文 | 黃天然

“51信用卡”杭州總部被警方調查近日來引發軒然大波，調查原因是公司外包催債業務涉嫌使用“暴力手段”，而在“暴力手段”背後更深層次的原因則在於，平臺利用爬蟲技術違規獲取了大量用戶隱私數據。

相信你也經常會感到困惑，為什麼總有人莫名其妙打自己電話，甚至還能準確說出你的姓名和從事的行業，這些個人隱私洩露的背後，往往隱現著爬蟲黑產的身影。

被濫用的爬蟲技術

所謂爬蟲，就是一種程序，它可以像蜘蛛一樣，爬到網絡的各個角落，自動“搬回”所需要的數據，我們日常使用的搜索引擎，就離不開爬蟲採集的數據。同樣，目標用戶在網上留下的蛛絲馬跡，爬蟲也可以“爬取”回來。

爬蟲又分公開類爬蟲和授權類爬蟲，公開類爬蟲只能爬取各網站公開發布的數據，而授權類爬取可以利用申請者的賬號密碼登錄網站平臺。

爬蟲本身是無罪的，尤其在互金行業，爬蟲曾被廣泛使用，它可以通過信息整合、勾勒人群畫像，起到防範風險的作用。

問題在於，爬取的信息是否突破了法律的邊界。尤其在隱私保護意識薄弱、數據安全存在漏洞的互聯網環境中，爬蟲技術往往與信息來源違法、過度爬取信息，爬取信息濫用等問題交織。

甚至，有些機構藉助爬蟲竊取的個人信息，並服務於高利貸、暴力催收等違法行為。

用戶收到大批量垃圾註冊短信騷擾、催收人員的死亡威脅

就像此次“51信用卡”事件中，借貸平臺將借款人通訊錄、地址定位等信息“交給”催收公司進行“暴力催款”，甚至將借款人其他隱私信息賣給其他平臺謀利，讓用戶備受其他公司“騷擾式營銷”的困擾，這些都已經真實發生。

要貸款還是要隱私

“51信用卡”堪稱業內爬蟲行業的鼻祖。據公開信息，“51信用卡”稱其“依託於公司過億用戶和海量大數據，形成了超過20個維度的近萬個風控變量，提供一站式全流程風險管理服務”。

這樣的海量數據從何而來？要知道，互聯網巨頭公司可以基於自身生態鏈的電商、社交和搜索數據，形成風控產品和數據輸出能力，而網貸平臺並不具備這樣的能力。

根據“51信用卡”核心產品“51人品貸”APP上的《信息授權服務協議》中的內容來看，用戶必須“不可撤銷”地授權平臺收集從銀行卡、郵箱、QQ、電商平臺、招聘網站個人簡歷、微博和微信到其他第三方平臺……總計100餘項涉及個人隱私的數據信息，方可進行貸款申請。

細看條款，一些非常私人的信息，如：QQ聯繫人名單、郵箱郵件、手機通話記錄和時長、電商平臺的收貨人地址、信用卡賬單、支付平臺交易明細都在“51信用卡”可“收集”的範圍之內……除此之外，條款寫明“不能保證第三方能做到與平臺同等的隱私保護，也不會對第三方的行為及後果承擔責任”。

51人品貸APP上的《信息授權服務協議》涉及大量用戶隱私信息的授權

這意味著，用戶在得到“貸款服務”的同時，必須用自己的“隱私信息”作為代價。

早在2013年，“51信用卡”副總經理李俊就透露了獲得數據的方式為“讀取用戶郵箱”。

有業界人士猜測，“51信用卡”或通過不斷爬取郵件信息獲得用戶賬戶信息，構成了“51信用卡”的基礎數據群。9月，被警方調查的大數據公司魔蠍科技創始人周江翔，也是51信用卡的前高管。

已有不少網友爆料，申請貸款後很快收到了“鋪天蓋地”的各類貸款公司電話，他們猜測，自己的個人信息被賣了。

一般而言，如果是公開的數據，嚴格遵守網站Robots協議，運用爬蟲技術就是合理的，而涉及個人隱私數據，採集到公民的姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等個人信息，並將之用於非法途徑的，則構成違法行為。而爬取政府機關、銀行機構的數據同樣違法。

就“51人品貸”的《信息授權服務協議》中羅列的用戶需要被“收集”的信息來看，如QQ郵箱郵件、收貨地址等數據，事實上就有大部分已經涉及到侵犯個人隱私。

“即便數據源得到了用戶授權，但是如從非法渠道接入，也是違規的。”一位股份制銀行信用卡部門從業人員告訴媒體，“如果爬取信息，都要獲得本人合法授權，即明示、細化的授權，不能概括性授權，否則都是超範圍收集個人信息。”

還有比爬蟲更厲害的

據業內人士介紹，目前盛行的網絡數據獲取方式，除了爬蟲技術，還有嵌入某種代碼的軟件開發工具SDK（Software Development Kit），現在多用於各類手機App。

SDK一旦嵌入，如果你註冊登錄了該App，並默認授權，所有的行為數據都能記錄，它會在神不知鬼不覺的時候爬取手機通訊詳單、聊天記錄、銀行賬號的密碼口令、短信、通訊錄、行動範圍、位置信息等信息。

相比爬蟲，SDK讀取的數據更全，不公開數據和公開數據都可用SDK，造成的結果就是數據常常會被濫採或濫用。

據業內人士介紹，比較而言，蘋果手機的iOS封閉系統、植入爬取軟件較難，開放的安卓系統手機安全防護較弱。而中國80%以上的手機用戶都是安卓系統，當用戶隨意下載了APP，尤其是網貸類App，“個人信息怎麼丟的都不知道”。

“大數據產業發展太快了，又受到自上而下的政策鼓勵，在個人信息保護法不完善的現狀下，這些政策反而成了庇護傘。”業內人士認為。

正是由於國內數據收集相關法律尚不健全，但爬蟲技術又很成熟，才讓許多互聯網信貸平臺和數據風控公司在監管真空的環境裡迎來了肆意生長的空間。

提升數據隱私保護意識

不過，這樣的局面正在改變。

51信用卡被查的當天，由最高人民法院、最高人民檢察院、公安部、司法部等多部門聯合制定的《關於辦理非法放貸刑事案件若干問題的意見》開始施行。

《意見》明確了對非法放貸行為定罪處罰依據、定罪量刑標準，並明確規定對黑惡勢力從事非法放貸活動應當從嚴懲處，切實維護國家金融市場秩序與社會和諧穩定，防範因非法放貸誘發涉黑涉惡以及其他違法犯罪活動。

在51信用卡被調查之前，杭州也已經啟動了一輪大數據行業的整肅行動。9月6日，位於杭州的大數據風控平臺魔蠍數據科技被警方控制，高管被帶走，相關服務癱瘓。

此外，新顏科技、公信寶、同盾科技、百融雲創等公司的多名高管也被警方帶走調查，同樣是因為違規爬取用戶信息等問題。

目前，金融行業內正在籌劃《個人金融信息保護試行辦法》，要求金融機構不得從非法從事個人徵信業務活動第三方獲取個人金融信息，也不得以“概括性授權”方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意。

對於我們普通人而言，提升數據隱私保護意識也是刻不容緩。警惕掉入網絡現金貸債務的陷阱，從管住自己的手開始，合理控制收支，對於可疑的互聯網金融消費貸產品，更是要避而遠之。