僅用3.8元!身份信息、通話記錄、消費賬單、人脈關係、門牌號全買到記者向探知數據購買到自己信息,報告多達33頁,並有詳細的量化評分;他們通過打擦邊球獲得用戶授權,大量爬取、蒐集個人隱私來源。記者從探知數據公司花了3.8元買到自己的詳細運營商報告。報告把記者常用的30位聯繫人單獨拎出,統計了近24小時、1-7天、7-30天、30-90天、90-180天5個通話時段的聯繫次數。
在記者獲取的支付寶報告裏,更是將花唄的歷月賬單,還款金額和時間都顯示出來。不僅如此,還羅列出支付寶的歷史消費統計,甚至連記者8月25日在家繳了一次110元水費都有記錄。
被爬取的淘寶賬戶信息裏,有關聯的支付寶信息,記錄了賬戶和餘額寶金額,和花唄總額度、可消費額度等。
你的通話記錄裏,最常用的30個聯繫人是誰,你家住何處,經常在哪兒活動,餘額寶裏還有多少錢,在什麼時候買過幾件內衣……這些你以爲的私密信息,其實都可以被輕易查到。
南都調查發現,一個隱藏在現金貸平臺背後的數據產業鏈正在悄然活動,其危害較之於一些開房記錄查詢服務更甚。
具體做法是,現金貸平臺向數據公司購買所謂的“數據產品”,由後者通過爬蟲技術,爬取用戶在移動通信運營商、淘寶等知名電商網站、微信支付寶等社交網絡上的行爲軌跡,以及包括央行徵信報告、水電煤使用等在內的生活信息,作爲平臺放貸前評估用戶風險的“風控奇招”。此舉在維護現金貸企業一己之利的同時,將用戶的個人隱私置於極大的風險當中。
更驚悚的是,數據公司在採集了這些數據後一般會“深度開發”,將其分割成千百個維度來進行分析,然後一張關於你的完整用戶畫像就此誕生。而被多維度分析的你,卻並不知道自己是如何授權他人獲取到這些信息的。
“你孩子那麼可愛,不想他出啥事吧?”
“我上岸了。”這是每個深陷網貸漩渦的人共同的心願。
兩個月前,32歲的阿倫跑路了。因爲迷上游戲廳的賭博機,阿倫幾乎賠上了所有積蓄,曾兩天內輸光了一個月的工資3000多元。在身無分文的情況下,他注意到了一則“2分鐘註冊,5分鐘審覈,極速放款”的現金貸廣告。
一開始能向平臺貸多少錢?這往往需要用個人隱私來交換。上傳本人持身份證照片,填寫詳細住址,讀取手機通訊錄,認證運營商和電商信息等,用阿倫的話來說,“交出的個人信息越多,可借款的額度也就越高。”
初嘗來錢快的甜頭後,阿倫一連借了十幾個平臺,直到“拆東牆補西牆”都難以填補漏洞。在被威脅爆“通訊錄”,羣發欠錢不還短信前,他逃走了,怕在親朋好友前“失了面子”。不過這四五萬元的欠款,一天天利滾利,他想甩都甩不開,只能靠拼命打工苦苦支撐着。“小貸吸血,慢慢熬吧。再也不賭的話,也許就上岸了。”阿倫對南都記者表示。
11月12日,四川內江市36歲的孕婦葉某喝下一瓶農藥自殺身亡。臨走前,她只留下一句話,“我在外欠了七八萬元債。”葉某的丈夫李先生告訴南都記者,在妻子的筆記本里記着12家網貸公司的名字。
第二天,他們一家人先後接到了多家網貸平臺的催收電話和短信。有的直言如不還款,將以惡意騙貸,涉嫌經濟欺詐起訴,還有的威脅,直接微信轉錢不然上門催收,“你孩子那麼可愛,不想他出什麼事吧?”“他在哪個幼兒園我們也知道”。
遭遇過如此催收的人並不少。在“2017互聯網金融合規與創新論壇”上,國家互聯網金融安全專家委員會祕書長吳震指出,今年6月以來,發現違規催收1000萬餘次,施害人達79萬,受害人92萬,已致20餘人死亡。
不難理解,催收人員爲何能掌握葉某這麼多個人隱私。除了網貸平臺自行收集的用戶信息外,有業內人士表示,一些數據公司還可通過技術手段,爲平臺提供借款人的更多信息。
