2019年9月,王勇经营的公司资金链出现问题,一时难以收回欠款,他在手机APP上填写个人信息,通过360借条贷了一笔钱,以解燃眉之急。
360借条是360金融集团旗下消费信贷品牌。360金融于2018年在纳斯达克上市,平台旗下产品包括360借条、360小微贷和360分期。财报显示,截至2019年12月31日,360金融累计注册用户1.35亿。
这次网贷的前期过程让王勇体验很好。他认为利率不高,平台服务也好。其间,虽然360借条的工作人员打电话催过款,但他还款还算及时,双方并无发生不愉快的事。
但让王勇没有想到,在获得快捷、便利服务的同时,有一只无形“黑手”悄悄伸向他。他在360借条登记的信息在网上被人公开售卖。
在采访调查中,人民网创投频道以客户名义“购买”了“360借条”2019年的数百条数据。名为李刚的卖家透露这些数据是从“360借条”内部流出。该卖家自称,他每天可以保证3万条左右的数据出货量(含“360借条”数据),每条最低售价为3分钱。
根据数据所示信息,人民网创投频道随机拨打近百名用户电话,17人确认是360借条用户,33个号码为空号,剩余的人有的挂断电话、有的否认。
此后,人民网创投频道又“购买”了200条2020年“360借条”数据,随机拨打110名用户电话,21人承认是360借条客户,65人未能接通(或提示号码为空号),24人挂断或否认。对此,李刚解释,有些人会在平台上“恶意”申请,但数据可筛选,保证无空号。
在多位网贷公司内部人士看来,出现空号或机主关机,不一定是用户数据不合格,可能是部分人还不起贷款或是不想还贷款,还有的人经不住骚扰而让电话停机、关机。
公开叫卖
隔三岔五,李刚就在朋友圈打出叫卖个人信息的广告:“持续出料中,需要的老板联系……”
他所出售的信息就包含360借条的客户数据。360借条官网显示,360借条主要依托360公司的数据、流量和技术优势,是面向消费贷款领域发力的金融科技平台,其主要作为中介机构,连接优质的借款客户和金融机构的贷款服务。
该官网称,360借条可以对客户进行精准画像,分析客户还款能力和信用能力,从而降低借款人的融资成本和放贷人分析成本。其针对消费者信用额度的评定主要从信用风险、支付习惯和消费习惯等方面综合考虑,所用技术包括云计算、机器学习和大数据等。
“360借条数据纯度高、质量好,很受客户喜爱。”李刚推荐时说,360借条数据包含实时、隔夜、隔周和历史数据四类,实时数据价格2元一条,隔夜数据5毛一条,周数据500元一万条,历史数据300元一万条。
李刚再三保证,这些对外售卖的数据是由360借条内部工作人员流出。他每天可以保证3万条左右(含360借条数据)的出货量,买家主要以中小客户居多,有的“客户”一次购买几千条,也有的一天购买几万条。他自称,他售出去的360借条数据,“客户”从没反馈出过问题。他说,他只管出货,从不过问“客户”买数据是为做什么。
他甚至提醒,数据销售行业鱼龙混杂,夹杂不少骗子,所以一次不要购买太多,验证真伪后,再大批购买。
李刚自称曾从事过贷款行业。他向人民网创投频道推荐了诸多金融平台,包括前程似锦、芥末有钱、起点金融、有缘信贷、如意贷、超快借钱等。“这些数据最重要的用途之一,是用于‘714高炮’网贷公司的定点推广。”
“714”是指7天或14天,“高炮”是指过高的“砍头息”和逾期费用。2019年,央视315节目曝光了现金贷“714高炮”乱象,关键信息包括:变相砍头息、高额逾期利率、“绝命”催收、贷款超市成帮凶等。
2019年3月20日,中国互联网金融协会下发《关于开展高息现金贷等业务自查整改的通知》。该通知要求,各会员机构应针对高息现金贷、收取“砍头息”、暴力催收等违规业务开展全面自查工作,并于3月底前向互金协会提交自查报告,对自查发现的问题应立即整改。
李刚自称大部分“客户”来自“高炮”网贷公司。“一条5元,价格虽然高,但资源好,转化率高。”他透露,目前中国对“高炮”的管控比较严格,诸多平台转移到东南亚,不过仍有大量私下经营的小型网贷公司。
李刚说,有了数据支持,一家30余人的公司,一天能拉新单200单左右,复借500单左右,“这是朋友公司的真实反馈”。
“‘高炮’是民间借贷中,成本最高,但也是收入很高的一种放贷模式,它能在最短时间内累积高额的收益。”国内某大型网贷平台从业人员李德说。
李德介绍,“高炮”平台的高成本主要体现在两个方面,一是流量引入成本,二是催款成本。“高炮”平台在其他网站投放广告,只要有人通过广告进入平台注册页,不管是否成功放贷,都要支付流量费。一般网贷平台单个流量成本在100到200元,如果还款需要催收,成本更高。
内鬼泄露?
