“这次事件之前,正常情况下,即使是已获得用户授权的爬虫,在爬取数据并合规使用后,数据就消失了。”中关村大数据联盟副秘书长陈新河向《中国新闻周刊》举了个例子,“譬如你申请A银行的一项贷款产品,就需要授权A银行去查询获取你的社保、公积金、航班出行等数据,银行可能通过一个中间数据服务商去授权爬虫,爬虫得到的信息提供给A银行,在双方约定的规则上,这些数据的使用就到此为止,不得留存或卖给第三方”。这次事件之后,以北京银保监局2019年10月12日公布的《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》为代表,其明确规定“严禁与以‘大数据’为名窃取、滥用、非法买卖或泄露客户信息的企业开展合作。”中间服务商的合规评估、认证需要时间,为降低风险,A银行将多采用“断代购直”,采用直连数据源的模式,中间数据服务商的模式将大大受到限制。
值得注意的是,正是一些大数据服务商获取了未经授权的数据或授权后擅自留存的数据,才滋生出游走于灰色地带的数据生意。
有互联网金融公司人士向《中国新闻周刊》提供的一份数据服务商报价单显示,常规数据服务一般分为身份验证类、联系人验证类、位置验证类、基础属性标签类等,既有身份证号、手机号、姓名等信息,也含有近三个月联系人活跃度排名、通讯录名单、常用位置信息等隐私数据。所有服务均按次收费,单次有效查询的价格在0.38元~0.98元不等。“在数据行业,每条信息都是明码标价,如果包年还有额外折扣。
业内人士介绍,许多数据公司既提供信息查询服务,宣称“毫秒级响应”,也支持数据输出打包买卖。除了通讯类个人信息数据,在互联网金融公司日常接触的各数据公司报价单中,关于个人社保、公积金、司法信息、网银支付宝账号密码、淘宝京东等电商平台交易记录、社交平台信息等重要隐私数据,也赫然在列。
“许多数据公司对数据来源避而不谈,只强调数据本身的价值。”上述互联网金融公司人士向《中国新闻周刊》表示,“很难说他们是通过什么渠道获取这些数据的,也很难去验证数据来源。”
2017年6月1日开始施行的《网络安全法》中已明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;网络运营者不得收集与其提供的服务无关的个人信息;未经被收集者同意,不得向他人提供个人信息。
同时,《个人信息安全规范》中也明确提出,个人信息控制者在共享、转让个人敏感信息前,应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。
“未经授权的爬取、使用、贩卖数据相当于偷窃。”深圳中兴飞贷金融科技公司副总裁孟庆丰向《中国新闻周刊》直言,“一些数据公司既没有获得授权,又擅自利用爬虫技术去违规采取外部数据,这就是不被允许、不合规的。”
“爬虫技术好比是一把刀,刀本身没有错,关键看用刀的人是谁,用刀的目的是什么,不能因为一个罪犯用菜刀杀了人,便判定所有菜刀都是杀人工具而被全部禁止使用。”陈新河在一个涵盖目前主流金融科技公司的362人“01数据爬虫危机讨论群”抛出这个观点得到大家的一致认可。陈新河对《中国新闻周刊》强调,“这次所谓的“爬虫危机”,罪名就有问题,爬虫与危机没有直接的逻辑关系,真正的问题不在于爬虫技术,而在于数据的合规获取和合规使用。”
在10月12日举行的2019中国普惠金融国际论坛上,Visa大中华区首席风险官杨景香提出:“数据即是问题也是解决方案。不需要存储的数据一定不要存储,敏感数据一定不要存储。”
大数据风控之兴
回溯大数据风控行业的兴起路径,不难发现其与互联网金融的爆发关系密切,两个行业的发展也亦步亦趋。
自2013年起,各种消费金融机构、互联网贷款平台迅速兴起,依靠互联网大数据的风控与获客体系,迅速成为消费金融市场的主力军,同时倒逼传统银行加快互联网转型。在抢夺市场的战争中,金融机构纷纷加快脚步,线上获客与风控的需求暴增。
“中小型银行和各类金融机构、网贷公司都是大数据风控的需求方。”一位资深城商行高管告诉《中国新闻周刊》,大银行一般拥有坚实的数据基础和较强的数据下沉能力,而对于基础和能力都较薄弱的中小银行和网贷公司来说,第三方数据服务则可以作为提升风控能力、提高信贷效率的重要帮手,“有的机构会从第三方购买数据来完善自己的风控模型,有的小机构会直接购买第三方的数据模型或评估结果。”