身份核驗的隱秘江湖：查詢接口層層轉接 非法緩存上下游數據牟利

據央視網報道，2019年底，江蘇淮安警方依法打擊了7家涉嫌侵犯公民個人信息犯罪的公司，涉嫌非法緩存公民個人信息1億多條。

其中，拉卡拉支付旗下的考拉征信涉嫌非法提供身份證返照查詢9800多萬次，獲利3800萬元。

一條隱秘的身份信息非法核驗鏈條隨之浮上水面。

“身份信息核驗返照”是指通過輸入公民姓名和身份證號碼查詢獲取身份證相片，屬于身份信息核驗的一種方式。

最早的身份信息核驗服務由2001成立的全國公民身份證號碼查詢服務中心（NCIIC）提供，其利用公安部數據庫比對后返回“一致”或“不一致”的結果。

2012年起，國家陸續出臺相關法律法規，要求互聯網用戶遵循“后臺實名、前臺自愿”的原則，基于手機號等進行真實身份信息認證；支付機構則進一步被要求核對用戶有效身份證件并留存復印件。

如今，無論是辦理手機卡，住酒店，購買火車票還是注冊App賬號，要么需要輸入手機號和短信驗證碼，要么需要輸入姓名和身份證號。這些信息都是為了做身份信息核驗，從而證實“你是你”。

隨著實名認證的普及，公安部以外的其他政府部門、金融機構甚至互聯網公司等也具備了大量收集公民身份信息的可能。身份信息核驗市場愈發龐雜，不再是一家獨大的“生意”，逐漸衍生出灰色地帶。

需求飛漲

供不應求催生龐雜中間市場

最早開始提供身份信息核驗服務的NCIIC成立于2001年。

人們在電信營業廳、銀行等機構辦理業務時，需要出示身份證件，隨后姓名和身份證號等數據會被傳送至公安部“全國人口信息社會應用平臺”進行比對，返回“一致”或“不一致”的比對結果。

據官網介紹，該服務涵蓋了政府部門及銀行、保險、證券、汽車金融、消費金融、互聯網支付、征信、電子商務、通信、物流、人力資源等十余個行業的用戶。但是據南都記者了解，真正獲得查詢接口的企業并不多——曾有業內人士估計，全國只有幾十家。

中國銀聯“身份證信息認證和查詢”業務負責人告訴南都記者，NCIIC原則上只提供給事業單位或各行業持牌機構，門檻極高，而且查詢接口的運行時間僅為5*8小時，查詢次數也有限制。

但不可忽視的是，身份信息核驗市場規模飛速增長。

《2018年互聯網和相關服務業經濟運行情況》數據顯示，游戲、社交等八類App下載量超過千億次。

以游戲為例，根據《中國互聯網絡發展狀況統計報告》，2018年的游戲用戶為4.84億。假設每個用戶平均注冊兩種游戲，身份信息核驗的次數將高達近10億次/年。

據前瞻產業研究院發布的《中國身份認證信息安全行業與前景預測分析報告》統計，2018年，中國網絡身份認證信息安全行業市場規模達到132億元，到2022年將接近300億元。

一邊是不足百家擁有身份信息核驗接口的企業，另一邊是百億量級的市場需求，巨大的缺口嗷嗷待哺。近年來NCIIC的收費標準的變化或許也能佐證身份信息核驗市場的供不應求。

2017年，發改委決定取消公民身份認證服務收費政府定價，具體收費標準由NCIIC與用戶商定。

2019年7月，NCIIC宣布取消公民身份信息核驗服務收費，并取消通過合作伙伴提供公民身份信息核驗服務的模式。原通過合作伙伴使用公民身份信息認證服務的用戶將由NCIIC提供免費認證服務。

也就是說，NCIIC未來只會向符合資質要求的用戶直接提供免費的身份信息核驗服務，不再下設代理商（即“合作伙伴”）間接提供服務。NCIIC還曾向媒體表示，取消收費后有很多機構在排隊，接入時間無法確定。

