图片来源@视觉中国
近日,此前于2019年首批被查的大数据科技公司中,杭州魔蝎科技公司相关案件迎来了一审判决结果。
根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即可入罪。
魔蝎科技犯侵犯公民个人信息罪,判处罚金三千万元;公司法人周某某被判有期徒刑三年,缓刑四年;技术总监袁某被判有期徒刑三年,缓刑三年。
根据天眼查相关信息显示,杭州魔蝎数据科技有限公司成立于2016年1月,定位于提供互联网金融数据服务,法定代表人为周江翔。其目前已无法打开的原官网还显示,其为2000多家银行、消费金融、保险、互联网金融等客户提供精准营销评分模型、反欺诈、多维度用户画像、催收智能运筹等全面风险管理服务。
此次判决,法院审理查明了魔蝎科技非法保存用户个人信息多达2000余万条。
具体而言,魔蝎科技会将其开发的前端插件嵌入网贷平台中,用户使用网贷平台App借款时,需在插件上输入包括社保、公积金、淘宝、京东、征信中心、通讯运营商等的账号、密码。经用户授权后,魔蝎科技会代替用户进入个人账户,并爬取、复制账户信息,提供给网贷平台。
尽管魔蝎科技与用户签订的协议中告知,“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但服务器上依然长期保存了各类账号密码数据。
经钛媒体APP梳理,在此之前的2019年,除了魔蝎科技之外,包括天翼征信、“某企业信息查询平台”的运营主体存信科技、新颜科技等均经历过一拨大数据公司的风控有关调查。这些企业大都于2014-2016年间建立,伴随着各类互联网金融服务的生长而发展。
然而,在大数据服务扮演着互金行业中关键角色的同时,数据公司因网络爬虫带来的隐私侵犯问题也频频发生。因此,监管就成了数据公司发展的达摩克利斯之剑。
据了解,爬虫是一项计算机技术,其作用是搜集网页上的信息或数据,然后把搜集到的数据搬运到自身数据库里。用户授权后,风控数据供应商通过后台“爬虫”搜集信息,将通话信息、消费数据等互联网信息进行整合,最终形成对借款人的综合评估,供金融机构做相应的后续决策。
据北京商报报道,一位不愿具名的行业内部人士介绍称,爬虫技术的数据采集主要包括:公开的第三方数据;抓取用户主动授权的个人基本信息、联系人信息、银行卡信息等数据;授权抓取数据,如设备号、IP地址、运营商/电商等用户授权后合规采集数据;经授权的平台数据,如用户在平台的历史借款、还款情况等用户已在注册协议或隐私协议中授权业务方进行分析的数据。
然而,值得关注的是,运营商数据是一个重要的风控维度,大数据公司在用户授权的情形之下,会获得一些手机卡过往使用情况。
中国银行法学研究会理事肖飒在接受北京商报采访时表示,运营商可能存在与数据公司相互勾结的情形,有连带责任;但也有可能它们自身也处于不知道的情形,那就也是受害者。
对于大数据领域个人信息爬取的争议问题,目前主要还存在于“是否经过用户授权,是否存在过度葩趣信息,爬取信息用途不明”等方面。
因此,在相关案件频有发生后,2020年,《个人信息保护法(草案)》经历多年的立法,于10月通过草案,形成了相对较为完备的制度,此次案件也是依据该法律进行的判决。
此前针对大数据行业的调查整顿,以及《个人信息保护法(草案)》的制定,有助于清退侵犯个人隐私的大数据企业,加速大数据行业的规范化。
(钛媒体APP编辑陶淘综合自南方都市报、北京商报)