“大数据时代,人人都在‘裸奔’。”一句无奈的玩笑话,折射出大数据的洪流之下,个人隐私信息被严重盗用、滥用的现实。
公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500多亿条。
此类案件三大特点:一是黑客入侵网站非法窃取公民个人信息犯罪活动增多,二是企事业内部人员成为非法泄露个人信息的主要源头,三是侵犯公民个人信息犯罪成为其他各类犯罪的上游犯罪。
近日,备受关注的苹果中国公司内部多名员工买卖个人信息一案,已开庭审理。此案涉及苹果国内直销公司及苹果外包公司员工20多人,利用苹果公司内部系统平台,非法查询苹果手机关联的手机号码、姓名、Apple ID等信息,再将信息以每条10元-180元不等的价格售卖,初步查明涉案金额达5000万元以上。
业内人士透露,这类犯罪团伙往往是倒卖个人信息的“数据黑产”安插进公司内部的。“不过,从整个数据产业来看,‘内鬼’案件还算是个案,更普遍的是整个大数据行业成体系地变相买卖个人信息。这是公开的秘密。”
何谓“数据黑产”,还无官方定义。一般把黑客盗取或直接倒卖个人信息的行为称为“黑产”。时下大数据公司流行的对外提供身份验证、“黑名单”服务等市场化行为,并不属于“黑产”。
但在多位资深律师看来,由于普遍涉及侵犯个人隐私,缺乏规范授权,个人信息交易未经过“脱敏”、明示细化授权,属变相买卖。所以,严格来说,大数据公司的部分数据服务或可称为“灰产”,在这一需求之下,催生了近年庞大的“数据黑产”。
……
上篇
大数据生态圈
大数据风控公司的兴起,始于2013年互联网金融的火爆。
尤其近来网贷平台、消费金融机构在线获客需求暴增,并倒逼传统银行转型,更多借助互联网拓展零售客户。自去年以来,互联网银行、网贷平台多靠大数据风控做既不需抵押也没有贷款用途限制的现金贷,迅速做大规模, 由此催生了基于大数据应用的线上精准获客和风控体系。“当银行下沉客户服务重心时,遇到很大的问题就是网上发信用卡时,很多客户没有央行的征信报告,即信用白户,主要是85后、90后和三四线城市的人,导致传统的银行评估方法无法评估这类客户。”百融金融信息服务股份有限公司(下称百融)CEO张韶峰向财新记者介绍。
大数据风控公司应运而生。百融、同盾科技、集奥聚合、聚信立、量化派等都是业内风头较劲的大数据公司,颇受资本追捧,均在谋求IPO。财新记者获悉,同盾近期将迎来C轮投资,投资人包括一家知名风投和一家大型国企。
据业内人士介绍,大数据风控服务,主要包括利用大数据+AI的应用防范两类风险:欺诈风险和信用风险。防范欺诈风险包括三种:识别“黑、灰、白名单”(分别对应恶意赖账、非主观因素比如经济困难造成逾期、信用状况好三类用户)、伪冒骗贷、集合骗贷如医美分期骗贷。防范信用风险则是依托大数据精准营销的刻画图像,比如受教育程度、行为偏好、工作是否稳定等,综合预测个人还款能力。
……
中篇
信息泄露溯源
无论是在线获客还是风险防范,第一步都是线上身份验证。这是开展所有金融服务的起点。
“身份信息和手机号是查询量和需求大的。”业内人士介绍。90%的个人信息都在国家部门,个人身份信息对外输出的官方渠道通常有三个,分别由三个不同部门管理:一是公安部下属的全国公民身份证号码查询中心(下称身份证查询中心),行话称提供“二要素”验证,即姓名和身份证号码相对应;二是电信实名制下,来自三大移动通信运营商的手机号码和姓名、身份证号对应,即“移动三要素”验证;三是来自银行的银行卡和姓名、身份证号、手机号对应,业内称为“四要素”验证,即银行的KYC(了解你的客户)实名制,这是开立I类银行账户必须具备的。
“当一些国家机关或部门对外开放接口级的批量查询业务,从技术上操作,其他人从其许可的查询机构那里‘撞库’,就很容易可以获得信息。‘撞库’是门槛很低的技术,黑客还可以利用部分互联网用户‘多家网站同一个用户名和密码’的习惯,去试探别的网站数据库。” 美国三大征信机构之一益博睿中国的一位高管表示。
以身份证查询中心为例。据多位业内人士介绍,身份证查询中心是事业单位,对外正式授权身份核验服务的有八家代理商,业内号称“八大金刚”——国政通、证通公司、上海爰金、北京英泰、上海骏聿、中胜信用,江苏法华、宇信易诚。除了证通公司由证监会监管,其他七家不受金融监管。
……
下篇
整肃开始了
6月1日起实施的《网络安全法》和“两高”司法解释,将对数据行业现行做法产生巨大冲击。若按照“两高”司法解释的较低入罪门槛,大多数大数据公司都违法。“这次史无前例,所有的大数据公司都很关注。”前述公安大学教授表示。
早在2013年2月,涉及个人信息的处理已有法可依——工信部联合多家单位制定的《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称《指南》),成为中国首个个人信息保护标准。
《指南》明确将个人信息分为个人一般信息和个人敏感信息(包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等),并提出默许同意和明示同意的概念。对于个人一般信息,默许同意便可收集和利用;对于个人敏感信息,则需明示同意;而且在达成个人信息使用目的之后必须删除。但由于《指南》属于指导性文件,并未强制执行。
此次“两高”司法解释第五条对“公民个人信息”作了进一步区分:行踪轨迹信息、通信内容、征信信息、财产信息为重要信息,住宿信息、通信记录、健康生理信息、交易信息等为敏感信息;并首次明确了公民个人“财产信息”属于最严格保护的范畴,而且指出财产信息既包括传统银行账户,也包括第三方支付结算账户。