然而，在過去十幾年間，隨著實名制的普及，新“玩家”不斷涌現，最上游的查詢接口提供商與下游企業之間早已形成了龐雜的中間市場——公安部不再一家獨大，有能力合法留存大量公民身份信息的其他政府機構、運營商、銀行、大型互聯網企業也紛紛加入“戰局”。

“身份證號碼、電話號碼和和姓名，很多的機構都有”，一位曾在運營商工作的專家對南都記者說，比如12306、人力資源和社會保障部，還有醫療單位、婚姻登記處，“其實數據源特別多”。

此外，身份認證方式也從最基礎的身份證二要素（姓名、身份證號）逐漸拓展到運營商三要素（姓名、身份證號、手機號）、銀行卡三要素（姓名、身份證號、銀行卡號）、銀行卡四要素（姓名、身份證號、銀行卡號、銀行預留手機號），還可配合人臉識別使用。

多位數據接口服務商指出，最上游的身份信息核驗接口通常來自公安系統、運營商和銀聯。

多級鏈條

離數據源越遠查詢價格反而越低

以銀聯的身份證信息認證和查詢業務為例。

銀聯開放平臺官網介紹稱，該產品可獲得公安部直聯實時數據，并擁有銀行卡及三大運營商數據資源，可以與銀行卡驗證業務及運營商驗證業務并行使用?？傮w驗證成功率99.997%，系統響應速率平均450毫秒。

“你需要的是銀行卡核驗，就走的是銀聯的信息；如果需要身份證核驗，走的就是公安部的?！鄙鲜鲢y聯業務負責人表示，相比NCIIC的5*8小時服務，銀聯提供的是7*24小時的服務，價格最低可以到每次查詢兩毛錢左右。

他透露，接入銀聯接口的主要是銀行、證券、保險、政府機構以及一些大型互聯網公司，也有一些很小的App可能會找銀聯的代理商。

談及直聯銀聯的優勢，他表示“會比較便宜”，因為二級數據代理商“可能有一些溢價”。

但南都記者調查發現，事實并非如他所說。

上述銀聯業務負責人對南都記者說，銀聯“很少會去做直拓”，除非客戶直接打電話過來詢問，否則大部分情況下都是由銀聯的合作伙伴（二級數據代理商）去進行拓展。

國有數據資產增值運營服務商“數據寶”也曾在知乎上作答稱，公安系統的官方渠道“基本都不做直客”，而是經由授權服務商對外提供——數據寶就是其中之一。想要拿到官方授權，服務商必須要有信息保障的安全體系。

二級數據代理商沒有一手數據，收到核驗需求后，它們會將其提交給最上游的官方數據源，并將收到的比對結果返回給客戶。由于公安系統、運營商和銀聯的合作門檻普遍較高，市場上最活躍的正是這些二級數據代理商。

數據科技服務商“聚合數據”扮演的就是上述銀聯業務負責人口中二級“數據代理商”的角色。

聚合數據客服告訴南都記者，身份核驗的數據來源主要是公安部?！跋喈斢谠蹅兙酆蠑祿且粋€中轉站，把訴求發到公安部，然后得出一個‘一致’或者‘不一致’的結果）”，他說，“我們相當于一個中間商賺點差價”。

聚合數據官網上顯示，如果一次性購買的查詢次數達到四萬次，價格可以便宜到每次兩毛錢。如果查詢次數達到十萬，該客服稱還可以便宜到每次一毛錢。

值得注意的是，上述銀聯業務負責人所推測的“溢價”并未出現，甚至購買聚合數據的接口還會更便宜。

類似情況也出現在了一個下游數據接口服務商上。

這類數據接口服務商往往不具備直聯一級渠道的資質，但長處在于能靈活調整解決方案，滿足各行業終端用戶五花八門的應用場景。于是，他們在二級數據代理商和終端用戶之間充當起“N道販子”，查詢接口也因此被層層轉接。

盡管“接口簡介”中稱實時聯網NCIIC，但該數據接口服務商的銷售人員透露，“我們是跟上游商業公司合作的，他們直聯公安系統?！卑凑者@個說法，數據的返回路徑應該是：公安部-上游商業公司-數據接口服務商-用戶。

