涉嫌非法提供身份证返照查询9800多万次,获利3800万元……11月20日,拉卡拉参股的考拉征信涉嫌侵犯公民个人信息犯罪,在业界引发震动。警方已将考拉征信及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。黑格公司则是从考拉征信获取端口,再向下游出售。

  不同于市场上许多不知名的小公司,考拉征信称得上“根正苗红”。官网资料显示,公司是首批获央行备案开展企业征信和批准开展个人征信业务准备的八家机构之一,也是百行征信有限公司的发起方之一。

  但也恰是这样的正规背景,让公众更加担忧个人信息安全。新京报记者11月20日调查发现,倒卖信息的情况仍然存在。有信息贩子在群内频繁发布贩卖广告,记者以30元的价格便购买了10套文件,其中每套包括个人手持身份证照片,身份证正面、反面各一张。记者注意到,多张身份证都是附在网贷申请表上拍摄。

  “如果你做网贷的话,这些都是一手的料。”这名贩卖人员告诉记者。而熟悉征信的知懂创始人马旺旺告诉新京报记者,被泄露的身份证正反面大部分来源于金融贷款机构。

  30元购买10套身份证照片

  包含手持照及正反面

  11月20日下午,微信收到转账30元后,梁庄(化名)通过QQ给记者发来10套共计30份图片文件。梁庄为某黑产交流群中的信息贩子。10月24日至26日,梁庄每天都会在这个群中发布有关信息贩卖的广告,其业务颇为广泛,包括出售“正反手持SFZ”。

  一位接近黑产的人士向新京报记者透露:“SFZ就是身份证。”如同大部分黑产从业者一样,为了规避平台监管,梁庄也用拼音大写首字母来代替敏感词。

  “我这是三件套,手持身份证的照片,身份证正面、反面各一张。”梁庄告诉新京报记者,“如果你做网贷的话,这些都是一手的料。”记者获悉,料是行话,指这些个人信息。

  梁庄发送给记者的这些照片文件显示,被售卖的十位信息对象全部为女性。从户籍地来看,大部分系山西人,主要围绕在太原。此外,极个别来自江西。

  记者发现,多张身份证均附在申请表上拍摄,除了包含相关亲属姓名及联系方式等信息,还有担保人姓名、手机号以及借款用途等字眼。其中一张照片的背景中显示“达飞云贷”字样。

  天眼查显示,达飞云贷运营主体为达飞云贷科技(北京)有限公司,成立于2012年10月30日,并于2016年由达飞普惠财富投资管理(北京)有限公司更名为现用名。其实际控制人为高云红,高云红旗下还拥有港股上市公司达飞控股。此外,达飞云贷长期负面缠身。截至11月20日,在聚投诉关于达飞云贷的投诉帖已有1740条,多位用户称其涉嫌高利贷、暴力催收。

  当事人称网贷未获批

  申贷证件照却流出

  “她确实申请过达飞云贷。”记者通过所购买信息中显示的家属联系方式找到刘某,而刘某系身份证持有人的爱人。

  刘某向新京报记者称,确实在去年申请过这一贷款,不过他并不知道爱人的个人信息正在被公开贩卖。收到记者发送的照片后,刘某确认:“这就是申请网贷的时候拍的。”据刘某称,这个网贷最终未审批下来,拍摄该照片的业务员是他的一位朋友。

  值得关注的是,这三十张照片只是梁庄存量的冰山一角。“现在手里还有一百多套,不过你要是想要,一万套我都有。”梁庄向新京报记者透露,“这些都是近期从上家购买的。”而买卖这种身份证件照片并非他的主要业务。“只是恰好一个客户有这种,我就卖着玩。”

  据他描述,他之前主要利用这些照片去注册某婚恋网站,吸引中老年婚恋粉丝后去引流。

  在信息贩卖的地下黑市,类似于梁庄这样的卖家并不少见。“出手持身份证加正反,资料齐全”“高清手持,想要联系我”“银行卡、正反身份证”……记者卧底多个黑产交流QQ群发现,几乎每天都会有这样的广告出现在群中。不过,真正的交易往往是在微信端。“QQ只是发布广告,不常看。”梁庄告诉新京报记者。

  “通常,被泄露的身份证正反面照片大部分来源于金融贷款机构,注册POS机、注册APP账号时的信息也会被泄露。”熟悉征信的知懂创始人马旺旺告诉新京报记者,“有的APP注册要上传照片。认证完以后,照片自然而然就会被这些公司保存。”

  马旺旺称,一般来讲,金融贷款公司和支付公司存有此类照片较多。多数是用户注册认证完以后,照片资料就会在这些公司数据库内,一旦监管不到位或者有内鬼便会有隐私泄露的可能性。

  信息“裸奔”

  收集和使用合规边界在哪?

  “当下倒卖信息的情况仍然泛滥,你前脚买车,跟着车险的推销电话可能就来了。有的APP要求用户必须提供个人信息,它有没有后门?会不会倒卖信息?信息提供给谁?用户都不知道。”金融科技专栏作家、资深观察人士毕研广对新京报记者说。

  早在7月,广东省公安厅官网公布,在2019年第二季度超范围收集用户信息APP清理整治工作中,共监测发现1048款APP存在超范围收集用户信息行为。其中,“酷狗音乐”“艺龙旅行”“语文100分”等42款APP,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风等突出安全问题。

  10月,51信用卡催收公司被警方调查后,有报道称,央行、银保监会已组成调查组,摸底大数据的使用边界和采集边界,将会涉及外包催收公司管理办法。

  数据收集和使用的边界在哪儿?毕研广举例称,到银行办一些业务时,银行需要我们留下身份证复印件,但同时会在上面盖章,注明该复印件仅能用于办理银行指定业务,这样的信息收集属合规。另外我们常看到一些金融机构和大数据机构合作的新闻,数据公司采集的信息供金融机构使用,如果仅是从业务角度,比如供金融机构对贷款用户进行审核、验证等,而非进行买卖,也属合规。

  但市场上鱼龙混杂,个人隐私保护法至今没有出台,信息买卖依然处于无监管地带。在全国人大常委会法制工作委员会今年8月的记者会上,发言人透露,个人信息保护法已经列入本届全国人大常委会的立法规划,目前法工委正在会同有关部门研究论证,加紧推进起草工作,将按照立法工作计划,适时提请常委会审议,让个人隐私有望尽快地摆脱“裸奔”的尴尬。