2019年9月,王勇經營的公司資金鏈出現問題,一時難以收回欠款,他在手機APP上填寫個人信息,通過360借條貸了一筆錢,以解燃眉之急。
360借條是360金融集團旗下消費信貸品牌。360金融於2018年在納斯達克上市,平台旗下產品包括360借條、360小微貸和360分期。財報顯示,截至2019年12月31日,360金融累計注冊用戶1.35億。
這次網貸的前期過程讓王勇體驗很好。他認為利率不高,平台服務也好。其間,雖然360借條的工作人員打電話催過款,但他還款還算及時,雙方並無發生不愉快的事。
但讓王勇沒有想到,在獲得快捷、便利服務的同時,有一隻無形“黑手”悄悄伸向他。他在360借條登記的信息在網上被人公開售賣。
在採訪調查中,人民網創投頻道以客戶名義“購買”了“360借條”2019年的數百條數據。名為李剛的賣家透露這些數據是從“360借條”內部流出。該賣家自稱,他每天可以保証3萬條左右的數據出貨量(含“360借條”數據),每條最低售價為3分錢。
根據數據所示信息,人民網創投頻道隨機撥打近百名用戶電話,17人確認是360借條用戶,33個號碼為空號,剩余的人有的挂斷電話、有的否認。
此后,人民網創投頻道又“購買”了200條2020年“360借條”數據,隨機撥打110名用戶電話,21人承認是360借條客戶,65人未能接通(或提示號碼為空號),24人挂斷或否認。對此,李剛解釋,有些人會在平台上“惡意”申請,但數據可篩選,保証無空號。
在多位網貸公司內部人士看來,出現空號或機主關機,不一定是用戶數據不合格,可能是部分人還不起貸款或是不想還貸款,還有的人經不住騷擾而讓電話停機、關機。
公開叫賣
隔三岔五,李剛就在朋友圈打出叫賣個人信息的廣告:“持續出料中,需要的老板聯系……”
他所出售的信息就包含360借條的客戶數據。360借條官網顯示,360借條主要依托360公司的數據、流量和技術優勢,是面向消費貸款領域發力的金融科技平台,其主要作為中介機構,連接優質的借款客戶和金融機構的貸款服務。
該官網稱,360借條可以對客戶進行精准畫像,分析客戶還款能力和信用能力,從而降低借款人的融資成本和放貸人分析成本。其針對消費者信用額度的評定主要從信用風險、支付習慣和消費習慣等方面綜合考慮,所用技術包括雲計算、機器學習和大數據等。
“360借條數據純度高、質量好,很受客戶喜愛。”李剛推薦時說,360借條數據包含實時、隔夜、隔周和歷史數據四類,實時數據價格2元一條,隔夜數據5毛一條,周數據500元一萬條,歷史數據300元一萬條。
李剛再三保証,這些對外售賣的數據是由360借條內部工作人員流出。他每天可以保証3萬條左右(含360借條數據)的出貨量,買家主要以中小客戶居多,有的“客戶”一次購買幾千條,也有的一天購買幾萬條。他自稱,他售出去的360借條數據,“客戶”從沒反饋出過問題。他說,他隻管出貨,從不過問“客戶”買數據是為做什麼。
他甚至提醒,數據銷售行業魚龍混雜,夾雜不少騙子,所以一次不要購買太多,驗証真偽后,再大批購買。
賣家李剛稱所售部分數據出自360借條內部
李剛自稱曾從事過貸款行業。他向人民網創投頻道推薦了諸多金融平台,包括前程似錦、芥末有錢、起點金融、有緣信貸、如意貸、超快借錢等。“這些數據最重要的用途之一,是用於‘714高炮’網貸公司的定點推廣。”
“714”是指7天或14天,“高炮”是指過高的“砍頭息”和逾期費用。2019年,央視315節目曝光了現金貸“714高炮”亂象,關鍵信息包括:變相砍頭息、高額逾期利率、“絕命”催收、貸款超市成幫凶等。
2019年3月20日,中國互聯網金融協會下發《關於開展高息現金貸等業務自查整改的通知》。該通知要求,各會員機構應針對高息現金貸、收取“砍頭息”、暴力催收等違規業務開展全面自查工作,並於3月底前向互金協會提交自查報告,對自查發現的問題應立即整改。
李剛自稱大部分“客戶”來自“高炮”網貸公司。“一條5元,價格雖然高,但資源好,轉化率高。”他透露,目前中國對“高炮”的管控比較嚴格,諸多平台轉移到東南亞,不過仍有大量私下經營的小型網貸公司。
李剛說,有了數據支持,一家30余人的公司,一天能拉新單200單左右,復借500單左右,“這是朋友公司的真實反饋”。
“‘高炮’是民間借貸中,成本最高,但也是收入很高的一種放貸模式,它能在最短時間內累積高額的收益。”國內某大型網貸平台從業人員李德說。
李德介紹,“高炮”平台的高成本主要體現在兩個方面,一是流量引入成本,二是催款成本。“高炮”平台在其他網站投放廣告,隻要有人通過廣告進入平台注冊頁,不管是否成功放貸,都要支付流量費。一般網貸平台單個流量成本在100到200元,如果還款需要催收,成本更高。
內鬼泄露?
