你的身份信息和余額寶金額都能買到 僅需3.8元！

預充值越高價格越低，甚至到幾角錢

那么，這些細致無比的數據從何而來?

11月10日，南都記者實地走訪這家公司，相關工作人員以負責人出差為由拒絕采訪，只是強調數據是經過爬蟲技術獲取而來的，并經過用戶授權。

據南都記者了解，爬蟲技術是一項被廣泛應用于互聯網行業(yè)的技術。

在現金貸領域的應用，爬蟲技術常見于抓取用戶相關的運營商數據、電商數據等信息，作為人工智能風控技術的數據補充。以往為了反欺詐和確定放款額，現金貸平臺通常需要幾天時間對借款人進行信審工作?，F在依托爬蟲技術所爬取的大數據，則可能實現秒貸。有業(yè)內人士稱，如果借款人有借唄、京東白條、微粒貸額度，平臺就直接放貸了。

此外，一些數據公司還專門面向現金貸領域推出同業(yè)爬蟲產品，可以爬取到借款人在其他平臺的貸款情況，如放款額、放款時間等結果數據。

這對發(fā)愁數據源和風控系統(tǒng)的現金貸公司來說，無疑是一項貼心的服務，可在風控環(huán)節(jié)省去不少力氣，甚至直接使用別人的風控成果。李永慶對南都記者表示，這在一定程度上也降低了用戶的實際借款利息。因為借助機器，從申請、審核到放貸的效率提高了，花在風控上的人工成本也就減少了。

一家剛起步的數據公司產品經理向南都記者透露，使用自家產品預充值越高，每份報告的價格就越低。如果預充值是1萬元的話，運營商和電商報告售價不足兩元，預充值達10萬元的話，包括簡單的多頭黑名單等報告，幾角錢即可買到。并且一提交申請即可秒出。

基于如此強大的數據分析和低廉的價格，這些爬蟲產品受到市場的歡迎。但是通過爬蟲技術獲取各大網絡平臺的數據也存在不小爭議。

今年3月，58同城被爆出簡歷信息泄露。有賣家在淘寶上出售該平臺的個人信息爬蟲服務。只要支付700元就能購買一款爬蟲軟件，在登錄賣家提供的賬號后，每小時可采集全國430多個城市，以及464個職業(yè)的簡歷數據上千份。

除了自行爬取外，賣家還可出售經過簡單清洗的信息數據，將姓名、手機號、求職方向、年齡等簡歷信息自動錄入到excel表格中，具體價格1000條50元。58集團對外回應稱，這屬于惡意抓取，將追查并加固信息安全系統(tǒng)，提升防爬蟲技術手段。

對于互聯網企業(yè)來說，最重要的資產是價值堪比石油的數據。誰也不愿自家積累的數據就這樣被白白爬取，因此也都紛紛推出相應的反爬蟲措施。

“主動把自家的鑰匙給了一個路人”

盡管如此，爬蟲有時仍防不勝防。因為一句用戶授權，似乎讓其有了合理的說辭。

支付寶相關負責人對南都記者表示，探知數據并非其開放平臺的合作伙伴，也沒有對其開放數據接口。對方平臺通過用戶給他們的授權，以用戶的名義登錄支付寶后，就可以看到該用戶的信息。“簡單來說，這相當于你主動把自家的鑰匙給了一個路人，然后這個路人用這把鑰匙開了你的家門。”

據南都記者了解，現金貸平臺要求借款人進行電商和運營商等認證時，通常由借款人提供賬號和密碼，審核員人工登錄運營商和電商網站，然后截圖打印。

“這樣問題更多，因為密碼泄露了。”李永慶告訴南都記者。一名網貸行業(yè)資深人士表示，“過后我們會要求借款人修改密碼。”

現在借助爬蟲，道理其實相似。網貸公司先接入數據公司的A P I接口，出現數據公司的一個授權頁面，讓用戶通過掃描二維碼等方式，輸入賬號和密碼。然后數據公司在自家服務器上通過爬蟲模擬用戶行為，登錄相關網站獲取數據。

針對爬蟲問題，上述支付寶相關負責人表示，其公司已開發(fā)并在不斷完善人機識別系統(tǒng)，以此判斷是否有平臺以用戶的名義登錄，并用腳本機器的爬取請求。一經發(fā)現，便會進行攔截或者需要用戶校驗通過才能繼續(xù)操作。同時，對用戶的敏感信息進行脫敏處理，比如把身份證和綁定的銀行卡號作打星處理等。

“我們一直在做安全教育。從根本上講，希望用戶不要把自己的支付寶賬號密碼告訴其他平臺。”

有業(yè)內人士透露，其實爬蟲已經算是很合規(guī)的渠道了，畢竟還是要用戶授權的。還有些公司會通過各種渠道花錢買數據，“想買的話都買得到”。

不管是為了更好地做風控評估，防止“黑戶”欺詐，還是用于后期催收，借助爬蟲工具，現金貸平臺所能獲取的個人信息超乎想象。

一個擼小貸的人告訴南都記者，“注冊的平臺多了，也就毫無隱私可言了。”

“借款人要是知道了，肯定不愿授權”

爬蟲引導用戶去訪問自己的賬戶系統(tǒng)，然后偷偷爬取信息

雖然數據公司宣稱有用戶授權，但專家對其中的授權方式也提出了質疑。

有爬蟲行業(yè)的從業(yè)者表示，“我們爬蟲業(yè)務幾乎不跟P 2P平臺合作，因為國家打得嚴。而其中的灰色地帶在于簽約環(huán)節(jié)。”而且，在個人隱私保護和數據買賣等問題上，可能觸及紅線。

