《仅用3.8元!身份信息、通话记录、消费账单、人脉关系、门牌号全买到》追踪:
探知数据自称不买卖不保留用户信息
来源:南方都市报 作者:李玲 蒋琳
11月23日,南都报道《仅用3.8元!身份信息、通话记录、消费账单、人脉关系、门牌号全买到》。
11月23日,南都报道了现金贷平台背后的数据产业链,通过向数据公司购买服务,爬取包括通话记录、消费账单、有具体门牌号的家庭住址等大量用户信息,用以进行风控管理。
虽然自称经过用户授权,但是此举在帮助网贷平台进行风控管理的同时,也将用户的个人隐私置于风险中。其实不仅借款人的个人信息可能泄露,就连身边的朋友,甚至是不认识的陌生人也可能受到波及。
有专家表示,网贷平台必须向用户详细披露如何采集、使用、共享收集到的个人信息,并约束第三方的数据公司不得擅自留存、售卖用户信息。如果涉及到个人敏感信息,还要再次明确告知用户并获得同意。
“我有义务配合你们催债吗?”
“最快2分钟下款,借1万日息最低3元,免担保抵押。”
最近,来自成都的阿杰(化名)经常收到这样的推广信息,“已经接到不下20次电话了,短信则多到难以统计。”
阿杰告诉南都记者,有次一口回绝不需要贷款的电话后,对方破口大骂:“你一辈子就只能当个农民。”诸如此类的信息,让阿杰感到困扰。
不仅如此,他说隔三差五总有催债的电话打来询问,你是某某的朋友吧?叫他还钱,不然移交相关法律部门处理!然而催收人员口中的某某,有些人阿杰根本不认识。
最让阿杰觉得惊讶的是,当他说不知道某某时,对方直接报出他跟这位朋友通话过几次,花了多长时间,“一点隐私都没有,感觉被人扒光了衣服”。
和阿杰一样,不少人也有过类似的经历,因为身边的亲朋好友,甚至是陌生人借款逾期不还,而屡次遭到催收人员的骚扰。“从未借过网贷,没有在任何网贷平台留过资料,为什么他们会有我的联系方式?并且能准确说出我和朋友的具体通话记录?”
在数据公司提供给网贷平台的运营商报告中,这些问题均可找到答案。日前,南都记者通过登录探知数据官网,花了3.8元就买到了自己的详细运营商报告。报告多达33页,内容涉及南都记者的基本身份信息,近半年的通话记录详情、账单消费、出行信息和人脉关系等,并有详细的量化评分情况。
报告将与南都记者进行过通话的1000个手机号码罗列出来,包括完整号码、归属地、通话时长、最早和最后通话时间等。其中常用的30位联系人更是被单独拎出,统计了多个通话时段的联系次数。
值得一提的是,在一个名为“现金贷口子”的QQ群,南都记者联系上的另一家名为汇数据的商务拓展经理,其提供的运营商报告,同样包括常用的前10位联系人的完整号码,通话次数、通话时长和主叫和被叫次数。此外,汇数据所提供的报告还将亲情号码列出,并有联系人区域汇总分析。
基于这样详细的通话记录,现金贷平台自然不难找到借款人周边的人。
阿杰告诉南都记者,自己的电话号码已使用超过10年了。最近,因为频繁收到网贷平台发来的催债消息,其工作和生活已被严重打扰,“我有义务配合你们催款吗?”他愤愤不平地说道,同时也提醒身边的朋友,不要随意借贷,否则不仅影响自己也会连累身边人。
有现金贷平台工作人员称,当用户打开一个网贷APP,自己和通讯录亲友的信息已然透明了。更糟糕的是,此前有媒体报道称,在现金贷平台之间,用户资料相互倒卖已经不是秘密,价格在0.1元至1.5元/条不等。
探知数据账户已无法注册
除了现金贷平台尤为看重的运营商报告外,多家数据公司所能提供的服务还包括电商平台、央行征信、学历学籍报告等。
昨日,南都记者试图再注册探知数据账户,发现相关链接已经打不开。
该公司的相关负责人联系南都记者表示,公司的初衷是想让9亿无信贷记录人群也能公平、公正、高效地享受金融服务。“所合作的客户都是头部企业(行业领头企业),需要资质证明和审核。每个人通过授权只能拿到自己的数据,而并不能拿到其他人的数据。”