“微信查的太嚴,三個微信號在一周內接連被封。我覺得是廣告推廣太多了。”入行不足兩年的李剛不斷埋怨生意難做,自2019年監管部門嚴打“高炮”網貸以來,生意驟降,一些“高炮”平台被逼轉到東南亞。
李剛說,以前生意好的時候,數據供不應求,不少賣家甚至打起給數據“灌水”的歪念頭,在真實數據中摻入假數據。“但你可以放心,我賣的數據絕對保真,這些都是從360借條內部人員拿到的數據。”
“我能驗証一下數據真假?”
“驗証什麼?送給你一些數據試用。” 隨即,李剛發來一份Excel。該數據表格顯示,產品類型標注是360借條,提交時間是2019年6月5日。每條信息都顯示有貸款訂單審核狀態,以及貸款額度、用戶姓名、手機號碼。
“部分買家能辨別出來數據是否來自公司內部,但有些客戶不管這些,數據好用就行。”李剛說。
賣家李剛售賣的360借條用戶信息
李德透露,目前,個人信息泄露大致可以分為三個途徑。一是個人無意識地把信息泄露出去。二是那些擁有大量數據的企業或者個人,故意泄密信息,進入黑色鏈。三是不法分子通過技術手段入侵相關企業、部門的網絡數據庫,從而獲取大量個人信息。
“大家常說黑客竊取數據,但這種竊取需要強大技術支持,真正的黑客賺錢路子寬,完全看不上這些數據。”李德說,技術沒有達到黑客水准的不法分子運氣好的話,也能破解個別系統,但盜取的信息量非常有限。
在他看來,如今信息數據泄露最主要的原因是有內鬼。他所在公司的貸款數據在內部都是公開的,任何人都可以將數據進行提取並出售,而且這樣的數據類型很多,除借款人的姓名、聯系方式、身份証號碼外,還包括手機通訊錄的相關內容資料,圖片資料等。一些貸款公司甚至要求借款人提供裸照,在不經對方同意的情況下,完全可能將對方的裸照出售,按照容量大小收費,量太大,計算不過來,甚至打成包出售。
李德說,他有個朋友曾從事數據銷售,屬於終端零售數據商,主要銷售“高官”數據,一條數據價格大概1000元,其親屬的數據三百到五百元一條。他朋友作為銷售商,隻拿到10%提成,所以內鬼是最賺錢的人。
“我聽說有一個內鬼靠賣某知名電商數據,不到半年時間在杭州買了兩套房,但后來被抓了。”李德說,一般內鬼隻提供數據,不出售數據,從銷售渠道獲得分成,幾乎所有大的渠道和零售商都巴結這些內鬼。
犯罪溫床
在這個地下交易的灰色江湖裡,說“黑話”成為買賣雙方約定俗成的規矩。“sfz”代表“身份証”,“sjh”代表“手機號”,“bc”代指“博彩”,而博彩、推銷等代表了這類數據的使用方向。
在李德看來,用戶隱私數據的主要銷售渠道是網貸、博彩、催收、營銷以及傳銷機構。他分析,營銷機構主要用來尋找目標客戶人群﹔博彩機構則是為了提供黃、賭、毒等服務,其中大部分是詐騙團伙﹔催收機構主要是為了積累用戶數據庫。
李德的朋友遇到過“暴力催收”情況。他朋友曾接到一個陌生電話,對方聲稱如果不還錢,就給他朋友和朋友家人發送侮辱短信,公開PS的裸照,甚至進行人身攻擊,當時他朋友選擇了報警,最后不了了之。
“你聽說過裸貸?一些女性借錢以裸照為擔保物,如果不按時還錢,網貸公司會威脅她們曝光裸照,但有些人根本沒打算還錢。“李德說,這些人心裡清楚,即使按時還了錢,裸照或者視頻也有可能會流出,所以她們當中的一些人慣用手法是關機或停機。”
“高炮”網貸看起來存在暴利,但回款其實有難度。李德說,有些借款人信用度很低,他們沒錢了,會在“高炮”網貸平台上貸款,甚至出售自己的身份証。
在李德看來,高息網貸平台是部分低信用人士的“續命”工具,而催收公司、黑社會和傳銷企業等非法團伙也“鐘情”撥打這些人的手機號,擴大自己團隊。
