史上最大徵信泄露，Equifax深陷危機，中國同行怕了嗎？

專業主義，獨立寫作大公司，大事件

GIF/19K

在早前的文章《無現金社會的黑鏡：一場大數據圈地運動》里，我表達了對當下信息安全和隱私保護的深深憂慮。但願此次Equifax事件，能讓國人更關心這個問題，更希望能夠警示國內徵信機構守住底線。

文|董雲峰

本文首發於零壹財經網

很顯然，Equifax（艾克飛）因黑客入侵而導致的大規模數據泄露事件，在國內並沒有引起太大的關注度。

Equifax是美國三大徵信局之一，而這是全球徵信行業史上最嚴重的一次信息泄露事件。受此影響，8年來股價一直上揚的Equifax，在過去一周里股價跌幅超過30%。

目前，Equifax在全球24個國家開展業務，共擁有約9900名員工。據公開信息，Equifax掌握了全球8.2億消費者和超過9100萬商戶的數據。

個人徵信是目前中國新金融領域備受矚目的行業，尤其是一些巨頭公司爭奪的焦點。此次Equifax事件，對中國徵信業又有什麼啟示？

1

Equifax事件始末

9月7日，Equifax公布，該公司遭遇了一起因黑客入侵而導致大規模數據泄露事件，約有1.43億人的個人信息被泄露。目前美國人口為3.23億人，這意味著近半美國人很可能陷入危險之中。

從涉及人數來說，這並非史上受害者最多的一次信息泄露事件。在此之前，雅虎曾經出過兩起類似事件，其中一次涉及10億個賬戶，另一次涉及5億賬戶，聚友網（Myspace）亦曾發生過一次涉及3.6億賬戶的信息泄露事件。

然而，與雅虎和Myspace不同的是，作為美國三大徵信局之一，Equifax掌握的用戶數據的數量和質量，絕不是門戶網站或者社交網路可以比擬的。

據Equifax公布的信息顯示，被泄露的用戶信息包括姓名、社會安全號碼、出生日期、地址以及數量不詳的駕照號碼。黑客們還偷走了20.9萬張信用卡號和18.2萬份包含個人身份信息的文件。

Equifax聲稱，信息泄露發生於今年5月中旬和七月之間，該公司在7月29日發現，但直到9月7日才將這一消息公之於眾。

9月12日，36名美國參議員聯名上書，要求司法部、證券交易委員會和聯邦貿易委員會聯手調查Equifax高管在泄密發生後出售股權的操作；聯邦調查局已宣布正在調查數據泄露事件。

這進一步加劇了公眾的憤懣情緒，根據上述指控：Equifax於7月29日發現數據泄露，之後在9月7日公布消息，在此期間該公司三名高管出售了總值大約180萬美元的股權，涉嫌內幕交易。

不僅如此，目前紐約總檢察長Eric Schneiderman對此案展開正式調查；國會議員Ted Lieu致信眾議院司法委員會呼籲召開聽證會；眾議院金融服務委員會主席Jeb Hensarling表示該委員會將舉行聽證會；美國消費者金融保護局也在調查這起事件。

最新進展是，9月13日，Equifax CEO被要求參加10月3日的國會聽證會，接受眾議院能源和商務委員會成員的問詢；9月14日，聯邦貿易委員會宣布正在調查這起大規模的數據泄露。

這件事情何以在美國引發軒然大波？據CNN報道，黑客製造出了可以讓詐騙犯模仿你本人的工具，這將威脅到成百上千萬美國人的安全。

該專家稱，如果被盜取的信息落到壞人手中，他們可以打開你的銀行賬戶，使用你的信用卡乃至開辦新卡，甚至用你的名字申請駕照。他們可以在馬路上為所欲為，反正都是你去承擔罰單，他們還能盜取你的返稅款，甚至刷爆你的社保賬戶，讓你連處方葯都沒法買。

在美國國內，一些憤怒的Equifax用戶要求賠償，如果按照受害者人數計算，這筆賠償金額將是天文數字。另據法新社消息，9月12日，在此次事件中受害的Equifax加拿大用戶，發起了一起訴訟，要求該公司賠償5500億加元（約合4500億美元）。

