在21世纪的信息时代，信息泄露问题持续困扰着大众，但似乎无法对此进行有效的遏止。特别是在金融借贷行业，涉及的信息更为敏感，一旦发生泄露，后果无比严重。据我们了解，一个专门针对电信诈骗进行维权的网络社群里，汇聚了全国超过70位受害者，他们因为在借贷平台注册过账户，结果被骗走了数万元甚至十几万元的资金。相较于其他贷款应用，借贷APP收集用户信息的理由看似更加“合理”。

他们打着风控的旗号，搜集用户的个人身份资料，读取用户的通讯录，甚至有的无所顾忌地窥探用户的短信内容等等。而在涉及用户信息交易的黑网市场中，最贵的就是贷款数据。有报道指出，通过贷款超市获得的信息，每个的售价至少五毛。无论是出于风控需求，还是出于其他利益驱动，过度收集用户信息已经成为金融借贷行业的一大痼疾。

许多APP仍过度获取用户数据

“是否允许XX获取您的设备信息”，“是否允许XX获取您的位置信息”，“是否允许XX读取您的通讯录”…… 当用户下载并安装APP时，往往会看到这样的授权提示，但是，大部分人并未深思熟虑这些请求权限的含义，通常会无疑问地同意授权。然而，他们却不知道，这种行为已经在潜移默化中埋下了信息泄露的隐患。

在信息化的今天，几乎没有APP开发者会自觉地遵守“最少够用”的原则来获取权限。有了大量的用户数据支持，企业才能构建更为精准的用户画像，从而为精细化营销奠定基础。而在金融借贷领域，掌握更多的用户信息则直接关乎到企业的利润。

全国信息安全标准化技术委员会的《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》（以下简称“指南”）规定了金融机构网络借贷服务所需收集的必要信息，包括手机号码、账户信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息和借贷交易记录。该“指南”还规定了这些必要信息的使用要求，例如手机号码仅用于用户注册，身份信息仅用于进行用户身份验证，以满足相关法律法规的要求等。

然而，我们在体验市场上活跃的多款金融借贷APP时发现，有相当一部分的APP存在过度收集用户信息的问题。例如：

小象优品要求获取的权限包括：存储（读取存储卡内容、更改或删除存储卡内容）、电话（拨打电话、获取设备ID和状态）、位置（获取粗略位置信息、获取精确位置信息）、相机（拍照和录像）、麦克风（录音）、通讯录（读取联系人、查找设备上的账号）以及其他权限（更改系统设置、显示在其他应用之上）。

在安卓应用市场中，只有当用户同意访问上述权限，才能下载并使用小象优品APP。

贷上钱所需授权的权限包括：存储、电话（获取设备通话状态及识别码）、地理位置、信息（读取短信/彩信及接收短信）、通话记录（读取通话记录）。在下载并安装了贷上钱APP后，只有当用户授权访问以上权限，才能开始使用这款APP。

榕树贷款需要授权的权限包括：存储、电话（获取设备通话状态及识别码）、地理位置。在下载并安装了榕树贷款APP后，只有当用户授权访问以上权限，才能开始使用这款APP。

根据不完全统计，金融借贷类APP过度收集的用户信息中，主要“强制”访问的权限是位置信息和通话记录/通讯录信息。值得注意的是，消金社发现，同一款APP在iOS系统和安卓系统中的权限管理程度有显著差异。行业人士告诉消金社，这是因为iOS和安卓的授权机制不同，安卓系统复杂多变，各大厂商可以修改更多的底层内容。

另外，由于收集用户信息方式不规范，部分金融借贷应用被工信部公开点名。7月1日，工信部在关于2019年第一季度电信服务有关情况的通报中，列出了问题应用软件名单，其中包括暴风金融、51人品贷、融360、水象分期、布丁小贷、九秒贷以及麦芽贷。

内容来源《工业和信息化部关于电信服务质量的通告（2019年第2号）》

有行业人士分析，获取用户数据应当尊重用户的知情权，必须明确告知用户将会获取哪些信息。至于若不授权就无法使用，对于产品业务本身也是合理的。

被“抵押”的通讯录

金融借贷应用收集用户信息，一方面是基于贷前风险控制的需要，以此判断用户的资质，另一方面则是为贷后催收工作做好准备。由于借款人广泛分布，且涉及金额相对较小，上门催收成本高，电子催收自然成为网络借贷平台最常用的催收方法。

