起底信息黑产
2017-01-23聂欧
聂欧
信息黑产严重阻碍了我国征信行业乃至整个社会信用体系的健康、可持续发展,对信息隐私、资金安全和民生稳定等带来了诸多风险。
过去一年来,我国互联网欺诈案件大幅增多,涉案金额屡创新高。近日更有公开数据显示,仅去年下半年的互联网欺诈案件数量就相比上半年激增17%,其中互联网金融诈骗案件的增速明显高于其他领域。
其背后的产业和技术支撑,很大程度上来自于日渐猖獗的黑色信息产业链。由于我国以大数据技术来识别和跟踪“坏人”的机制、体制不健全,个人信息保护相关的法律、法规体系空白,滋养出一批涉嫌非法盗取、使用和贩卖居民个人信息的“害群之马”,严重阻碍了我国征信行业乃至整个社会信用体系的健康、可持续发展,对信息隐私、资金安全和民生稳定等带来了诸多风险。
目前,我国共有约3000家从事征信业务或类征信业务的机构,主要以买卖居民个人信息尤其金融数据为主,缺乏正规征信产品设计。一部分数据公司直接从黑市购买个人数据,极端者则雇佣黑客在同业机构内部盗取数据。
其问题根源,是随着互联网技术高速发展,我国征信行业从以人民银行征信系统为核心的传统模式,快速转变为以互联网金融征信为生力军的全新格局,居民个人信息泄露及滥用、金融信息盗窃引发互联网欺诈风险、部委信息孤岛式割裂、信息产业链黑市牟取暴利等诸多“劣币驱逐良币”的现象,正逐步集聚风险。
专家建议,应尽快建立健全征信行业法律体系,有针对性地提升相关部门监管手段和技术水平,实施“穿透式监管”,对持牌征信机构进一步规范和支持,建立行业和机构内部的自律机制,充分利用市场化手段,防止我国征信行业泡沫进一步发酵,全维度遏制风险,并切实保护人民群众个人隐私安全。
信息黑产迅猛发展
《财经国家周刊》记者在北京、上海、杭州等地调研后发现,我国信息产业尤其互联网征信领域,目前主要存在以下四方面问题:
首先,黑客、黑产、黑市盗取和买卖数据猖獗。
这些从事征信业务或类征信业务的机构,主要以买卖居民个人信息尤其金融数据为主,缺乏正规征信产品设计。一部分数据公司直接从黑市购买个人数据,极端者则雇佣黑客在同业机构内部盗取数据。例如,居民身份证、学历学位、联系住址、婚姻状况等基础信息在黑市上每人每条价位在1-7元不等,产业链上距离一手数据源越近,售卖价格也越低。
《财经国家周刊》记者调研发现,少数机构每年通过数据黑产倒卖信息,资金流水达数亿元,调研中一家2015年成立的数据公司仅拥有高管团队3人和业务员2人,目前已获得境外C轮融资,估值高达30亿美元。
第二,居民个人信息存在泄露和滥用风险。
目前,由于缺乏统一数据标准,信用数据采集和使用尚无明确法律规定,信息采集可能超出限制范围。《征信业管理条例》规定“禁止征信机构采集个人的宗教信仰、基因、血型和病史等个人信息;在未明确告知不良后果并取得书面同意前,不得采集个人的收入、存款、有价证券、不动产等信息”。但互联网平台上存在大量隐私信息,且与大数据机构存在数据共享,很难避免对禁止或限制类信息的采集。另外,个人信息的商业价值不断凸显,不少机构通过网络平台从房产、金融、保险等渠道获取信息,亦有机构本身从事客户信息出售、转售的行为,未经授权的数据买卖加重了信息泄露和滥用风险。
第三,“劣币驱逐良币”现象严重。
我国各类数据和征信机构,在监管层备案的仅三类:一是政府背景下的信用信息服务机构共20多家,包括人民银行征信中心、上海资信等;二是社会征信机构约100家,包含企业征信和人民银行拟发牌照的8家个人征信机构;第三类是评级公司70多家。其中,正规持牌和拟持牌机构仅约200家,即整个行业的非持牌或非法机构占比高达90%以上。
从美国经验看,其征信体系也经历了野蛮生长与整合阶段:1960年代末美国征信公司曾一度多达2200家,如今已减少到约400家,其中艾可飞、益百利和全联三大巨头占据了90%的市场份额。
第四,缺乏全面、专业的法律体系。
一方面,发达国家征信法律体系通常由多部法律法规组成,例如美国就多达17部。目前,我国唯一的专业征信法规是由国务院颁发实施的《征信业管理条例》,一定程度上规范了行业发展但法律约束力低于全国人大批准通过的法律,难以全面有效地对征信机构和征信业务实施管理。
另一方面,我国尚未出台专门的信息保护法,但征信与互联网、金融、电子商务等日渐融合,对信息、数据的采集范围更为广泛,行业发展缺少高层次法律支撑。在信息主体权益保护方面,除《宪法》和《民法通则》提供了宽泛的基本原则外,征信机构在采集、使用、提供和披露信息时缺乏直接的法律依据,面临较大行为风险。
缘何有机可乘
《财经国家周刊》记者在调研中发现,前述诸多现象的存在,还与主体和正规渠道覆盖面不足及监管的落后有着极大的关系。