市場分析人士認為，最終的賠償金額很可能在3億美元到10億美元之間。畢竟，對Equifax這類輕資產公司來說，哪怕實施破產清算，也沒有多少錢可以用來賠償消費者。

2

Equifax事件警示了什麼？

此次Equifax事件，對中國徵信同行，難道不是一記警鐘嗎？黑客攻擊、信息泄露，對我們每一個人來說並不遙遠。

美國徵信巨頭益博睿（Experian）早前的一份報告顯示，中國是目前全球互聯網風險最大的國家之一，網路犯罪導致的損失佔GDP的比例為0.63%，這一數字僅次於美國的0.64%。

令人欣慰的是，有關監管部門對個人徵信業務一直保持高度審慎的態度。

儘管早在2015年初，央行就下發《關於做好個人徵信業務準備工作的通知》，同意芝麻信用、騰訊徵信等8家社會機構開展個人徵信業務，但至今未下發相關牌照。

今年4月21日，在個人信息保護與徵信管理國際研討會上，央行徵信管理局局長萬存知表示，之所以遲遲不發牌照，主要有三個「沒想到」：

第一是發完通知對8家機構進行個人徵信業務準備，剛起步就碰上互聯網金融整頓，到現在還沒結束。換句話說，互聯網金融業態到現在也不穩定，也不定型，在這個領域做徵信業務怎麼做？是需要研究的。

第二是社會公眾對個人信息保護的意識空前高漲，對8家機構要求更高了。

第三是8家機構實際開業準備的情況離市場需求和監管要求差距較大。

萬存知表示，綜合判斷，8家進行個人徵信開業準備的機構目前沒有一家合格，在達不到監管標準情況下不能把牌照發出去。

這8家機構到底有什麼問題？萬存知將把共性的問題列為三個方面：

第一，每一家機構都想追求依託互聯網形成自己的業務的閉環，這樣在客觀上就分割了市場的信息鏈，而且每一家的信息覆蓋範圍都受到限制，因為信息不廣、不全面，這樣帶來產品的有效性不足，不利於信息共享。

第二，這8家機構各自依託某一個企業或者企業集團發起創建，在業務或者公司治理結構上不具備或者不具有第三方徵信獨立性，存在比較嚴重的利益衝突。

第三，這8家機構對徵信的基本理念和基本規則了解不夠，而且也不太遵守，在沒有以信用登記為基礎的情況下，在數據極為有限的情況下，根據各自掌握的有限的信息進行不同形式的信用評分並對外進行使用，存在信息誤采誤用問題。

今年5月，萬存知在《中國金融雜誌》撰文指出，徵信業是對個人信用信息依法進行產業化共享的行業。個人信息權益保護構成個人徵信監管的核心內容。因此，在個人徵信市場准入和業務活動開展中，應堅持三個原則：第三方徵信的獨立性原則、徵信活動中的公正性原則、個人信息隱私權益保護原則。

在上述文章中，萬存知並稱，由於個人徵信與個人信息保護密切相關，所以個人徵信市場絕對不能走「先亂後治」的道路。對個人徵信准入的態度，實際上是對個人信息保護的態度，是對人民群眾切身利益的態度，也是對維護社會穩定的態度。

另一個背景是，6月1日，《中國人民共和國網路安全法》正式生效，作為國內第一部系統性提出網路空間治理的法律法規，特別加強和明確了個人信息保護方面的要求。同日，最高人民法院、最高人民檢察院聯合發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》正式實施

如果徵信機構不能在信息安全和隱私保護上作出令人滿意的安排，個人徵信牌照的下發，依然很遙遠。

3

Equifax的前世今生

1、創立

1898年，Cator Woolford在田納西州經營一家雜貨鋪，他同時在本州的查塔努加為當地零售食品雜貨商協會整理客戶信用記錄表。為了覆蓋成本，他向其他商人銷售該表。

後來，他的律師兄弟加入了他的事業。1899年3月，他們在喬治亞州首府亞特蘭大創立了"零售信用公司（Retail Credit Company）"。他們把客戶信用信息編纂成書，並給它起名叫"商人指南"，商人對書和隨後的信用報告的購買價格是25美元一年，食品雜貨商的購買價格更低。當年，該公司擁有了37個商人和47個食品雜貨商訂閱用戶，虧損額達2242美元。

