个人信息恐被窃 央行严整代查征信APP

李晖

针对第三方征信代查市场乱象的整肃正在升级。

近日，央行下发《关于进一步加强征信信息安全管理的通知》（银发〔2018〕102号文，以下简称“102号文”），进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。其中，在“健全征信信息查询管理”部分特别规定：未经授权严禁查询征信报告，规范内部人员和国家机关查询办理流程，严禁未经授权认可的APP接入征信系统。

在市场人士看来，上述规则或将让当前猖獗的第三方征信代查乱象得到遏制。不过值得注意的是，一些游离于央行管辖范围之外的导流公司、技术公司，如何对其违规行为进行彻底肃清，在实际操作中还存在一定困难。

猫腻：明查征信暗截隐私？

近年来，消费金融的爆发让用户线上申请贷款率大幅提升，贷前贷后了解自己的征信情况、防止逾期成为了一种刚性需求。这也让一些从事贷款、导流的平台找到了新的“生财之道”。

《中国经营报》记者随意在安卓和苹果相关应用商店中搜索“征信”“信用”等关键词，相关的APP即包括征信钱包、信用管家、中意征信、征信借钱、备胎信用等数十家。在相关应用介绍中，多标注“先查信用”“直观了解信用状况”“查社保查公积金”“轻松贷款”。此外手机提示显示，上述APP多数将获取包括GPS、读取通讯录、访问相册、摄像头等十余项敏感隐私权限。

以宣传最为高调的“信用管家”APP为例，其应用介绍，目前仍声称“行业最权威的征信查询信用报告系统”“对接人民银行征信中心，随时查看个人信用报告，防止信用逾期”“对接公积金中心，随时查看公积金缴存记录”“征信有污点，如何贷款”等。根据其PC端官网介绍显示，该应用在注册后通过一系列信息验证、包括提交个人信息、回答系统问题后，系统会在24小时内发回验证码，验证码提交后可获取报告。

不过记者发现，目前该APP中的“查征信”入口已经消失，但“查社保”“查公积金”“查违章”等功能仍然保留。记者致电该平台，客服表示：征信查询服务目前暂停，但今后会不会重新提供不确定。

据记者向征信行业人士了解，目前，个人信用报告正规的查询渠道主要有以下三种：一是现场查询，即在中国人民银行征信中心或各地分中心申请后进行查询。二是官网查询，即登录中国人民银行征信中心网站进行注册、提交申请，查询自己的信用报告。此外，中信银行和招商银行两家征信查询试点银行，持有两家银行借记卡和U盾，也可通过网银查询。

事实上，此次102号文出台前，监管已对类似市场乱象有所警觉。早在今年年初，央行网站首页显著位置挂出提示：“未授权任何第三方应用程序（APP）提供个人信用报告查询服务，敬请广大用户注意。”

那么这些号称“直连”央行征信中心的第三方APP又是如何做到的呢？

一位上海老牌征信机构高管告诉记者，除正式接入持牌金融机构之外，央行征信系统没有对外开放过任何查询信用报告的接口。目前市面上所谓的第三方APP，都是在没有授权下，采用“模拟网页登录方式”，连接央行征信中心的“互联网个人信用信息服务平台”（面向普通个人信息用户查询的页面），来“代查”个人信用报告，简单讲就是“中介”。

另一位上海资深征信从业者透露，其实就是通过“爬虫”技术来抓取页面信息，类似高铁抢票外挂软件。“理论上央行征信中心网站也可以通过反扒技术阻止，不过道高一尺魔高一丈。”

记者注意到，今年3底，央行征信中心个人征信服务平台网站曾通知因系统升级在3月23日到26日间暂停服务。据前述机构高管透露，就是在对这种爬虫问题进行解决。

前述资深人士告诉记者，这类平台明为查征信，目的一方面是为现金贷平台导流、一方面则是为了留存个人信息数据进行技术开发，如果再不规矩还可能涉及放贷、甚至泄露、倒卖个人数据信息。

据赛门铁克 2018年《年度互联网安全威胁报告》显示，63％的灰色软件应用程序会泄漏使用设备的电话号码。

以“信用管家”为例，根据企业工商信息系统，其关联方中即包括多家各地信息技术网络公司和金融信息服务公司。而在相关服务介绍中，信用卡管理、贷款服务、大数据风控等赫然在列，并已经拥有超过600万激活用户，贷款转化率超过30%。