11月20日,一则“侵犯公民信息,涉嫌非法提供身份证返照查询9800多万次,获利3800万元”的消息将考拉征信服务有限公司(以下简称“考拉征信”)推向了风口浪尖。在上述事件持续发酵后,北京商报记者第一时间来到该公司官网披露的注册所在地询问事件最新进展和整改措施,却并未见到考拉征信公司的身影。对考拉征信总部的确切位置,该公司一位客服人员表示“上述问题需要登记反馈,请您保持电话畅通等待回电即可”,但截至发稿记者并未得到回复。今年下半年以来,已有多家大数据风控公司因涉及“套路贷、暴力催收”等问题被查,个人信息黑产买卖被暴露在阳光下。业内人士分析认为,未来,伴随着典型案例的广泛传播及相关制度的不断完善,个人隐私信息相关黑灰产从业者的生存将时日无多。
非法倒卖近亿信息
个人信息的泄露问题日益严峻。11月19日,据央视网报道,近日江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司,这7家公司涉嫌非法缓存公民个人信息1亿多条,其中,考拉征信因涉嫌非法提供身份证返照查询9800多万次,获利3800万元“榜上有名”。警方目前已将考拉征信法定代表人、董事长、销售、技术等20余名涉案人员抓获。
据央视网消息称,警方发现,广州诺涵信息科技有限公司(以下简称“诺涵科技”)将公民个人信息称为“流量”,公司自己开发有乐花管家等多个小贷平台,在自身购买公民个人信息用于推销贷款、软暴力催收的同时,也和其他公司相互交换公民个人信息。
警方调查发现,诺涵科技的公民个人信息主要来自湖南九象信息有限公司(以下简称“湖南九象”),在锁定相关犯罪证据后,淮安警方在长沙、深圳分别将湖南九象法定代表人和技术主管抓获,审讯得知湖南九象黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司(以下简称“黑格科技”),而黑格科技是从考拉征信等4家公司购买的查询接口。
警方表示,经查考拉征信从上游公司获取接口后,又违规将查询接口卖出,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。“考拉征信最大的问题在于非法窃取公民隐私,这一点已经构成了犯罪,任何机构没有给予这家公司窃取公民数据的权利,他们也没有在明确告知用户的情况下采集了用户的数据。这些所谓的‘征信’公司,不光窃取,还对外销售,成为了贩卖他人隐私的公司。所以,不管是征信公司还是大数据公司,但凡涉及以上两条的在未来都会有风险。”资深互金评论员毕研广表示。
总部地址“隐身”
考拉征信被查也牵出了个人信息泄露难禁这一黑色产业链。据考拉征信官网信息,该公司是人民银行批准的8家个人征信业务试点企业之一,是百行征信9家发起股东及董事单位之一,也是国内首家成立大数据征信模型专业实验室的征信机构,主要从事个人和小微企业信用状况评估业务。
天眼查数据显示,考拉征信的运营主体考拉征信服务有限公司成立于2014年4月,注册资本5000万元人民币,法定代表人为邹铁山,经营范围包括企业信用的征集、评定、数据处理(数据处理中的银行卡中心、PUE值在1.5以上的云计算数据中心除外)等,由考拉昆仑信用管理有限公司(以下简称“考拉昆仑”)全资控股。
11月20日,北京商报记者前往考拉征信官网披露的注册住所——北京市海淀区北清路中关村(8.530, 0.09, 1.07%)壹号D1座7层进行探访,但记者到该楼层却并未见到考拉征信的踪影。
对考拉征信总部的确切位置,北京商报记者多次联系考拉征信客服人员进行询问,该公司一位客服人员表示“上述问题需要登记反馈,请您保持电话畅通等待回电即可”。但截至发稿记者并未得到回应。
开放信息边界引争议
今年下半年以来,已有多家大数据风控公司因涉及“套路贷、暴力催收”等问题被查,个人信息黑产买卖被暴露在阳光下。
在麻袋研究院高级研究员苏筱芮看来,个人隐私被泄露甚至产业化,背后必然存在多样化的参与主体和层级分明的链条,这其中既有单打独斗、广泛分布的小团队、小组织甚至个人,也有披着“高大上”光环、备受瞩目的明星公司。一些“头部公司”被查处,实际上体现了法律面前人人平等的基本原则,只要是侵犯个人隐私涉嫌违法犯罪的,就不应被姑息。
苏筱芮进一步表示,这体现出部分从业机构的合规意识不强、部分从业人员法律意识淡漠。未来,伴随着典型案例的广泛传播及相关制度的不断完善,个人隐私信息相关黑灰产从业者的生存将时日无多。11月19日,最高人民法院举行发布会,发布网络犯罪大数据报告及电信网络诈骗犯罪典型案例并回答记者提问。司法大数据反映出,19.16%的网络诈骗案件具有精准诈骗的特征,即不法分子获取公民个人信息后有针对性地实施诈骗,极大地提高了诈骗得逞的可能性。
如此海量的个人信息被泄露又暴露出怎样的制度漏洞?一位不愿具名的大数据行业观察人士对北京商报记者表示,核心在于公民个人信息的收集、授权与保存方式的边界,尤其是政府部门储存的海量个人信息,如何保障信息安全、如何防范过度授权、如何界定开放信息的边界等。她建议监管机构出台相应政策法规,在兼顾商业企业运行效率的同时,加强信息使用规范,严惩违规之人,而非直接停止授权,关闭接口。