[ 摘要 ] 僅用 3.8 元!身份信息、通話記錄、消費賬單、人脈關系、門牌號全買到。
記者向探知數據購買到自己信息,報告多達 33 頁,並有詳細的量化評分;他們通過打擦邊球獲得用戶授權,大量爬取、搜集個人隱私
來源:南方都市報 作者:李玲
南都記者從探知數據公司花瞭 3.8 元買到自己的詳細運營商報告。報告把記者常用的 30 位聯系人單獨拎出,統計瞭近 24 小時、1-7 天、7-30 天、30-90 天、90-180 天 5 個通話時段的聯系次數。
在南都記者獲取的支付寶報告裡,更是將花唄的歷月賬單,還款金額和時間都顯示出來。不僅如此,還羅列出支付寶的歷史消費統計,甚至連南都記者 8 月 25 日在傢繳瞭一次 110 元水費都有記錄。
被爬取的淘寶賬戶信息裡,有關聯的支付寶信息,記錄瞭賬戶和餘額寶金額,和花唄總額度、可消費額度等。
你的通話記錄裡,最常用的 30 個聯系人是誰,你傢住何處,經常在哪兒活動,餘額寶裡還有多少錢,在什麼時候買過幾件內衣 …… 這些你以為的私密信息,其實都可以被輕易查到。
南都調查發現,一個隱藏在現金貸平臺背後的數據產業鏈正在悄然活動,其危害較之於一些開房記錄查詢服務更甚。
具體做法是,現金貸平臺向數據公司購買所謂的 " 數據產品 ",由後者通過爬蟲技術,爬取用戶在移動通信運營商、淘寶等知名電商網站、微信支付寶等社交網絡上的行為軌跡,以及包括央行征信報告、水電煤使用等在內的生活信息,作為平臺放貸前評估用戶風險的 " 風控奇招 "。此舉在維護現金貸企業一己之利的同時,將用戶的個人隱私置於極大的風險當中。
更驚悚的是,數據公司在采集瞭這些數據後一般會 " 深度開發 ",將其分割成千百個維度來進行分析,然後一張關於你的完整用戶畫像就此誕生。而被多維度分析的你,卻並不知道自己是如何授權他人獲取到這些信息的。
" 你孩子那麼可愛,不想他出啥事吧?"
" 我上岸瞭。" 這是每個深陷網貸漩渦的人共同的心願。
兩個月前,32 歲的阿倫跑路瞭。因為迷上遊戲廳的賭博機,阿倫幾乎賠上瞭所有積蓄,曾兩天內輸光瞭一個月的工資 3000 多元。在身無分文的情況下,他註意到瞭一則 "2 分鐘註冊,5 分鐘審核,極速放款 " 的現金貸廣告。
一開始能向平臺貸多少錢?這往往需要用個人隱私來交換。上傳本人持身份證照片,填寫詳細住址,讀取手機通訊錄,認證運營商和電商信息等,用阿倫的話來說," 交出的個人信息越多,可借款的額度也就越高。"
初嘗來錢快的甜頭後,阿倫一連借瞭十幾個平臺,直到 " 拆東墻補西墻 " 都難以填補漏洞。在被威脅爆 " 通訊錄 ",群發欠錢不還短信前,他逃走瞭,怕在親朋好友前 " 失瞭面子 "。不過這四五萬元的欠款,一天天利滾利,他想甩都甩不開,隻能靠拼命打工苦苦支撐著。" 小貸吸血,慢慢熬吧。再也不賭的話,也許就上岸瞭。" 阿倫對南都記者表示。
11 月 12 日,四川內江市 36 歲的孕婦葉某喝下一瓶農藥自殺身亡。臨走前,她隻留下一句話," 我在外欠瞭七八萬元債。" 葉某的丈夫李先生告訴南都記者,在妻子的筆記本裡記著 12 傢網貸公司的名字。
第二天,他們一傢人先後接到瞭多傢網貸平臺的催收電話和短信。有的直言如不還款,將以惡意騙貸,涉嫌經濟欺詐起訴,還有的威脅,直接微信轉錢不然上門催收," 你孩子那麼可愛,不想他出什麼事吧?"" 他在哪個幼兒園我們也知道 "。
遭遇過如此催收的人並不少。在 "2017 互聯網金融合規與創新論壇 " 上,國傢互聯網金融安全專傢委員會秘書長吳震指出,今年 6 月以來,發現違規催收 1000 萬餘次,施害人達 79 萬,受害人 92 萬,已致 20 餘人死亡。
