誰竊走了你的“金融畫像”？

何治民

近日，51信用卡有限公司被杭州警方突然調查，讓非法爬取個人隱私數據用于暴力催收的行業做法，浮出水面。

“別人在用（個人敏感數據），你不用就是落后?！笔聦嵣?，受業務競爭的驅動，個人敏感數據的使用一直游走在灰色地帶。2017年開始，《網絡安全法》等法規都對非法爬蟲等數據收集和使用行為早有規范，但一直屢禁不止。

直到《個人金融信息（數據）保護試行辦法（初稿）》（下稱《試行辦法》）出臺，規范個人金融信息的收集與使用，非法爬蟲一時成眾矢之的，各大數據公司因爬蟲業務被查的消息也隨之傳來。自今年9月以來，北京、杭州等地先后有10余家大數據公司被警方調查，其中不乏頭部平臺和國企，大數據行業風聲鶴唳。

個人金融信息被濫用到了該管管的時候了。

誰是非法爬蟲？

移動互聯網時代，數據是一種資產已成為各方共識。截至2019年6月，我國已有8.54億網民，當網民在各大互聯網電商平臺、社交平臺等產生的行為數據，與在運營商里的身份數據，金融機構里產生的信用數據，以及電子政府系統中產生的政務數據，匯聚在一起，通過大數據技術分析，可以形成用戶畫像，具有極高的商業價值。

個人金融信息是決定用戶畫像是否精準的重要一環。個人金融信息的概念是從隱私權衍生而來，2011年，央行將個人金融信息保護范圍具體劃定為身份信息、財產信息、賬戶信息、信用信息、金融交易信息、衍生信息及其他信息七類。

與其他個人信息不同，作為個人隱私信息最重要部分，個人金融信息具有財產權益的特性，通過它可以窺探用戶的財力，還可以助力放貸業務風控?？萍嫉慕槿?，極大挖掘了個人數據的價值，用戶在享受個性化、貼心服務的同時，個人隱私安全也隨之襲來。

“太瘋狂了，不管什么數據都拿出來賣?！贝髷祿袠I從業人員朱偉對記者說，行業對個人敏感數據的使用一直處于灰色地帶。近幾年，各地因暴力催收導致貸款人自殺的事故屢次發生，引發監管關注。10月21日，《關于辦理利用信息網絡實施黑惡勢力犯罪刑事案件若干問題的意見》出臺，暴力催收行為的認定和定罪才有依據。

暴力催收的源頭就在于個人數據的違規收集，行業普遍采用的數據收集手段是網絡爬蟲。

爬蟲技術爬取個人數據主要有司法信息、電商信息、銀行卡信息、運營商信息、社交信息、開放數據等。一般來說，爬蟲抓取公開網絡的信息，是安全的；但如果抓取的是未公開、未授權的個人敏感信息，就涉嫌違法，違反的是2017年6月1日實施的《網絡安全法》以及“兩高”相關司法解釋。

爬蟲技術本身是中性，關鍵在于如何使用。今年5月，國家網信辦發布《數據安全管理辦法（征求意見稿）》，在細化個人信息保護規定的同時，首次劃定了網絡爬蟲技術的法律紅線，“如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化收集時，應當停止”。

在《數據安全管理辦法（征求意見稿）》發布后，包括頭部平臺同盾科技、51信用卡，國企平臺天翼征信在內的10余家大數據公司接二連三被查，被查的原因大多與公司的爬蟲業務，涉及違規抓取個人數據、販賣個人隱私數據、助力暴力催收等有關。

有業內人士透露，在爬蟲爬取的這些數據中，受歡迎的往往是那些覆蓋度高、標準化程度高的數據，“非法爬取大部分集中在運營商數據以及類似個稅、社保、信用卡數據等敏感數據”。

據接近監管層的知情人士向媒體透露，網安部門聯合多個部門，針對大數據行業的亂象展開了整治行動，已有幾十家大數據公司進入了調查名單。不少銀行已經暫停和大數據公司的合作，而一些對外部數據和風控依賴比較大的網貸平臺直接停擺。

現在，之前與大數據公司合作的甲方金融機構都在觀望，這些甲方機構甚至找到大數據公司，要求它們簽署“免責條款”或者“承諾書”，試圖隔離風險。

產業鏈和利益鏈

個人金融數據的商用始于2013年，網貸、消費金融等互聯網金融發展的井噴期?；ヂ摼W長尾人群是這些平臺的主要客群，他們幾乎沒有征信記錄，俗稱“金融白板用戶”。金融是對風險定價的業務，風險的價格即為利率，而利率的高低往往取決于用戶的信用狀況，對白板用戶的金融業務催生了平臺對個人金融數據的需求，一時間，數據產業風云鵲起。

