有机构明查暗截个人信息恐被窃 央行严整代查征信APP

12.05.2018  08:47

  李晖

  针对第三方征信代查市场乱象的整肃正在升级。

  近日,央行下发《关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号文,以下简称“102号文”),进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。其中,在“健全征信信息查询管理”部分特别规定:未经授权严禁查询征信报告,规范内部人员和国家机关查询办理流程,严禁未经授权认可的APP接入征信系统。

  在市场人士看来,上述规则或将让当前猖獗的第三方征信代查乱象得到遏制。不过值得注意的是,一些游离于央行管辖范围之外的导流公司、技术公司,如何对其违规行为进行彻底肃清,在实际操作中还存在一定困难。

   猫腻:明查征信暗截隐私?

  近年来,消费金融的爆发让用户线上申请贷款率大幅提升,贷前贷后了解自己的征信情况、防止逾期成为了一种刚性需求。这也让一些从事贷款、导流的平台找到了新的“生财之道”。

  《中国经营报》记者随意在安卓和苹果相关应用商店中搜索“征信”“信用”等关键词,相关的APP即包括征信钱包、信用管家、中意征信、征信借钱、备胎信用等数十家。在相关应用介绍中,多标注“先查信用”“直观了解信用状况”“查社保查公积金”“轻松贷款”。此外手机提示显示,上述APP多数将获取包括GPS、读取通讯录、访问相册、摄像头等十余项敏感隐私权限。

  以宣传最为高调的“信用管家”APP为例,其应用介绍,目前仍声称“行业最权威的征信查询信用报告系统”“对接人民银行征信中心,随时查看个人信用报告,防止信用逾期”“对接公积金中心,随时查看公积金缴存记录”“征信有污点,如何贷款”等。根据其PC端官网介绍显示,该应用在注册后通过一系列信息验证、包括提交个人信息、回答系统问题后,系统会在24小时内发回验证码,验证码提交后可获取报告。

  不过记者发现,目前该APP中的“查征信”入口已经消失,但“查社保”“查公积金”“查违章”等功能仍然保留。记者致电该平台,客服表示:征信查询服务目前暂停,但今后会不会重新提供不确定。

  据记者向征信行业人士了解,目前,个人信用报告正规的查询渠道主要有以下三种:一是现场查询,即在中国人民银行征信中心或各地分中心申请后进行查询。二是官网查询,即登录中国人民银行征信中心网站进行注册、提交申请,查询自己的信用报告。此外,中信银行(6.640, 0.05, 0.76%)和招商银行(30.080, 0.24, 0.80%)两家征信查询试点银行,持有两家银行借记卡和U盾,也可通过网银查询。

  事实上,此次102号文出台前,监管已对类似市场乱象有所警觉。早在今年年初,央行网站首页显著位置挂出提示:“未授权任何第三方应用程序(APP)提供个人信用报告查询服务,敬请广大用户注意。

  那么这些号称“直连”央行征信中心的第三方APP又是如何做到的呢?

  一位上海老牌征信机构高管告诉记者,除正式接入持牌金融机构之外,央行征信系统没有对外开放过任何查询信用报告的接口。目前市面上所谓的第三方APP,都是在没有授权下,采用“模拟网页登录方式”,连接央行征信中心的“互联网个人信用信息服务平台”(面向普通个人信息用户查询的页面),来“代查”个人信用报告,简单讲就是“中介”。

  另一位上海资深征信从业者透露,其实就是通过“爬虫”技术来抓取页面信息,类似高铁抢票外挂软件。“理论上央行征信中心网站也可以通过反扒技术阻止,不过道高一尺魔高一丈。

  记者注意到,今年3底,央行征信中心个人征信服务平台网站曾通知因系统升级在3月23日到26日间暂停服务。据前述机构高管透露,就是在对这种爬虫问题进行解决。

  前述资深人士告诉记者,这类平台明为查征信,目的一方面是为现金贷平台导流、一方面则是为了留存个人信息数据进行技术开发,如果再不规矩还可能涉及放贷、甚至泄露、倒卖个人数据信息。

  据赛门铁克 2018年《年度互联网安全威胁报告》显示,63%的灰色软件应用程序会泄漏使用设备的电话号码。

  以“信用管家”为例,根据企业工商信息系统,其关联方中即包括多家各地信息技术网络公司和金融信息服务公司。而在相关服务介绍中,信用卡管理、贷款服务、大数据风控等赫然在列,并已经拥有超过600万激活用户,贷款转化率超过30%。

  虽然其官网上明确标注“严格保障用户信用信息。”但前述两位受访人士均认为,第三方平台不存在“不截留”个人信息的可能。“否则其宣称的大数据能力又从何而来”。

   困境:隐私泄露根治犹难

  事实上,代查征信的服务近年来异常火热,市场参与者众多。

  今年5月4日,央行征信工作会议强调,以零容忍态度严肃查处征信领域违法违规行为。

  据102号文,运行机构和接入机构要健全征信信息查询管理。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全。

  此外,央行将对企业和个人征信系统的接入机构实行考核、评级管理。

  依据考核计分情况,将接入机构评为A、B、C、D四个等级。如因征信违规案件导致多起投诉、诉讼,或者引发社会群体性事件;在新闻媒体、网络引发持续性重大负面舆情;瞒报、迟报、漏报重大风险事件或者违规事件;自评时存在重大隐瞒情形,报送存在虚假记载、误导性陈述或者重大遗漏的文件、资料等,均将面临评级下调。

  上述资深人士告诉记者:央行在个人信息安全管理上的力度不断加大,正规机构基本都不敢再涉足此业务,一些技术型公司胆子比较大。

  但从严格意义上来讲,这些公司与“征信”并无关系。

  目前央行尚未下发一张征信牌照,包括已经提交个人征信业务的“百行征信”以及此前8家试点机构均还未“持牌”。但据全国企业信用信息公示系统网站显示,涉及征信业务的机构却已经超过千家——征信公司、技术公司、贷款公司、数据公司全部参与其中。

  “正规机构还好,这些技术、数据公司,如果继续操作,央行是否有权力关停?”一位业内人士提出疑问。

  但记者采访的业内人士普遍认为,互联网上大量个人隐私信息,通过交叉共享,很难严格避免对限制类信息的采集。

  中国政法大学互联网金融法律研究院院长李爱君认为,目前我国个人信息保护尚无统一立法,现有规定内容分散,个人信息泄露维权举证还存在困难。

  当前,在法律依据上,较为明确的是2017年6月1日,我国网络领域的基础性法律《中华人民共和国网络安全法》(以下简称《网安法》)和与之配套的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高个人信息司法解释》)。

  按照《两高个人信息司法解释》对倒卖个人信息数据的入罪门槛:非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即入罪。

  上述法律规定也为一些游走边缘的数据公司提出了警示。