来源：中国经营报

中经记者 郑瑜 北京报道

在数据成为新型生产要素的背景下，个人信息作为数据要素重要组成部分，其安全保障日益受到关注。

日前，反欺诈数据调研机构威胁猎人发布《2025年数据泄漏风险态势报告》（以下简称“《报告》”）。数据显示，2025年全球数据泄露事件总量达41644起，较2024年上升10.83%。其中，金融行业成为数据泄露的集中行业——银行业风险连续三年位居行业榜首，消费金融、支付、证券等泛金融板块在前五高风险行业中占据四席。

一家位于华南地区的持牌消费金融机构从业者向《中国经营报》记者表示，目前行业内存在“敌暗我明”的监管难点。非法机构常通过诱导用户填写信息、伪装成合法消费金融公司等手段实施诈骗。由于此类违规链接极具隐蔽性，在使用一段时间后即失效，导致消费者起诉成本居高不下。

在非法手段隐蔽化、团伙化，以及权益保护难度增大的背景下，如何做好数据安全治理工作，正成为重要课题。

数据黑产“精准化”推高诈骗成功率

在非法数据交易生态中，公共群聊这类群组在黑产链条中充当着“担保方”的角色，作为黑产交易的核心枢纽，这些群组沉淀了海量的交易履约记录，客观反映了地下市场对数据的真实需求与资金流向。

2025年1月至12月期间，威胁猎人情报运营团队对社交工具Telegram平台上的数据交易公群进行监测，累计覆盖1209个活跃数据交易群组，共捕获近3.6万条数据交易相关情报。

在非法数据交易中，金融类交易数据占比超50%，结合2024—2025年公群数据交易热词图谱分析结果，高频关键词包括“贷款”“公积金”“保险”“租机”等，金融贷款类数据已连续两年位居交易需求首位。

从成交数据类型来看，金融类用户数据凭借其高变现价值，仍旧保持黑灰产市场的“硬通货”地位。贷款类用户信息的需求最为旺盛，涵盖消金网贷、银行贷款、企业贷及贷款超市等多个细分领域，持续占据市场主导地位。

数据泄露的风险不仅体现在规模上，更体现在黑产作恶手段的“进化”中。

威胁猎人监测显示，到2025年11月，非法数据交易黑产中介引入了AI大数据识别，从单纯的数据售卖转向“数据清洗+质量控制”，试图通过剔除劣质用户数据来维持高转化率。

随着不断演进，黑产还针对持牌消金机构、银行系贷款等不同平台进行划分拆解，涉及平台高达60家，以满足下游不同贷款中介（资方）的作恶用户画像需求。

此外，当前黑产开始引入AI大数据识别与算法模型对原始数据进行清洗、质控和画像细分的手段。这种“精准化”的黑产运作，不仅推高了下游诈骗的成功率，也让数据治理陷入了技术与法治的双重博弈。

北京市中伦（上海）律师事务所合伙人、律师刘新宇表示，当前罪名适用较为单一，难以全面覆盖黑产全链条。司法实践中，对信贷数据变现的黑产团伙，多以“侵犯公民个人信息罪”定罪处罚，但黑产“联邦化”背景下，团伙分工细化，对于数据清洗、模型优化、非法荐股引流等环节的行为，若未达到“情节严重”的标准，难以定罪处罚，导致黑产上下游的次要参与者可能规避了刑事追责，无法实现全链条打击。此外，电子证据的海量性、跨地域性与黑产的快速变异性，也给侦查取证带来很大挑战。

穿透式数据审计刻不容缓

“精准化”的黑产运作，给金融机构的防护标准以及监管体系也提出了更高要求。

根据《报告》，消费金融申请泄漏数据时效已经发展隔夜（次日）更新。

刘新宇对记者表示，《报告》揭示的黑产“联邦化”与供应链攻击新趋势，实际上暴露了当前以静态合规为主的数据安全防护体系在面对动态犯罪时存在一定的滞后性。传统的安全标准主要着眼于单一机构或环节的防护，但黑产已延伸至整个合作生态，通过协同攻击获取数据，这使得分散、孤立的防御措施效果不足。

