何治民

近日，51信用卡有限公司被杭州警方突然調(diào)查，讓非法爬取個(gè)人隱私數(shù)據(jù)用于暴力催收的行業(yè)做法，浮出水面。

“別人在用（個(gè)人敏感數(shù)據(jù)），你不用就是落后?！笔聦?shí)上，受業(yè)務(wù)競(jìng)爭(zhēng)的驅(qū)動(dòng)，個(gè)人敏感數(shù)據(jù)的使用一直游走在灰色地帶。2017年開始，《網(wǎng)絡(luò)安全法》等法規(guī)都對(duì)非法爬蟲等數(shù)據(jù)收集和使用行為早有規(guī)范，但一直屢禁不止。

直到《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法（初稿）》（下稱《試行辦法》）出臺(tái)，規(guī)范個(gè)人金融信息的收集與使用，非法爬蟲一時(shí)間成眾矢之的，各大數(shù)據(jù)公司因爬蟲業(yè)務(wù)被查的消息也隨之傳來。自今年9月以來，北京、杭州等地先后有10余家大數(shù)據(jù)公司被警方調(diào)查，其中不乏頭部平臺(tái)和國(guó)企，大數(shù)據(jù)行業(yè)風(fēng)聲鶴唳。

個(gè)人金融信息被濫用到了該管管的時(shí)候了。

誰是非法爬蟲？

移動(dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)是一種資產(chǎn)已成為各方共識(shí)。截至2019年6月，我國(guó)已有8.54億網(wǎng)民，當(dāng)網(wǎng)民在各大互聯(lián)網(wǎng)電商平臺(tái)、社交平臺(tái)等產(chǎn)生的行為數(shù)據(jù)，與在運(yùn)營(yíng)商里的身份數(shù)據(jù)，金融機(jī)構(gòu)里產(chǎn)生的信用數(shù)據(jù)，以及電子政府系統(tǒng)中產(chǎn)生的政務(wù)數(shù)據(jù)，匯聚在一起，通過大數(shù)據(jù)技術(shù)分析，可以形成用戶畫像，具有極高的商業(yè)價(jià)值。

個(gè)人金融信息是決定用戶畫像是否精準(zhǔn)的重要一環(huán)。個(gè)人金融信息的概念是從隱私權(quán)衍生而來，2011年，央行將個(gè)人金融信息保護(hù)范圍具體劃定為身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息、衍生信息及其他信息七類。

與其他個(gè)人信息不同，作為個(gè)人隱私信息最重要部分，個(gè)人金融信息具有財(cái)產(chǎn)權(quán)益的特性，通過它可以窺探用戶的財(cái)力，還可以助力放貸業(yè)務(wù)風(fēng)控?？萍嫉慕槿?，極大挖掘了個(gè)人數(shù)據(jù)的價(jià)值，用戶在享受個(gè)性化、貼心服務(wù)的同時(shí)，個(gè)人隱私安全也隨之襲來。

“太瘋狂了，不管什么數(shù)據(jù)都拿出來賣?！贝髷?shù)據(jù)行業(yè)從業(yè)人員朱偉對(duì)《南風(fēng)窗》記者說，行業(yè)對(duì)個(gè)人敏感數(shù)據(jù)的使用一直處于灰色地帶，之前沒人管，大家都能相安無事。近幾年，各地因暴力催收引發(fā)貸款人自殺的事故屢次發(fā)生，引發(fā)監(jiān)管關(guān)注。10月21日，《關(guān)于辦理利用信息網(wǎng)絡(luò)實(shí)施黑惡勢(shì)力犯罪刑事案件若干問題的意見》出臺(tái)，暴力催收行為的認(rèn)定和定罪才有依據(jù)。

暴力催收的源頭就在于個(gè)人數(shù)據(jù)的違規(guī)收集，行業(yè)普遍采用的數(shù)據(jù)收集手段是網(wǎng)絡(luò)爬蟲。