2、進軍保險服務業

1901年6月，Retail Credit開始服務保險公司、僱傭律師和商人調查想獲得保險的人的信用狀況，來幫助保險公司識別道德風險。

保險公司比雜貨商們更願意高價購買信用信息。不久，Retail Credit將保險業務和零售商業務拆分運營。

1908年，Reail Credit開始為汽車責任險出具信用報告，還為這種報告製作了統一的格式。隨後，該公司向意外險和火險業務進軍。

在銷售收入達到了35萬美元時，Woolfrod兄弟決定成立公司。1913年12月，Retail Credit Company Inc.（零售信用有限責任公司）成立。

不過，在1920年，Retail Credit的保險業務遭遇了沉重打擊：多家保險公司聯合成立美國服務局（American Service Bureau）來提供跟Retail Credit類似的調查報告。

為了應對這種衝擊，Retail Company在車險和火險業務中增強了發力力度，這受到了市場的認可。

1934年，Retail Credit開始併購其他信用局，當年，它買下了布魯克林的一個信用局：零售信用機構有限責任公司（Retailer Commercial Agency, Inc.）。當時，美國徵信行業出現了併購潮。

20世紀30年代，Retail Credit還走上了專業化運作之路，它越來越少地依賴兼職信用調查員，而開始僱傭和培訓全職調查員。1937年，Retail Credit 3/4的調查表都是全職調查員填寫的。

美國加入二戰對Retail Credit的事業造成了很大負面影響：大量調查員離職入伍。1941年，美國剛開始加入二戰時，Retail Credit每年能提供750萬份信用報告，等到了1944年，這一數字變成了600萬份。此時，Retail Credit才開始允許女性當調查員，她們大部分是作為入伍的丈夫的替代者。

3、二戰後崛起

二戰後，Retail Company的業務和美國經濟一道迅猛復甦。

20世紀60年代，Retail Credit開始嘗試自動化，將信用錶轉入電子數據系統。

20世紀70年代，Retail Credit試圖在俄勒岡州、愛達荷州、加州和華盛頓特區等地併購幾個跟自己有競爭關係的信用局。這些併購被聯邦貿易委員會認為減少了競爭。經過長達十年的訴訟戰，Retail Credit被允許完成上述併購。

1971年，Retail Credit的消費者信用業務第一次被監管。當年，國會通過了《公平信用報告法案》，規定消費者有權了解自己的信用報告並且修正其中的錯誤，還對信用局可以銷售的信息類型做出了限制。

三年後，Retail Credit被指控違反了《公平信用報告法》和《聯邦貿易委員會法案》的規定。在眾多指控中，美國政府要求Retail Credit停止通過收集一個僱員獲得的來自消費者的負面評價來評價這一僱員，並要求Retail Credit的調查員在展開信用調查時不得歪曲自己的實際身份。

4、開展精準營銷業務

Equifax於1978年1月13日登錄紐交所。

被公認為是為了擺脫多項指控給公眾留下的不良印象，1979年Retail Credit更名為Equifax，該名稱源於"公平事實信息"（Equitable Factual Information）。這一改變也象徵著Retail Credit開始將業務多元化。這一戰略的典型標誌是1979年Equifax對市場調查公司Elrick&Lavidge的併購，後者被併入Equifax的市場信息服務業務。

20世紀80年代，卡特總統解除對銀行業的限制，大型全國性銀行開始出現，信用卡和銀行卡聯盟產業鏈業已完善，消費信貸崛起。與此同時，美國徵信行業的併購潮貫穿了20世紀80年代，Equifax、TRW和TransUnion在各自收購了大量信用局後形成了三足鼎立的格局。十年間，104家信用局被Equifax收入囊中。1986年，Equifax的信用報告覆蓋了28個州的1.5億人。

