【观察】史上最大征信泄露,Equifax深陷危机,中国同行怕了吗?
作者:董云峰
来源:零壹财经
很显然,Equifax(艾克飞)因黑客入侵而导致的大规模数据泄露事件,在国内并没有引起太大的关注度。
Equifax是美国三大征信局之一,而这是全球征信行业史上最严重的一次信息泄露事件。受此影响,8年来股价一直上扬的Equifax,在过去一周里股价跌幅超过30%。
目前,Equifax在全球24个国家开展业务,共拥有约9900名员工。据公开信息,Equifax掌握了全球8.2亿消费者和超过9100万商户的数据。
个人征信是目前中国新金融领域备受瞩目的行业,尤其是一些巨头公司争夺的焦点。此次Equifax事件,对中国征信业又有什么启示?
01
Equifax事件始末
9月7日,Equifax公布,该公司遭遇了一起因黑客入侵而导致大规模数据泄露事件,约有1.43亿人的个人信息被泄露。目前美国人口为3.23亿人,这意味着近半美国人很可能陷入危险之中。
从涉及人数来说,这并非史上受害者最多的一次信息泄露事件。在此之前,雅虎曾经出过两起类似事件,其中一次涉及10亿个账户,另一次涉及5亿账户,聚友网(Myspace)亦曾发生过一次涉及3.6亿账户的信息泄露事件。
然而,与雅虎和Myspace不同的是,作为美国三大征信局之一,Equifax掌握的用户数据的数量和质量,绝不是门户网站或者社交网络可以比拟的。
据Equifax公布的信息显示,被泄露的用户信息包括姓名、社会安全号码、出生日期、地址以及数量不详的驾照号码。黑客们还偷走了20.9万张信用卡号和18.2万份包含个人身份信息的文件。
Equifax声称,信息泄露发生于今年5月中旬和七月之间,该公司在7月29日发现,但直到9月7日才将这一消息公之于众。
9月12日,36名美国参议员联名上书,要求司法部、证券交易委员会和联邦贸易委员会联手调查Equifax高管在泄密发生后出售股权的操作;联邦调查局已宣布正在调查数据泄露事件。
这进一步加剧了公众的愤懑情绪,根据上述指控:Equifax于7月29日发现数据泄露,之后在9月7日公布消息,在此期间该公司三名高管出售了总值大约180万美元的股权,涉嫌内幕交易。
不仅如此,目前纽约总检察长Eric Schneiderman对此案展开正式调查;国会议员Ted Lieu致信众议院司法委员会呼吁召开听证会;众议院金融服务委员会主席Jeb Hensarling表示该委员会将举行听证会;美国消费者金融保护局也在调查这起事件。
最新进展是,9月13日,Equifax CEO被要求参加10月3日的国会听证会,接受众议院能源和商务委员会成员的问询;9月14日,联邦贸易委员会宣布正在调查这起大规模的数据泄露。
这件事情何以在美国引发轩然大波?据CNN报道,黑客制造出了可以让诈骗犯模仿你本人的工具,这将威胁到成百上千万美国人的安全。
该专家称,如果被盗取的信息落到坏人手中,他们可以打开你的银行账户,使用你的信用卡乃至开办新卡,甚至用你的名字申请驾照。他们可以在马路上为所欲为,反正都是你去承担罚单,他们还能盗取你的返税款,甚至刷爆你的社保账户,让你连处方药都没法买。
在美国国内,一些愤怒的Equifax用户要求赔偿,如果按照受害者人数计算,这笔赔偿金额将是天文数字。另据法新社消息,9月12日,在此次事件中受害的Equifax加拿大用户,发起了一起诉讼,要求该公司赔偿5500亿加元(约合4500亿美元)。
市场分析人士认为,最终的赔偿金额很可能在3亿美元到10亿美元之间。毕竟,对Equifax这类轻资产公司来说,哪怕实施破产清算,也没有多少钱可以用来赔偿消费者。
02
Equifax事件警示了什么?
