有機構明查暗截個人資訊恐被竊 央行嚴整代查征信APP

　　有機構明查詢暗截留 個人資訊恐被竊 央行嚴整代查征信APP

　　李暉

　　針對第三方征信代查市場亂象的整肅正在更新。

　　近日，央行下發《關於進一步加強征信資訊安全管理的通知》（銀發〔2018〕102號文，以下簡稱“102號文”），進一步加強對企業和個人征信系統運行機構和接入機構征信資訊安全管理。其中，在“健全征信資訊查詢管理”部分特別規定：未經授權嚴禁查詢征信報告，規範內部人員和國家機構查詢辦理流程，嚴禁未經授權認可的APP接入征信系統。

　　在市場人士看來，上述規則或將讓當前猖獗的第三方征信代查亂象得到遏製。不過值得注意的是，一些遊離於央行管轄範圍之外的導流公司、技術公司，如何對其違規行為進行徹底肅清，在實際操作中還存在一定困難。

　　貓膩：明查征信暗截隱私？

　　近年來，消費金融的爆發讓用戶線上申請貸款率大幅提升，貸前貸後了解自己的征信情況、防止逾期成為了一種剛性需求。這也讓一些從事貸款、導流的平台找到了新的“生財之道”。

　　《中國經營報》記者隨意在安卓和蘋果相關應用商店中搜索“征信”“信用”等關鍵詞，相關的APP即包括征信錢包、信用管家、中意征信、征信借錢、備胎信用等數十家。在相關應用介紹中，多標注“先查信用”“直觀了解信用狀況”“查社保查公積金”“輕鬆貸款”。此外手機提示顯示，上述APP多數將獲取包括GPS、讀取通訊錄、訪問相冊、攝影頭等十餘項敏感隱私權限。

　　以宣傳最為高調的“信用管家”APP為例，其應用介紹，目前仍聲稱“行業最權威的征信查詢信用報告系統”“對接人民銀行征信中心，隨時查看個人信用報告，防止信用逾期”“對接公積金中心，隨時查看公積金繳存記錄”“征信有汙點，如何貸款”等。根據其PC端官網介紹顯示，該應用在注冊後通過一系列資訊驗證、包括提交個人資訊、回答系統問題後，系統會在24小時內發回驗證碼，驗證碼提交後可獲取報告。

　　不過記者發現，目前該APP中的“查征信”入口已經消失，但“查社保”“查公積金”“查違章”等功能仍然保留。記者致電該平台，客服表示：征信查詢服務目前暫停，但今後會不會重新提供不確定。

　　據記者向征信行業人士了解，目前，個人信用報告正規的查詢管道主要有以下三種：一是現場查詢，即在中國人民銀行征信中心或各地分中心申請後進行查詢。二是官網查詢，即登錄中國人民銀行征信中心網站進行注冊、提交申請，查詢自己的信用報告。此外，中信銀行和招商銀行兩家征信查詢試點銀行，持有兩家銀行借記卡和U盾，也可通過網銀查詢。

　　事實上，此次102號文頒布前，監管已對類似市場亂象有所警覺。早在今年年初，央行網站首頁顯著位置掛出提示：“未授權任何第三方應用程式（APP）提供個人信用報告查詢服務，敬請廣大用戶注意。”

　　那麽這些號稱“直連”央行征信中心的第三方APP又是如何做到的呢？

　　一位上海老牌征信機構高管告訴記者，除正式接入持牌金融機構之外，央行征信系統沒有對外開放過任何查詢信用報告的接口。目前市面上所謂的第三方APP，都是在沒有授權下，採用“模擬網頁登錄方式”，連接央行征信中心的“互聯網個人信用資訊服務平台”（面向普通個人資訊用戶查詢的頁面），來“代查”個人信用報告，簡單講就是“中介”。

　　另一位上海資深征信從業者透露，其實就是通過“爬蟲”技術來抓取頁面資訊，類似高鐵搶票外掛軟體。“理論上央行征信中心網站也可以通過反扒技術阻止，不過道高一尺魔高一丈。”