定位到經緯度,還有所謂風險信息掃描日前,南都記者通過隨機檢索,在一家名爲探知數據的科技公司,僅花了3。8元就買到了自己的詳細運營商報告。
報告達33頁,內容涉及南都記者的基本身份信息,近半年的通話記錄詳情、賬單消費、出行信息和人脈關係等,並有詳細的量化評分。
數據顯示,這半年時間裏,南都記者共煲了3次超過一小時的“電話粥”,累計通話時長達214分鐘。該報告還量化了夜間活動情況佔比,爲3%。其中,記者通信最頻繁的是今年6月。
在消費記錄方面,記者每月的手機話費在200元左右,半年充了6次話費,最大單筆充值金額達500元。
此外,報告還記錄了出行信息。比如今年國慶期間,南都記者曾往返惠州、廣州和深圳三地。過去半年有過一次出境旅遊,在日本呆了10天。
更令人驚訝的是,這份運營商報告裏還根據聯繫次數,將與南都記者進行過通話的1000個手機號碼羅列出來,包括完整號碼、歸屬地、通話時長、最早和最後通話時間等。
其中常用的30位聯繫人更是被單獨拎出,統計了近24小時、1-7天、7-30天、30-90天、90-180天5個通話時段的聯繫次數。也就是說最近一天,被查詢人給誰打過或者接到過幾次電話,均可從報告中得知。
此外,報告中還能看到借款人的身份信息,定位到經緯度、門牌號的居住地址等,還有所謂的風險信息掃描。比如入網時長,黑名單通信記錄,民間借貸、銀行、P2P平臺與互聯網小貸等通信記錄,甚至還有公檢法和澳門通信記錄等。
上海琥珀科技公司創始人李永慶告訴記者,運營商報告並不是簡單羅列一個通話詳單,需要很多數據進行交叉分析,據此可判斷借款人是不是欺詐團隊,最近有沒有被其他網貸平臺催收。
在網貸行業工作多年的王蘭進一步指出,通過通話記錄,甚至能大概判斷出這是個怎樣的人。王蘭說,例如正常人的通話記錄一般有來有往,而打出的電話較多,且都是幾秒鐘(快遞送餐員例外),那這個用戶的逾期率風險可能會高一些。
淘寶25頁、京東3年數據僅需1元除了運營商報告,南都記者從探知數據的一名產品經理處獲悉,該公司可提供的服務產品還包括電商、社保、公積金、央行和學信網,查詢結果五花八門。
其中,探知數據稱可抓取的淘寶數據量最多爲25頁訂單數據,而京東的抓取時長則包括用戶近3年的數據,這樣的電商報告價格並不貴,僅需1元。
對比兩份電商報告,內容都非常詳細。一年內,南都記者使用過哪些地址網購,使用的頻率,消費類型和購買金額等均被一一標出。關於商品類型包括教育、演出商務、面部護膚、內衣等數十項,根據用戶的不同消費佔比,最後形成了一張消費價格區間和消費興趣和行爲分佈圖。
除了消費記錄以外,用戶的金融支付信息也有涉及。在探知數據提供給客戶的京東報告中,標出了該賬號綁定的銀行卡信息,以及京東白條使用情況。而淘寶則關聯支付寶信息,記錄了賬戶和餘額寶金額,和花唄總額度、可消費額度等。
在南都記者獲取的支付寶報告裏,更是將花唄的歷月賬單,還款金額和時間都顯示出來。不僅如此,還羅列出支付寶的歷史消費統計,甚至連南都記者8月25日在家繳了一次110元水費都有記錄。
事實上,數據公司所能提供的數據還遠不止這些。
該行業知名企業聚信立對外稱,其數據源還包括社交網站,網上銀行,水電煤,航空公司網站等,能從5000多個維度整合數據,已爲4000多萬獨立借款人提供服務,日均撮合7億多元貸款。
換句話說,在某個時刻,從個人的衣食住行到生活工作社交,你所產生的任何互聯網數據都有可能被“人肉”出來,並進行多達5000個維度的解讀。
預充值越高價格越低,甚至到幾角錢那麼,這些細緻無比的數據從何而來?