不難理解,催收人員為何能掌握葉某這麼多個人隱私。除瞭網貸平臺自行收集的用戶信息外,有業內人士表示,一些數據公司還可通過技術手段,為平臺提供借款人的更多信息。
定位到經緯度,還有所謂風險信息掃描
日前,南都記者通過隨機檢索,在一傢名為探知數據的科技公司,僅花瞭 3 。8 元就買到瞭自己的詳細運營商報告。
報告達 33 頁,內容涉及南都記者的基本身份信息,近半年的通話記錄詳情、賬單消費、出行信息和人脈關系等,並有詳細的量化評分。
數據顯示,這半年時間裡,南都記者共煲瞭 3 次超過一小時的 " 電話粥 ",累計通話時長達 214 分鐘。該報告還量化瞭夜間活動情況占比,為 3%。其中,記者通信最頻繁的是今年 6 月。
在消費記錄方面,南都記者每月的手機話費在 200 元左右,半年充瞭 6 次話費,最大單筆充值金額達 500 元。
此外,報告還記錄瞭出行信息。比如今年國慶期間,南都記者曾往返惠州、廣州和深圳三地。過去半年有過一次出境旅遊,在日本呆瞭 10 天。
更令人驚訝的是,這份運營商報告裡還根據聯系次數,將與南都記者進行過通話的 1000 個手機號碼羅列出來,包括完整號碼、歸屬地、通話時長、最早和最後通話時間等。
其中常用的 30 位聯系人更是被單獨拎出,統計瞭近 24 小時、1-7 天、7-30 天、30-90 天、90-180 天 5 個通話時段的聯系次數。也就是說最近一天,被查詢人給誰打過或者接到過幾次電話,均可從報告中得知。
此外,報告中還能看到借款人的身份信息,定位到經緯度、門牌號的居住地址等,還有所謂的風險信息掃描。比如入網時長,黑名單通信記錄,民間借貸、銀行、P 2P 平臺與互聯網小貸等通信記錄,甚至還有公檢法和澳門通信記錄等。
上海琥珀科技公司創始人李永慶告訴南都記者,運營商報告並不是簡單羅列一個通話詳單,需要很多數據進行交叉分析,據此可判斷借款人是不是欺詐團隊,最近有沒有被其他網貸平臺催收。
在網貸行業工作多年的王蘭進一步指出,通過通話記錄,甚至能大概判斷出這是個怎樣的人。王蘭說,例如正常人的通話記錄一般有來有往,而打出的電話較多,且都是幾秒鐘(快遞送餐員例外),那這個用戶的逾期率風險可能會高一些。
淘寶 25 頁、京東 3 年數據僅需 1 元
除瞭運營商報告,南都記者從探知數據的一名產品經理處獲悉,該公司可提供的服務產品還包括電商、社保、公積金、央行和學信網,查詢結果五花八門。
其中,探知數據稱可抓取的淘寶數據量最多為 25 頁訂單數據,而京東的抓取時長則包括用戶近 3 年的數據,這樣的電商報告價格並不貴,僅需 1 元。
對比兩份電商報告,內容都非常詳細。一年內,南都記者使用過哪些地址網購,使用的頻率,消費類型和購買金額等均被一一標出。關於商品類型包括教育、演出商務、面部護膚、內衣等數十項,根據用戶的不同消費占比,最後形成瞭一張消費價格區間和消費興趣和行為分佈圖。
除瞭消費記錄以外,用戶的金融支付信息也有涉及。在探知數據提供給客戶的京東報告中,標出瞭該賬號綁定的銀行卡信息,以及京東白條使用情況。而淘寶則關聯支付寶信息,記錄瞭賬戶和餘額寶金額,和花唄總額度、可消費額度等。
事實上,數據公司所能提供的數據還遠不止這些。
該行業知名企業聚信立對外稱,其數據源還包括社交網站,網上銀行,水電煤,航空公司網站等,能從 5000 多個維度整合數據,已為 4000 多萬獨立借款人提供服務,日均撮合 7 億多元貸款。
換句話說,在某個時刻,從個人的衣食住行到生活工作社交,你所產生的任何互聯網數據都有可能被 " 人肉 " 出來,並進行多達 5000 個維度的解讀。
預充值越高價格越低,甚至到幾角錢
那麼,這些細致無比的數據從何而來?
