涉嫌非法提供身份證返照查詢9800多萬次，獲利3800萬元……11月20日，拉卡拉參股的考拉徵信涉嫌侵犯公民個人信息犯罪，在業界引發震動。警方已將考拉徵信及北京黑格公司的法定代表人、董事長、銷售、技術等20餘名涉案人員抓獲。黑格公司則是從考拉徵信獲取端口，再向下游出售。

不同於市場上許多不知名的小公司，考拉徵信稱得上“根正苗紅”。官網資料顯示，公司是首批獲央行備案開展企業徵信和批准開展個人徵信業務準備的八家機構之一，也是百行徵信有限公司的發起方之一。

但也恰是這樣的正規背景，讓公眾更加擔憂個人信息安全。新京報記者11月20日調查發現，倒賣信息的情況仍然存在。有信息販子在群內頻繁發布販賣廣告，記者以30元的價格便購買了10套文件，其中每套包括個人手持身份證照片，身份證正面、反面各一張。記者註意到，多張身份證都是附在網貸申請表上拍攝。

“如果你做網貸的話，這些都是一手的料。”這名販賣人員告訴記者。而熟悉徵信的知懂創始人馬旺旺告訴新京報記者，被洩露的身份證正反面大部分來源於金融貸款機構。

30元購買10套身份證照片

包含手持照及正反面

11月20日下午，微信收到轉賬30元後，梁莊（化名）通過QQ給記者發來10套共計30份圖片文件。梁莊為某黑產交流群中的信息販子。10月24日至26日，梁莊每天都會在這個群中發布有關信息販賣的廣告，其業務頗為廣泛，包括出售“正反手持SFZ”。

一位接近黑產的人士向新京報記者透露：“SFZ就是身份證。”如同大部分黑產從業者一樣，為了規避平台監管，梁莊也用拼音大寫首字母來代替敏感詞。

“我這是三件套，手持身份證的照片，身份證正面、反面各一張。”梁莊告訴新京報記者，“如果你做網貸的話，這些都是一手的料。”記者獲悉，料是行話，指這些個人信息。

梁莊發送給記者的這些照片文件顯示，被售賣的十位信息對象全部為女性。從戶籍地來看，大部分系山西人，主要圍繞在太原。此外，極個別來自江西。

記者發現，多張身份證均附在申請表上拍攝，除了包含相關親屬姓名及聯繫方式等信息，還有擔保人姓名、手機號以及借款用途等字眼。其中一張照片的背景中顯示“達飛雲貸”字樣。

天眼查顯示，達飛雲貸運營主體為達飛雲貸科技（北京）有限公司，成立於2012年10月30日，並於2016年由達飛普惠財富投資管理（北京）有限公司更名為現用名。其實際控制人為高雲紅，高雲紅旗下還擁有港股上市公司達飛控股。此外，達飛雲貸長期負面纏身。截至11月20日，在聚投訴關於達飛雲貸的投訴帖已有1740條，多位用戶稱其涉嫌高利貸、暴力催收。

當事人稱網貸未獲批

申貸證件照卻流出

“她確實申請過達飛雲貸。”記者通過所購買信息中顯示的家屬聯繫方式找到劉某，而劉某系身份證持有人的愛人。

劉某向新京報記者稱，確實在去年申請過這一貸款，不過他並不知道愛人的個人信息正在被公開販賣。收到記者發送的照片後，劉某確認：“這就是申請網貸的時候拍的。”據劉某稱，這個網貸最終未審批下來，拍攝該照片的業務員是他的一位朋友。

值得關注的是，這三十張照片只是梁莊存量的冰山一角。“現在手裡還有一百多套，不過你要是想要，一萬套我都有。”梁莊向新京報記者透露，“這些都是近期從上家購買的。”而買賣這種身份證件照片並非他的主要業務。“只是恰好一個客戶有這種，我就賣著玩。”

據他描述，他之前主要利用這些照片去註冊某婚戀網站，吸引中老年婚戀粉絲後去引流。

在信息販賣的地下黑市，類似於梁莊這樣的賣家並不少見。“出手持身份證加正反，資料齊全”“高清手持，想要聯繫我”“銀行卡、正反身份證”……記者臥底多個黑產交流QQ群發現，幾乎每天都會有這樣的廣告出現在群中。不過，真正的交易往往是在微信端。“QQ只是發布廣告，不常看。”梁莊告訴新京報記者。

“通常，被洩露的身份證正反面照片大部分來源於金融貸款機構，註冊POS機、註冊APP賬號時的信息也會被洩露。”熟悉徵信的知懂創始人馬旺旺告訴新京報記者， “有的APP註冊要上傳照片。認證完以後，照片自然而然就會被這些公司保存。”

馬旺旺稱，一般來講，金融貸款公司和支付公司存有此類照片較多。多數是用戶註冊認證完以後，照片資料就會在這些公司數據庫內，一旦監管不到位或者有內鬼便會有隱私洩露的可能性。

信息“裸奔”

收集和使用合規邊界在哪？

“當下倒賣信息的情況仍然氾濫，你前腳買車，跟著車險的推銷電話可能就來了。有的APP要求用戶必須提供個人信息，它有沒有後門？會不會倒賣信息？信息提供給誰？用戶都不知道。”金融科技專欄作家、資深觀察人士畢研廣對新京報記者說。

早在7月，廣東省公安廳官網公佈，在2019年第二季度超範圍收集用戶信息APP清理整治工作中，共監測發現1048款APP存在超範圍收集用戶信息行為。其中，“酷狗音樂”“藝龍旅行”“語文100分”等42款APP，存在超範圍讀取用戶通話記錄、短信或彩信，收集用戶通訊錄、用戶設備上已知賬號，超權限使用用戶設備麥克風等突出安全問題。

10月，51信用卡催收公司被警方調查後，有報導稱，央行、銀保監會已組成調查組，摸底大數據的使用邊界和採集邊界，將會涉及外包催收公司管理辦法。

數據收集和使用的邊界在哪兒？畢研廣舉例稱，到銀行辦一些業務時，銀行需要我們留下身份證複印件，但同時會在上面蓋章，註明該複印件僅能用於辦理銀行指定業務，這樣的信息收集屬合規。另外我們常看到一些金融機構和大數據機構合作的新聞，數據公司採集的信息供金融機構使用，如果僅是從業務角度，比如供金融機構對貸款用戶進行審核、驗證等，而非進行買賣，也屬合規。

但市場上魚龍混雜，個人隱私保護法至今沒有出台，信息買賣依然處於無監管地帶。在全國人大常委會法制工作委員會今年8月的記者會上，發言人透露，個人信息保護法已經列入本屆全國人大常委會的立法規劃，目前法工委正在會同有關部門研究論證，加緊推進起草工作，將按照立法工作計劃，適時提請常委會審議，讓個人隱私有望盡快地擺脫“裸奔”的尷尬。

新京報記者李大偉程維妙編輯王進雨校對李項玲