今年央视3·15晚会曝光的“社保掌上通”APP涉嫌在在授权协议上设置陷阱“强制索权”,然后将用户社保信息用于其他途径,危害用户信息安全。其背后责任主体——杭州递金网络科技有限公司成为公众关注的焦点,而其背后的真实股东身份是谁?如何获取个人社保数据?泄露信息如何防范?证券时报记者进行了相关调查。
递金网络科技背后——挖财网CEO李治国站台
国家企业信用信息公示系统资料显示,递金网络科技注册资本100万,法定代表人是吴志敏,同时担任公司执行董事兼总经理,位于浙江省杭州市西湖区翠苑街道古翠路80号浙江科技产业大厦第十二层1203室。
递金网络科技公司旗下两款主推产品一个是掌上社保通,另外一个是闪电公积金,目前这两个产品均已经在应用商店下架。其中掌上社保通在今年央视3·15晚会被曝光违法获得用户个人信息,而根据记者问询此前用过掌上社保通APP的人士指出,有存在APP上查询的社保缴纳金额和年限与社保局官网并不相符的情况出现,对于查询数据的真实性用户也表示了一定疑问。
通过天眼查数据可知,递金网络科技尽管看起来是一家小公司,但其股东背景却十分深厚,且有千丝万缕的联系。公司的主要大股东是吴志敏出资占80万,占股80%。另外一个股东李治国,更是业界出名,尽管出资只有20万,占股20%,却在杭州的互联网圈绝对占有一席之地。此外公司管理人员还有监事杨晓光。
吴志敏旗下公司涉及的业务范围极广,他同时也是杭州腾贵科技创始人、CEO,求攻略网站、世界游网站创始人。此前担任杭州徐娜拉电子商务运营中心执行总监、杭州亿团网络科技CEO。还曾在支付宝、口碑网工作过。而他似乎并不是背后真正的主角。
真正的大咖级人物李治国花名“海贝”,他是阿里第46号员工,目前是挖财CEO,而挖财是杭州互联网独角兽公司的代表,入选包括2018胡润独角兽榜单等多个评选榜单,并获得包括IDG资本、启明创投、鼎辉创投等多家知名机构的投资。
挖财诞生于2009年6月,是国内最早的个人记账理财平台,专注于帮用户实现个人资产管理的便利化、个人记账理财的移动化、个人财务数据管理的云端化。现有服务包括手机端和Web端,主要产品有“挖财记账理财”、“挖财信用卡管家”、“挖财钱管家”、“挖财宝”等APP,以及“挖财社区”。
此外,李治国目前是阿米巴资本创始合伙人,其2004年创立口碑网并担任CEO,2008年被阿里巴巴集团以超过五千万美金的价格收购,并和中国雅虎进行合并,后并入淘宝网。在建立阿米巴资本前,李先生任职于阿里巴巴,期间参与网站规划和建设,并和团队从无到有研发出阿里巴巴最大收费客户群、第二大收入产品诚信通。
递金网络科技和挖财到底是什么关系?记者致电公开资料查到的递金网络科技公司吴志敏电话,显示欢迎致电挖财,但并未接通。
值得注意的是,国家企业信用信息公示系统显示,目前李治国和吴志敏的股权均有股权出质,质权人均是挖财网络技术有限公司,股权出质设立登记日期为2017年10月11日。
除此之外,递金网络科技对外投资了上海富数科技有限公司,出资34.7万元,同时参与投资的还有上市公司深圳麦达数字,上海韬歩信息科技合伙人,上海弘阳企业管理合伙人,上海伯藜创业投资中心,杭州金顾恒资产管理有限公司,成都晨山股权投资基金,江苏达泰悦达大数据创业。而杭州金顾恒资产管理有限公司投资的深圳聚宝资产管理有限公司,其监事和递金网络科技的监事均是杨晓光。
深交所本月16日向麦达数字下发问询函针对“社保掌上通”的App涉嫌窃取用户社保信息问题询问。深交所的问询函中提到,该App由杭州递金网络科技有限公司开发,“你公司与递金网络共同参股设立了上海富数科技有限公司。请你公司说明与递金网络共同参股设立富数科技的原因、投资金额、持股比例、是否参与富数科技的日常经营管理,以及富数科技对你公司业绩的贡献。”
社保信息如何获取?
