个人金融信息保护力度“空前”大数据反诈公司恐“断粮”？

我在这等你

监管终于下狠手了。

据《经济参考报》报道称《个人金融信息（数据）保护试行办法》初稿，已经由央行向部分银行进行了下发，待征求意见结束后将正式对外发布。按照规定，“（金融机构）不得从非法从事个人征信业务活动的第三方获取个人金融信息。同时，金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”据了解，待《办法》正式出台后，银行将根据相关要求，对提供业务数据的第三方机构进行摸排，对于不能保证数据来源合法的数据供应商，要停止合作。

事实上，当前持有个人征信业务牌照的机构仅百行征信一家，也就是说，各类以大数据风控为名，行个人征信之实的第三方大数据公司，理论上来说其经营行为为无牌的“非法”状态。

有媒体评论认为，监管此举，是对大数据行业的一次全面清缴整顿，尤其是一些存在灰色地带的三方大数据公司，将遭遇“灭顶之灾”。随着监管政策趋严，第三方数据公司与金融机构的“闷声发大财”的日子将一去不复返了。

01 监管进场清查

如今，整肃个人金融信息泄露、篡改和滥用等数据源头，到底层第三方支付、金融科技产品认证规则的发布等层面，我国的金融科技监管体系正在逐步完善。

除了监管加强了对个人金融信息的保护，10月16日，市场监管总局、人民银行两部委发文，决定将支付技术产品认证扩展为金融科技产品认证，并确定了《金融科技产品认证目录（第一批）》（以下称：认证备案），纳入11类金融科技产品，包括客户端软件、安全芯片、安全载体、嵌入式应用软件、云计算平台等。对上述11类产品，两部委指出，金融科技产品认证的基本认证模式为：型式试验+获证后监督。

谈及“认证备案”给公司业务带来哪些方面的影响时，大数据反欺诈行业代表公司黑瞳科技则“三缄其口”，拒绝对“认证备案、大数据隐私、个人信息保护”等相关问题做出回应。

在互联网金融领域，支付、网贷、征信等业务，以及近期发酵的大数据风控、反欺诈、催收等平台被查，引发大量关注。

今年8月份，巧达科技被查封，核心高管被警方带走。巧达科技号称是中国最大的简历大数据公司，旗下有超过170万招聘者用户， 2.2亿自然人的简历，简历总数37亿份，另外还有10亿份通讯录。有分析称，巧达科技出事可能与其未经授权获取和使用简历、贩卖简历信息等涉嫌侵犯用户隐私权、侵犯公民个人信息的行为有关。

无独有偶的是，9月27日，同盾科技爬虫类产品“数聚魔盒”相关高管童保华、徐斐相继被警方调查。一时间大数据行业风声鹤唳，部分同类机构也开始收紧或者喊停数据服务。

02 大数据公司何去何从

大数据相关企业接连被调查的背后，其实行业中存在大量的所谓风控、反欺诈的公司，在数据的采集，以及销售过程中，绝大多数都没有经过官方授权，例如司法数据、工商数据等，使用网络爬虫技术获取第三方平台数据的时候，未经这些平台许可的情况下，已经构成了对个人信息的严重威胁，甚至有可能违反国家网络安全法。

在同盾科技数据获取来源上，同盾科技方面曾表示，在与合作方签订的合同中，同盾要求合作方在同盾云平台上做风险分析的时候，必须取得终端用户授权。同盾的数据源主要是合作方上传的行为待分析数据、及在公开网络上爬取的信息。

再比如，黑瞳科技联合创始人时维对公司核心数据源曾公开表示，“目前主要分为三大类别。第一类是政府数据。黑瞳科技通过与公安系统合作，接受公安机关指导和支持，实现了采集、加工、服务的全流程合规管理，是国内合规、专业反欺诈服务企业。第二类是与反欺诈相关性很高的运营商数据。未来随着5G网络的出现，移动互联网对每个人生活体验、行为模式的改变将更加巨大，同时运营商的数据量将出现井喷式增长。第三类是互联网产生的数据，比如网络社交关系、新闻浏览兴趣等。”

事实上，黑瞳科技、同盾科技的数据来源问题，其实只是行业大数据公司业务模式的缩一个影。

对于绝大数公司大数据主要由三部分构成，一部分是基于自身业务发展沉淀的个人用户信息数据脱敏，另外一部分则是通过外部体系的直接采买，以及通过与三方机构合作获取的数据。而在这个过程中，作为大数据风控行业的通病，缺乏对于个人信息的采集、使用等方面法定的‘红线’保护，很多的个人信息使用面临着游走在法律监管的空白地带。

北京炜衡（广州）律师事务所刑事律师邓世运表示，一般而言，大数据公司的主营业务主要包括数据挖掘与分析服务，提供大数据分析与挖掘相关产品的研发、销售与咨询服务。数据，是大数据公司的核心资源，大数据公司的刑事合规，核心是数据来源的合规和数据交易的合规。

大数据行业蓬勃发展，但乱象纵生，最为突出的就是非法收集数据和非法使用数据，再加上相关的政策法规尚待完善，边界不清，良莠不齐等行业问题，而这些正是滋生黑灰产的重要原因之一。

比如，拿近期市场关注度较高的“贷后暴力催收”问题为例，这种催收行为主要依靠离不开爬虫技术的“配合”。其背后原理就是，“有些第三方大数据平台在未经授权的背景下，通过爬虫技术能时时掌握借款人行踪与地址定位，然后将此信息转交给催收公司，由后者上门完成催收。

随着“暴力催收”、“个人信息泄露”等行业闹剧不断上演，大数据行业确实到了需要监管入场的时候了，《个人金融信息（数据）保护试行办法》的提出或许只是一个信号。随着监管对大数据行业的整顿，进一步深入下去。

在分析人士看来，随着监管开始正本清源，野蛮生长的大数据收集时代将进入冷静期，势必给黑瞳科技、同盾科技等为代表的第三方风控公司、征信公司以及金融大数据公司等，带来商业变革。第三方数据公司与金融机构的合作模式也将发生改变，双方联起手来“闷声发大财”的日子将一去不复返了。