依照常識來看，兩級中轉會大大降低系統響應速率，但他表示“一般（每次查詢）100毫秒左右都可以完成的”，因為“我們服務器的優化這塊做得比較好”。

除了響應速率更快，該數據接口服務商“身份證驗證”業務的價格也比聚合數據更便宜。只要一次性購買的查詢次數上萬，就能享受每次低于兩毛錢的價格；購買超過五萬次，價格最低可以到每次一毛三。

南都記者注意到，根據數據寶的知乎回答，如果接口每次查詢價格低于一毛錢，響應速率快至200毫秒以下，且對個人用戶開放，極有可能是非法緩存或買賣其他機構緩存所得的數據。

業內通用

非法緩存是個人信息泄露源頭

所謂“緩存”，是指查詢接口提供商將獲得的身份核驗信息存儲在本地。它就是為什么“理論上應該是越遠離數據源的價格越高、系統響應速率越慢，但現實卻恰恰相反”的關鍵所在。

按照法律要求，這些提供商不直接對接個人用戶，無權存儲公民個人信息。但是不少提供商都會悄悄緩存數據，然后提供相關數據服務。當累積的數量足夠多，這筆生意可謂“一本萬利”。

據了解，很多數據接口服務商的緩存數據來源不僅來自于上游，也來自于下游：當下游提交需要核驗的個人信息時，進行緩存；當上游返回的結果為“一致”，則相當于擁有了一條真實數據。

長此以往，大量真實的公民個人信息會形成一個緩存數據庫。之后再收到核驗需求時，數據接口服務商只需直接跟緩存數據庫里的信息進行比對，如果有，直接返回結果即可；如果沒有，再返回到上級數據源，進行付費比對。

多位業內人士告訴南都記者，緩存“是業內的一個通用做法”。還有業內人士估計，目前國內有8億元的緩存量市場。

有了緩存數據庫，數據接口服務商就可以省掉不少調用上游數據源的費用，從而削減成本，壓低對外提供查詢接口的價格。而大量的公民個人信息則未經本人允許，被非法存儲在了官方授權渠道之外，個人信息泄露的源頭也就從此開始。

去年，拉卡拉支付旗下的考拉征信就因違規出賣從上游公司獲取的身份信息查詢接口，非法緩存公民個人身份信息被查。下游公司從考拉征信購買查詢接口后以此牟利，造成了公民身份信息包括身份證照片的大量泄露。

暗地操作

下游公司違約轉賣接口？不知道不負責

既然非法緩存已經是業內眾所周知的“黑灰產”，為什么二級數據代理商依然愿意“冒險”將接口轉賣給下游數據接口服務商？

就此，南都記者假稱有身份信息核驗的需求，且可能需要把查詢接口共享給第三方的關聯公司或合作伙伴，聯系了數個二級數據代理商。

聚合數據客服稱，與接入公司簽訂的合同肯定會明確查詢接口不能轉售，但是至于“對方私下有沒有按照合同操作，就和聚合數據沒有關系了……打個比方，你買了我的菜刀，然后去街上砍了人，肯定不能怪我賣菜刀的對吧？”

另一家數據代理商用友APILink給南都記者發來了合同。合同條款明確：“甲方為購買‘用友云’應用服務的唯一合法使用者，未經乙方（用友）書面同意不得將本合同項下服務授權第三方使用”。

但當南都記者詢問是否可以與第三方共享數據時，洽談業務的用友負責人稱，雖然不鼓勵這么做，但即使做了用友也監控不到。

不過，無論是二級數據代理商還是更下游的數據接口服務商都向南都記者表示，絕對不會緩存數據。

他們還透露，考拉征信出事之后，查詢接口買賣也有所收緊——最明顯的變化是多個查詢接口提供商都提高了對接入公司資質的要求。

“我們這塊業務只面向一些企業去開放。有一些灰色地帶的企業，目前我們沒辦法進行合作，比如說P2P之類的?！庇糜沿撠熑藦娬{。聚合數據客服也提到，必須認定對方產品合規才允許接入。