而爆通讯录，就是最常用的电子催收手段之一。

“不授权通讯录，谁会给你下款，”一位借款人告诉消金社，“你甚至都无法使用这款软件。”有行业人士告诉消金社，催收时爆通讯录的电话信息，是在用户安装软件，首次使用时，就会获得授权。

然而他指出，现在很少使用这种催收方式，“爆通讯录容易被投诉，催收公司被相关部门约谈的概率也很大，因此很少有公司会选择这种方式。”他透露，现在电话接通率普遍较低，接通率达到60-70%就已经相当不错了，“通常在T3-T7之前都不会爆通讯录，是否爆通讯录需要综合考虑借款人的还款意愿以及还款态度等。”

然而，《网络安全实践指南》明确指出，金融借贷应用不应强制读取用户的通讯录，应让用户在应用中手动输入紧急联系人信息。上述行业人士认为，这条规定可能会对规模较大的合规借贷平台产生影响，可能会影响用户体验，但对于小规模的现金贷公司来说，影响应该不大。

但现阶段，还没有任何一款金融贷款应用，允许用户手动输入紧急联络人。“我托管的就是我的联系人名单。”有借款人表示，通讯录就像一个人的信誉钱包，尽管它的价值无法用金钱衡量，但其对一个人的重要性是无可否认的。

甚至有一些借款人没有还款意愿，他们争辩说，“曝光通讯录就相当于处理了抵押品，为什么我还需要偿还贷款？”除了风险控制的需要，过度收集的数据背后，可能是一条隐藏在灰色区域的利益链条。

数据销售市场

“你的资格已经符合，额度达到200000元，已于7月10日到账，请在24小时内登录提款。”陆林的手机每天会收到2-3条类似的额度到账通知。他展示给消金社的短信记录显示，这些“推销”短信的签名包括360借条、及贷、蚂蚁速用、随心微粒、多多花、瓜子发财、闪电超人、卡卡来财、大金鱼、急钱宝等平台。

在这些“营销”短信中，常常会使用免息、逾期可借、无审核秒下款等词汇，诱使被营销的对象点击借款。

陆林告诉消金社，他曾注册过多个借款APP，“不知道信息是从哪里泄露的，但每天都会收到这种垃圾短信，让人感到非常烦恼。”几年前，陆林还做过电销工作，每天上班前，他的主管就会分配给他们当天的电话外呼号码，“我们的任务就是一个个打电话，也不知道电话号码是从哪里来的，现在信息泄露的渠道太多了。”

要找到信息泄露的源头并不容易，陆林的信息可能已经在数据市场上被交易过多次。调查发现，贷款超市、现金贷平台以及贷款中介之间相互出售数据已经非常常见，根据数据的“新旧”程度，每条数据的价格从0.3元到3元不等。在互联网金融领域，大规模的信息泄露事件也经常发生。

2018年11月，有黑客在暗网上发布帖子称，他已经完全掌握了汽车金融平台玖融网的所有权限，并以“一个比特币”的价格出售30万用户数据以及后台服务器的全部权限。这名黑客称，他掌握的数据不仅包括玖融网的车贷用户，还有P2P投资用户以及内部渠道数据。据了解，这名黑客掌握的数据高达65个维度。

他提供的电子表格显示，其中包括了用户的姓名、手机号码、身份证号码、银行卡号、户籍地址、住址、工作单位、职务、月薪等个人信息，还包括车贷用户的车辆信息，如车型、车牌号、颜色、排量等。

同样，在玖融网信息泄露事件的次月，零壹财经曝光了你我贷的65000条贷款数据在暗网上被明码标价出售。卖家告诉零壹财经，数据是从线下渠道流出，5000条数据售价60美元，全套需要买十份。卖家提供的截图显示，泄露的贷款数据包括借款人的姓名、电话号码以及所在地区。

你我贷在响应中指出，经过核查，你我贷的信息安全系统运转正常。根据媒体公开的20人中的截图，有14人在你我贷无注册记录，有注册的6人中，4人为已被拒绝的申请人，你我贷的借款人只有2人。你我贷认为，考虑到现实中借款人可能同时在多家网络贷款平台申请借款，因此无法断定信息泄露是由你我贷引起的。

据我们了解，当前信息泄露主要有三个来源：一是网站的漏洞，这是黑市中个人信息的主要获取途径；二是针对个人用户的木马病毒、钓鱼网站和假基站；三是不良商家的“内部人员”和技术黑客。另外，一些数据可能在正常的业务交流中泄露。

