文 | Bay

图 |百度百科

20日平淡无奇的股市氛围在下午被打破。A股第三方支付第一股拉卡拉午后突然跌停跳水，22亿元市值蒸发。

前些年支付宝和微信等移动支付尚未大面积普及，遍布大街小巷和各类商超的拉卡拉曾经是十分火爆的存在，而如今旗下子公司考拉征信则成为大肆非法泄露个人信息的“蚁穴”。

目前国内多家权威媒体曝出超1亿条信息泄漏，拉卡拉旗下考拉征信被查。

熟悉征信的业内人士称，被泄露的身份证正反面大部分来源于金融贷款机构。

涉嫌非法提供身份证返照查询9800多万次，获利3800万元……

不同于市场上许多不知名的小公司，考拉征信称得上“根正苗红”。

官网资料显示，公司是首批获央行备案开展企业征信和批准开展个人征信业务准备的八家机构之一，也是百行征信有限公司的发起方之一。

11月21日早间，拉卡拉发布《关于相关媒体报道的澄清公告》，就深交所关于考拉征信被查处、违规售卖POS机、易分期高息放贷等问题的问询作出回应。

拉卡拉方面回应称，拉卡拉只是考拉征信众多股东之一，拉卡拉与考拉征信之间的财务、业务、经营等都是各自独立的。

1亿条信息泄漏，其中包括公民的姓名、电话、身份证，甚至照片等十分敏感的个人重要隐私信息。根据相关媒体的深度挖掘，此次1亿条信息泄漏或许仅仅是冰山一角，其数字甚至有可能超过4亿条，个人信息黑产规模甚至已超千亿元。

此次1亿条信息泄漏事件爆发，起源于2018年的央视的一次暗访报道，随后警方顺藤摸瓜摸清了整个个人信息黑产错综复杂的链条。

1亿条信息泄漏的源头被找到，考拉征信被查成为关键。

涉事公司湖南九象旗下黑爬虫网站公开提供收费查询个人信息服务被警方关注，并提供“身份核验返照”业务，付费后任何人均可在其开发的网站输入公民姓名和身份证号码，查询获取公民身份证相片，这些照片由用户在使用拉卡拉等公司软件时上传。

据悉，涉事的九象公司旗下的黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司，而黑格公司是从北京考拉征信服务有限公司等四家公司购买的查询接口。

考拉征信从上游公司获取接口后又违规将查询接口出卖，并非法缓存公民个人身份信息，供下游公司查询牟利，从而造成公民身份信息包括身份证照片的大量泄露。

简单的说，考拉征信更像是这个个人信息黑产链条里面的“中间商”，考拉征信通过上游公司的数据端口可以获取查询个人信息的权限，而考拉征信却将这些敏感个人信息“缓存”在自己的服务器上，为下游公司提供查询牟利，从而大致大量个人信息泄露。

北京考拉公司非法提供查询返照9800余万次，获利3800余万元，在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、相片近1亿条。

从拉卡拉创业板上市招股说明书查到，拉卡拉将考拉征信列为拉卡拉信用管理有限公司的全资子公司，并提到拉卡拉主要通过其全资子公司考拉征信开展征信业务，其自身不实际开展业务。

2016年，在拉卡拉各业务类型前五大客户情况中，考拉征信在硬件销售及服务业务中贡献1132万元的收入，占拉卡拉主营业务收入的比例的0.44%。

2018年度，拉卡拉研发费用中的外包开发费为8784万元，其中包括支付考拉征信的“商户验证服务，用于反欺诈系统的开发建设”研发费用。

考拉征信的总资产和营业收入曾被记录在拉卡拉的公告中。

据公告披露，截至2018年12月31日，考拉征信服务有限公司总资产8449.73万元，净资产666.5万元；2018年度营业收入6745.28万元，净利润-1761.99万元。

在拉卡拉的一份公告中显示，截至2019年9月30日，考拉征信服务有限公司总资产降到了2306万元，净资产更是成为-534万元。照此推算，9个月内，考拉征信总资产竟锐减了6143.7万，净资产减少1200.5万。

公告中还显示，2019年1-9月考拉征信的营业收入只有462万元，净利润为-1201万元。

其次，在拉卡拉2019年半年报中显示，拉卡拉通过给考拉征信提供出租办公房屋的服务而获取了200万元的收入，并且还将考拉征信列入了联营公司的名单。

此外，拉卡拉接受考拉征信的劳务付出，并支付3.1万元劳务费。

不仅二者在财务方面有关联，在领导层面，两家企业也是多有捆绑。

在《拉卡拉：北京市中伦律师事务所关于公司首次公开发行人民币普通股股票并在创业板上市的补充法律意见书》中显示，2017年1-6月，拉卡拉董事长孙陶然曾担任考拉征信的执行董事、经理，这期间，拉卡拉支付曾付给考拉征信劳务费用110万元。

意见书中记录，拉卡拉的自然人股东孙浩然在2015年4月至2015年9月于考拉征信任副总裁，其余还有8位拉卡拉股东在考拉征信担任过销售部经理、总裁助理等职务。

已退股的发行人原自然人股东近五年的履历情况中显示，李广雨在2015年1月至2016年10月，担任考拉征信总裁。

早在7月，广东省公安厅官网公布，在2019年第二季度超范围收集用户信息APP清理整治工作中，共监测发现1048款APP存在超范围收集用户信息行为。其中，“酷狗音乐”“艺龙旅行”“语文100分”等42款APP，存在超范围读取用户通话记录、短信或彩信，收集用户通讯录、用户设备上已知账号，超权限使用用户设备麦克风等突出安全问题。

10月，51信用卡催收公司被警方调查后，有报道称，央行、银保监会已组成调查组，摸底大数据的使用边界和采集边界，将会涉及外包催收公司管理办法。

数据收集和使用的边界在哪儿？毕研广举例称，到银行办一些业务时，银行需要我们留下身份证复印件，但同时会在上面盖章，注明该复印件仅能用于办理银行指定业务，这样的信息收集属合规。另外我们常看到一些金融机构和大数据机构合作的新闻，数据公司采集的信息供金融机构使用，如果仅是从业务角度，比如供金融机构对贷款用户进行审核、验证等，而非进行买卖，也属合规。

但市场上鱼龙混杂，个人隐私保护法至今没有出台，信息买卖依然处于无监管地带。在全国人大常委会法制工作委员会今年8月的记者会上，发言人透露，个人信息保护法已经列入本届全国人大常委会的立法规划，目前法工委正在会同有关部门研究论证，加紧推进起草工作，将按照立法工作计划，适时提请常委会审议，让个人隐私有望尽快地摆脱“裸奔”的尴尬。