爬蟲技術(shù)爬取個(gè)人數(shù)據(jù)主要有司法信息、電商信息、銀行卡信息、運(yùn)營(yíng)商信息、社交信息、開放數(shù)據(jù)等。一般來說，爬蟲抓取公開網(wǎng)絡(luò)的信息，是安全的；但如果抓取的是未公開、未授權(quán)的個(gè)人敏感信息，就涉嫌違法，違反的是2017年6月1日實(shí)施的 《網(wǎng)絡(luò)安全法》以及“兩高”相關(guān)司法解釋。

爬蟲技術(shù)本身是中性，關(guān)鍵在于如何使用。今年5月，國(guó)家網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》，在細(xì)化個(gè)人信息保護(hù)規(guī)定的同時(shí)，首次劃定了網(wǎng)絡(luò)爬蟲技術(shù)的法律紅線，“如自動(dòng)化訪問收集流量超過網(wǎng)站日均流量三分之一，網(wǎng)站要求停止自動(dòng)化收集時(shí)，應(yīng)當(dāng)停止”。

在《數(shù)據(jù)安全管理辦法（征求意見稿）》發(fā)布后，包括頭部平臺(tái)同盾科技、51信用卡，國(guó)企平臺(tái)天翼征信在內(nèi)的10余家大數(shù)據(jù)公司接二連三被查，被查的原因大多與公司的爬蟲業(yè)務(wù)，涉及違規(guī)抓取個(gè)人數(shù)據(jù)、販賣個(gè)人隱私數(shù)據(jù)、助力暴力催收等有關(guān)。

有業(yè)內(nèi)人士透露，在爬蟲爬取的這些數(shù)據(jù)中，受歡迎的往往是那些覆蓋度高、標(biāo)準(zhǔn)化程度高的數(shù)據(jù)，“非法爬取大部分集中在運(yùn)營(yíng)商數(shù)據(jù)以及類似個(gè)稅、社保、信用卡數(shù)據(jù)等敏感數(shù)據(jù)”。

于是，爬蟲的違規(guī)抓取中，首當(dāng)其沖的是個(gè)人金融數(shù)據(jù)。10月，《試行辦法》發(fā)布，其中一條規(guī)定，“（金融機(jī)構(gòu)）不得從非法從事個(gè)人征信業(yè)務(wù)活動(dòng)的第三方獲取個(gè)人金融信息?！睂⒋瞬ù髷?shù)據(jù)行業(yè)的整頓蔓延到行業(yè)上游—與之合作的金融機(jī)構(gòu)。

之前沒人管，大家都能相安無事。近幾年，各地因暴力催收引發(fā)貸款人自殺的事故屢次發(fā)生，引發(fā)監(jiān)管關(guān)注。

10月24日，央行發(fā)文緊急調(diào)研銀行與第三方數(shù)據(jù)公司合作情況，要求銀行上報(bào)第三方公司的名稱、股東背景、是否涉及爬蟲、數(shù)據(jù)來源是否合法合規(guī)或者有相關(guān)授權(quán)等?！拔覀円步拥姐y行的問詢函了，應(yīng)該各家（數(shù)據(jù)公司）都會(huì)接到。”朱偉說。

據(jù)接近監(jiān)管層的知情人士向媒體透露，網(wǎng)安部門聯(lián)合多個(gè)部門，針對(duì)大數(shù)據(jù)行業(yè)的亂象展開了整治行動(dòng)，已有幾十家大數(shù)據(jù)公司進(jìn)入了調(diào)查名單?！斑@次整頓對(duì)數(shù)據(jù)行業(yè)影響非常大，感覺又回到了之前的狀態(tài)”，不少銀行已經(jīng)暫停和大數(shù)據(jù)公司的合作，而一些對(duì)外部數(shù)據(jù)和風(fēng)控依賴比較大的網(wǎng)貸平臺(tái)直接停擺。

