“大數(shù)據(jù)時代，人人都在‘裸奔’。”一句無奈的玩笑話，折射出大數(shù)據(jù)的洪流之下，個人隱私信息被嚴重盜用、濫用的現(xiàn)實。

公安部最近披露消息：自今年3月公安部部署開展打擊整治黑客攻擊破壞和網(wǎng)絡侵犯公民個人信息犯罪專項行動以來，截至目前，全國共偵破侵犯公民個人信息案件和黑客攻擊破壞案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個人信息500多億條。

此類案件三大特點：一是黑客入侵網(wǎng)站非法竊取公民個人信息犯罪活動增多，二是企事業(yè)內(nèi)部人員成為非法泄露個人信息的主要源頭，三是侵犯公民個人信息犯罪成為其他各類犯罪的上游犯罪。

近日，備受關注的蘋果中國公司內(nèi)部多名員工買賣個人信息一案，已開庭審理。此案涉及蘋果國內(nèi)直銷公司及蘋果外包公司員工20多人，利用蘋果公司內(nèi)部系統(tǒng)平臺，非法查詢蘋果手機關聯(lián)的手機號碼、姓名、Apple ID等信息，再將信息以每條10元-180元不等的價格售賣，初步查明涉案金額達5000萬元以上。

業(yè)內(nèi)人士透露，這類犯罪團伙往往是倒賣個人信息的“數(shù)據(jù)黑產(chǎn)”安插進公司內(nèi)部的。“不過，從整個數(shù)據(jù)產(chǎn)業(yè)來看，‘內(nèi)鬼’案件還算是個案，更普遍的是整個大數(shù)據(jù)行業(yè)成體系地變相買賣個人信息。這是公開的秘密。”

何謂“數(shù)據(jù)黑產(chǎn)”，還無官方定義。一般把黑客盜取或直接倒賣個人信息的行為稱為“黑產(chǎn)”。時下大數(shù)據(jù)公司流行的對外提供身份驗證、“黑名單”服務等市場化行為，并不屬于“黑產(chǎn)”。

但在多位資深律師看來，由于普遍涉及侵犯個人隱私，缺乏規(guī)范授權，個人信息交易未經(jīng)過“脫敏”、明示細化授權，屬變相買賣。所以，嚴格來說，大數(shù)據(jù)公司的部分數(shù)據(jù)服務或可稱為“灰產(chǎn)”，在這一需求之下，催生了近年龐大的“數(shù)據(jù)黑產(chǎn)”。

……

上篇

大數(shù)據(jù)生態(tài)圈

大數(shù)據(jù)風控公司的興起，始于2013年互聯(lián)網(wǎng)金融的火爆。

尤其近來網(wǎng)貸平臺、消費金融機構在線獲客需求暴增，并倒逼傳統(tǒng)銀行轉型，更多借助互聯(lián)網(wǎng)拓展零售客戶。自去年以來，互聯(lián)網(wǎng)銀行、網(wǎng)貸平臺多靠大數(shù)據(jù)風控做既不需抵押也沒有貸款用途限制的現(xiàn)金貸，迅速做大規(guī)模， 由此催生了基于大數(shù)據(jù)應用的線上精準獲客和風控體系。“當銀行下沉客戶服務重心時，遇到很大的問題就是網(wǎng)上發(fā)信用卡時，很多客戶沒有央行的征信報告，即信用白戶，主要是85后、90后和三四線城市的人，導致傳統(tǒng)的銀行評估方法無法評估這類客戶。”百融金融信息服務股份有限公司(下稱百融)CEO張韶峰向財新記者介紹。

大數(shù)據(jù)風控公司應運而生。百融、同盾科技、集奧聚合、聚信立、量化派等都是業(yè)內(nèi)風頭較勁的大數(shù)據(jù)公司，頗受資本追捧，均在謀求IPO。財新記者獲悉，同盾近期將迎來C輪投資，投資人包括一家知名風投和一家大型國企。

