51信用卡背后，有一只野蛮生长的爬虫-天下网商-赋能网商，成就网商

天下网商记者 黄天然

“51信用卡”杭州总部被警方调查近日来引发轩然大波，调查原因是公司外包催债业务涉嫌使用“暴力手段”，而在“暴力手段”背后更深层次的原因则在于，平台利用爬虫技术违规获取了大量用户隐私数据。

相信你也经常会感到困惑，为什么总有人莫名其妙打自己电话，甚至还能准确说出你的姓名和从事的行业，这些个人隐私泄露的背后，往往隐现着爬虫黑产的身影。

被滥用的爬虫技术

所谓爬虫，就是一种程序，它可以像蜘蛛一样，爬到网络的各个角落，自动“搬回”所需要的数据，我们日常使用的搜索引擎，就离不开爬虫采集的数据。同样，目标用户在网上留下的蛛丝马迹，爬虫也可以“爬取”回来。

爬虫又分公开类爬虫和授权类爬虫，公开类爬虫只能爬取各网站公开发布的数据，而授权类爬取可以利用申请者的账号密码登录网站平台。

爬虫本身是无罪的，尤其在互金行业，爬虫曾被广泛使用，它可以通过信息整合、勾勒人群画像，起到防范风险的作用。

问题在于，爬取的信息是否突破了法律的边界。尤其在隐私保护意识薄弱、数据安全存在漏洞的互联网环境中，爬虫技术往往与信息来源违法、过度爬取信息，爬取信息滥用等问题交织。

甚至，有些机构借助爬虫窃取的个人信息，并服务于高利贷、暴力催收等违法行为。

用户收到大批量垃圾注册短信骚扰、催收人员的死亡威胁

就像此次“51信用卡”事件中，借贷平台将借款人通讯录、地址定位等信息“交给”催收公司进行“暴力催款”，甚至将借款人其他隐私信息卖给其他平台谋利，让用户备受其他公司“骚扰式营销”的困扰，这些都已经真实发生。

要贷款还是要隐私

“51信用卡”堪称业内爬虫行业的鼻祖。据公开信息，“51信用卡”称其“依托于公司过亿用户和海量大数据，形成了超过20个维度的近万个风控变量，提供一站式全流程风险管理服务”。

这样的海量数据从何而来？要知道，互联网巨头公司可以基于自身生态链的电商、社交和搜索数据，形成风控产品和数据输出能力，而网贷平台并不具备这样的能力。

答案是“强制授权”。

根据“51信用卡”核心产品“51人品贷”APP上的《信息授权服务协议》中的内容来看，用户必须“不可撤销”地授权平台收集从银行卡、邮箱、QQ、电商平台、招聘网站个人简历、微博和微信到其他第三方平台……总计100余项涉及个人隐私的数据信息，方可进行贷款申请。

细看条款，一些非常私人的信息，如：QQ联系人名单、邮箱邮件、手机通话记录和时长、电商平台的收货人地址、信用卡账单、支付平台交易明细都在“51信用卡”可“收集”的范围之内……除此之外，条款写明“不能保证第三方能做到与平台同等的隐私保护，也不会对第三方的行为及后果承担责任”。

51人品贷APP上的《信息授权服务协议》涉及大量用户隐私信息的授权

这意味着，用户在得到“贷款服务”的同时，必须用自己的“隐私信息”作为代价。

授权不能侵犯个人隐私

早在2013年，“51信用卡”副总经理李俊就透露了获得数据的方式为“读取用户邮箱”。

有业界人士猜测，“51信用卡”或通过不断爬取邮件信息获得用户账户信息，构成了“51信用卡”的基础数据群。9月，被警方调查的大数据公司魔蝎科技创始人周江翔，也是51信用卡的前高管。

已有不少网友爆料，申请贷款后很快收到了“铺天盖地”的各类贷款公司电话，他们猜测，自己的个人信息被卖了。

一般而言，如果是公开的数据，严格遵守网站Robots协议，运用爬虫技术就是合理的，而涉及个人隐私数据，采集到公民的姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等个人信息，并将之用于非法途径的，则构成违法行为。而爬取政府机关、银行机构的数据同样违法。

就“51人品贷”的《信息授权服务协议》中罗列的用户需要被“收集”的信息来看，如QQ邮箱邮件、收货地址等数据，事实上就有大部分已经涉及到侵犯个人隐私。

“即便数据源得到了用户授权，但是如从非法渠道接入，也是违规的。”一位股份制银行信用卡部门从业人员告诉媒体，“如果爬取信息，都要获得本人合法授权，即明示、细化的授权，不能概括性授权，否则都是超范围收集个人信息。”

还有比爬虫更厉害的

据业内人士介绍，目前盛行的网络数据获取方式，除了爬虫技术，还有嵌入某种代码的软件开发工具SDK（Software Development Kit），现在多用于各类手机App。

SDK一旦嵌入，如果你注册登录了该App，并默认授权，所有的行为数据都能记录，它会在神不知鬼不觉的时候爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等信息。

相比爬虫，SDK读取的数据更全，不公开数据和公开数据都可用SDK，造成的结果就是数据常常会被滥采或滥用。

据业内人士介绍，比较而言，苹果手机的iOS封闭系统、植入爬取软件较难，开放的安卓系统手机安全防护较弱。而中国80%以上的手机用户都是安卓系统，当用户随意下载了APP，尤其是网贷类App，“个人信息怎么丢的都不知道”。

“大数据产业发展太快了，又受到自上而下的政策鼓励，在个人信息保护法不完善的现状下，这些政策反而成了庇护伞。”业内人士认为。

正是由于国内数据收集相关法律尚不健全，但爬虫技术又很成熟，才让许多互联网信贷平台和数据风控公司在监管真空的环境里迎来了肆意生长的空间。

提升数据隐私保护意识

不过，这样的局面正在改变。

51信用卡被查的当天，由最高人民法院、最高人民检察院、公安部、司法部等多部门联合制定的《关于办理非法放贷刑事案件若干问题的意见》开始施行。

《意见》明确了对非法放贷行为定罪处罚依据、定罪量刑标准，并明确规定对黑恶势力从事非法放贷活动应当从严惩处，切实维护国家金融市场秩序与社会和谐稳定，防范因非法放贷诱发涉黑涉恶以及其他违法犯罪活动。

在51信用卡被调查之前，杭州也已经启动了一轮大数据行业的整肃行动。9月6日，位于杭州的大数据风控平台魔蝎数据科技被警方控制，高管被带走，相关服务瘫痪。

此外，新颜科技、公信宝、同盾科技、百融云创等公司的多名高管也被警方带走调查，同样是因为违规爬取用户信息等问题。

目前，金融行业内正在筹划《个人金融信息保护试行办法》，要求金融机构不得从非法从事个人征信业务活动第三方获取个人金融信息，也不得以“概括性授权”方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。

对于我们普通人而言，提升数据隐私保护意识也是刻不容缓。警惕掉入网络现金贷债务的陷阱，从管住自己的手开始，合理控制收支，对于可疑的互联网金融消费贷产品，更是要避而远之。