自己打開門但不知被爬取多少信息

根據網安法規(guī)定，企業(yè)收集個人信息應當經過被收集者的同意。也就是說，只有經過用戶同意，企業(yè)收集個人信息才算合法。

在華東政法大學教授高富平看來，用戶同意的前提是知情。“平臺要訪問獲取我哪些信息，用于什么目的首先應該明確告知，超出這個范圍則不能再用。在明確主體、信息范圍、使用目的三個條件后，只有用戶發(fā)自內心自愿同意后，才算真正的知情同意。”

很顯然，用戶并不知道自己會被爬取出這么多具體的信息。“所以這里的用戶授權實際上存有瑕疵。”高富平對南都記者表示。“借款人要是知道了這些，肯定會不愿意的，尤其是因為這些數據借不到錢的人。”李永慶說。

據網貸行業(yè)數據安全專家韓洪慧介紹，爬蟲爬取數據做了一個取巧的行為，即引導用戶去訪問自己的賬戶系統(tǒng)，比如手機營業(yè)廳、淘寶等，用戶自己輸入賬戶密碼后，爬蟲就進入賬戶系統(tǒng)爬取信息。用戶自己打開了門，但其實不知道爬蟲爬取了多少信息，也控制不了爬取的信息以后還會被用在哪里。

南都記者注意到，2016年8月，銀監(jiān)會出臺的《網絡借貸信息中介機構業(yè)務活動管理暫行辦法》指出，網貸平臺應妥善保管出借人與借款人的資料和交易信息，不得刪除、篡改，不得非法買賣、泄露出借人與借款人的基本信息和交易信息。

網貸公司有泄露個人信息嫌疑

韓洪慧認為，網貸平臺采用外包模式，讓第三方公司去爬取用戶信息，有泄露用戶個人信息的嫌疑。一方面，網貸平臺無法保證第三方技術公司不留存數據，不將數據用作其他用途。另一方面，用戶以為是網貸平臺獲得信息，但實際上不僅網貸平臺獲得信息，第三方技術公司也獲得了，而且可能是全部信息。

他說，“這猶如我求你辦事，你說要到我家看看情況。我給你打開了門，結果你讓另外一個人進去檢查，然后把檢查報告給你，問題是你對那個人并沒有太多約束力，他只是來臨時幫忙的，于是我的家被一個完全不認識的人檢查了個遍。”

更糟糕的是，網貸平臺可能只要求技術公司獲取三個內容，但技術公司獲取了30個內容，最后只給了網貸平臺3個內容，其他的都留給自己用了。

值得一提的是，所謂的授權還體現在數據公司和網貸平臺的用戶協(xié)議上。以探知數據為例，在其查詢頁面有相關的授權協(xié)議稱，“您確認獲得有效的轉授權我們查看您擬查詢的第三人（電商網站、運營商、學信網等）信息。”

南都記者查閱發(fā)現，不少網貸平臺在用戶協(xié)議里也提及，用戶同意其公司有權將用戶個人資料和信息，提供給依法設立的征信機構和個人信用數據庫和關聯方、合作伙伴，以及給第三方進行逾期賬款催收。并且有權與任何第三方進行數據共享。

有數據公司相關負責人表示，原則上借款人要借哪家網貸公司的錢，就授權把個人信息交給哪家。“當中的數據公司都是工具，拿了數據別悄悄賣就好了”。

大數據公司私自保存他人信息違規(guī)

不過，韓洪慧對南都記者表示，大數據公司在幫助金融機構了解和分析客戶的同時，也保存了數據。這樣私自保存是違規(guī)的。數據積累越多，風險也越大。“畢竟數據不是自己業(yè)務產生的自然數據，再加上萬一保存不好泄露了，好比定時炸彈”。

今年6月1日，網安法和“兩高”個人信息司法解釋開始生效實施，法規(guī)提及，“非法獲取、出售或提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上的即入罪。”整個大數據行業(yè)因此面臨極大的挑戰(zhàn)，大量數據接口被切斷。

不僅如此，一個更現實的問題是，將來會不會出現手機聯系的人越來越少，人們都用微信了。如此基于運營商的風控邏輯，將不再那么有效了。南都記者注意到，有數據公司已悄悄推出微信爬蟲產品。不過，每家公司都有反爬蟲技術，能否不間斷穩(wěn)定爬取數據，也是一大挑戰(zhàn)。

李永慶告訴南都記者，“怎么在合規(guī)的情況下找到有效的數據，是不少公司需要考慮的問題。”

（應采訪對象要求阿倫和王蘭為化名）

被爬取的個人信息

基本身份信息，近半年的通話記錄詳情、消費賬單、出行信息、人脈關系、詳細量化評分情況

聯系次數，通話過的1000個手機號碼羅列出來，包括完整號碼、歸屬地、通話時長、最早和最后通話時間等。

其中常用的30位聯系人更是被單獨拎出，統(tǒng)計了近24小時、1-7天、7-30天、30-90天、90-180天5個通話時段的聯系次數。

定位到經緯度、門牌號的居住地、入網時長，黑名單通信記錄，民間借貸、銀行、P2P平臺與互聯網小貸等通信記錄、公檢法和澳門通信記錄

淘寶25頁訂單數據、京東近3年數據

電商、社保、公積金、央行征信報告和學信網