“我聽說,有人曾通過金融平台找到了仇家的個人信息,之后利用對方身份証號仿造身份証,辦了很多卡,甚至在網上利用對方身份叫囂,以此得罪網民。他的仇家不僅上了信用黑名單,還被人堵在家門口罵。”李德說。
李德透露,詐騙團伙獲得數據后,首先會通過用戶年齡進行過濾,他們最喜歡的詐騙對象是大學生。他們認為,大學生尚未進入社會,心性單純,更容易被騙。其次,大學生定期有父母匯來的生活費,現金相對固定。再次,部分大學生畢業后要找工作,不希望在進入社會前出現污點。掌握了這個軟肋,詐騙人員會告知對方,如果不按時繳納滯納金等,就會留案底,影響就業,大學生容易因此就范。
公安部對外公布的數據顯示,截至2019年年末,利用公民隱私數據實施詐騙的犯罪行為,警方立案29起,涉案個人信息4.68億余條,涉案金額近億元。
盈科律師事務所高級合伙人張西懷表示,目前,針對涉個人信息的黑色產業鏈,法律有明確的處罰規定。作為金融平台,應承擔對用戶及消費者數據的保護和保管責任。如果數據泄露威脅到公共安全,並造成嚴重損害,平台不僅需要承擔民事責任,而且還要承擔刑事責任。
監管待強化
過去幾年,國內外泄漏個人信息數據事件頻發。據媒體報道,2018年,犯罪嫌疑人劉某某利用黑客手段竊取華住集團旗下酒店數據並在境外網站兜售,后其被警方抓獲﹔2019年,陌陌旗下的 AI 變臉軟件 ZAO 因涉隱私泄露風險而引起軒然大波,最終被工信部約談。在國外,2016年Uber 5700萬司機和乘客數據遭泄露﹔同年,雅虎自曝30億用戶登錄數據被竊取,2017年美國征信機構Equifax用戶信息泄密涉及1.43億美國人……
有些信息詳細記錄著姓名、手機號碼、地址,甚至是開房記錄。
北京大學法學院副院長薛軍介紹,《民法總則》第一百十一條規定,自然人的個人信息受法律保護,任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
中國人民大學國家發展與戰略研究院互聯網安全研究中心主任楊東介紹,2015年生效的刑法修正案(九)對刑法第二百五十三條進行了修訂,對非法收集、倒賣、提供個人數據信息等行為設置了刑事處罰,我國打擊盜竊、非法獲取買賣個人信息的法律也在大力推進。
楊東認為,目前,我國刑事處罰的力度已經很大,尤其對直接非法竊取或者是以非法方式獲得公民信息的內部人員,將判處三年以上七年以下有期徒刑,並處罰金,單位以及單位負責人也會受到處罰。
但楊東同時坦言:“刑法偏重於事后打擊,雖然打擊力度最大,但打擊范圍較小,刑事處罰案例並不太多。”他說,相較於暴利,犯罪分子違法成本依然較低,他們甚至可以在境外逃避責任。
在國外,歐盟實施了嚴厲的數據保護條例GDPR。GDRP是《通用數據保護條例》的簡稱,是歐盟立法機關針對歐洲發生的諸多信息和隱私數據泄露案件高發而制定的法案。該條例明確規定,公司內部需要建立數據保護官DPO(類似於CEO和COO高管職位),負責個人隱私數據保護。
中興通訊數據保護合規部與數據法盟聯合編制的《GDPR執法案例精選白皮書》數據顯示,截止至2019年9月24日,22家歐洲數據監管機構對共87件案件作出了總計3.7億歐元的行政處罰決定。
提到個人數據保護建議,楊東進一步建議,第一要加強事前、事中保護,加強內部管控﹔第二要提高個人自我保護意識﹔第三要加強正向激勵。
薛軍則認為,要想從根本上解決信息泄露問題,還要依靠先進的技術,在可能出現個人隱私和信息泄露環節,要用技術將信息匿名化,這些匿名信息隻有系統能識別,而行為人不能識別、獲取。
(應採訪者要求,文中王勇、李剛、李德為化名)
