《财新周刊》封面报道起底数据灰色产业链 触目惊心

数据交易灰色产业勃兴,个人信息泄露触目惊心,如何转向正轨?个人隐私在大数据时代还能否得到最基本的保障?
“大数据时代,人人都在‘裸奔’。”一句无奈的玩笑话,折射出大数据的洪流之下,个人隐私信息被严重盗用、滥用的现实。图/视觉中国

  

【财新网】(记者 张宇哲 吴雨俭 彭骎骎)
“大数据时代,人人都在‘裸奔’。”一句无奈的玩笑话,折射出大数据的洪流之下,个人隐私信息被严重盗用、滥用的现实。

  随着徐玉玉等多起因公民个人信息暴露而起的悲剧发生,中国相关监管部门正着手整肃大数据产业链。8月7日出版的《财新周刊》封面报道推出上中下三篇谈大数据产业的灰色一面:上篇内容是《大数据生态圈》,描述了这一大数据产业令人不安的现状和弊端,中篇是《信息泄露溯源》,谈海量数据从何而来, 下篇:《整肃开始了》,探讨如何监管与治理。

  财新报道指出,大数据风控公司的兴起,始于2013年互联网金融的火爆。从事现金贷、消费贷的互联网金融平台、各种消费金融公司甚至也包括商业银行的零售业务部门,是这些数据的需求方。但个人数据违规搜集、泄漏、滥用却也因此泛滥成灾。目前业内风头较劲的大数据公司包括百融、同盾科技、集奥聚合、聚信立、量化派等。

  大数据风控服务,主要包括利用大数据+AI的应用防范两类风险:欺诈风险和信用风险。多位银行人士告诉财新记者,的确能增加放贷规模和精准度,但水平参差不齐。

  问题的症结是,大数据公司的数据来源大都语焉不详,这也令银行零售部门等数据使用者颇为纠结,“我们团队一天到晚讨论这些数据到底用不用。互联网金融平台都在用,如果银行不用,也是不公平竞争;但如果用,又怕助长违法行为。”

  海量数据来自何处呢?

  由于90%的个人信息都在国家部门,个人身份信息对外输出的源头可追溯至三个不同部门管理:一是公安部下属的全国公民身份证号码查询中心(下称身份证查询中心),行话称提供“二要素”验证,即姓名和身份证号码相对应;二是电信实名制下,来自三大移动通信运营商的手机号码和姓名、身份证号对应,即“移动三要素”验证;三是来自银行的银行卡和姓名、身份证号、手机号对应,业内称为“四要素”验证。

  财新封面报道称,这三大个人信息输出源头,各自都有授权或未授权的合作伙伴或代理商,通过API接口模式对外输出数据,“等于挖了个渠”。例如,与身份证查询中心合作、对外正式授权身份核验服务的有八家代理商,业内号称“八大金刚”——国政通、证通公司、上海爰金、北京英泰、上海骏聿、中胜信用,江苏法华、宇信易诚。可以直联该网高等教育学生信息网的代理机构有两家,即鹏元征信和国政通。三大移动通信运营商旗下几乎都有子公司可以对外提供手机话费缴存状态、手机在网状态、地理位置、在网时长等信息查询,还通过短信群发代理服务商,输出大量个人银行账户信息。

  令人堪忧的是,对外输出公民身份信息相关服务的三大源头,都对数据源的管理没有统一的标准。提供接口级的对外服务,但是对接入机构并没有严格的资质审核,也没有技术手段判断这些数据会流向哪里,因而很难控制个人信息安全保护。财新封面报道的调查发现,无论是授权代理机构,还是未经授权的第三方支付机构,只要接入官方数据系统,都存在违规截留个人信息的现象。

  财新报道指出,大数据风控公司获取数据,既有未获政府部门渠道查询授权的问题,也存在数据采集未经被采集人明确同意的问题,爬取、买入、交换、撞库等数据搜集手段亦饱受争议。

  正如全国人大财经委副主任委员吴晓灵指出,中国对于个人数据保护尚未构建类似的专业性监管机构和相应的组织体系,不仅降低了政府的治理效能,也使数据保护监管业务处于真空状态,最终造成了某些机构往往以拥有海量数据大肆炫耀、却拒绝履行保护责任的现状。

  6月1日起实施的《网络安全法》和“两高”司法解释,显著降低了入罪门槛,能否真正阻断非法获取和使用数据的产业链?

  财新记者调查发现,部分大数据公司已经对业务作出调整,但大量消费金融公司、互金平台等数据需求方,对此动向并不敏感,很多大数据公司并未着手内部合规性审查,仍然在积极拓展业务。目前业内还在观望,政府会怎样执行《网络安全法》和“两高”司法解释,是强制执行还是弹性处理?

  财新报道指出,在加强监管和严格执法的同时,堵截网络欺诈、电信诈骗的根本是规范信息泄露源头,需要对身份认证的全面系统性顶层设计;也还需要对目前中国的相关法律进行系统化梳理和整合,尽快出台统一的个人信息保护法规, 设立国家层面的个人信息保护委员会,专门负责个人信息保护。此外,从个人层面提高隐私保护意识是基石。