“微信查得太严,三个微信号在一周内接连被封。我觉得是广告推广太多了。”入行不足两年的李刚不断埋怨生意难做,自2019年监管部门严打“高炮”网贷以来,生意骤降,一些“高炮”平台被逼转到东南亚。
李刚说,以前生意好的时候,数据供不应求,不少卖家甚至打起给数据“灌水”的歪念头,在真实数据中掺入假数据。“但你可以放心,我卖的数据绝对保真,这些都是从360借条内部人员拿到的数据。”
“我能验证一下数据真假?”
“验证什么?送给你一些数据试用。” 随即,李刚发来一份Excel。该数据表格显示,产品类型标注是360借条,提交时间是2019年6月5日。每条信息都显示有贷款订单审核状态,以及贷款额度、用户姓名、手机号码。
“部分买家能辨别出来数据是否来自公司内部,但有些客户不管这些,数据好用就行。”李刚说。
李德透露,目前,个人信息泄露大致可以分为三个途径。一是个人无意识地把信息泄露出去。二是那些拥有大量数据的企业或者个人,故意泄密信息,进入黑色链。三是不法分子通过技术手段入侵相关企业、部门的网络数据库,从而获取大量个人信息。
“大家常说黑客窃取数据,但这种窃取需要强大技术支持,真正的黑客赚钱路子宽,完全看不上这些数据。”李德说,技术没有达到黑客水准的不法分子运气好的话,也能破解个别系统,但盗取的信息量非常有限。
在他看来,如今信息数据泄露最主要的原因是有内鬼。他所在公司的贷款数据在内部都是公开的,任何人都可以将数据进行提取并出售,而且这样的数据类型很多,除借款人的姓名、联系方式、身份证号码外,还包括手机通讯录的相关内容资料,图片资料等。一些贷款公司甚至要求借款人提供裸照,在不经对方同意的情况下,完全可能将对方的裸照出售,按照容量大小收费,量太大,计算不过来,甚至打成包出售。
李德说,他有个朋友曾从事数据销售,属于终端零售数据商,主要销售特定人群数据,一条数据价格大概1000元,其亲属的数据三百到五百元一条。他朋友作为销售商,只拿到10%提成,所以内鬼是最赚钱的人。
“我听说有一个内鬼靠卖某知名电商数据,不到半年时间在杭州买了两套房,但后来被抓了。”李德说,一般内鬼只提供数据,不出售数据,从销售渠道获得分成,几乎所有大的渠道和零售商都巴结这些内鬼。
犯罪温床
在这个地下交易的灰色江湖里,说“黑话”成为买卖双方约定俗成的规矩。“sfz”代表“身份证”,“sjh”代表“手机号”,“bc”代指“博彩”,而博彩、推销等代表了这类数据的使用方向。
在李德看来,用户隐私数据的主要销售渠道是网贷、博彩、催收、营销以及传销机构。他分析,营销机构主要用来寻找目标客户人群;博彩机构则是为了提供黄、赌、毒等服务,其中大部分是诈骗团伙;催收机构主要是为了积累用户数据库。
李德的朋友遇到过“暴力催收”情况。他朋友曾接到一个陌生电话,对方声称如果不还钱,就给他朋友和朋友家人发送侮辱短信,公开PS的裸照,甚至进行人身攻击,当时他朋友选择了报警,最后不了了之。
“你听说过裸贷?一些女性借钱以裸照为担保物,如果不按时还钱,网贷公司会威胁她们曝光裸照,但有些人根本没打算还钱。“李德说,这些人心里清楚,即使按时还了钱,裸照或者视频也有可能会流出,所以她们当中的一些人惯用手法是关机或停机。”
“高炮”网贷看起来存在暴利,但回款其实有难度。李德说,有些借款人信用度很低,他们没钱了,会在“高炮”网贷平台上贷款,甚至出售自己的身份证。
在李德看来,高息网贷平台是部分低信用人士的“续命”工具,而催收公司、黑社会和传销企业等非法团伙也“钟情”拨打这些人的手机号,扩大自己团队。