現(xiàn)在，之前與大數(shù)據(jù)公司合作的甲方金融機(jī)構(gòu)都在觀望，這些甲方機(jī)構(gòu)甚至找到大數(shù)據(jù)公司，要求它們簽署“免責(zé)條款”或者“承諾書”，試圖隔離風(fēng)險(xiǎn)。

產(chǎn)業(yè)鏈和利益鏈

個(gè)人金融數(shù)據(jù)的商用始于2013年，網(wǎng)貸、消費(fèi)金融等互聯(lián)網(wǎng)金融發(fā)展的井噴期?；ヂ?lián)網(wǎng)長(zhǎng)尾人群是這些平臺(tái)的主要客群，他們幾乎沒有征信記錄，俗稱“金融白板用戶”。金融是對(duì)風(fēng)險(xiǎn)定價(jià)的業(yè)務(wù)，風(fēng)險(xiǎn)的價(jià)格即為利率，而利率的高低往往取決于用戶的信用狀況，對(duì)白板用戶的金融業(yè)務(wù)催生了平臺(tái)對(duì)個(gè)人金融數(shù)據(jù)的需求，一時(shí)間，數(shù)據(jù)產(chǎn)業(yè)風(fēng)云鵲起。

“如果用自有的數(shù)據(jù)，能滿足80%的風(fēng)控需求?！蹦吵峙葡M(fèi)金融公司管理人員李振華告訴《南風(fēng)窗》記者，但能否在競(jìng)爭(zhēng)中控制好不良率，那20%的風(fēng)控才是關(guān)鍵，于是，不少持牌消金公司甚至銀行都會(huì)接入外部數(shù)據(jù)，來補(bǔ)足風(fēng)控能力，而一些網(wǎng)貸平臺(tái)或小貸公司，則主要依靠第三方的數(shù)據(jù)。

有需求就有市場(chǎng)。據(jù)《21世紀(jì)經(jīng)濟(jì)報(bào)道》，中國(guó)已初步形成較為清晰的數(shù)據(jù)行業(yè)市場(chǎng)格局，包括中國(guó)人民銀行征信中心和百行征信為代表的全面征信機(jī)構(gòu)、八家專業(yè)征信信息提供商，以及5000～6000家從事大數(shù)據(jù)分析的企業(yè)。

一般而言，這些大數(shù)據(jù)公司對(duì)數(shù)據(jù)治理包括采集、分析、應(yīng)用三大環(huán)節(jié)。個(gè)人數(shù)據(jù)業(yè)務(wù)的亂象主要體現(xiàn)在，個(gè)人敏感數(shù)據(jù)的違規(guī)收集和濫用。如何定義違規(guī)收集？現(xiàn)在很多APP或平臺(tái)，都會(huì)有用戶授權(quán)的彈窗提醒，是不是就意味著，有了用戶授權(quán)程序，個(gè)人信息就安全了呢？

答案顯然是否定的。實(shí)際上，在授權(quán)后，用戶只知道自己提供了賬號(hào)和密碼，但平臺(tái)在實(shí)際操作中采集了哪些信息成了“黑盒”。“大部分公司都涉及未授權(quán)獲取信息、超采、強(qiáng)制授權(quán)等諸多問題?！?/p>

個(gè)人信息的存儲(chǔ)和使用環(huán)節(jié)往往才是風(fēng)險(xiǎn)的集中點(diǎn)。一般來說，任何數(shù)據(jù)的采集和使用都遵循一次性原則，也就是說，這項(xiàng)服務(wù)結(jié)束后，數(shù)據(jù)方應(yīng)該立即刪除因此次業(yè)務(wù)需要采集到的信息，不能留存。但行業(yè)不少人的做法是，將大部分金融數(shù)據(jù)留存下來，甚至利用用戶數(shù)據(jù)二次開發(fā)和銷售，現(xiàn)實(shí)中，暴力催收就是對(duì)用戶通訊錄信息的循環(huán)利用。

