“大數(shù)據(jù)時代，人人都在‘裸奔’。”一句無奈的玩笑話，折射出大數(shù)據(jù)的洪流之下，個人隱私信息被嚴重盜用、濫用的現(xiàn)實。

公安部最近披露消息：自今年3月公安部部署開展打擊整治黑客攻擊破壞和網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動以來，截至目前，全國共偵破侵犯公民個人信息案件和黑客攻擊破壞案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個人信息500多億條。

此類案件三大特點：一是黑客入侵網(wǎng)站非法竊取公民個人信息犯罪活動增多，二是企事業(yè)內(nèi)部人員成為非法泄露個人信息的主要源頭，三是侵犯公民個人信息犯罪成為其他各類犯罪的上游犯罪。

近日，備受關(guān)注的蘋果中國公司內(nèi)部多名員工買賣個人信息一案，已開庭審理。此案涉及蘋果國內(nèi)直銷公司及蘋果外包公司員工20多人，利用蘋果公司內(nèi)部系統(tǒng)平臺，非法查詢蘋果手機關(guān)聯(lián)的手機號碼、姓名、Apple ID等信息，再將信息以每條10元-180元不等的價格售賣，初步查明涉案金額達5000萬元以上。

業(yè)內(nèi)人士透露，這類犯罪團伙往往是倒賣個人信息的“數(shù)據(jù)黑產(chǎn)”安插進公司內(nèi)部的。“不過，從整個數(shù)據(jù)產(chǎn)業(yè)來看，‘內(nèi)鬼’案件還算是個案，更普遍的是整個大數(shù)據(jù)行業(yè)成體系地變相買賣個人信息。這是公開的秘密。”

何謂“數(shù)據(jù)黑產(chǎn)”，還無官方定義。一般把黑客盜取或直接倒賣個人信息的行為稱為“黑產(chǎn)”。時下大數(shù)據(jù)公司流行的對外提供身份驗證、“黑名單”服務(wù)等市場化行為，并不屬于“黑產(chǎn)”。

但在多位資深律師看來，由于普遍涉及侵犯個人隱私，缺乏規(guī)范授權(quán)，個人信息交易未經(jīng)過“脫敏”、明示細化授權(quán)，屬變相買賣。所以，嚴格來說，大數(shù)據(jù)公司的部分數(shù)據(jù)服務(wù)或可稱為“灰產(chǎn)”，在這一需求之下，催生了近年龐大的“數(shù)據(jù)黑產(chǎn)”。

……

上篇

大數(shù)據(jù)生態(tài)圈

大數(shù)據(jù)風(fēng)控公司的興起，始于2013年互聯(lián)網(wǎng)金融的火爆。

尤其近來網(wǎng)貸平臺、消費金融機構(gòu)在線獲客需求暴增，并倒逼傳統(tǒng)銀行轉(zhuǎn)型，更多借助互聯(lián)網(wǎng)拓展零售客戶。自去年以來，互聯(lián)網(wǎng)銀行、網(wǎng)貸平臺多靠大數(shù)據(jù)風(fēng)控做既不需抵押也沒有貸款用途限制的現(xiàn)金貸，迅速做大規(guī)模， 由此催生了基于大數(shù)據(jù)應(yīng)用的線上精準獲客和風(fēng)控體系。“當(dāng)銀行下沉客戶服務(wù)重心時，遇到很大的問題就是網(wǎng)上發(fā)信用卡時，很多客戶沒有央行的征信報告，即信用白戶，主要是85后、90后和三四線城市的人，導(dǎo)致傳統(tǒng)的銀行評估方法無法評估這類客戶。”百融金融信息服務(wù)股份有限公司(下稱百融)CEO張韶峰向財新記者介紹。

大數(shù)據(jù)風(fēng)控公司應(yīng)運而生。百融、同盾科技、集奧聚合、聚信立、量化派等都是業(yè)內(nèi)風(fēng)頭較勁的大數(shù)據(jù)公司，頗受資本追捧，均在謀求IPO。財新記者獲悉，同盾近期將迎來C輪投資，投資人包括一家知名風(fēng)投和一家大型國企。

