金融风控数据生命周期合规启示录

1 “自强不息”的套路贷

“大炮一响，黄金万两。”--来自网贷界的狂欢。

“凭本事借的钱，为什么要还？”--来自撸贷村的灵魂拷问。

这两个片段背后的故事，演绎着贷款者与借款者的江湖恩怨。

2010年，分期贷随着移动互联网的热潮，席卷整片中国大陆，广大蓝领的消费能力被提前透支。

2014年，网贷将目标瞄向了大学生，这个天然优质客户群，滋养了一大批网贷公司，一时间，校园贷充斥着大学校园的每个角落。在虚荣心与薄脸皮的作用下，很多女学生被逼下海、轻生，自暴自弃者更不必说。

随后的“裸条”、“现金贷”、“套路贷”等，自是一浪高过一浪，目不暇接，但不变的是「借钱」这一人类永恒的硬刚需。

2018年，714高炮隆重下线，即放贷1500元，去掉砍头息/服务费，借款人实际到手1000，7天或14天后还款，简称714高炮，这实际上是网贷产品的N.0版，利息年化利率基本上都超过了1500%。

2019年央视315晚会上，714高炮平台被曝光，随后倒了、停了一大批高炮平台，可是网贷行业并没有真正放下屠刀。

紧接着，55超级高炮打响，期限5天，砍头息50%，更高的利息，更短的周期，不怕你不还，就怕你不借。

这些年来，网贷产品的每一次迭代更新，更像是一条变色龙为了应对环境变化而作出的一次次变色伪装。其中产业链最终端--催收也随着监管的力度增强，而经历了暴力催收--软暴力催收--佛系催收--不催收的过程，颇有武林里「无我」的意味。

所谓的不催收，当然不是网贷公司就此认命了，而是他们想出来了更加绝妙的赚钱方法--击鼓传花。

以前每一笔贷出去，都是想着要在这一笔上最大限度地汲取回报，在[ 回报=（本金+利息）*回收率 ]公式的作用下，减少实际给付的本金是一个法子，于是砍头息屡试不爽；增大利率也是个大杀器，于是高利贷从古至今盛行于世；努力提升回收率自然也是百灵药，但技术难度相较前二者，显得复杂得多。

要提升回收率，就要管住两方面，一个是钱出，一个是钱进。钱出的意思是放贷前要评估借款人的信用，于是有了风控这个行业；钱进就是放贷后要尽可能地把钱收回来，于是有了催收这个行业。

但这些在超级高炮下，显得无关紧要。坊间传言，只要是个人，就放贷，秒放的那种。这背后倒是是何逻辑？深扒一下，就会不由得被这群人的智商所折服。

网贷公司把钱借出去后，5天到期，还不起没关系，引导你去另一个网贷APP借来还，5天后新的平台又到期，又还不起，也没关系，继续找其他平台借来还，如此反复，不用多久，就会发现借款人的手机中网贷APP数量达到几十上百个。

一手击鼓传花耍得唯妙唯俏，就比拼各家的手速，看最后栽在谁手里，反正不会是我。

道高一尺魔高一丈，后来又有人发现了更加绝的玩法--55超级高炮横空出世，击鼓传花慢慢进化成左手倒右手的游戏，虽然本质都是传递，但这次传递只在网贷公司自己的手中传导。具体是，钱借出去后，1000到手500，5天后还不上了，没事，引导借款人继续下载APP，让他再借，又是1000到手500，这时借款人要自己垫上500，才够还款，如此反复，借款人每多下载一次，就要多被吸走500，这等好事肯定不能流外人田，所以借款人手机的那些网贷APP，其实都是同一家网贷公司旗下的「产品矩阵」。左手倒一下右手，500轻松落入口袋，拍拍手就可以赚钱的游戏。

放贷行业其实是个很古老的行业，时代在发展，放贷的方式同样与时俱进，生生不息。这背后其实是民间社会对金融的真实需求，正所谓一分钱难倒英雄汉，一面是商业银行对个人贷高门槛的要求，一面是民间对贷款的急切需求，这让放贷行业有了生存的空间。

所谓金融无非就是玩「钱进钱出」的把戏，资本的嗅腔是好血的，贪婪是其本质，赚了一分，就想赚一块。于是网贷乱象屡禁不止，砍头息、高利息、暴力催收层出不穷。借款人因各种套路贷被逼上绝路的报道俯拾皆是。

“阿秀通过手机APP 借款1200元，贷款期限为7天，后因无力支付高额逾期费用遭暴力催款。放贷团伙多次使用电话、微信向阿秀及其家人催款，后合成阿秀裸体彩照，并在照片上标注樊某秀卖身还债字样，向其本人与亲属发送，最终导致其跳河自杀。”