“如果用自有的數據，能滿足80%的風控需求?！蹦吵峙葡M金融公司管理人員李振華告訴記者，但能否在競爭中控制好不良率，那20%的風控才是關鍵。于是，不少持牌消金公司甚至銀行都會接入外部數據，來補足風控能力，而一些網貸平臺或小貸公司，則主要依靠第三方的數據。

有需求就有市場。據《21世紀經濟報道》，中國已初步形成較為清晰的數據行業市場格局，包括中國人民銀行征信中心和百行征信為代表的全面征信機構、八家專業征信信息提供商，以及5000—6000家從事大數據分析的企業。

一般來說，任何數據的采集和使用都遵循一次性原則，即這項服務結束后，數據方應該立即刪除因此次業務需要采集到的信息，不能留存。但行業不少人的做法是，將大部分金融數據留存下來，甚至利用用戶數據二次開發和銷售，現實中，暴力催收就是對用戶通訊錄信息的循環利用。

記者曾暗訪體驗，僅花700元就能買到銀行記錄、駕駛證記錄、開房記錄等11個項目在內的個人信息。個人金融數據業務已經形成清晰的產業鏈：第三方大數據公司，通過爬蟲獲取個人非公開的敏感數據，將其打包給網貸平臺、消費金融等金融機構，這些金融機構用來補充自身數據庫，用于對用戶信息的交叉驗證，助力信貸業務的風險控制。同時，個人的運營商數據，即通訊錄數據又會用于催收環節，為風控兜底，形成風控的閉環。

如果追溯大數據業務需求的起點，個人金融數據灰色產業猖獗，歸根結底是因為中國征信不夠發達。截至2019年6月，央行征信系統覆蓋9.9億用戶，相比以前，覆蓋人群有增加，但新問題是，央行征信記錄缺失個人互聯網借貸記錄，很難準確描繪征信用戶多頭借債的情況，這也是這幾年銀行信用卡不良率上升的原因之一。

“正規軍”入場

“部分機構存在收集信息范圍過大、未經消費者授權收集其個人金融信息、業務系統存儲不規范等情形?！边@是今年5月，央行辦公廳下發的一份檢查通報，指出的金融消費權益保護的重點問題。

征信系統的完善并非一蹴而就的事情，當下能做的就是加強監管，提高非法收集和濫用個人數據的違法成本，《數據安全管理辦法（征求意見稿）》《個人金融信息（數據）保護試行辦法》等法規應運而生。

《試行辦法》中，討論最多的是第十二條：“（金融機構）不得從非法從事個人征信業務活動的第三方獲取個人金融信息?！边@條規定有兩層意思，其一，銀行等金融機構合作的第三方將有嚴格要求，如前文提到，監管已經開始盤查與銀行合作的數據服務商。其二，除了央行和百行征信兩家持牌的征信機構，任何機構，都不得采集個人金融信息。這就意味著，個人金融數據采集權，全部收歸官方征信機構。

按照監管的邏輯，百行征信作為個人征信數據“大本營”，各大金融機構和互聯網平臺將用戶數據與百行征信對接，百行征信對個人金融數據進行統一的標準化處理后，對外輸出標準化的征信報告和征信分等產品，但現實的尷尬是，百行征信內部股東都沒有實現數據的充分共享，其他機構共享數據的積極性也大打折扣。

“現在個人金融數據沒法融通后，就意味著平臺只能靠自己積累的數據和流量來做特定場景或特定領域的業務?！敝靷?，長期以往，用戶享受的個性化服務也將受影響。

上海金融與法律研究院研究員傅蔚岡也撰文稱，個人信息（隱私）保護的本質是一種資源再分配，應該以市場作為配置主體。個人信息（隱私）保護政策要有彈性，且要把追求社會福利的最大化作為隱私保護的目標，保護隱私的同時也要允許合法的個人數據交換。

基于當下的現實，在征信尚未完善的情況下，如何用好市場和監管“兩只手”，平衡個人金融信息的價值發揮和安全保護是監管必須考慮的問題。（資料來源：《南風窗》，文中部分人名為化名）