地因暴力催收導(dǎo)致貸款人自殺的事故屢次發(fā)生，引發(fā)監(jiān)管關(guān)注。10月21日，《關(guān)于辦理利用信息網(wǎng)絡(luò)實施黑惡勢力犯罪刑事案件若干問題的意見》出臺，暴力催收行為的認定和定罪才有依據(jù)。

暴力催收的源頭就在于個人數(shù)據(jù)的違規(guī)收集，行業(yè)普遍采用的數(shù)據(jù)收集手段是網(wǎng)絡(luò)爬蟲。

爬蟲技術(shù)爬取個人數(shù)據(jù)主要有司法信息、電商信息、銀行卡信息、運營商信息、社交信息、開放數(shù)據(jù)等。一般來說，爬蟲抓取公開網(wǎng)絡(luò)的信息，是安全的；但如果抓取的是未公開、未授權(quán)的個人敏感信息，就涉嫌違法，違反的是2017年6月1日實施的《網(wǎng)絡(luò)安全法》以及“兩高”相關(guān)司法解釋。

爬蟲技術(shù)本身是中性，關(guān)鍵在于如何使用。今年5月，國家網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》，在細化個人信息保護規(guī)定的同時，首次劃定了網(wǎng)絡(luò)爬蟲技術(shù)的法律紅線，“如自動化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動化收集時，應(yīng)當停止”。

在《數(shù)據(jù)安全管理辦法（征求意見稿）》發(fā)布后，包括頭部平臺同盾科技、51信用卡，國企平臺天翼征信在內(nèi)的10余家大數(shù)據(jù)公司接二連三被查，被查的原因大多與公司的爬蟲業(yè)務(wù)，涉及違規(guī)抓取個人數(shù)據(jù)、販賣個人隱私數(shù)據(jù)、助力暴力催收等有關(guān)。

有業(yè)內(nèi)人士透露，在爬蟲爬取的這些數(shù)據(jù)中，受歡迎的往往是那些覆蓋度高、標準化程度高的數(shù)據(jù)，“非法爬取大部分集中在運營商數(shù)據(jù)以及類似個稅、社保、信用卡數(shù)據(jù)等敏感數(shù)據(jù)”。

據(jù)接近監(jiān)管層的知情人士向媒體透露，網(wǎng)安部門聯(lián)合多個部門，針對大數(shù)據(jù)行業(yè)的亂象展開了整治行動，已有幾十家大數(shù)據(jù)公司進入了調(diào)查名單。不少銀行已經(jīng)暫停和大數(shù)據(jù)公司的合作，而一些對外部數(shù)據(jù)和風(fēng)控依賴比較大的網(wǎng)貸平臺直接停擺。

現(xiàn)在，之前與大數(shù)據(jù)公司合作的甲方金融機構(gòu)都在觀望，這些甲方機構(gòu)甚至找到大數(shù)據(jù)公司，要求它們簽署“免責(zé)條款”或者“承諾書”，試圖隔離風(fēng)險。

產(chǎn)業(yè)鏈和利益鏈

個人金融數(shù)據(jù)的商用始于2013年，網(wǎng)貸、消費金融等互聯(lián)網(wǎng)金融發(fā)展的井噴期?；ヂ?lián)網(wǎng)長尾人群是這些平臺的主要客群，他們幾乎沒有征信記錄，俗稱“金融白板用戶”。金融是對風(fēng)險定價的業(yè)務(wù)，風(fēng)險的價格即為利率，而利率的高低往往取決于用戶的信用狀況，對白板用戶的金融業(yè)務(wù)催生了平臺對個人金融數(shù)據(jù)的需求，一時間，數(shù)據(jù)產(chǎn)業(yè)風(fēng)云鵲起。

“如果用自有的數(shù)據(jù)，能滿足80%的風(fēng)控需求?！蹦吵峙葡M金融公司管理人員李振華告訴記者，但能否在競爭中控制好不良率，那20%的風(fēng)控才是關(guān)鍵。于是，不少持牌消金公司甚至銀行都會接入外部數(shù)據(jù)，來補足風(fēng)控能力，而一些網(wǎng)貸平臺或小貸公司，則主要依靠第三方的數(shù)據(jù)。

有需求就有市場。據(jù)《21世紀經(jīng)濟報道》，中國已初步形成較為清晰的數(shù)據(jù)行業(yè)市場格局，包括中國人民銀行征信中心和百行征信為代表的全面征信機構(gòu)、八家專業(yè)征信信息提供商，以及5000—6000家從事大數(shù)據(jù)分析的企業(yè)。