以上案例来自人民网报道，该类网贷引发的悲剧事件给社会稳定带来极大冲击，对此，国家层面也频频出手整治。

最近大批风控数据公司被查正是在这样的背景下发生的。为了打压套路贷，减少不法催收给社会带来极大不稳定的影响，政府部门已经开始深挖整个放贷链条，不再局限于主链上的放贷人或催收人，而是将手伸向了为放贷人提供金融风控数据的第三方公司。

2 风控数据

据财新网报道，9月魔蝎科技、新颜科技、公信宝运营公司杭州存信数据科技有限公司、51信用管家、杭州存信先后被查。此外，还有多家大数据风控公司人士“协助调查”，涉及同盾科技、中国电信旗下翼支付、百融云创等多家机构。与此同时，白骑士、天机数据、立木征信、聚信立等纷纷表示暂停爬虫业务。

谈起风控数据，其实大家都不陌生，比较常见的芝麻信用分也是一种风控数据，可以用来衡量要不要借钱给你，借你多少钱。判断一家金融科技公司（现金贷/消费贷公司）强不强，风控（即风险控制）能力是重要标准，其强弱决定了我们先前讲到的回收率，风控能力越强，代表着贷出去的钱有更大概率能够收回来，这关乎一家网贷公司能否存活。据传，现在开始出现「撸贷村」，就是整村人都在寻找网贷公司套取借款，然后再集体拒偿。

一家网贷公司的风控体系是建立在数据采集、数据分析、数据策略、数据模型、催收等之上。

细心的同学可以发现，金融风控体系的各大环节本质上其实都是对数据的「处理」，可见数据对于风控的重要性。可以说，离开了数据，金融风控体系便土崩瓦解，贷款业务自然无法继续，因为你无法判断屏幕前的借款人是不是斗志昂扬的撸贷大军。因此现实中，诸多大小平台，包括中小银行纷纷或暂停或缩紧了贷款业务。

而跟最近大数据公司被查有关的环节出现在催收环节上，也就是管「钱进」的这一环。这也不难理解，贷款公司「钱出」之前对借款人的信用进行评估是天经地义的事，是金融行业（包括各大商业银行）的生命线，当然也是借款人与贷款人一个愿打一个愿挨的事实。

但催收这一环可不一样了，至少很难听到叫得上名字的商业银行，到欠款人家里喷漆，打电话问候人家亲友的，最后逼得借款人走上绝路的。

那数据究竟是如何影响催收的呢？

先前我们提到，网贷公司要想赚钱，就要提升回收率，而催收又是保证回收率的重要手段。所以努力提高催收效率就成了网贷公司必须迈过的坎儿，这时候，大数据就体现出其巨大的威力。在构建催收策略时，需要收集用户/借款人的个人基本信息、财产信息等来建立催收评分模型，用来预测催收成功可能性；另外还需要收集用户/借款人的联系渠道，以保障后续催收的可联系性。

催收策略 [事例]

其中，作为具体催收手段之一的社交网络催收，又是此次打击的重点。那社交催收又跟数据有何关系呢？何以致监管部门对「大数据」公司痛下狠手？

社交网络催收

从这个模型不难看出，社交催收的顺序通常是本人--亲人--同学--同事--一般朋友，因为这跟催收的效率成正相关，与借款人越近的人，越能够影响借款人还款。

在这里，就不得不介绍下借款人的人群画像，通常会向网贷平台借款的人都是有稳定收入，有固定生活圈子的人，可能最近刚好喜欢上某个东西，或者需要资金周转一下等等，借款金额都是几百到几千不等的小额贷款，因为金额比较小，又不好意思管亲友借，而网贷平台又恰好可以满足这个需求。尽管有不少是赌徒、撸贷等“劣质用户”，但在平台的风控之下，也可以把这部分人最大限度挡在门外。

在这样的用户画像下，社交催收是很有杀伤力的一招，因为这群人大多好面子，金额又小，还达不到让用户“摊牌”的程度，抓住这些心理特征，有时候是一催一个准，用户准要想破脑袋来还钱，最后却发现越还越多。

不过想要拿到用户的社交联系人可不是容易搞定的事情，这里不是指技术上，而是指法律上。

3 风控数据生命周期合规

网贷公司在构建自己的风控体系时，所需的数据一般会通过第三方数据公司提供，因为第三方数据公司专门从事这门生意，可以保障拿到手的数据是最新鲜、最全面的，这对于数据模型的准确率来说非常重要。对于那些半道闯入，自己手上没有数据的网贷公司来讲，找第三方公司买数据，或干脆购买整套风控数据解决方案，这些都是硬刚需。据悉，被查的摩羯科技就是风控数据解决方案提供商，网贷平台只要购买该方案就可以实现贷款，顶多再结合征信、运营商数据等进行交叉比对。