康德顾问团法律专家、上海光明律师事务所律师付永生表示，在《个人信息保护法》框架下，金融机构作为个人信息处理者负有严格的数据安全保障义务。若因银行扫码或第三方营销工具导致信息泄露，金融机构因其未履行“采取必要措施保障信息安全”的法定职责故需承担责任，包括民事赔偿和行政处罚等。第三方技术平台若存在安全漏洞或监管不力，同样需承担连带责任。“可以根据个人信息处理者是否实施了数据加密、访问控制等合理安全措施；是否对第三方合作方进行资质审核；以及是否及时响应泄露事件等标准，判断其过错程度。”

刘新宇认为，在此背景下，要求金融机构对其第三方营销合作伙伴实行更严格的“穿透式”数据审计存在一定的合理性。这不仅是简单的形式审查，而应是一种持续性的、技术层面的持续监督义务，要求金融机构能够核查数据在合作方乃至其下游的存储、访问及其他处理行为。

付永生也表示，当前对数据黑产与非法荐股链条的打击，《刑法》尚存在短板。一是罪名适用局限，如《刑法》第225条非法经营罪或第224条合同诈骗罪覆盖不全，难溯及供应链攻击；二是执法协同不足，对上述罪名的证据采信与链路追踪跨部门协同与“资金分析鉴定”等技术规程支撑不足，导致跨区域黑产案件侦破效率低；三是缺乏对“数据清洗”技术的专项立法，导致证据固定困难。

法网收紧 源头瓦解

不过，当黑灰产试图通过算法“洗白”非法所得、实现供应链式攻击时，司法实战层面的穿透式打击已雷霆出击。

2026年1月23日，山东省东营市局网安支队在微信官方公众号上披露，其联合经济技术开发区分局侦破一起金融借贷领域非法获取公民个人信息然后进行精准推销、精准放贷案件。

2025年11月份，东营市局网安支队工作中发现，辖区内某金融借贷公司通过购买个人信息的方式向有贷款需求的客户精准推销贷款业务。经过进一步侦查，发现犯罪团伙通过与上游大量的有“获客”功能的金融类APP签署协议的方式，以10—15元/条的价格大量购买上游非法获取的公民个人信息来推广自己的借贷业务。

为了将放贷的利益最大化，该团伙还以帮助借贷人“匹配最优贷款方案”的名义，对借贷人的家庭情况、婚姻情况、子女抚养老人赡养情况进行全方面盘问了解，表面上是为了给客户制定精准贷款方案，实则是为了后期非法放贷筛选“易操控、难维权”的目标群体，进而摸清受害人的经济实力和心理底线，确保后续有更大的牟利空间，加大了受害人的支出，增加了后期还款压力。

在多位法律人士看来，源头瓦解是关键。

付永生表示：“比如受害者可保全来电与短信记录、涉案链接与APP取证、授权页面与隐私政策留存、通话录音、聊天记录、资金流向截屏；对“非法荐股”结果与数据泄露源头的反推需结合平台提供方、第三方营销合作对外提供记录与单独同意留痕、风控与审计报告，否则仅凭结果难直接锁定源头。”

刘新宇也提醒，受害者有效保存证据的重点是“全面、及时、合规”，具体可遵循以下步骤，结合专业工具固定证据，首先切断风险源并留存基础记录，立即退出异常登录设备，留存扫码申请的截图、第三方营销工具的使用记录（含注册时间、操作日志等）；其次，固定泄露关联证据，使用权利卫士等App录屏保存非法荐股的来电记录、短信、微信聊天记录，通过可信时间戳平台进行认证，生成司法认可的电子凭证。

刘新宇表示，由于这种精准化诈骗中，诈骗方掌握的信息细节非公开渠道轻易可得，加之在个人信息侵权案件中，法院倾向于运用过错推定和举证责任倒置规则。因此受害者无须精确证明信息从某平台流出，而是证明以下事项：在特定平台处理过相关信息；随后遭受了与该信息高度关联的精准诈骗（如刚申请贷款即接到“低息贷款”或“荐股”电话）即可。

（编辑：李晖 审核：何莎莎 校对：颜京宁）