11 月 10 日,南都記者實地走訪這傢公司,相關工作人員以負責人出差為由拒絕采訪,隻是強調數據是經過爬蟲技術獲取而來的,並經過用戶授權。
據南都記者瞭解,爬蟲技術是一項被廣泛應用於互聯網行業的技術。
在現金貸領域的應用,爬蟲技術常見於抓取用戶相關的運營商數據、電商數據等信息,作為人工智能風控技術的數據補充。以往為瞭反欺詐和確定放款額,現金貸平臺通常需要幾天時間對借款人進行信審工作。現在依托爬蟲技術所爬取的大數據,則可能實現秒貸。有業內人士稱,如果借款人有借唄、京東白條、微粒貸額度,平臺就直接放貸瞭。
此外,一些數據公司還專門面向現金貸領域推出同業爬蟲產品,可以爬取到借款人在其他平臺的貸款情況,如放款額、放款時間等結果數據。
這對發愁數據源和風控系統的現金貸公司來說,無疑是一項貼心的服務,可在風控環節省去不少力氣,甚至直接使用別人的風控成果。李永慶對南都記者表示,這在一定程度上也降低瞭用戶的實際借款利息。因為借助機器,從申請、審核到放貸的效率提高瞭,花在風控上的人工成本也就減少瞭。
一傢剛起步的數據公司產品經理向南都記者透露,使用自傢產品預充值越高,每份報告的價格就越低。如果預充值是 1 萬元的話,運營商和電商報告售價不足兩元,預充值達 10 萬元的話,包括簡單的多頭黑名單等報告,幾角錢即可買到。並且一提交申請即可秒出。
基於如此強大的數據分析和低廉的價格,這些爬蟲產品受到市場的歡迎。但是通過爬蟲技術獲取各大網絡平臺的數據也存在不小爭議。
今年 3 月,58 同城被爆出簡歷信息泄露。有賣傢在淘寶上出售該平臺的個人信息爬蟲服務。隻要支付 700 元就能購買一款爬蟲軟件,在登錄賣傢提供的賬號後,每小時可采集全國 430 多個城市,以及 464 個職業的簡歷數據上千份。
除瞭自行爬取外,賣傢還可出售經過簡單清洗的信息數據,將姓名、手機號、求職方向、年齡等簡歷信息自動錄入到 excel 表格中,具體價格 1000 條 50 元。58 集團對外回應稱,這屬於惡意抓取,將追查並加固信息安全系統,提升防爬蟲技術手段。
對於互聯網企業來說,最重要的資產是價值堪比石油的數據。誰也不願自傢積累的數據就這樣被白白爬取,因此也都紛紛推出相應的反爬蟲措施。
" 主動把自傢的鑰匙給瞭一個路人 "
盡管如此,爬蟲有時仍防不勝防。因為一句用戶授權,似乎讓其有瞭合理的說辭。
支付寶相關負責人對南都記者表示,探知數據並非其開放平臺的合作夥伴,也沒有對其開放數據接口。對方平臺通過用戶給他們的授權,以用戶的名義登錄支付寶後,就可以看到該用戶的信息。" 簡單來說,這相當於你主動把自傢的鑰匙給瞭一個路人,然後這個路人用這把鑰匙開瞭你的傢門。"
據南都記者瞭解,現金貸平臺要求借款人進行電商和運營商等認證時,通常由借款人提供賬號和密碼,審核員人工登錄運營商和電商網站,然後截圖打印。
" 這樣問題更多,因為密碼泄露瞭。" 李永慶告訴南都記者。一名網貸行業資深人士表示," 過後我們會要求借款人修改密碼。"