據(jù)業(yè)內(nèi)人士介紹，大數(shù)據(jù)風控服務，主要包括利用大數(shù)據(jù)+AI的應用防范兩類風險：欺詐風險和信用風險。防范欺詐風險包括三種：識別“黑、灰、白名單”(分別對應惡意賴賬、非主觀因素比如經(jīng)濟困難造成逾期、信用狀況好三類用戶)、偽冒騙貸、集合騙貸如醫(yī)美分期騙貸。防范信用風險則是依托大數(shù)據(jù)精準營銷的刻畫圖像，比如受教育程度、行為偏好、工作是否穩(wěn)定等，綜合預測個人還款能力。

……

中篇

信息泄露溯源

無論是在線獲客還是風險防范，第一步都是線上身份驗證。這是開展所有金融服務的起點。

“身份信息和手機號是查詢量和需求最大的。”業(yè)內(nèi)人士介紹。90%的個人信息都在國家部門，個人身份信息對外輸出的官方渠道通常有三個，分別由三個不同部門管理：一是公安部下屬的全國公民身份證號碼查詢中心(下稱身份證查詢中心)，行話稱提供“二要素”驗證，即姓名和身份證號碼相對應;二是電信實名制下，來自三大移動通信運營商的手機號碼和姓名、身份證號對應，即“移動三要素”驗證;三是來自銀行的銀行卡和姓名、身份證號、手機號對應，業(yè)內(nèi)稱為“四要素”驗證，即銀行的KYC(了解你的客戶)實名制，這是開立I類銀行賬戶必須具備的。

“當一些國家機關或部門對外開放接口級的批量查詢業(yè)務，從技術上操作，其他人從其許可的查詢機構那里‘撞庫’，就很容易可以獲得信息。‘撞庫’是門檻很低的技術，黑客還可以利用部分互聯(lián)網(wǎng)用戶‘多家網(wǎng)站同一個用戶名和密碼’的習慣，去試探別的網(wǎng)站數(shù)據(jù)庫。” 美國三大征信機構之一益博睿中國的一位高管表示。

以身份證查詢中心為例。據(jù)多位業(yè)內(nèi)人士介紹，身份證查詢中心是事業(yè)單位，對外正式授權身份核驗服務的有八家代理商，業(yè)內(nèi)號稱“八大金剛”——國政通、證通公司、上海爰金、北京英泰、上海駿聿、中勝信用，江蘇法華、宇信易誠。除了證通公司由證監(jiān)會監(jiān)管，其他七家不受金融監(jiān)管。

……

下篇

整肅開始了

6月1日起實施的《網(wǎng)絡安全法》和“兩高”司法解釋，將對數(shù)據(jù)行業(yè)現(xiàn)行做法產(chǎn)生巨大沖擊。若按照“兩高”司法解釋的較低入罪門檻，大多數(shù)大數(shù)據(jù)公司都違法。“這次史無前例，所有的大數(shù)據(jù)公司都很關注。”前述公安大學教授表示。

早在2013年2月，涉及個人信息的處理已有法可依——工信部聯(lián)合多家單位制定的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(下稱《指南》)，成為中國首個個人信息保護標準。

《指南》明確將個人信息分為個人一般信息和個人敏感信息(包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等)，并提出默許同意和明示同意的概念。對于個人一般信息，默許同意便可收集和利用;對于個人敏感信息，則需明示同意;而且在達成個人信息使用目的之后必須刪除。但由于《指南》屬于指導性文件，并未強制執(zhí)行。

此次“兩高”司法解釋第五條對“公民個人信息”作了進一步區(qū)分：行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息為重要信息，住宿信息、通信記錄、健康生理信息、交易信息等為敏感信息;并首次明確了公民個人“財產(chǎn)信息”屬于最嚴格保護的范疇，而且指出財產(chǎn)信息既包括傳統(tǒng)銀行賬戶，也包括第三方支付結算賬戶。