據(jù)業(yè)內(nèi)人士介紹，大數(shù)據(jù)風(fēng)控服務(wù)，主要包括利用大數(shù)據(jù)+AI的應(yīng)用防范兩類風(fēng)險：欺詐風(fēng)險和信用風(fēng)險。防范欺詐風(fēng)險包括三種：識別“黑、灰、白名單”(分別對應(yīng)惡意賴賬、非主觀因素比如經(jīng)濟困難造成逾期、信用狀況好三類用戶)、偽冒騙貸、集合騙貸如醫(yī)美分期騙貸。防范信用風(fēng)險則是依托大數(shù)據(jù)精準營銷的刻畫圖像，比如受教育程度、行為偏好、工作是否穩(wěn)定等，綜合預(yù)測個人還款能力。

……

中篇

信息泄露溯源

無論是在線獲客還是風(fēng)險防范，第一步都是線上身份驗證。這是開展所有金融服務(wù)的起點。

“身份信息和手機號是查詢量和需求最大的。”業(yè)內(nèi)人士介紹。90%的個人信息都在國家部門，個人身份信息對外輸出的官方渠道通常有三個，分別由三個不同部門管理：一是公安部下屬的全國公民身份證號碼查詢中心(下稱身份證查詢中心)，行話稱提供“二要素”驗證，即姓名和身份證號碼相對應(yīng);二是電信實名制下，來自三大移動通信運營商的手機號碼和姓名、身份證號對應(yīng)，即“移動三要素”驗證;三是來自銀行的銀行卡和姓名、身份證號、手機號對應(yīng)，業(yè)內(nèi)稱為“四要素”驗證，即銀行的KYC(了解你的客戶)實名制，這是開立I類銀行賬戶必須具備的。

“當(dāng)一些國家機關(guān)或部門對外開放接口級的批量查詢業(yè)務(wù)，從技術(shù)上操作，其他人從其許可的查詢機構(gòu)那里‘撞庫’，就很容易可以獲得信息。‘撞庫’是門檻很低的技術(shù)，黑客還可以利用部分互聯(lián)網(wǎng)用戶‘多家網(wǎng)站同一個用戶名和密碼’的習(xí)慣，去試探別的網(wǎng)站數(shù)據(jù)庫。” 美國三大征信機構(gòu)之一益博睿中國的一位高管表示。

以身份證查詢中心為例。據(jù)多位業(yè)內(nèi)人士介紹，身份證查詢中心是事業(yè)單位，對外正式授權(quán)身份核驗服務(wù)的有八家代理商，業(yè)內(nèi)號稱“八大金剛”——國政通、證通公司、上海爰金、北京英泰、上海駿聿、中勝信用，江蘇法華、宇信易誠。除了證通公司由證監(jiān)會監(jiān)管，其他七家不受金融監(jiān)管。

……

下篇

整肅開始了

6月1日起實施的《網(wǎng)絡(luò)安全法》和“兩高”司法解釋，將對數(shù)據(jù)行業(yè)現(xiàn)行做法產(chǎn)生巨大沖擊。若按照“兩高”司法解釋的較低入罪門檻，大多數(shù)大數(shù)據(jù)公司都違法。“這次史無前例，所有的大數(shù)據(jù)公司都很關(guān)注。”前述公安大學(xué)教授表示。

早在2013年2月，涉及個人信息的處理已有法可依——工信部聯(lián)合多家單位制定的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(下稱《指南》)，成為中國首個個人信息保護標準。

《指南》明確將個人信息分為個人一般信息和個人敏感信息(包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等)，并提出默許同意和明示同意的概念。對于個人一般信息，默許同意便可收集和利用;對于個人敏感信息，則需明示同意;而且在達成個人信息使用目的之后必須刪除。但由于《指南》屬于指導(dǎo)性文件，并未強制執(zhí)行。

此次“兩高”司法解釋第五條對“公民個人信息”作了進一步區(qū)分：行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息為重要信息，住宿信息、通信記錄、健康生理信息、交易信息等為敏感信息;并首次明確了公民個人“財產(chǎn)信息”屬于最嚴格保護的范疇，而且指出財產(chǎn)信息既包括傳統(tǒng)銀行賬戶，也包括第三方支付結(jié)算賬戶。