一般來說，任何數(shù)據(jù)的采集和使用都遵循一次性原則，即這項服務(wù)結(jié)束后，數(shù)據(jù)方應(yīng)該立即刪除因此次業(yè)務(wù)需要采集到的信息，不能留存。但行業(yè)不少人的做法是，將大部分金融數(shù)據(jù)留存下來，甚至利用用戶數(shù)據(jù)二次開發(fā)和銷售，現(xiàn)實中，暴力催收就是對用戶通訊錄信息的循環(huán)利用。

記者曾暗訪體驗，僅花700元就能買到銀行記錄、駕駛證記錄、開房記錄等11個項目在內(nèi)的個人信息。個人金融數(shù)據(jù)業(yè)務(wù)已經(jīng)形成清晰的產(chǎn)業(yè)鏈：第三方大數(shù)據(jù)公司，通過爬蟲獲取個人非公開的敏感數(shù)據(jù)，將其打包給網(wǎng)貸平臺、消費金融等金融機構(gòu)，這些金融機構(gòu)用來補充自身數(shù)據(jù)庫，用于對用戶信息的交叉驗證，助力信貸業(yè)務(wù)的風(fēng)險控制。同時，個人的運營商數(shù)據(jù)，即通訊錄數(shù)據(jù)又會用于催收環(huán)節(jié)，為風(fēng)控兜底，形成風(fēng)控的閉環(huán)。

如果追溯大數(shù)據(jù)業(yè)務(wù)需求的起點，個人金融數(shù)據(jù)灰色產(chǎn)業(yè)猖獗，歸根結(jié)底是因為中國征信不夠發(fā)達。截至2019年6月，央行征信系統(tǒng)覆蓋9.9億用戶，相比以前，覆蓋人群有增加，但新問題是，央行征信記錄缺失個人互聯(lián)網(wǎng)借貸記錄，很難準確描繪征信用戶多頭借債的情況，這也是這幾年銀行信用卡不良率上升的原因之一。

“正規(guī)軍”入場

“部分機構(gòu)存在收集信息范圍過大、未經(jīng)消費者授權(quán)收集其個人金融信息、業(yè)務(wù)系統(tǒng)存儲不規(guī)范等情形?！边@是今年5月，央行辦公廳下發(fā)的一份檢查通報，指出的金融消費權(quán)益保護的重點問題。

征信系統(tǒng)的完善并非一蹴而就的事情，當下能做的就是加強監(jiān)管，提高非法收集和濫用個人數(shù)據(jù)的違法成本，《數(shù)據(jù)安全管理辦法（征求意見稿）》《個人金融信息（數(shù)據(jù)）保護試行辦法》等法規(guī)應(yīng)運而生。

《試行辦法》中，討論最多的是第十二條：“（金融機構(gòu)）不得從非法從事個人征信業(yè)務(wù)活動的第三方獲取個人金融信息。”這條規(guī)定有兩層意思，其一，銀行等金融機構(gòu)合作的第三方將有嚴格要求，如前文提到，監(jiān)管已經(jīng)開始盤查與銀行合作的數(shù)據(jù)服務(wù)商。其二，除了央行和百行征信兩家持牌的征信機構(gòu)，任何機構(gòu)，都不得采集個人金融信息。這就意味著，個人金融數(shù)據(jù)采集權(quán)，全部收歸官方征信機構(gòu)。

按照監(jiān)管的邏輯，百行征信作為個人征信數(shù)據(jù)“大本營”，各大金融機構(gòu)和互聯(lián)網(wǎng)平臺將用戶數(shù)據(jù)與百行征信對接，百行征信對個人金融數(shù)據(jù)進行統(tǒng)一的標準化處理后，對外輸出標準化的征信報告和征信分等產(chǎn)品，但現(xiàn)實的尷尬是，百行征信內(nèi)部股東都沒有實現(xiàn)數(shù)據(jù)的充分共享，其他機構(gòu)共享數(shù)據(jù)的積極性也大打折扣。

“現(xiàn)在個人金融數(shù)據(jù)沒法融通后，就意味著平臺只能靠自己積累的數(shù)據(jù)和流量來做特定場景或特定領(lǐng)域的業(yè)務(wù)?！敝靷模L期以往，用戶享受的個性化服務(wù)也將受影響。

上海金融與法律研究院研究員傅蔚岡也撰文稱，個人信息（隱私）保護的本質(zhì)是一種資源再分配，應(yīng)該以市場作為配置主體。個人信息（隱私）保護政策要有彈性，且要把追求社會福利的最大化作為隱私保護的目標，保護隱私的同時也要允許合法的個人數(shù)據(jù)交換。

基于當下的現(xiàn)實，在征信尚未完善的情況下，如何用好市場和監(jiān)管“兩只手”，平衡個人金融信息的價值發(fā)揮和安全保護是監(jiān)管必須考慮的問題。（資料來源：《南風(fēng)窗》，文中部分人名為化名）