1988年，Equifax成立了市場營銷部門，該部門的第一個項目是為一家中西部的保險公司銷售抵押貸款產品建立直郵廣告（direct-mail）系統。當時Equifax的技術能力已經能支撐它做全流程的市場營銷業務：篩選潛在客戶、製作廣告手冊、處理電話問詢、確認申請和評估申請人財產狀況。該部門運營的前九個月即獲得了9000萬美元的營業收入。

5、進入歐洲與公關危機下砍掉精準營銷業務

20世紀90年代初，Equifax開始進入歐洲市場。

1990年，Equifax斥資4.6億美元收購了洛杉磯信用局Telecredit，後者提供支票驗證和信用卡審批服務。當年，Equifax股價大跌。一個原因是公眾對Equifax在經濟下行期間的盈利能力表示懷疑。另一個原因是消費者對信用局持續增長的不滿。1989年，Equifax的一項民意調查結果表明71%的美國人認為自己對信用報告失去了掌控的能力，79%的美國認為隱私權是一項基本人權。當時，監管當局也認為信用局的信用報告經常是不準確的，而且使用的方式也經常是不對的。

1991年8月，Equifax公開表示停止使用消費者的信用信息做精準營銷（即直郵廣告）。另外，將停止根據消費者的購物習慣給消費者貼類似於"奢侈品購買者"和"優惠券收集者"的標籤。

另外，迫於輿論壓力和消費者抗議的壓力，Equifax放棄了與Lotus Development Corporation的一項在資料庫上的合作，該合作能使小企業了解附近社區的地理信息。1992年中，Equifax同意向消費者提供免費客服電話，並承諾在30天內對糾紛展開調查。

Equifax採取上述舉動不單是為了改善公眾形象，更重要的是為了免於被監管機構出台更嚴厲的法規和免於支付昂貴的訴訟費用，避免更多的合規和合法成本。

1991年，Equifax的凈利潤從1990年的6400萬美元下降到500萬美元。這一大幅下降有兩個原因：一是經濟的衰退導致市場對信用報告的需求量下降了，二是裁掉1900名員工導致Equifax支出了1900萬美元的遣散費。儘管如此，1992年初，Equifax在市場佔有率上超過了TRW，後者在1996年被併入Experian。

6、進入與剝離醫療與保險業務

20世紀90年代初Equifax進入到了支票驗證和信用卡審批領域，1992年Equifax又將業務拓展到了醫療信息領域，當年，它收購了Heath Economics Corporation。1994年，Equifax收購了另外三家醫療信息公司，這大大加強了它在醫療索賠業務中的實力。

除了在美國本土擴展業務、進行併購，20世紀90年代初，Equifax還通過併購或者與其他企業合資將業務拓展到了10餘個國家。1993年，Equifax將電腦運營外包給了IBM，這使得Equifax的技術團隊有更多精力來研發產品和服務。1994年，Equifax推出了25個新產品。

為了將業務聚焦於支付服務、信用報告和風險管理，Equifax在1996年出售了醫療信息業務，1997年剝離了保險信息服務業務，該部分業務被命名為Choice Point。當年2月，Choice Point在納斯達克上市。2008年2月被LexisNexis的母公司Reed Elsevier以41億美元的價格收購，隨後Choice Point更名為Lexis Nexis Risk Solutions。

與此同時，Equifax在海外加快了擴張步伐。20世紀90年代末，Equifax在美國、法國和加拿大等地收購了多個信用報告機構和信用管理公司。由於在發達國家的擴張日益受限，Equifax在拉丁美洲（尤其是巴西）和亞洲展開併購。

小結

從Equifax的發展歷程可以看出，其在業務逐漸壯大之後一是會在業務上進一步多元化，但這種多元化（尤其是利用消費者的數據做信用決策以外的精準營銷等業務）不一定會取得良好的消費者反饋和監管回應；二是在地域上進入外埠市場，此時其常常採用的策略是併購當地公司或與之合資設立公司。

Equifax的發展歷程還是美國個人徵信業發展史的一個縮影：19世紀末起源於商業信用；20世紀70年代相關法律陸續出現；20世紀七八十年代併購潮出現，掌握了全美數據的徵信局呈現出"三足鼎立"格局；20世紀90年代初，踏上海外擴張之路。

原創不易，歡迎打賞：）

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！