据南都记者了解,现金贷平台在放款前,通常会要求用户认证运营商和电商账户等。当用户在自己的手机端输入运营商服务码,或者扫描打开自己的京东或淘宝账号后,网贷平台委托数据公司用爬虫同步登录,然后进行信息爬取。
以运营商报告为例,南都记者在探知数据和汇数据两家公司的查询页面输入手机服务码后,均接收到中国联通发来的一条写有“登录随机码”的闪信(又叫“0级短信”,一种在屏幕上即时显示的特殊文本,关闭后不会储存在设备上,并会成功接收后通知发件人),并称“感谢使用网上营业厅”。
用户为何会收到此消息?该条短信附链接解释,闪信有时会被用于应对紧急状况,但此类信息同时也可能被用于欺诈企图,如获取用户的账户密码或信用卡信息等个人信息,或唆使用户访问含误导信息的网站。
购买完汇数据的运营商报告后,身在广州的南都记者在运营商官方网站登录后发现,系统显示来自安徽合肥和北京的两个IP地址同时登录记者的运营商账号。
同样地,当用户授权网贷平台认证电商账号,也相当于主动把自家钥匙给了陌生人。爬虫好比一个小的自动浏览器,当用户扫描登录自己的淘宝二维码,相关的账号和密码被同步记录,数据公司在自家服务器上便可模拟用户行为,登录相关网站获取数据。
上述探知数据相关负责人告诉南都记者:“我们本身不生产数据,也不买卖数据。所有的数据都是由客户授权,我们收的只是技术服务费用。并且对于用户的授权数据不做任何保留。”
专家说法
无差别爬取不该被允许
擅自留存用户信息违法
网贷平台收集用户信息,并转交给第三方公司用于爬取更多个人信息,这一链条的各个环节是否合法?
“这是网贷平台常用的风控手段,但这一切都必须建立在获取了用户授权的基础之上。”中国人民大学金融科技与互联网安全研究中心主任杨东告诉南都记者。
分享给第三方需追究责任
北京市京师律师事务所律师吴迎成表示,如果合法的现金贷平台在放款前可以了解借款人的相关信息,比如收入情况等,用以判断他的信誉程度。但不能侵犯他人隐私,或者用以谋取利益。在他看来,通过用户授权,网贷平台又转授权给数据公司爬取用户信息,已经超过授权人同意的范围,而且有侵犯借款人隐私的嫌疑。
北京师范大学法学院副教授、中国互联网协会研究中心秘书长吴沈括也对南都记者指出,网贷平台委托第三方的数据公司收集用户信息,需要满足两个条件:一是网贷平台必须明确告知用户,会把用户提交的信息共享给第三方,并交代清楚使用目的,比如用作用户画像;二是网贷平台要跟第三方约定,不泄露、不售卖收集到的用户信息,并要求第三方在业务完成后立刻删除数据,不得过度收集和保存。
事实上,网贷平台的信息披露充分与否也决定了其是否构成违法行为。杨东指出,用户很可能因为急着使用服务没有仔细阅读相关条款,有些网贷平台甚至故意把对用户不利的条款放在不起眼的位置,导致用户不知道自己提交给平台的个人信息会被分享给第三方。“在这种情况下,网贷平台依然侵害了用户利益,还是要追究责任。”杨东说。
违法却很难被发现的灰色地带
即使网贷平台获得了用户授权,也并非一劳永逸。杨东强调,作为信息收集方,网贷平台必须在采集和使用上获得用户的双重同意。涉及到个人敏感信息,还需要再次明确告知用户,“不能说一次性同意就完了”。
“如果网贷平台和第三方公司能够满足上述的所有要求,且用户信息没有被扩散,的确很难说有违法行为。”吴沈括坦言。杨东则建议,数据公司可以对个人信息进行脱敏、加工,比如用“高风险”等标签代替详细的个人信息,一样能满足网贷平台的需求。
吴沈括还向南都记者透露,即使有合同约束,很多第三方公司仍会擅自留存收集到的用户信息并以此牟利,这一行为违反了《中华人民共和国网络安全法》关于不得违反双方约定收集、使用个人信息的规定,但因为很难被发现,所以仍然处于灰色地带。
对于第三方数据公司的爬取行为,吴沈括认为,无差别爬取不该被允许。“即使爬取的是公开数据也不代表就一定合法,数据所有者有权利要求自己的信息不被爬取。”杨东也强调,使用爬虫技术爬取信息有很多规则,尤其涉及到个人敏感信息或者政府信息,不能随意利用。