“我听说,有人曾通过金融平台找到了仇家的个人信息,之后利用对方身份证号仿造身份证,办了很多卡,甚至在网上利用对方身份叫嚣,以此得罪网民。他的仇家不仅上了信用黑名单,还被人堵在家门口骂。”李德说。
李德透露,诈骗团伙获得数据后,首先会通过用户年龄进行过滤,他们最喜欢的诈骗对象是大学生。他们认为,大学生尚未进入社会,心性单纯,更容易被骗。其次,大学生定期有父母汇来的生活费,现金相对固定。再次,部分大学生毕业后要找工作,不希望在进入社会前出现污点。掌握了这个软肋,诈骗人员会告知对方,如果不按时缴纳滞纳金等,就会留案底,影响就业,大学生容易因此就范。
公安部对外公布的数据显示,截至2019年年末,利用公民隐私数据实施诈骗的犯罪行为,警方立案29起,涉案个人信息4.68亿余条,涉案金额近亿元。
盈科律师事务所高级合伙人张西怀表示,目前,针对涉个人信息的黑色产业链,法律有明确的处罚规定。作为金融平台,应承担对用户及消费者数据的保护和保管责任。如果数据泄露威胁到公共安全,并造成严重损害,平台不仅需要承担民事责任,而且还要承担刑事责任。
监管待强化
过去几年,国内外泄漏个人信息数据事件频发。据媒体报道,2018年,犯罪嫌疑人刘某某利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售,后其被警方抓获;2019年,陌陌旗下的 AI 变脸软件 ZAO 因涉隐私泄露风险而引起轩然大波,最终被工信部约谈。在国外,2016年Uber 5700万司机和乘客数据遭泄露;同年,雅虎自曝30亿用户登录数据被窃取,2017年美国征信机构Equifax用户信息泄密涉及1.43亿美国人……
有些信息详细记录着姓名、手机号码、地址,甚至是开房记录。
北京大学法学院副院长薛军介绍,《民法总则》第一百十一条规定,自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
中国人民大学国家发展与战略研究院互联网安全研究中心主任杨东介绍,2015年生效的刑法修正案(九)对刑法第二百五十三条进行了修订,对非法收集、倒卖、提供个人数据信息等行为设置了刑事处罚,我国打击盗窃、非法获取买卖个人信息的法律也在大力推进。
杨东认为,目前,我国刑事处罚的力度已经很大,尤其对直接非法窃取或者是以非法方式获得公民信息的内部人员,将判处三年以上七年以下有期徒刑,并处罚金,单位以及单位负责人也会受到处罚。
但杨东同时坦言:“刑法偏重于事后打击,虽然打击力度最大,但打击范围较小,刑事处罚案例并不太多。”他说,相较于暴利,犯罪分子违法成本依然较低,他们甚至可以在境外逃避责任。
在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件高发而制定的法案。该条例明确规定,公司内部需要建立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。
中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截止至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。
提到个人数据保护建议,杨东进一步建议,第一要加强事前、事中保护,加强内部管控;第二要提高个人自我保护意识;第三要加强正向激励。
薛军则认为,要想从根本上解决信息泄露问题,还要依靠先进的技术,在可能出现个人隐私和信息泄露环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。
(应采访者要求,文中王勇、李刚、李德为化名)