“支付第一股”拉卡拉闪崩！公民个人信息泄露近亿条

大家好，我是鹅师傅。

你是否接到过能说出你真实姓名、家庭地址，甚至身份证号码的电话？这些都是个人信息泄露的冰山一角。

然而这些让中国网民在互联网上裸奔的幕后黑手，开始逐渐浮出水面，被查处抓获。

11 月 19 日，江苏淮安警方通报依法打击了 7 家涉嫌侵犯公民个人信息犯罪的公司，其中涉嫌非法缓存公民个人信息 1 亿多条。

在涉案的公司中，有的是通过购买信息获得客户，以便推销贷款、催收，甚至与其他公司交换信息，共同获利。此外，还有公司通过技术手段爬取小贷公司的个人信息，用于公司放贷和非法出售牟利。

也就是说，你平时紧紧捂在手里的个人信息，早已被多家公司非法获得，时刻处于「裸奔」之中。在他们的眼中，你的个人信息就是流量，就是牟利的工具， 

被警方查处的 7 家公司中，就包括拉卡拉支付旗下的考拉征信。这个消息在 20 日下午让 A 股第三方支付第一股拉卡拉直接跌停。

这 7 家涉嫌缓存海量个人信息高达 1 亿多条，他们究竟是如何运作的呢？

下面鹅师傅就带你一探究竟，揭开「源头 - 中间商 - 非法买卖者」这条利益链背后的黑幕。

故事要从 2018 年 4 月份开始说起：

当时，江苏淮安警方在网络巡查过程中，发现嫌疑人高某在网上非法购买个人信息，顺藤摸瓜揪出了贩卖信息的更大团伙——广州诺涵科技公司（以下简称「广州诺涵」）。

经过进一步调查发现，广州诺涵的公民个人信息主要来源于湖南九象信息集团有限公司。

九象信息研发了黑爬虫软件，非法获取了数十家小贷公司的客户信息，并在黑爬虫网站上提供公开收费查询、身份核验返照等业务。

所谓“身份核验返照”，即通过输入姓名和身份证号核验其一致性并返回照片。

也就是说，下游卖家付费后，只需输入姓名和身份证号码，就能轻松获取公民身份证照片。（鹅师傅想想都觉得很可怕！）

案件到这里还没结束，九象信息在审讯中表示，其身份核验返照业务端口来自北京黑格科技有限公司。而黑格科技则是从北京考拉征信服务有限公司等 4 家公司购买的查询接口。

经查证，考拉征信是从上游公司获取接口后，违规售卖并非法缓存个人信息提供下游公司查询牟利。

据警方公布，考拉征信自 2015 年 3 月起，非法提供查询返照 9800 余万次，总计获利 3800 余万元。

简单来说，这些个人信息是这样被一手手层层转卖的：

• 考拉征信违规售卖查询接口，非法缓存个人信息；

• 黑格科技购买上家接口，提供身份核验返照业务端口；

• 九象信息集团从上家购买业务端口，开发黑爬虫网站；

• 黑爬虫网站对外提供身份核验返照等业务；

• 广州诺涵从上家获取公民个人信息，员工在社交平台进行贩卖

考拉征信，可以说是信息泄露的源头。

因为考拉征信是一家第三方的信用评估及征信管理服务商，更是首批获央行备案开展企业征信和批准开展个人征信业务准备的八家机构之一。

这五连环的利益链条，让了上亿条公民个人信息，经历了从源头到社交平台聊天群里压缩包的网络漂流。

目前，警方已将考拉征信 20 余名涉案人员抓获，其中包括法定代表人、董事长、技术等，查获并收缴非法获取的公民姓名、身份证号、照片等近亿条信息。

在五连环套中，扮演源头角色的考拉征信一时深陷舆论漩涡，它的最大股东——A 股上市公司「拉卡拉支付股份有限公司」也未能幸免。

在这里，鹅师傅先给大家捋一捋两家公司之间的联系：

据天眼查显示，考拉征信由拉卡拉信用管理有限公司（现名为「考拉昆仑信用管理公司」）100% 持股，而考拉昆仑的最大股东则为拉卡拉支付股份有限公司，持股占比为 32.4%。从股权关系来看，拉卡拉支付和考拉征信之间相当于爷孙关系。