递金网络科技能通过APP查到各地社保数据,不禁让人联想这些数据从哪里获得?是社保局授权还是有其他途径?
记者致电深圳社保局官网所显示12333电话,工作人员告诉记者,目前深圳社保查询只支持社保局的官网和微信公众号的平台查询,至于是否授权第三方公司获取社保数据,尚未悉知。
记者还致电福田社保局对外咨询窗口电话,工作人员表示,最好通过社保局的官网和微信公众号的平台查询,“我们这里有收到一些第三方公司代缴社保的咨询,但如何认定第三方公司是需要交保单位自己去衡量,目前尚未有通知或者资料显示,社保的数据授权给其他机构使用,至于其他APP平台查到的社保数据来源,我们也不得知晓。”该女士表示。
有业内人士透露,目前市场上有专门的第三方公司做各种数据接口,通常来说,都是需要获得原始数据单位的授权,但是也不排除有其他多种方式获得,比如传输过程中的潜入或者留存,比如社保局的数据,各地都有代缴公司,也有通过第三方代缴公司的数据库得到部分数据。
“据我了解,目前社保接口市面上也有几家公司在做这款产品,如果获得授权可以通过第三方公司将社保数据调出来, 但是不能缓存在自己的服务器上,如果中途有缓存了,这些数据就可以拿去卖。”该人士对记者表示,“比如个人身份证有授权的接口,在银行办理业务需要身份证认证的系统匹配,经授权后,银行就可以专门来调用做业务,而这些原始数据都是从公安系统出来的,银行和公安系统的合作肯定是合法合规,且经过授权的。”
记者查询了第三方数据接口公司——以聚合数据为例,官方网站显示,个人社保缴纳支持指定城市社保公积金缴费比例查询和补缴计算、正常缴纳以及补缴,测试完毕后请联系商务获取正式生产环境接口。
但在咨询客服人员时,目前下线了个人社保缴纳这个接口的产品,客服表示目前暂不支持该接口的数据提供,此前有相关的产品提供,但是具体下线日期对方并未透露,是否受到此次3·15曝光的影响也无从得知。
当问及可以提供多少城市数据,客服表示支持全国,违章长期不支持省份则有广西在内的6个省市自治区。
当及费用方面,客服表示需要购买接口套餐,但具体多少钱没有透露,官方网站也暂无显示。
社保数据泄露意味着什么?
从信息化管理进程来看,社保系统中有数万甚至更多的参保人员利益与数据安全紧密联系,对于参保群众而言,在没有充分认识到网络使用法则的情况下就直接进入操作,使得敏感的个人信息暴露从而给侵入内部系统的第三方提供了机会。而某些国外的数据安全维护公司,也对我国的社保数据背后的信息量存在一定觊觎。
有律师对记者表示,目前国内针对社保系统数据安全保护的相关法律还有待完善,存在难以实施、笼统的情况,因而政府职能部门也应该在实际数据安全维护的情况了解下,建立有效的法规,并且在实践中不断完善,以确保社保系统能够在法律的依托下得到更好的数据安全保护。具体而言,可以采取账户实名制、身份证识别等方式保护数据边界,然后通过存取、过滤等手段对数据层和链路层中的信息进行保护,可适当的使用到代理服务于传输层中,这样参保人员在操作时候通过数字签名或者数据加密等形式进行验证,从而保护数据的安全性。
两会期间,苏宁董事长张近东也指出,信息产业的快速发展造成大量从业者涌入,由于企业数据保护意识不足,加之我国相关立法滞后,个人信息的泄露与滥用层出不穷,严重侵犯了公民正当权利,要加快相关立法进程,改变目前数据安全领域的乱象。
他建议,加快制定数据安全法律法规、安全保护配套标准,构建防护技术体系,从信息的收集、存储、处理、传输、共享、删除等全生命周期管理的角度制定完善的法律体系,确保数据安全;同时,规范数据的采集、加工、流通和应用等全链条,制定数据使用标准和原则,提高全社会数据的利用效率。
