近日,有消息稱,杭州魔蝎數據科技有限公司(簡稱“魔蝎科技”)和上海新顏人工智能科技有限公司(簡稱“新顏科技”)有高管被警方帶走,幾天后,公信寶的運營公司被杭州市公安局西湖分局古蕩派出所查封。據知情人士透露,上述公司被查,或與其爬蟲業務非法獲取用戶信息、助力暴力催收等有關。

當數據成為一種資產,如何保護“資產安全”,如何實現金融創新與數據安全之間的平衡,在保護個人權利的同時如何激勵社會更好地沉淀和使用數據,這都成為監管和行業需要深入探討的問題。

“目前爬蟲數據公司遭到監管,也是為了金融風險專項整治更深入化,整肅到數據源頭。”

——有業內人士分析大數據風控公司被查現象

被調查公司或涉及運營商爬蟲服務

據了解,“爬蟲業務”是指平臺方一種按照一定的規則,自動抓取互聯近日,有消息稱,杭州魔蝎數據科技有限公司(簡稱“魔蝎科技”)和上海新顏人工智能科技有限公司(簡稱“新顏科技”)有高管被警方帶走,幾天后,公信寶的運營公司被杭州市公安局西湖分局古蕩派出所查封。據知情人士透露,上述公司被查,或與其爬蟲業務非法獲取用戶信息、助力暴力催收等有關。

當數據成為一種資產,如何保護“資產安全”,如何實現金融創新與數據安全之間的平衡,在保護個人權利的同時如何激勵社會更好地沉淀和使用數據,這都成為監管和行業需要深入探討的問題。

“目前爬蟲數據公司遭到監管,也是為了金融風險專項整治更深入化,整肅到數據源頭。”

——有業內人士分析大數據風控公司被查現象

被調查公司或涉及運營商爬蟲服務

據了解,“爬蟲業務”是指平臺方一種按照一定的規則,自動抓取互聯網信息并存儲到自身數據庫的程序或者腳本。在用戶授權后,風控數據提供商通過后臺“爬蟲”搜集信息,將通話信息、消費數據等互聯網信息整合標準化,最終形成對借款人的綜合評估,供金融機構做相應的后續決策。目前,網絡爬蟲存在著“是否經過用戶授權,是否存在過度爬取信息,爬取到的信息用途不明等”諸多爭議。

2017年,據一本財經報道,魔蝎科技就研發出一款被稱為“同業爬蟲”的產品,可以直接將其他現金貸平臺的放款額和風控數據扒出來,相當于別家替你做了風控。據魔蝎科技的人員介紹,只需提供其他現金貸平臺的用戶名和密碼,同業爬蟲就可以爬取用戶的基本信息、銀行卡信息、職業、聯系人、貸款記錄、理財信息等,成功率在85%以上。

新快報記者拿到的一份“公信寶2018產品服務表”中,就介紹了其爬蟲類數據類型涵蓋社保、學信網、京東、電信、移動、聯通、芝麻信用分、微信、支付寶,甚至是人行征信數據等——注意,目前人行征信數據,除了銀行外,大數據風控公司并沒有下載權限。

目前,魔蝎科技的官網也已經無法打開。新快報記者了解,多家與其有合作的網貸平臺負責人表示,他們與魔蝎科技的服務已被終止,魔蝎科技提供的賬號也已無法登錄。目前,新顏科技的官網仍正常,對于高管被帶走的消息,新顏科技客服對新快報記者表示:“沒有接到通知,我司不提供爬蟲業務。”

另據知情人士透露,錦程消費金融旗下兩款產品“錦易貸”“收入貸”,疑似因供應商突然中止提供數據而暫停放款業務。對此,新快報記者向其客服求證,這兩款產品確實已經暫停,至于暫停原因及何時恢復,客服表示不清楚。

9月16日,還有消息稱同盾科技已解散其爬蟲部門,該部門員工集體待崗,同盾科技實控人兼CEO蔣韜已出國避風頭,并且魔蝎科技以及新顏科技被查是同盾科技舉報的。第二天,同盾科技官方聲明指出,同盾科技創始人蔣韜一直在國內照常處理公司事務,數聚魔盒已經在2018年開始逐步調整業務,目前已經停止相關業務。數聚魔盒為同盾科技旗下的數據風控產品。針對大數據行業的嚴監管,是否影響其業務情況,同盾科技公關負責人對新快報記者表示“沒有影響”。

“對小機構影響會比較大,如果風控模型極大程度依賴運營商,那么影響就很大,如果接的數據很多,影響就不大。”據業內風控人士分析。

灰色地帶 販賣數據產業化

事實上,從去年底現金貸整頓開始,不少大數據風控公司就陸續被調查。如去年底,多家大數據公司、征信公司如有脈金控、同牛科技、考拉征信爆出被監管調查。“目前爬蟲數據公司遭到監管,也是為了金融風險專項整治更深入化,整肅到數據源頭。”有業內人士分析稱。