此次Equifax事件,对中国征信同行,难道不是一记警钟吗?黑客攻击、信息泄露,对我们每一个人来说并不遥远。
美国征信巨头益博睿(Experian)早前的一份报告显示,中国是目前全球互联网风险最大的国家之一,网络犯罪导致的损失占GDP的比例为0.63%,这一数字仅次于美国的0.64%。
令人欣慰的是,有关监管部门对个人征信业务一直保持高度审慎的态度。
尽管早在2015年初,央行就下发《关于做好个人征信业务准备工作的通知》,同意芝麻信用、腾讯征信等8家社会机构开展个人征信业务,但至今未下发相关牌照。
今年4月21日,在个人信息保护与征信管理国际研讨会上,央行征信管理局局长万存知表示,之所以迟迟不发牌照,主要有三个“没想到”:
第一是发完通知对8家机构进行个人征信业务准备,刚起步就碰上互联网金融整顿,到现在还没结束。换句话说,互联网金融业态到现在也不稳定,也不定型,在这个领域做征信业务怎么做?是需要研究的。
第二是社会公众对个人信息保护的意识空前高涨,对8家机构要求更高了。
第三是8家机构实际开业准备的情况离市场需求和监管要求差距较大。
万存知表示,综合判断,8家进行个人征信开业准备的机构目前没有一家合格,在达不到监管标准情况下不能把牌照发出去。
这8家机构到底有什么问题?万存知将把共性的问题列为三个方面:
第一,每一家机构都想追求依托互联网形成自己的业务的闭环,这样在客观上就分割了市场的信息链,而且每一家的信息覆盖范围都受到限制,因为信息不广、不全面,这样带来产品的有效性不足,不利于信息共享。
第二,这8家机构各自依托某一个企业或者企业集团发起创建,在业务或者公司治理结构上不具备或者不具有第三方征信独立性,存在比较严重的利益冲突。
第三,这8家机构对征信的基本理念和基本规则了解不够,而且也不太遵守,在没有以信用登记为基础的情况下,在数据极为有限的情况下,根据各自掌握的有限的信息进行不同形式的信用评分并对外进行使用,存在信息误采误用问题。
今年5月,万存知在《中国金融杂志》撰文指出,征信业是对个人信用信息依法进行产业化共享的行业。个人信息权益保护构成个人征信监管的核心内容。因此,在个人征信市场准入和业务活动开展中,应坚持三个原则:第三方征信的独立性原则、征信活动中的公正性原则、个人信息隐私权益保护原则。
在上述文章中,万存知并称,由于个人征信与个人信息保护密切相关,所以个人征信市场绝对不能走“先乱后治”的道路。对个人征信准入的态度,实际上是对个人信息保护的态度,是对人民群众切身利益的态度,也是对维护社会稳定的态度。
另一个背景是,6月1日,《中国人民共和国网络安全法》正式生效,作为国内第一部系统性提出网络空间治理的法律法规,特别加强和明确了个人信息保护方面的要求。同日,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式实施
如果征信机构不能在信息安全和隐私保护上作出令人满意的安排,个人征信牌照的下发,依然很遥远。
03
Equifax的前世今生
1898年,Cator Woolford在田纳西州经营一家杂货铺,他同时在本州的查塔努加为当地零售食品杂货商协会整理客户信用记录表。为了覆盖成本,他向其他商人销售该表。
后来,他的律师兄弟加入了他的事业。1899年3月,他们在佐治亚州首府亚特兰大创立了"零售信用公司(Retail Credit Company)"。他们把客户信用信息编纂成书,并给它起名叫"商人指南",商人对书和随后的信用报告的购买价格是25美元一年,食品杂货商的购买价格更低。当年,该公司拥有了37个商人和47个食品杂货商订阅用户,亏损额达2242美元。
1901年6月,Retail Credit开始服务保险公司、雇佣律师和商人调查想获得保险的人的信用状况,来帮助保险公司识别道德风险。
保险公司比杂货商们更愿意高价购买信用信息。不久,Retail Credit将保险业务和零售商业务拆分运营。
1908年,Reail Credit开始为汽车责任险出具信用报告,还为这种报告制作了统一的格式。随后,该公司向意外险和火险业务进军。
在销售收入达到了35万美元时,Woolfrod兄弟决定成立公司。1913年12月,Retail Credit Company Inc.(零售信用有限责任公司)成立。