前文提到的數據接口服務商則已經接到了上游數據接口服務商的通知，要求其2020年起“切斷沒有資質的接口”，即不能再把接口提供給第三方公司?！耙院笪覀円仓荒茏约河谩?，銷售人員說。

由此看來，上游的數據代理商并非對接口轉賣、非法緩存完全不知情，但他們選擇了“睜一只眼閉一只眼”。

隨著《中華人民共和國網絡安全法》的出臺，以及考拉征信等金融科技公司出事，他們或許才開始正視公民個人信息可能因此泄露一事。

上述曾在運營商工作的專家對此感觸頗深?！霸冢祭餍牛┏鍪轮?，2018年很多（公司）都明目張膽地出售身份信息查詢接口……2019年少了很多，以后還會少很多?！?/p>

如何規范？

從源頭上開放多個渠道，明確接入標準

盡管引起行業震蕩的考拉征信被查一案尚未公布調查結果，但在已經審結的案件中，利用查詢接口獲取公民個人信息牟利的行為已有先例。

2017年，被告方某、徐某用成立車盾科技成都有限公司（下稱“車盾公司”）后，向山西晟盾信息科技有限公司（下稱“晟盾公司”）等購買公民個人信息查詢接口，共查詢公民個人信息7萬余條，并由此獲利17萬余元 。

法院判定，車盾公司獲取公民個人信息時，沒有法律依據或正當理由，既未得到公安機關或任何部門的許可，也未經過當事人授權。因此分別判處兩名被告有期徒刑三年和有期徒刑一年。

在類似案件中，法院作出判定的理由是“非法獲取公民個人信息，并向他人出售”。實際上，目前不少相關法律法規對此都有規定。

網絡安全法第四十二規定，未經被收集者同意，不得向他人提供個人信息；第四十四條規定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，都屬于“非法獲取公民個人信息”。

多名專家對南都記者表示，目前法律上對誰有資格提供身份信息核驗服務的規定并不明確，但如果各級數據服務商都能做到合規，并不必然導致個人信息泄露。

問題出在“非法緩存”公民個人信息并以此牟利的行為上。

“這個接口本身實際上只是提供查詢服務的一種方式，法律上沒有禁止”，對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可指出，“而且這些數據本身是用戶提供的，公安部只是做了一個是或否的回復，不存在數據傳輸?！?/p>

他表示，數據服務商與終端用戶之間沒有直接關系，應該在按照委托人指定的目的做完身份核驗之后就刪除數據，無權長期存儲這些數據或用于其他用途。如果導致個人信息泄露，應該由當事企業承擔責任。

談及數據接口服務商對于接入企業的監管責任，上海金融與法律研究院院長傅蔚岡認為，雙方應該遵循網絡安全法簽訂嚴格的協議，確保數據不會大面積泄露；數據接口服務商還應該具備一定的安全技術，保證接口不被盜用。

查詢接口層層轉接，數據接口服務商資質參差不齊、非法緩存無人監管，都為公民個人信息泄露埋下了極大的隱患。如此混亂的身份信息核驗市場該如何規范？

許可認為，身份信息屬于公共數據，身份信息核驗是國家提供的基礎服務，不應交給第三方來運營，也不應該收費。在目前已經免費的基礎上，公安部等一級渠道可以建立準入標準，允許有資質的企業接入，不再下設代理商。

接入企業的數量放開之后，考慮到可能需要針對不同應用場景產生開發成本，或者造成數據源端口的流量擁堵，也可以適當收費。這時多個企業或機構會相互競爭，不至于形成壟斷，價格也會更加合理。

傅蔚岡也建議，可以從數據源頭上開放多個渠道，把縱向的身份信息核驗鏈條變為橫向，讓其他有資質、有能力的機構和企業把手上的資源利用起來，這樣價格就會降下來，而不是層層加碼、衍生出“旁門左道”。

從數據安全監管的角度，中國信息安全研究院副院長左曉棟提出，目前的監管還停留在表面上，技術分析能力不足，還不能有效地發現非法緩存等違規行為，但并不意味著將來也做不到。他建議，監管的下一步應該深入到企業具體內部行為、后臺行為上去。