11月10日,南都記者實地走訪這家公司,相關工作人員以負責人出差爲由拒絕採訪,只是強調數據是經過爬蟲技術獲取而來的,並經過用戶授權。
記者瞭解,爬蟲技術是一項被廣泛應用於互聯網行業的技術。
在現金貸領域的應用,爬蟲技術常見於抓取用戶相關的運營商數據、電商數據等信息,作爲人工智能風控技術的數據補充。以往爲了反欺詐和確定放款額,現金貸平臺通常需要幾天時間對借款人進行信審工作。現在依託爬蟲技術所爬取的大數據,則可能實現秒貸。有業內人士稱,如果借款人有借唄、京東白條、微粒貸額度,平臺就直接放貸了。
此外,一些數據公司還專門面向現金貸領域推出同業爬蟲產品,可以爬取到借款人在其他平臺的貸款情況,如放款額、放款時間等結果數據。
這對發愁數據源和風控系統的現金貸公司來說,無疑是一項貼心的服務,可在風控環節省去不少力氣,甚至直接使用別人的風控成果。李永慶對南都記者表示,這在一定程度上也降低了用戶的實際借款利息。因爲藉助機器,從申請、審覈到放貸的效率提高了,花在風控上的人工成本也就減少了。
一家剛起步的數據公司產品經理向南都記者透露,使用自家產品預充值越高,每份報告的價格就越低。如果預充值是1萬元的話,運營商和電商報告售價不足兩元,預充值達10萬元的話,包括簡單的多頭黑名單等報告,幾角錢即可買到。並且一提交申請即可秒出。
基於如此強大的數據分析和低廉的價格,這些爬蟲產品受到市場的歡迎。但是通過爬蟲技術獲取各大網絡平臺的數據也存在不小爭議。
今年3月,58同城被爆出簡歷信息泄露。有賣家在淘寶上出售該平臺的個人信息爬蟲服務。只要支付700元就能購買一款爬蟲軟件,在登錄賣家提供的賬號後,每小時可採集全國430多個城市,以及464個職業的簡歷數據上千份。
除了自行爬取外,賣家還可出售經過簡單清洗的信息數據,將姓名、手機號、求職方向、年齡等簡歷信息自動錄入到excel表格中,具體價格1000條50元。58集團對外迴應稱,這屬於惡意抓取,將追查並加固信息安全系統,提升防爬蟲技術手段。
對於互聯網企業來說,最重要的資產是價值堪比石油的數據。誰也不願自家積累的數據就這樣被白白爬取,因此也都紛紛推出相應的反爬蟲措施。
“主動把自家的鑰匙給了一個路人”
儘管如此,爬蟲有時仍防不勝防。因爲一句用戶授權,似乎讓其有了合理的說辭。
支付寶相關負責人對南都記者表示,探知數據並非其開放平臺的合作伙伴,也沒有對其開放數據接口。對方平臺通過用戶給他們的授權,以用戶的名義登錄支付寶後,就可以看到該用戶的信息。“簡單來說,這相當於你主動把自家的鑰匙給了一個路人,然後這個路人用這把鑰匙開了你的家門。”
據南都記者瞭解,現金貸平臺要求借款人進行電商和運營商等認證時,通常由借款人提供賬號和密碼,審覈員人工登錄運營商和電商網站,然後截圖打印。
“這樣問題更多,因爲密碼泄露了。”李永慶告訴南都記者。一名網貸行業資深人士表示,“過後我們會要求借款人修改密碼。”
現在藉助爬蟲,道理其實相似。網貸公司先接入數據公司的API接口,出現數據公司的一個授權頁面,讓用戶通過掃描二維碼等方式,輸入賬號和密碼。然後數據公司在自家服務器上通過爬蟲模擬用戶行爲,登錄相關網站獲取數據。
針對爬蟲問題,上述支付寶相關負責人表示,其公司已開發並在不斷完善人機識別系統,以此判斷是否有平臺以用戶的名義登錄,並用腳本機器的爬取請求。一經發現,便會進行攔截或者需要用戶校驗通過才能繼續操作。同時,對用戶的敏感信息進行脫敏處理,比如把身份證和綁定的銀行卡號作打星處理等。
“我們一直在做安全教育。從根本上講,希望用戶不要把自己的支付寶賬號密碼告訴其他平臺。”
有業內人士透露,其實爬蟲已經算是很合規的渠道了,畢竟還是要用戶授權的。還有些公司會通過各種渠道花錢買數據,“想買的話都買得到”。
不管是爲了更好地做風控評估,防止“黑戶”欺詐,還是用於後期催收,藉助爬蟲工具,現金貸平臺所能獲取的個人信息超乎想象。
一個擼小貸的人告訴記者,“註冊的平臺多了,也就毫無隱私可言了。”
“借款人要是知道了,肯定不願授權”
爬蟲引導用戶去訪問自己的賬戶系統,然後偷偷爬取信息雖然數據公司宣稱有用戶授權,但專家對其中的授權方式也提出了質疑。
有爬蟲行業的從業者表示,“我們爬蟲業務幾乎不跟P2P平臺合作,因爲國家打得嚴。而其中的灰色地帶在於簽約環節。”而且,在個人隱私保護和數據買賣等問題上,可能觸及紅線。