現在借助爬蟲,道理其實相似。網貸公司先接入數據公司的 A P I 接口,出現數據公司的一個授權頁面,讓用戶通過掃描二維碼等方式,輸入賬號和密碼。然後數據公司在自傢服務器上通過爬蟲模擬用戶行為,登錄相關網站獲取數據。
針對爬蟲問題,上述支付寶相關負責人表示,其公司已開發並在不斷完善人機識別系統,以此判斷是否有平臺以用戶的名義登錄,並用腳本機器的爬取請求。一經發現,便會進行攔截或者需要用戶校驗通過才能繼續操作。同時,對用戶的敏感信息進行脫敏處理,比如把身份證和綁定的銀行卡號作打星處理等。
" 我們一直在做安全教育。從根本上講,希望用戶不要把自己的支付寶賬號密碼告訴其他平臺。"
有業內人士透露,其實爬蟲已經算是很合規的渠道瞭,畢竟還是要用戶授權的。還有些公司會通過各種渠道花錢買數據," 想買的話都買得到 "。
不管是為瞭更好地做風控評估,防止 " 黑戶 " 欺詐,還是用於後期催收,借助爬蟲工具,現金貸平臺所能獲取的個人信息超乎想象。
一個擼小貸的人告訴南都記者," 註冊的平臺多瞭,也就毫無隱私可言瞭。"
" 借款人要是知道瞭,肯定不願授權 "
爬蟲引導用戶去訪問自己的賬戶系統,然後偷偷爬取信息
雖然數據公司宣稱有用戶授權,但專傢對其中的授權方式也提出瞭質疑。
有爬蟲行業的從業者表示," 我們爬蟲業務幾乎不跟 P 2P 平臺合作,因為國傢打得嚴。而其中的灰色地帶在於簽約環節。" 而且,在個人隱私保護和數據買賣等問題上,可能觸及紅線。
自己打開門但不知被爬取多少信息
根據網安法規定,企業收集個人信息應當經過被收集者的同意。也就是說,隻有經過用戶同意,企業收集個人信息才算合法。
在華東政法大學教授高富平看來,用戶同意的前提是知情。" 平臺要訪問獲取我哪些信息,用於什麼目的首先應該明確告知,超出這個范圍則不能再用。在明確主體、信息范圍、使用目的三個條件後,隻有用戶發自內心自願同意後,才算真正的知情同意。"
很顯然,用戶並不知道自己會被爬取出這麼多具體的信息。" 所以這裡的用戶授權實際上存有瑕疵。" 高富平對南都記者表示。" 借款人要是知道瞭這些,肯定會不願意的,尤其是因為這些數據借不到錢的人。" 李永慶說。
據網貸行業數據安全專傢韓洪慧介紹,爬蟲爬取數據做瞭一個取巧的行為,即引導用戶去訪問自己的賬戶系統,比如手機營業廳、淘寶等,用戶自己輸入賬戶密碼後,爬蟲就進入賬戶系統爬取信息。用戶自己打開瞭門,但其實不知道爬蟲爬取瞭多少信息,也控制不瞭爬取的信息以後還會被用在哪裡。
南都記者註意到,2016 年 8 月,銀監會出臺的《網絡借貸信息中介機構業務活動管理暫行辦法》指出,網貸平臺應妥善保管出借人與借款人的資料和交易信息,不得刪除、篡改,不得非法買賣、泄露出借人與借款人的基本信息和交易信息。
網貸公司有泄露個人信息嫌疑