除了股权之外，两家公司还有其他紧密的联系。

比如，考拉征信是拉卡拉2016年度的 TOP5 客户之一；比如，拉卡拉曾在 2018 年采购考拉征信价值千万的产品；再比如，拉卡拉董事长孙陶然曾任考拉征信的执行董事、经理……

案件曝光后当天下午，拉卡拉股价直奔跌停，市值蒸发约 20 亿。对此，拉卡拉相关负责人回应：「目前只是取证阶段，考拉征信是配合调查。拉卡拉只是考拉征信众多股东之一，拉卡拉与考拉征信之间的财务、业务、经营等都是各自独立的。」

当天晚上，拉卡拉还收到了深交所发出的关注函，要求回应5大问题，其中就包括考拉征信被查一案。今天早上，拉卡拉发布了澄清公告，鹅师傅在这里附上原文并跟大家划一下重点：

关于「考拉征信被查」，拉卡拉给出的回复可以简单概括为一句话：我也管不了考拉。

在公告中，拉卡拉称，公司对考拉昆仑持股比例仅为 32.4%，且董事未占超半数席位，不能控制、实际支配考拉昆仑，同时亦不能控制、实际支配考拉昆仑全资子公司考拉征信。公司与考拉征信存在业务来往，但不存在利用个人信息违规开展业务活动的情况。

那么，拉卡拉被考拉征信牵连跌停，冤枉吗？

参考业内人士的说法就是，考拉征信是独立的公司，拉卡拉是间接控股，两者的风险基本上存在一定的隔离。所以，拉卡拉冤不冤这事儿，还没有确切的答案。

除开被牵连的拉卡拉，这个案件中，最大的受害者其实是亿万名被“裸奔”的网民。而个人的信息泄露，仅仅只是黑色巨大产业链的上游。

据腾讯社会研究中心与某互联网数据中心联合发布的《2017年度网络隐私安全及网络欺诈行为分析报告》指出：

追根溯源，信息「裸奔」的一大原因在于，网民自身的防范意识较为薄弱。其次，旧手机回收、监管缺位等等也是信息泄露频发的重要因素。

这里，鹅师傅将防身招数按泄露前、泄露后分成两类，跟大家分享一下——

泄露前：多一点保护，少一点泄露

1.  除了必须实名制的网站外，尽量少在网上填写真实姓名、身份证号等信息，比如网购收件人、社交网络昵称

2.  谨慎使用公共 WiFi，毕竟个人信息比流量要贵很多；也不要随便扫二维码，或者下载来历不明的 App。

3. 各个社交平台、购物网站、支付软件、网银等密码切忌用同一个，而且要避开生日、电话等信息，尽量做到中高等强度以上。

4. 闲置的手机、笔记本、台式电脑在回收或转让前，一定要彻底销毁所有个人信息。

5. 尽量不点击来历不明的邮件、短信中的链接，避免被“钓鱼”。

6. 少在社交软件/网站上泄露过多个人信息，防止被不法分子利用。

7. 认真阅读 App 的应用权限、用户协议、隐私政策等说明，谨慎开放或同意非必要的权限，比如读取位置、联系人等信息。

8. 带有个人信息的纸张、单据（例如快递单），必须抹掉隐私信息再丢弃。

总而言之，即使我们知道「裸奔」是难以避免的，但也不能放弃自我保护，能遮的地方还是要遮一下，尽量从根源上做好防守。

泄露后：维权的关键在于泄露主体的单一性和具体性

当我们因为个人信息泄露而被骗后，应该怎么维权呢？

实际上，生活在大数据时代，个人信息泄露的渠道往往不止一个。如果要维权，就需要尽到初步举证的责任，证明信息泄露与特定的主体相关。

来源：CCTV《生活提示》

然而，恰恰是搞清楚信息如何泄露、从哪里泄露、泄露给谁这些问题，给维权造成了很大的困难。在维权路上，有人被迫放弃，也有人死磕到底。

但无论再怎么难，当我们面对个人隐私泄露事件的时候，我们依然要站出来发声，要更懂如何保护自己，不能沉默，也不能习以为常。