南方某報(bào)記者曾暗訪體驗(yàn)，僅花700元就能買到銀行記錄、駕駛證記錄、開房記錄等11個(gè)項(xiàng)目在內(nèi)的個(gè)人信息。個(gè)人金融數(shù)據(jù)業(yè)務(wù)已經(jīng)形成清晰的產(chǎn)業(yè)鏈：第三方大數(shù)據(jù)公司，通過爬蟲獲取個(gè)人非公開的敏感數(shù)據(jù)，將其打包給網(wǎng)貸平臺(tái)、消費(fèi)金融等金融機(jī)構(gòu)，這些金融機(jī)構(gòu)用來補(bǔ)充自身數(shù)據(jù)庫，用于對(duì)用戶信息的交叉驗(yàn)證，助力信貸業(yè)務(wù)的風(fēng)險(xiǎn)控制。同時(shí)，個(gè)人的運(yùn)營(yíng)商數(shù)據(jù)，即通訊錄數(shù)據(jù)又會(huì)用于催收環(huán)節(jié)，為風(fēng)控兜底，形成風(fēng)控的閉環(huán)。

個(gè)人金融數(shù)據(jù)是個(gè)人隱私的一部分，何以成為一門火爆的生意？最直接的原因莫過于，中國(guó)目前仍沒有出臺(tái)《個(gè)人信息保護(hù)法》，對(duì)個(gè)人金融信息的保護(hù)散落在《商業(yè)銀行法》《網(wǎng)絡(luò)安全法》等相關(guān)法律中，個(gè)人金融信息保護(hù)應(yīng)遵循的基本原則、程序和制度沒有統(tǒng)一的規(guī)范，長(zhǎng)此以往，個(gè)人金融信息監(jiān)管缺乏明確要求，為個(gè)人數(shù)據(jù)產(chǎn)業(yè)亂象提供了土壤。

如果追溯大數(shù)據(jù)業(yè)務(wù)需求的起點(diǎn)，個(gè)人金融數(shù)據(jù)灰色產(chǎn)業(yè)猖獗，歸根結(jié)底是因?yàn)橹袊?guó)征信不夠發(fā)達(dá)，中國(guó)目前官方許可的征信機(jī)構(gòu)只有央行征信和百行征信，個(gè)人信用產(chǎn)品缺乏，與美國(guó)等發(fā)達(dá)國(guó)家豐富多樣的信用分產(chǎn)品相比，仍有差距。

截至2019年6月，央行征信系統(tǒng)覆蓋9.9億用戶，相比以前，覆蓋人群有增加，但新問題是，央行征信記錄缺失個(gè)人互聯(lián)網(wǎng)借貸記錄，很難準(zhǔn)確描繪征信用戶多頭借債的情況，這也是這幾年銀行信用卡不良率上升的原因之一。

百行征信是央行去年8月批準(zhǔn)設(shè)立的國(guó)內(nèi)首家個(gè)人征信機(jī)構(gòu)，由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)與芝麻信用、騰訊征信、前海征信等8家市場(chǎng)征信機(jī)構(gòu)共同組建，試圖建立統(tǒng)一的個(gè)人征信系統(tǒng)。但如今覆蓋人群有限，據(jù)《財(cái)新》報(bào)道，“目前包括百行征信諸多股東在內(nèi)的市場(chǎng)主要參與者，并不與百行征信分享數(shù)據(jù)?！?h3>“正規(guī)軍”入場(chǎng)

“部分機(jī)構(gòu)存在收集信息范圍過大、未經(jīng)消費(fèi)者授權(quán)收集其個(gè)人金融信息、業(yè)務(wù)系統(tǒng)存儲(chǔ)不規(guī)范等情形?！边@是今年5月，央行辦公廳下發(fā)的一份檢查通報(bào)，指出的金融消費(fèi)權(quán)益保護(hù)的重點(diǎn)問題。事實(shí)上，從2018年開始，央行就不斷要求各機(jī)構(gòu)開展金融消費(fèi)權(quán)益的自查和整改，但依舊沒有阻擋暴力催收的惡性事件發(fā)生。