韓洪慧認為,網貸平臺采用外包模式,讓第三方公司去爬取用戶信息,有泄露用戶個人信息的嫌疑。一方面,網貸平臺無法保證第三方技術公司不留存數據,不將數據用作其他用途。另一方面,用戶以為是網貸平臺獲得信息,但實際上不僅網貸平臺獲得信息,第三方技術公司也獲得瞭,而且可能是全部信息。
他說," 這猶如我求你辦事,你說要到我傢看看情況。我給你打開瞭門,結果你讓另外一個人進去檢查,然後把檢查報告給你,問題是你對那個人並沒有太多約束力,他隻是來臨時幫忙的,於是我的傢被一個完全不認識的人檢查瞭個遍。"
更糟糕的是,網貸平臺可能隻要求技術公司獲取三個內容,但技術公司獲取瞭 30 個內容,最後隻給瞭網貸平臺 3 個內容,其他的都留給自己用瞭。
值得一提的是,所謂的授權還體現在數據公司和網貸平臺的用戶協議上。以探知數據為例,在其查詢頁面有相關的授權協議稱," 您確認獲得有效的轉授權我們查看您擬查詢的第三人(電商網站、運營商、學信網等)信息。"
南都記者查閱發現,不少網貸平臺在用戶協議裡也提及,用戶同意其公司有權將用戶個人資料和信息,提供給依法設立的征信機構和個人信用數據庫和關聯方、合作夥伴,以及給第三方進行逾期賬款催收。並且有權與任何第三方進行數據共享。
有數據公司相關負責人表示,原則上借款人要借哪傢網貸公司的錢,就授權把個人信息交給哪傢。" 當中的數據公司都是工具,拿瞭數據別悄悄賣就好瞭 "。
大數據公司私自保存他人信息違規
不過,韓洪慧對南都記者表示,大數據公司在幫助金融機構瞭解和分析客戶的同時,也保存瞭數據。這樣私自保存是違規的。數據積累越多,風險也越大。" 畢竟數據不是自己業務產生的自然數據,再加上萬一保存不好泄露瞭,好比定時炸彈 "。
今年 6 月 1 日,網安法和 " 兩高 " 個人信息司法解釋開始生效實施,法規提及," 非法獲取、出售或提供行蹤軌跡信息、通信內容、征信信息、財產信息 50 條以上的即入罪。" 整個大數據行業因此面臨極大的挑戰,大量數據接口被切斷。
不僅如此,一個更現實的問題是,將來會不會出現手機聯系的人越來越少,人們都用微信瞭。如此基於運營商的風控邏輯,將不再那麼有效瞭。南都記者註意到,有數據公司已悄悄推出微信爬蟲產品。不過,每傢公司都有反爬蟲技術,能否不間斷穩定爬取數據,也是一大挑戰。
李永慶告訴南都記者," 怎麼在合規的情況下找到有效的數據,是不少公司需要考慮的問題。"
(應采訪對象要求阿倫和王蘭為化名)
被爬取的個人信息
基本身份信息,近半年的通話記錄詳情、消費賬單、出行信息、人脈關系、詳細量化評分情況
聯系次數,通話過的 1000 個手機號碼羅列出來,包括完整號碼、歸屬地、通話時長、最早和最後通話時間等。
其中常用的 30 位聯系人更是被單獨拎出,統計瞭近 24 小時、1-7 天、7-30 天、30-90 天、90-180 天 5 個通話時段的聯系次數。
定位到經緯度、門牌號的居住地、入網時長,黑名單通信記錄,民間借貸、銀行、P2P 平臺與互聯網小貸等通信記錄、公檢法和澳門通信記錄
淘寶 25 頁訂單數據、京東近 3 年數據
電商、社保、公積金、央行征信報告和學信網