　　記者注意到，今年3底，央行征信中心個人征信服務平台網站曾通知因系統更新在3月23日到26日間暫停服務。據前述機構高管透露，就是在對這種爬蟲問題進行解決。

　　前述資深人士告訴記者，這類平台明為查征信，目的一方面是為現金貸平台導流、一方面則是為了留存個人資訊數據進行技術開發，如果再不規矩還可能涉及放貸、甚至泄露、倒賣個人數據資訊。

　　據賽門鐵克 2018年《年度互聯網安全威脅報告》顯示，63%的灰色軟體應用程式會泄漏使用設備的電話號碼。

　　以“信用管家”為例，根據企業工商資訊系統，其關聯方中即包括多家各地資訊技術網絡公司和金融資訊服務公司。而在相關服務介紹中，信用卡管理、貸款服務、大數據風控等赫然在列，並已經擁有超過600萬激活用戶，貸款轉化率超過30%。

　　雖然其官網上明確標注“嚴格保障用戶信用資訊。”但前述兩位受訪人士均認為，第三方平台不存在“不截留”個人資訊的可能。“否則其宣稱的大數據能力又從何而來”。

　　困境：隱私泄露根治猶難

　　事實上，代查征信的服務近年來異常火熱，市場參與者眾多。

　　今年5月4日，央行征信工作會議強調，以零容忍態度嚴肅查處征信領域違法違規行為。

　　據102號文，運行機構和接入機構要健全征信資訊查詢管理。從嚴管理批量數據，按照合法、正當、必要的原則，嚴格按流程和保密要求辦理批量數據的抽取、留存、流轉、應用和銷毀，確保各環節數據安全。

　　此外，央行將對企業和個人征信系統的接入機構實行考核、評級管理。

　　依據考核計分情況，將接入機構評為A、B、C、D四個等級。如因征信違規案件導致多起投訴、訴訟，或者引發社會群體性事件；在新聞媒體、網絡引發持續性重大負面輿情；瞞報、遲報、漏報重大風險事件或者違規事件；自評時存在重大隱瞞情形，報送存在虛假記載、誤導性陳述或者重大遺漏的檔案、資料等，均將面臨評級下調。

　　上述資深人士告訴記者：央行在個人資訊安全管理上的力度不斷加大，正規機構基本都不敢再涉足此業務，一些技術型公司膽子比較大。

　　但從嚴格意義上來講，這些公司與“征信”並無關係。

　　目前央行尚未下發一張征信牌照，包括已經提交個人征信業務的“百行征信”以及此前8家試點機構均還未“持牌”。但據全國企業信用資訊公示系統網站顯示，涉及征信業務的機構卻已經超過千家——征信公司、技術公司、貸款公司、數據公司全部參與其中。

　　“正規機構還好，這些技術、數據公司，如果繼續操作，央行是否有權力關停？”一位業內人士提出疑問。

　　但記者採訪的業內人士普遍認為，互聯網上大量個人隱私資訊，通過交叉共享，很難嚴格避免對限制類資訊的采集。

　　中國政法大學互聯網金融法律研究院院長李愛君認為，目前我國個人資訊保護尚無統一立法，現有規定內容分散，個人資訊泄露維權舉證還存在困難。

　　當前，在法律依據上，較為明確的是2017年6月1日，我國網絡領域的基礎性法律《中華人民共和國網絡安全法》（以下簡稱《網安法》）和與之配套的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若乾問題的解釋》（以下簡稱《兩高個人資訊司法解釋》）。

　　按照《兩高個人資訊司法解釋》對倒賣個人資訊數據的入罪門檻：非法獲取、出售或提供行蹤軌跡資訊、通信內容、征信資訊、財產資訊50條以上的即入罪。

　　上述法律規定也為一些遊走邊緣的數據公司提出了警示。

責任編輯：關海豐