“魔蝎這類的大數據風控公司能夠發展起來,無非是鉆著中國數據隱私保護相關法律尚未完善這個空子。”有業內人士對新快報記者表示,風控算法業內無非就是幾種,然而決定風控能力的,最重要的就是原始數據的積累,“數據量越大越豐富,訓練出的模型的效果自然也就越好。所以說這些游走在灰色地帶的小公司肯定要被嚴監管。”

大數據風控公司被嚴監管的同時,也暴露出其背后用戶信息隱私正在泄露的現狀。

此前新快報記者調查時發現,在收集用戶信息上,已然形成了販賣數據的黑灰產業鏈,一些現金貸平臺甚至與黑灰產業團伙“合謀”,尋求最大化的利益空間。一家專門收集貸款數據的公司其負責人就對新快報記者稱,一個貸款用戶數據,根據數據維度不同,他們可以出價1元到10元不等。該人士對新快報記者表示,其數據一方面主要來源于固定合作渠道如現金貸平臺、貸款超市等,另一方面則會通過爬蟲等技術手段獲取熱門APP進行“反編譯”(計算機術語,是指對他人軟件的目標程序進行逆向研究分析,以推導出他人軟件產品的源代碼),并更改相應源代碼。

迫在眉睫 上位法呼之欲出

有業內人士對新快報記者分析表示,爬蟲并不犯法,而是爬出后的信息如何使用,存在隱私侵權、數據濫用等風險,特別是在數據的授權、來源、用途十分不透明的情況下。

西南財經大學普惠金融與智能金融研究中心副主任陳文也表示:“風控數據公司因為擁有用戶的信息、關系圖,在獲客、營銷、催收階段都能助力現金貸機構。但數據來源大多處于灰色地域,對于個人隱私缺乏保護,存在廣泛的數據濫用問題。”

對于金融風控公司在經用戶授權后,獲取通訊記錄、支付記錄等信息賣給信貸機構和催收機構的行為,上海九澤律師事務所高級合伙人朱敬律師表示:“根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的規定,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的‘提供公民個人信息’,該行為應當被追究刑事責任。”

針對這些問題,監管也在路上。今年5月28日,國家互聯網信息辦公室就《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》)公開征求意見。對于網絡運營者超出運營需要收集個人信息的行為,《辦法》作出了限制性規定,對“網絡產品核心業務功能運行的個人信息”以外的信息,網絡運營者不得因個人信息主體未同意收集而拒絕提供核心業務功能服務。

針對網絡爬蟲等抓取網頁的自動化手段,《辦法》明確應不妨礙網站正常運行,并列明具體的訪問收集流量不得超過網站日均流量的1/3。針對手機APP過度獲取權限的問題,要求“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”;對數據泄露才確定網絡安全負責人的問題,其明確數據安全責任人的任職要求,突出網絡運營者主要負責人、數據安全責任人的姓名及聯系方式等。

更重要的是,《辦法》還新增了兩項配套的制度性規定,用以更好地落實政府部門對數據安全的監督。一是重要數據和個人敏感信息的備案,“如果網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門進行備案。”二是數據安全管理認證和應用程序安全認證制度,“國家鼓勵網絡運營者自愿通過數據安全管理認證和應用程序安全認證,鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的應用程序。”但關于認證如何進行,辦法除規定國家網信部門會同國務院市場監督管理部門進行指導外,未提供進一步的細則。信息并存儲到自身數據庫的程序或者腳本。在用戶授權后,風控數據提供商通過后臺“爬蟲”搜集信息,將通話信息、消費數據等互聯網信息整合標準化,最終形成對借款人的綜合評估,供金融機構做相應的后續決策。目前,網絡爬蟲存在著“是否經過用戶授權,是否存在過度爬取信息,爬取到的信息用途不明等”諸多爭議。

2017年,據一本財經報道,魔蝎科技就研發出一款被稱為“同業爬蟲”的產品,可以直接將其他現金貸平臺的放款額和風控數據扒出來,相當于別家替你做了風控。據魔蝎科技的人員介紹,只需提供其他現金貸平臺的用戶名和密碼,同業爬蟲就可以爬取用戶的基本信息、銀行卡信息、職業、聯系人、貸款記錄、理財信息等,成功率在85%以上。

新快報記者拿到的一份“公信寶2018產品服務表”中,就介紹了其爬蟲類數據類型涵蓋社保、學信網、京東、電信、移動、聯通、芝麻信用分、微信、支付寶,甚至是人行征信數據等——注意,目前人行征信數據,除了銀行外,大數據風控公司并沒有下載權限。

目前,魔蝎科技的官網也已經無法打開。新快報記者了解,多家與其有合作的網貸平臺負責人表示,他們與魔蝎科技的服務已被終止,魔蝎科技提供的賬號也已無法登錄。目前,新顏科技的官網仍正常,對于高管被帶走的消息,新顏科技客服對新快報記者表示:“沒有接到通知,我司不提供爬蟲業務。”