我们阅读了多款贷款应用的《隐私政策》并发现，几乎所有贷款应用都会向用户申请权限，将必要的数据分享给合作的第三方。有些贷款应用的《隐私政策》中说明，他们用于贷后催收的信息包括：联系人信息、通讯录、通话记录（包括但不限于通话的时间、地点、主叫/被叫、通话对象的电话号码、通话时长、长途漫游属性等）等。

该贷款应用还会向用户发出授权请求，请求用户将这些信息授权给被授权者或被授权者指定/委托的第三方，甚至是第三方的合作机构。

而在向第三方机构提供这些信息时，如果没有进行脱敏处理，很可能会导致信息泄露。业内人士表示，贷款催收本身就是一个灰色领域，将用户的敏感信息提供给第三方，还要看贷款平台和贷款用户之间签订的贷款合同中是否有相关的条款。更进一步，为了确保用户信息不被泄露，他指出，还需要规定不能将相关数据泄露给第四方，“否则就过于无法接受了”。

信息泄露的恶果

信息泄露的后果可能比仅仅是受到骚扰更严重。360互联网安全中心的反诈骗专家曾表示，至少有超过50%的诈骗案件与个人信息泄露有关。他指出，犯罪者利用个人信息进行精确的诈骗，普通人在大多数情况下无法自我防护。

在金融贷款领域，诈骗者利用泄露的信息进行精确诈骗的成功率可能会更高。我们追踪发现，从2017年底开始，一种针对包括在校大学生在内的年轻人的诈骗一直在发生，近期甚至呈现出越演越烈的趋势。

2017年底，有诈骗者以“注销网络贷款平台账号”为名，针对学生进行精准诈骗。根据当时被诈骗学生整理的名单显示，被诈骗的学生大部分是大一新生，被骗金额从3000到40000元不等。

据我们了解，截至目前，这个案件仍在侦查中。有知情人士表示，这种案件很难抓到主犯，甚至可能没有主犯。两年后，相同的诈骗手段仍在发生。有多名受害者告诉消费者金融社区，他们在接到一个自称是“分期乐客服”的电话后被诈骗。

据报道，骗子们利用“取消账户”和“禁止校园贷款”等理由，诱导受害者从分期乐中提取贷款额度，并从其他平台借款转入指定账户。

从37名受害者的数据看，年纪最大的26岁，最小的只有19岁。他们大部分是大学生，或者刚毕业一两年的年轻人，主要在过去的三个月内遭遇诈骗。除了引导他们从分期乐提取贷款额度外，诈骗者还让他们从其他平台申请借款。据消金社统计，被骗的最高金额达到26万元。

此次诈骗事件涉及的借贷平台不仅有分期乐，还包括小米金融、百度有钱花、360借条、花呗、借呗、美团生活费、京东金融、滴滴金融、微粒贷、马上消费金融、中邮钱包等。

对于信息泄露导致的精准诈骗，受害者们能做的事情极少。他们缺乏社会经验，面对如此巨大的诈骗，恐惧、迷茫，甚至看不到未来的希望。

“无济于事”、“静待其变”可能是他们寻求帮助时听到的最多的回应。“找到信息泄露的源头是最关键的。”行业人士认为，只有找到并控制信息泄露的源头，才能解决信息泄露问题。

但对于分布在全国各地的受害者，和隐藏在网络背后的骗子，寻找源头并非易事。另一方面，我国在个人信息保护方面的法律仍不完善，《个人信息保护法》仍在起草中，这也给一部分骗子留下了机会。

除此之外，在当前金融数据共享的大背景下，如何平衡用户信息保护和金融数据共享的关系，也是一个值得深思的问题。有行业人士认为，金融数据共享必须建立在完善的监管制度之上，任何无背景无公信力的机构滥用金融数据共享，都将引发灾难性的信息泄露事件。

我们已经学会了保护个人隐私信息，对他人的窥探保持警惕，对来源不明的链接敬而远之。虽然各种曝光的电信诈骗让我们愤怒，但也让我们体验到一种智商的优越感，只要保持警惕，就一定能预防这些粗糙的诈骗。

然而，各种金融APP使我们重新认识了个人数据隐私的重要性，面对诈骗者，大学生的智商优势也不再存在。更令人无法接受的是，提供隐私信息的，竟然是我们自己。