不过,在1920年,Retail Credit的保险业务遭遇了沉重打击:多家保险公司联合成立美国服务局(American Service Bureau)来提供跟Retail Credit类似的调查报告。
为了应对这种冲击,Retail Company在车险和火险业务中增强了发力力度,这受到了市场的认可。
1934年,Retail Credit开始并购其他信用局,当年,它买下了布鲁克林的一个信用局:零售信用机构有限责任公司(Retailer Commercial Agency, Inc.)。当时,美国征信行业出现了并购潮。
20世纪30年代,Retail Credit还走上了专业化运作之路,它越来越少地依赖兼职信用调查员,而开始雇佣和培训全职调查员。1937年,Retail Credit 3/4的调查表都是全职调查员填写的。
美国加入二战对Retail Credit的事业造成了很大负面影响:大量调查员离职入伍。1941年,美国刚开始加入二战时,Retail Credit每年能提供750万份信用报告,等到了1944年,这一数字变成了600万份。此时,Retail Credit才开始允许女性当调查员,她们大部分是作为入伍的丈夫的替代者。
二战后,Retail Company的业务和美国经济一道迅猛复苏。
20世纪60年代,Retail Credit开始尝试自动化,将信用表转入电子数据系统。
20世纪70年代,Retail Credit试图在俄勒冈州、爱达荷州、加州和华盛顿特区等地并购几个跟自己有竞争关系的信用局。这些并购被联邦贸易委员会认为减少了竞争。经过长达十年的诉讼战,Retail Credit被允许完成上述并购。
1971年,Retail Credit的消费者信用业务第一次被监管。当年,国会通过了《公平信用报告法案》,规定消费者有权了解自己的信用报告并且修正其中的错误,还对信用局可以销售的信息类型做出了限制。
三年后,Retail Credit被指控违反了《公平信用报告法》和《联邦贸易委员会法案》的规定。在众多指控中,美国政府要求Retail Credit停止通过收集一个雇员获得的来自消费者的负面评价来评价这一雇员,并要求Retail Credit的调查员在展开信用调查时不得歪曲自己的实际身份。
Equifax于1978年1月13日登录纽交所。
被公认为是为了摆脱多项指控给公众留下的不良印象,1979年Retail Credit更名为Equifax,该名称源于"公平事实信息"(Equitable Factual Information)。这一改变也象征着Retail Credit开始将业务多元化。这一战略的典型标志是1979年Equifax对市场调查公司Elrick&Lavidge的并购,后者被并入Equifax的市场信息服务业务。
20世纪80年代,卡特总统解除对银行业的限制,大型全国性银行开始出现,信用卡和银行卡联盟产业链业已完善,消费信贷崛起。与此同时,美国征信行业的并购潮贯穿了20世纪80年代,Equifax、TRW和TransUnion在各自收购了大量信用局后形成了三足鼎立的格局。十年间,104家信用局被Equifax收入囊中。1986年,Equifax的信用报告覆盖了28个州的1.5亿人。
1988年,Equifax成立了市场营销部门,该部门的第一个项目是为一家中西部的保险公司销售抵押贷款产品建立直邮广告(direct-mail)系统。当时Equifax的技术能力已经能支撑它做全流程的市场营销业务:筛选潜在客户、制作广告手册、处理电话问询、确认申请和评估申请人财产状况。该部门运营的前九个月即获得了9000万美元的营业收入。
20世纪90年代初,Equifax开始进入欧洲市场。
1990年,Equifax斥资4.6亿美元收购了洛杉矶信用局Telecredit,后者提供支票验证和信用卡审批服务。当年,Equifax股价大跌。一个原因是公众对Equifax在经济下行期间的盈利能力表示怀疑。另一个原因是消费者对信用局持续增长的不满。1989年,Equifax的一项民意调查结果表明71%的美国人认为自己对信用报告失去了掌控的能力,79%的美国认为隐私权是一项基本人权。当时,监管当局也认为信用局的信用报告经常是不准确的,而且使用的方式也经常是不对的。