首要一点,便是人民银行征信系统获取非银行数据不足。
截至 2016年9月,人民银行征信系统收录的自然人数量超过9 亿,但拥有信贷记录的仅4.1亿人,不足全国总人口1/3;企业数量1828万家,仅420万户有信贷记录且主要是大型国有企业。大量用户金融需求被排除在外。
该系统数据中除信贷数据外,还包括社保、公积金、民事裁决与执行、公共事业和行政奖励、处罚等非银行数据信息,但存在信息来源积极性不高、数据更新不及时、共享不顺畅等问题,使得人民银行无法及时、准确获取被征信主体的非银行信息。
其次,政务征信“信息孤岛”,也给了非法机构可乘之机。
从人民银行征信系统看,其征信报告中水、电、燃气、电话费等信用信息并未完全纳入,众多信息割裂在法院、教育、电信运营商、信贷机构等手中,使得这一核心征信系统的效率受到影响。
从国家部委层面看,由于缺乏统一的数据归集、协调机制,大量信用信息分散和封闭于各职能部门,条块分割、孤立现象明显。并且,我国缺乏统一的信息技术标准,各部门、行业和地方政府均按照各自标准建设征信系统且缺乏公开共享,阻碍信息的跨行业、跨区域共享。
从行业和市场层面看,商业征信机构尚未实现与相关部门和行业间的信息共享。各种数据的格式、质量参差不齐,加大了机构建立完整数据库的难度。目前除人民银行外,其他机构都碍于各种屏障,难以积累足够的数据。
更进一步的是,技术进步对监管提出了全新的要求。
互联网征信着力于对虚拟化信息数据的采集、整合,传统现场监管检查手段不再适用此类场景,而非现场监管手段又缺乏实效性和连续性,难以达到预期效果。因此,升级优化监管措施,以应对发展变革中的征信方式,并切实保护被征信主体隐私信息,是监管层面临的两大挑战。
健全法律和监管体系
有关专家表示,打击信息黑产,首要措施就是建立和完善法律体系,跟上行业发展步伐。
一是在法律层面,出台“社会信用促进法”和“个人信息保护法”,从国家立法角度对社会信用进行规范。
二是在行政法规层面,研究制定“信息安全条例”和“政务信用信息管理条例”,加强信息安全管理,规范信用信息公开和应用。
三是在部门规章层面,制定关于征信服务行为规范、征信标准等规章,抓紧出台相关政策,完善其范围和权利义务。
四是地方性法规,各地方可借鉴发展较快的大城市经验来因地制宜,据实际需要制定地方性法规。
五是根据互联网金融背景下征信市场的发展和变化,加强对新型征信业务模式的规范管理。
除法律体系建设外,多位受访人士还从监管体制等方面给出了建议。
以人民银行征信系统为核心,进一步充实、完善金融征信系统的信用信息。建立包括证券、保险以及外汇等信息的金融业统一征信平台,提高金融信用信息加工处理技术,为金融监管部门和金融市场交易者提供有价值的参考依据。
建设政务征信领域的信用信息共享交换平台。推进职能部门间统一的信用信息目录建设、标准建设以及归集与共享的考核办法。
监管职责上,要加强部门联动协调。人民银行及其派出机构严格依法履行对征信业的监管职责。加强与行业、地方主管部门的协调配合,完善征信监管机制,不允许有从事征信业务的机构游离于监管之外,打击借“征信”名义非法采集信用信息的行为。
目前,我国征信业处于由传统征信向互联网征信的过渡期。监管部门须创新出适用于互联网场景化的监管手段,同时加强部门间的协调,建立有效的联合监管模式,对各类征信机构尤其是涉足互联网征信的民营征信机构进行有效管理。严厉查处涉嫌提供虚假信息、侵犯个人隐私和商业秘密等行为的征信机构,切实维护各类信息主体的合法权益,为征信市场的规范、健康发展营造良好的外部环境。
机构自律上,要肃清外部环境,补足内部自律机制。
外部环境上,严把机构及其从业人员的市场准入关,禁止存在严重违约记录的企业法人和股东申请成立新的征信企业;依法加强信息安全监管,严格落实国家信息安全等级保护要求,大力发展电子签名、身份认证、访问控制等安全服务,保障重要信息系统和信用信息安全;严厉查处涉嫌提供虚假信息、侵犯个人隐私和商业秘密等行为的征信机构,切实维护各类信息主体的合法权益。
内部自控上,适时建立征信机构自律机制。借鉴英美等国,加强行业自律对互联网金融良性竞争、规范运营和保护消费者权益的促进作用,组建征信业行业协会并设立分会,规范征信机构经营行为,规避执业人员的技术风险、道德风险,确保征信机构之间的有序竞争,促进征信业规范有序发展。
标准统一上,要建立全国统一的信用信息采集和分类管理标准。
将相对成熟领域的征信标准上升为国家标准;建立空白领域的统一标准,并要求相关部门和行业以国家标准为准则开展工作,为依法实现跨部门、跨行业的信息交流与共享提供技术保障。同时,关注互联网征信技术发展趋势,对标准进行动态维护和扩展,加强信息采集的真实性、适用性以及与行业的协调性和有效性。