來源:21世紀經濟報導
原標題:爬蟲技術罪與罰:失衡的催收應用邊界
「爬蟲技術是一項工具,但被居心不良的人使用,就可能出現大問題。」一位網際網路消費金融平颱風控總監感慨說。
儘管近日51信用卡被查主要源自其委託的催收公司存在冒用國家工作人員暴力催收行為,但在多位業內人士看來,這種暴力催收行為離不開爬蟲技術的「配合」。
「比如有些網際網路消費金融平臺通過爬蟲技術能時時掌握借款人行蹤與地址定位(未必獲得用戶允許),然後將此信息轉交給催收公司,由後者上門輪番暴力催收,無論借款人跑到哪裡,暴力催收就如影隨影,如此部分借款人心態崩潰,容易走上不歸路。」這位網際網路消費金融平颱風控總監透露,此外有些平臺在未獲得用戶授權的情況下,通過爬蟲技術掌握借款人與親朋好友的通話記錄,由此向這些親朋好友施壓督促他還款,導致借款人感到臉面丟失,也容易走上不歸路。
他坦言,這背後,與某些平臺通過爬蟲技術過度收集並販賣借款人隱私信息息息相關。
多數情況下,借款人看到的授權協議僅僅顯示平臺將通過後者授權的帳號,只能登陸相關網站郵箱與手機桌面查看所下載的APP。但事實上,這些平臺的爬蟲技術早已突破授權協議使用範疇,開始抓取借款人在網站郵箱與手機桌面的大量各類數據,其中不少涉及用戶極其隱私的個人信息「另有他用」。比如他們會將借款人地址定位信息「交給」催收公司進行催收回款,或將借款人其他隱私信息賣給其他平臺作為信貸風控決策依據等。
「在歐美國家,這種行為肯定是觸犯法律的。」一位曾在美國開發爬蟲技術的金融機構技術總監向21世紀經濟報導記者透露。
記者多方了解到,目前中國對用戶隱私信息保護的相關法律正在加速完善,比如正在徵求意見的《個人金融信息(數據)保護試行辦法》規定,(金融機構)不得非法從從事個人徵信業務活動的第三方獲取個人金融信息,以及金融機構不得以「概括授權」的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意。
被玩壞的爬蟲技術
上述金融機構技術總監直言,爬蟲技術在歐美國家金融領域的使用相當普遍,比如在洗錢監管方面,不少金融科技公司通過爬蟲技術抓取各類公開信息,以此完善涉嫌洗錢者的名單以及其人際關係網,從而不放過任何一個漏網之魚。
「在中國,爬蟲技術顯然被玩壞了。」他透露,相比歐美國家金融機構通過爬蟲技術只能抓取公開信息或經用戶授權的個人信息,中國不少P2P平臺都存在利用爬蟲技術過度收集用戶隱私信息行為。具體而言,比如用戶授權P2P平臺只能訪問他瀏覽過的網站頁面或郵箱裡涉及信用卡帳單的郵件,手機桌面APP下載軟體等信息,但在實際操作環節,這些P2P平臺利用爬蟲技術抓取用戶在這些網站的消費行為,私人郵件內容,還有個人行蹤及地址定位等隱私信息。
這也是引發暴力催收事件頻發的主要原因之一。比如P2P平臺將用戶地址定位「交給」催收公司,由後者不斷上門輪番對借款人進行暴力催收加快回款速度,而部分借款人發現自己走到哪裡都被暴力催收,最終心態崩潰並走上不歸路。
此外,很多P2P平臺還通過用戶「授權」,通過爬蟲技術抓取用戶在銀行的大量個人信息,包括個人以往借貸還款記錄,職業、婚姻狀況等數據,並將這些數據與用戶提交給平臺的個人數據進行交叉驗證,以此判斷用戶真實的還款能力與還款意願。但事實上,這種用戶「授權」所抓取的內容,是銀行需保護的用戶隱私信息。
這也引發不少銀行與P2P平臺的糾葛。近日市場傳聞一家銀行向51信用卡發函,直指後者通過爬蟲技術對銀行用戶信息進行全方位大量抓取。由於銀行未與51信用卡籤訂相關授權書——允許後者從銀行系統獲取用戶個人信息,因此銀行認為51信用卡此舉構成侵犯公民個人信息罪,要求後者停止這種抓取用戶個人信息行為。
監管加強保護個人隱私
面對爬蟲技術過度收集販賣個人隱私信息所造成的社會問題,歐美國家相關部門一直在加強從嚴監管力度。
去年5月,歐盟出臺了《通用數據保護條例》(簡稱GDPR)。這份法案的最大殺傷力,是過去網際網路機構習以為常的、利用爬蟲技術過度抓取用戶行為數據的做法,因涉嫌侵犯隱私變得不再「合法」。
它之所以被稱為史上最嚴的數據保護法案,主要在於兩點,一是任何企業只要在歐盟市場提供商品或服務,或收集歐盟公民的個人數據,都將受到這部法案的管轄。比如中國跨境電商平臺提供「面向歐洲的特惠產品」「歐洲區包郵」等採購服務,或在商品價格上標註歐元價格,就可以被視為在歐盟市場提供商品或服務,將受到GDPR的管轄;二是GDPR法案規定跨境電商等網站經營者不得擅自將用戶姓名、銀行帳戶、IP位址等個人信息用於其他業務用途,反之這些網站經營者若要將用戶信息用於其他業務用途,需與用戶重新籤訂一份授權協議並明確標註新的用途。
這導致不少跨境電商等網際網路平臺抱怨客戶服務體驗大幅下降。因此它們一直嘗試遊說歐洲相關部門能適度放寬GDPR對個人信息獲取使用的監管要求,但鑑於對用戶隱私信息的從嚴有效保護,歐洲相關部門沒有鬆口。
美國奧斯頓律師事務所(alston&bird llp)合伙人kenneth g.weigel此前接受本報記者採訪時表示,美國法律則主要從「未經授權故意訪問」「超過授權訪問權限」」從任何受保護的計算機獲取信息」三大維度判斷爬蟲技術公司是否過度收集使用用戶個人隱私信息。按照《1986年計算機欺詐與濫用法》,只要爬蟲技術公司在抓取用戶個人隱私數據時存在上述三種狀況,基本都被判定敗訴與巨額賠款。
值得注意的是,近年中國在保護個人隱私信息方面的法律日益完善。早在2017年5月8日,最高法院、最高檢察院出臺了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,對爬蟲技術過度收取濫用個人隱私數據做出嚴格入罪規定。
正在徵求意見的《個人金融信息(數據)保護試行辦法則規定金融機構不得非法從從事個人徵信業務活動的第三方獲取個人金融信息,以及不得以「概括授權」的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意。
「在2017年《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》出臺後,相關部門曾抓了一些利用爬蟲技術過度收集濫用個人隱私數據的P2P平臺技術人員,但由於當時處罰力度不夠重,並未引發很多大數據風控機構與P2P平臺高層重視,如今多家爬蟲技術公司被查與相關高層被抓,足以凸顯相關部門正採取雷霆手段整治爬蟲技術過度收集濫用個人隱私數據行為,從而淨化個人隱私信息保護領域。」上述平臺技術總監指出,經此一番行業動蕩,利用爬蟲技術過度收集個人隱私信息牟利的公司未來生存空間也被大幅壓縮,目前很多銀行與持牌金融機構已經暫停與這類機構的各類大數據風控技術合作。