1991年8月,Equifax公开表示停止使用消费者的信用信息做精准营销(即直邮广告)。另外,将停止根据消费者的购物习惯给消费者贴类似于"奢侈品购买者"和"优惠券收集者"的标签。
另外,迫于舆论压力和消费者抗议的压力,Equifax放弃了与Lotus Development Corporation的一项在数据库上的合作,该合作能使小企业了解附近社区的地理信息。1992年中,Equifax同意向消费者提供免费客服电话,并承诺在30天内对纠纷展开调查。
Equifax采取上述举动不单是为了改善公众形象,更重要的是为了免于被监管机构出台更严厉的法规和免于支付昂贵的诉讼费用,避免更多的合规和合法成本。
1991年,Equifax的净利润从1990年的6400万美元下降到500万美元。这一大幅下降有两个原因:一是经济的衰退导致市场对信用报告的需求量下降了,二是裁掉1900名员工导致Equifax支出了1900万美元的遣散费。尽管如此,1992年初,Equifax在市场占有率上超过了TRW,后者在1996年被并入Experian。
20世纪90年代初Equifax进入到了支票验证和信用卡审批领域,1992年Equifax又将业务拓展到了医疗信息领域,当年,它收购了Heath Economics Corporation。1994年,Equifax收购了另外三家医疗信息公司,这大大加强了它在医疗索赔业务中的实力。
除了在美国本土扩展业务、进行并购,20世纪90年代初,Equifax还通过并购或者与其他企业合资将业务拓展到了10余个国家。1993年,Equifax将电脑运营外包给了IBM,这使得Equifax的技术团队有更多精力来研发产品和服务。1994年,Equifax推出了25个新产品。
为了将业务聚焦于支付服务、信用报告和风险管理,Equifax在1996年出售了医疗信息业务,1997年剥离了保险信息服务业务,该部分业务被命名为Choice Point。当年2月,Choice Point在纳斯达克上市。2008年2月被LexisNexis的母公司Reed Elsevier以41亿美元的价格收购,随后Choice Point更名为Lexis Nexis Risk Solutions。
与此同时,Equifax在海外加快了扩张步伐。20世纪90年代末,Equifax在美国、法国和加拿大等地收购了多个信用报告机构和信用管理公司。由于在发达国家的扩张日益受限,Equifax在拉丁美洲(尤其是巴西)和亚洲展开并购。
04
小结
从Equifax的发展历程可以看出,其在业务逐渐壮大之后一是会在业务上进一步多元化,但这种多元化(尤其是利用消费者的数据做信用决策以外的精准营销等业务)不一定会取得良好的消费者反馈和监管回应;二是在地域上进入外埠市场,此时其常常采用的策略是并购当地公司或与之合资设立公司。
Equifax的发展历程还是美国个人征信业发展史的一个缩影:19世纪末起源于商业信用;20世纪70年代相关法律陆续出现;20世纪七八十年代并购潮出现,掌握了全美数据的征信局呈现出"三足鼎立"格局;20世纪90年代初,踏上海外扩张之路。
行业时事
案例分析
监管动态
公募基金流动性新规“10大要点”:余额宝补缴近60亿风险准备金
深度观察
巴曙松:长期来看,余额宝和银行储蓄业务的变化有着怎样的关联?
活动&荐书
清华大学五道口金融学院互联网实验室成立于2012年4月,是中国第一家专注于互联网金融领域研究的科研机构。
专业研究 | 商业模式 • 政策研究 • 行业分析
内容平台 | 未央网 • "互联网金融"微信公众号iefinance
创业教育 | 清华大学中国创业者训练营 • 全球创业领袖项目(报名中!点击查看详情)
网站:未央网 http://www.weiyangx.com
免责声明:转载内容仅供读者参考。如您认为本公众号的内容对您的知识产权造成了侵权,请立即告知,我们将在第一时间核实并处理。
WeMedia(自媒体联盟)成员,其联盟关注人群超千万