另據知情人士透露,錦程消費金融旗下兩款產品“錦易貸”“收入貸”,疑似因供應商突然中止提供數據而暫停放款業務。對此,新快報記者向其客服求證,這兩款產品確實已經暫停,至于暫停原因及何時恢復,客服表示不清楚。

9月16日,還有消息稱同盾科技已解散其爬蟲部門,該部門員工集體待崗,同盾科技實控人兼CEO蔣韜已出國避風頭,并且魔蝎科技以及新顏科技被查是同盾科技舉報的。第二天,同盾科技官方聲明指出,同盾科技創始人蔣韜一直在國內照常處理公司事務,數聚魔盒已經在2018年開始逐步調整業務,目前已經停止相關業務。數聚魔盒為同盾科技旗下的數據風控產品。針對大數據行業的嚴監管,是否影響其業務情況,同盾科技公關負責人對新快報記者表示“沒有影響”。

“對小機構影響會比較大,如果風控模型極大程度依賴運營商,那么影響就很大,如果接的數據很多,影響就不大。”據業內風控人士分析。

灰色地帶 販賣數據產業化

事實上,從去年底現金貸整頓開始,不少大數據風控公司就陸續被調查。如去年底,多家大數據公司、征信公司如有脈金控、同牛科技、考拉征信爆出被監管調查。“目前爬蟲數據公司遭到監管,也是為了金融風險專項整治更深入化,整肅到數據源頭。”有業內人士分析稱。

“魔蝎這類的大數據風控公司能夠發展起來,無非是鉆著中國數據隱私保護相關法律尚未完善這個空子。”有業內人士對新快報記者表示,風控算法業內無非就是幾種,然而決定風控能力的,最重要的就是原始數據的積累,“數據量越大越豐富,訓練出的模型的效果自然也就越好。所以說這些游走在灰色地帶的小公司肯定要被嚴監管。”

大數據風控公司被嚴監管的同時,也暴露出其背后用戶信息隱私正在泄露的現狀。

此前新快報記者調查時發現,在收集用戶信息上,已然形成了販賣數據的黑灰產業鏈,一些現金貸平臺甚至與黑灰產業團伙“合謀”,尋求最大化的利益空間。一家專門收集貸款數據的公司其負責人就對新快報記者稱,一個貸款用戶數據,根據數據維度不同,他們可以出價1元到10元不等。該人士對新快報記者表示,其數據一方面主要來源于固定合作渠道如現金貸平臺、貸款超市等,另一方面則會通過爬蟲等技術手段獲取熱門APP進行“反編譯”(計算機術語,是指對他人軟件的目標程序進行逆向研究分析,以推導出他人軟件產品的源代碼),并更改相應源代碼。

迫在眉睫 上位法呼之欲出

有業內人士對新快報記者分析表示,爬蟲并不犯法,而是爬出后的信息如何使用,存在隱私侵權、數據濫用等風險,特別是在數據的授權、來源、用途十分不透明的情況下。

西南財經大學普惠金融與智能金融研究中心副主任陳文也表示:“風控數據公司因為擁有用戶的信息、關系圖,在獲客、營銷、催收階段都能助力現金貸機構。但數據來源大多處于灰色地域,對于個人隱私缺乏保護,存在廣泛的數據濫用問題。”

對于金融風控公司在經用戶授權后,獲取通訊記錄、支付記錄等信息賣給信貸機構和催收機構的行為,上海九澤律師事務所高級合伙人朱敬律師表示:“根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的規定,未經被收集者同意,將合法收集的公民個人信息向他人提供的,屬于刑法第二百五十三條之一規定的‘提供公民個人信息’,該行為應當被追究刑事責任。”

針對這些問題,監管也在路上。今年5月28日,國家互聯網信息辦公室就《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》)公開征求意見。對于網絡運營者超出運營需要收集個人信息的行為,《辦法》作出了限制性規定,對“網絡產品核心業務功能運行的個人信息”以外的信息,網絡運營者不得因個人信息主體未同意收集而拒絕提供核心業務功能服務。

針對網絡爬蟲等抓取網頁的自動化手段,《辦法》明確應不妨礙網站正常運行,并列明具體的訪問收集流量不得超過網站日均流量的1/3。針對手機APP過度獲取權限的問題,要求“網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息”;對數據泄露才確定網絡安全負責人的問題,其明確數據安全責任人的任職要求,突出網絡運營者主要負責人、數據安全責任人的姓名及聯系方式等。

更重要的是,《辦法》還新增了兩項配套的制度性規定,用以更好地落實政府部門對數據安全的監督。一是重要數據和個人敏感信息的備案,“如果網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門進行備案。”二是數據安全管理認證和應用程序安全認證制度,“國家鼓勵網絡運營者自愿通過數據安全管理認證和應用程序安全認證,鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的應用程序。”但關于認證如何進行,辦法除規定國家網信部門會同國務院市場監督管理部門進行指導外,未提供進一步的細則。