2019年7月,美国最大的信用卡公司之一Capital One发生了一起严重的数据泄露事件,一名黑客利用其技术漏洞,“偷”走了包括美国1亿人和加拿大600万人的信息在内的数据。
这些客户可能被泄露的信息除了信用卡申请数据如姓名、地址、电话号码、电子邮件地址、出生日期和自我报告收入等外,部分信用卡客户的客户状态数据,例如信用评分、信用额度、余额、付款历史、联系信息以及部分时间段内的交易数据碎片。更严重的是,信用卡客户的约140,000个社保号码、担保信用卡客户的约80,000个关联银行帐号也被泄露。
如果说此前Facebook的数据泄露事件引发了大众对互联网公司数据安全的关注和质疑,那么此次美国最大信用卡发卡机构的数据泄露,无疑更加敏感,因为出于风控需求,金融机构对用户数据的征集范围更广,精细度和准确度更高,涉及到的个人隐私信息会更多,此类数据遭到泄露带来的恐慌必然也更大。
诚然,遭遇黑客入侵,只是金融机构数据安全管理可能面临的风险之一,计算机和系统方面的系统漏洞、病毒、木马,人员和流程管理上的安全意识不足、工作失误、技术措施不够等,都可能导致数据泄露的发生。
尽管欧美发达国家对个人隐私的保护和管理制度发展较早,在金融领域,其政府和各类市场主体也同样需要解决数字经济时代出现的新问题。在国内线上零售金融突飞猛进的近十年发展历程中,大数据是一个被反复提及的概念,大部分零售金融的产品供给侧机构会夸耀其利用大数据可以做什么,做到了什么,对用户数据来源、用户数据是否得到了妥善的保管则一向讳莫如深。
近期部分地区的警方对金融行业第三方数据服务商采取的行动,显示了监管从源头上清理整顿大数据行业的决心,也带给市场一个疑问,金融大数据行业是否会伴随着网贷、P2P行业的兴盛而兴盛,并且一起走向衰落?
数据安全遍布疑云
Capital One在修复了导致数据泄露的漏洞后,向FBI提供了嫌疑黑客的信息。8月初,黑客被捕,由于她此前曾经任职亚马逊云服务(AWS)的系统工程师,此案也引发了有关亚马逊云服务账户安全性的质疑。
目前此案并未披露更多细节和进一步的进展。
数据安全问题是伴随着互联网经济一起生长的“原罪”,高度数据化的零售金融行业尤甚。Capital One仅仅用了30年的时间,就从一家地区银行的信用卡部门成长为美国最大的信用卡公司之一,最为人称道的就是其强大的数据能力,此次用户信息泄露事件的曝光,无疑为全球正在进行中的科技与金融融合浪潮敲响了一记警钟。
国内,监管正在从源头上清理整顿“数据”供应商。首当其冲的是爬虫业务。据多家媒体报道,9月份开始,杭州地区多家大数据服务公司被曝关停爬虫业务,负责人被带走调查,目前,摩羯科技的网站已无法打开。业内知名的第三方数据服务公司聚信立向用户发布消息称,于2019年9月6日停止对外提供用户授权的运营商爬虫服务。
国内较早开展金融大数据服务公司同盾科技,也对外确认,旗下信川科技运营的数聚魔盒停止服务。
金融大数据服务公司的主要客户为各类网贷平台。部分小型城商行、农商行、农信社等持牌金融机构,在开展个人、小微的信贷、信用卡业务时,由于内部数据不足,也会向其采购外部数据服务。
目前尚未有官方统计金融大数据服务公司的具体数量和行业规模,但在2018年底毕马威发布的《毕马威中国领先金融科技50企业报告》中,大数据与金融智能类企业有22家入围,信贷、消费与场景金融类则仅有8家。在毕马威的榜单中,大数据征信类金融科技公司有百融金服、冰鉴科技、数库科技、白骑士、天创信用、同盾科技、微众税银等。
在这些创立较早、资历雄厚的金融大数据服务公司以外,还有许多小而分散的公司在不断的挤入市场,由于缺乏有效监管手段,在各种快速迭代的技术支撑下,行业内的竞争逐渐演变成了“底线竞争”和“价格竞争”。
一位网贷行业业内人士对记者透露,某大数据公司的商务人员向其展示的业务推介PPT中,对用户隐私信息挖掘的程度之深,数据加工之精细,简直“刷新三观”。除了必要的金融服务所需要的个人身份、住址、电话号码等信息以外,大数据公司对用户的私密浏览偏好、购买习惯、在线时长等等都能进行数据获取并加以分析。
有部分开展业务较早的大数据公司的产品“杀手锏”是其对接的网贷平台足够多,能形成有效的用户“共债”数据,即同一用户身份在多家网贷平台的授信记录、借款记录、还款记录等信用数据,从这个角度来看,其数据的全面性可以有效的弥补央行的个人征信数据库中不足的信息,因此也受到很多银行的欢迎和合作。
此外,大数据公司还输出“黑户”、“反欺诈”、“羊毛库”等的风控引擎产品,可供平台机构选择搭配购买。
毕马威的上述报告中指出,部分大数据技术公司开始向整合平台方向发展,主要突出对于异构数据源的整合和建模能力,帮助金融机构打造基于多维数据的智能模型;另外一类大数据技术公司,开始向智能工具领域发展,将传统的大数据服务工程化、产品化和工具化,从而大幅提升大数据项目的实施效率,把传统意义上需要数个月才能落地的大数据应用,缩短到以周或以天计算。
购买这些数据服务的价格也并不昂贵,据一位业内人士透露,在其接触过的案例中,某家城商行购买的第三方数据公司的包年服务,报价仅几十万元。
一位头部消费金融平台内部人士对记者表示,该平台购买了包括同盾在内的三家第三方数据公司服务,同盾的业务调整目前尚未影响到业务合作。
为了保证合规,持牌金融机构或大型网贷平台,会要求在第三方合作过程中涉及到个人信息的交互时,需要对合作方提供的个人信息来源是否已经获得授权进行合规性审查。
但上述消金平台人士表示,在实际业务开展中,虽然在形式上会要求供应商说明数据来源,实际上并非所有数据的来源都能得到有效验证。
“大数据公司为了推销产品,都会尽力保证它所有的数据来源是有授权的。这其中的问题,与前段时间的换脸APP的隐私授权条款是一样的,很少有用户会关心隐私授权条款的具体条款,能完全理解和读懂的用户比例就更低了。”上述业内人士表示。
“正规军”尚无法完全掌握数据来源的合规性,行业内数量庞大的小型现金贷、消费金融平台,数据收集和使用更是处于无序的状态,更甚者是处于法律灰色地带的以数据清洗、转卖为专业的团体,其数量也不少。
围绕互联网金融兴起的金融大数据产业链,随着网贷行业的兴盛而蓬勃生长,“由乱到治”,是任何行业的发展必经阶段,而监管的难点在于,由于网络技术的更新迭代速度太快,监管层从了解情况到拿出实际管理办法又需要足够的时间,造成了业务超速与监管滞后的时间差。
今年5月底,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,对网络运营者在用户信息收集,用户数据处理使用,用户数据安全监督管理方面提出了细化的准则要求。全国信息安全标准化技术委员会发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,对16类APP基本业务功能正常运行所需的个人信息提出了规范。
此外,《个人信息保护法》也已进入五年立法计划。随着相关法规的进一步完善,监管的持续跟进,金融大数据行业有望迎来更明朗的未来。