現(xiàn)在很多APP或平臺(tái)，都會(huì)有用戶授權(quán)的彈窗提醒，是不是就意味著，有了用戶授權(quán)程序，個(gè)人信息就安全了呢？答案顯然是否定的。

遠(yuǎn)水救不了近火。征信系統(tǒng)的完善并非一蹴而就的事情，當(dāng)下能做的就是加強(qiáng)監(jiān)管，提高非法收集和濫用個(gè)人數(shù)據(jù)的違法成本，《數(shù)據(jù)安全管理辦法（征求意見稿）》《個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法》等法規(guī)應(yīng)運(yùn)而生。

《試行辦法》中，討論最多的是第十二條：“（金融機(jī)構(gòu)）不得從非法從事個(gè)人征信業(yè)務(wù)活動(dòng)的第三方獲取個(gè)人金融信息?！?這條規(guī)定有兩層意思，其一，銀行等金融機(jī)構(gòu)合作的第三方將有嚴(yán)格要求，如前文提到，監(jiān)管已經(jīng)開始盤查與銀行合作的數(shù)據(jù)服務(wù)商。其二，除了央行和百行征信兩家持牌的征信機(jī)構(gòu)，任何機(jī)構(gòu)，都不得采集個(gè)人金融信息。這就意味著，個(gè)人金融數(shù)據(jù)采集權(quán)，全部收歸官方征信機(jī)構(gòu)。

個(gè)人金融數(shù)據(jù)在使用和共享環(huán)節(jié)，其價(jià)值發(fā)揮和安全保護(hù)是一對(duì)矛盾體。按照監(jiān)管的邏輯，百行征信作為個(gè)人征信數(shù)據(jù)“大本營(yíng)”，各大金融機(jī)構(gòu)和互聯(lián)網(wǎng)平臺(tái)將用戶數(shù)據(jù)與百行征信對(duì)接，百行征信對(duì)個(gè)人金融數(shù)據(jù)進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化處理后，對(duì)外輸出標(biāo)準(zhǔn)化的征信報(bào)告和征信分等產(chǎn)品，但現(xiàn)實(shí)的尷尬是，百行征信內(nèi)部股東都沒有實(shí)現(xiàn)數(shù)據(jù)的充分共享，其他機(jī)構(gòu)共享數(shù)據(jù)的積極性也大打折扣，目前征信數(shù)據(jù)的匯聚情況并不理想，信用報(bào)告的適用性存疑。

“現(xiàn)在個(gè)人金融數(shù)據(jù)沒法融通后，就意味著平臺(tái)只能靠自己積累的數(shù)據(jù)和流量來做特定場(chǎng)景或特定領(lǐng)域的業(yè)務(wù)?！敝靷?dān)心，長(zhǎng)期以往，用戶享受的個(gè)性化服務(wù)也將受影響。

上海金融與法律研究院研究員傅蔚岡也撰文稱，個(gè)人信息（隱私）保護(hù)的本質(zhì)是一種資源再分配，應(yīng)該以市場(chǎng)作為配置主體。個(gè)人信息（隱私）保護(hù)政策要有彈性，且要把追求社會(huì)福利的最大化作為隱私保護(hù)的目標(biāo)，保護(hù)隱私的同時(shí)也要允許合法的個(gè)人數(shù)據(jù)交換。

基于當(dāng)下的現(xiàn)實(shí)，在征信尚未完善的情況下，如何用好市場(chǎng)和監(jiān)管“兩只手”，平衡個(gè)人金融信息的價(jià)值發(fā)揮和安全保護(hù)是監(jiān)管必須考慮的問題。

（文中部分人名為化名）