自己打開門但不知被爬取多少信息根據網安法規定,企業收集個人信息應當經過被收集者的同意。也就是說,只有經過用戶同意,企業收集個人信息纔算合法。
在華東政法大學教授高富平看來,用戶同意的前提是知情。“平臺要訪問獲取我哪些信息,用於什麼目的首先應該明確告知,超出這個範圍則不能再用。在明確主體、信息範圍、使用目的三個條件後,只有用戶發自內心自願同意後,纔算真正的知情同意。”
很顯然,用戶並不知道自己會被爬取出這麼多具體的信息。“所以這裏的用戶授權實際上存有瑕疵。”高富平對南都記者表示。“借款人要是知道了這些,肯定會不願意的,尤其是因爲這些數據借不到錢的人。”李永慶說。
據網貸行業數據安全專家韓洪慧介紹,爬蟲爬取數據做了一個取巧的行爲,即引導用戶去訪問自己的賬戶系統,比如手機營業廳、淘寶等,用戶自己輸入賬戶密碼後,爬蟲就進入賬戶系統爬取信息。用戶自己打開了門,但其實不知道爬蟲爬取了多少信息,也控制不了爬取的信息以後還會被用在哪裏。
南都記者注意到,2016年8月,銀監會出臺的《網絡借貸信息中介機構業務活動管理暫行辦法》指出,網貸平臺應妥善保管出借人與借款人的資料和交易信息,不得刪除、篡改,不得非法買賣、泄露出借人與借款人的基本信息和交易信息。
網貸公司有泄露個人信息嫌疑韓洪慧認爲,網貸平臺採用外包模式,讓第三方公司去爬取用戶信息,有泄露用戶個人信息的嫌疑。一方面,網貸平臺無法保證第三方技術公司不留存數據,不將數據用作其他用途。另一方面,用戶以爲是網貸平臺獲得信息,但實際上不僅網貸平臺獲得信息,第三方技術公司也獲得了,而且可能是全部信息。
他說,“這猶如我求你辦事,你說要到我家看看情況。我給你打開了門,結果你讓另外一個人進去檢查,然後把檢查報告給你,問題是你對那個人並沒有太多約束力,他只是來臨時幫忙的,於是我的家被一個完全不認識的人檢查了個遍。”
更糟糕的是,網貸平臺可能只要求技術公司獲取三個內容,但技術公司獲取了30個內容,最後只給了網貸平臺3個內容,其他的都留給自己用了。
值得一提的是,所謂的授權還體現在數據公司和網貸平臺的用戶協議上。以探知數據爲例,在其查詢頁面有相關的授權協議稱,“您確認獲得有效的轉授權我們查看您擬查詢的第三人(電商網站、運營商、學信網等)信息。”
記者查閱發現,不少網貸平臺在用戶協議裏也提及,用戶同意其公司有權將用戶個人資料和信息,提供給依法設立的徵信機構和個人信用數據庫和關聯方、合作伙伴,以及給第三方進行逾期賬款催收。並且有權與任何第三方進行數據共享。
有數據公司相關負責人表示,原則上借款人要借哪家網貸公司的錢,就授權把個人信息交給哪家。“當中的數據公司都是工具,拿了數據別悄悄賣就好了”。
大數據公司私自保存他人信息違規不過,韓洪慧對南都記者表示,大數據公司在幫助金融機構瞭解和分析客戶的同時,也保存了數據。這樣私自保存是違規的。數據積累越多,風險也越大。“畢竟數據不是自己業務產生的自然數據,再加上萬一保存不好泄露了,好比定時炸彈”。
今年6月1日,網安法和“兩高”個人信息司法解釋開始生效實施,法規提及,“非法獲取、出售或提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上的即入罪。”整個大數據行業因此面臨極大的挑戰,大量數據接口被切斷。
不僅如此,一個更現實的問題是,將來會不會出現手機聯繫的人越來越少,人們都用微信了。如此基於運營商的風控邏輯,將不再那麼有效了。記者注意到,有數據公司已悄悄推出微信爬蟲產品。不過,每家公司都有反爬蟲技術,能否不間斷穩定爬取數據,也是一大挑戰。
李永慶告訴記者,“怎麼在合規的情況下找到有效的數據,是不少公司需要考慮的問題。”
(應採訪對象要求阿倫和王蘭爲化名)被爬取的個人信息基本身份信息,近半年的通話記錄詳情、消費賬單、出行信息、人脈關係、詳細量化評分情況聯繫次數,通話過的1000個手機號碼羅列出來,包括完整號碼、歸屬地、通話時長、最早和最後通話時間等。
其中常用的30位聯繫人更是被單獨拎出,統計了近24小時、1-7天、7-30天、30-90天、90-180天5個通話時段的聯繫次數。
定位到經緯度、門牌號的居住地、入網時長,黑名單通信記錄,民間借貸、銀行、P2P平臺與互聯網小貸等通信記錄、公檢法和澳門通信記錄