值得强调的是，以上流程在现实中不一定总是这样，比如对于大型的网贷平台，它们很可能拥有自己的海量数据、优秀的建模能力等，此时，三个主体便合三为一，所有行为也都是自己搞定。为了方便对每个主体及行为进行法律评价，不妨把整个链条拆解出来，并且我们主要围绕「行为」进行评价。

1、数据获取行为

最常见的就是利用「爬虫技术」爬取数据，而爬取的数据又分为公开数据与非公开数据，公开数据主要包括用户主动公开的数据（比如用户在微博、大众点评上发布的信息等），还包括公共机构依法公示的数据（比如企业信息公示）。

使用爬虫技术的公司，只要把自己的「蜘蛛」放在上表的最顶端，然后顺着往下爬，如果爬到的是「坏虫子」，那恭喜了，你需要作出合规整改了。不过坏虫子也分很多种，有的是蹲牢里的虫子，有的是挨鞭子的虫子，有的则是吃官司的虫子。

另外，在现有法律框架内，上表的一些结论并不是唯一性的，比如经过用户授权，但未经过企业授权的采集，是否合法？司法实践所确立的「三重授权」，其法理依据是否足够充分？数据垄断最终会召唤出可携权吗？再比如，用户主动公开的个人信息就可以随便采集使用？这一切都还无法盖棺定论。

2、数据使用行为

讨论数据使用行为的默认前提是数据获取行为合法合规，如果这个前提不成立，那显然没有讨论的必要，当然，如何判断数据来源的合法性又是另一回事了。数据使用行为最容易发生超出采集目的范围使用的情况。比如以发货为目的而收集的用户收货地址，后面被用来做地域的个性化推荐。

在金融风控数据中使用过程中，需要经历清洗、加工、挖掘、融合等技术手段，以便建立反欺诈、贷前评估、贷中监测、贷后催收等模型。

法律风险主要集中在应用层，因为对用户权益的侵害往往通过数据应用体现出来，其中，又以贷中监测与贷后催收环节为最，因为用户的权益在这两个环节中最容易受到侵害。在底层技术中，使用数据融合技术时，应当注意因融合而产生「匿名信息」重新识别而变成个人信息的法律风险。

3、数据交易行为

数据交易由于涉及直接的商业贩卖利益，因而显得特别敏感。主要风险在于未经用户同意的交易，包括「打包」同意，常见类型包括“在特定情形下，企业有权将用户信息共享给关联企业或第三方......”。这类风险来源是非常直接的，很容易触犯红线，特别是当数据被用来实施违法行为并被查处时，数据源头公司被「顺藤摸瓜」的概率还是不容小视的。而作为数据需求方的网贷公司，在购买数据模型解决方案的时候，本质上就会触及数据交易的问题，交易标的包括原始数据与衍生数据。

对于数据下游企业来说，风险更难控制。作为数据交易的接收一方，很难去审查数据来源的合法性，这无疑是一颗定时炸弹，仅靠交易合同的责任条款安排，显然无法起到「全身而退」的效果。所以，数据购买前的排雷（如尽职调查）显得尤为重要，从数据原始采集的授权链条上开始一一排查，列出数据目录，然后分出风险等级，视情况采取补救措施（包括法律手段与技术手段）或果断弃购，力求做到风险可控化，而不是一味裸奔，所谓爬虫爬得好，牢房进得早。

数据目录「事例」

4 小结

据中国基金报报道，湖南一男子为逃脱网贷，制造“假死”骗保，其妻子信以为真，在朋友圈留下 “绝笔书”后带儿女自杀。另据21世纪经济报道，腾讯旗下微众银行的第一笔贷款3.5万发给了一位货车司机，服务了以往商业银行覆盖不到的客户群体。一边是网贷的悲剧，一边是网贷的普惠，这对矛盾关系经典地诠释了金融风控数据的命运：数据无辜，行为有罪。

参考法规：

《网络安全法》、《刑法修正案（九）》、《反不正当竞争法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》、《数据安全管理办法（征求意见稿）》等。

作者简介：姜斯勇律师，明庭数据合规部，上海市大数据社会应用研究会成员，团队专注数据法领域，服务ABC[ AI & Big Data & Cloud ]、TMT行业；个人交流微信：scottlawyer。

声明：本文来自网络法实务圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。