有光 | 美国利宝保险涉嫌非法盗取中国保险用户数据?

清风吹袭断

近日，在小众的保险圈内爆出一个大瓜……

核心内容如题所示，绝对不是“标题党”！

4月13日，优保联（北京）科技有限公司在他的官方微信号（优保联）上发布了一则公告：



公告指出，优保联的（信息）安全部门近期发现某保险公司旗下的保险中介科技平台（也是优保联的客户之一）存在利用优保联保险中介客户系统账号，恶意入侵优保联网络，并抓取用户数据信息等不法行为。优保联正告该保险中介科技平台，立即停止不法行为，并表示已经保存确凿证据，保留依法追究对方法律责任的权利。

第一个问题，优保联是一家做什么生意的公司？



优保联（北京）科技有限公司，法人魏宗仪，成立时间2016年9月。



顾名思义科技公司，经营范围包括技术开发、技术服务、技术咨询等……

这样讲不够具体，我们可以通过优保联的官方微信号和官网进一步了解一下：





其实，优保联就是一家服务于保险公司或者保险中介公司的下游企业。

中国的保险公司有很多，寿险（养老险、健康险）、财险加在一起超过150家。

在这个强调信息化、数据化的时代，又是保险这种相对复杂的业务，并不是所有保险公司都有能力，或者愿意投入成本去开发自家独立的“人员管理系统”、“客户管理系统”、“产品管理系统”以及“订单管理系统”等。当然，平安这类的科技型保险公司除外。

于是，这些保险公司就选择向第三方购买服务。而优保联就是提供这种服务的公司。因此，优保联也必然会掌握这些保险公司的各项数据。

根据优保联官网的介绍，优保联的系统可以直连超过70家保险公司，5万多家合作机构（包括大量的保险中介平台），服务超过40万的中介代理人。截止2021年8月，优保联（我理解的是通过优保联提供的出单系统出单的）总保费达到1000亿。

1000亿是什么概念？



这是2021年全国财险公司保费排名（一共84家）。前三名基本不用看，稳定是人保、平安和太平洋，而且他们也不需要依赖第三方提供信息技术服务支持。

从第四名以后，保费规模就完全不是一个级别了。优保联1000亿的保费规模，相当于好几十家财险公司一年的总保费，而他仅仅只成立了6年多。大部分新的保险公司成立6年多，总保费都基本不可能达到1000亿。

讲这个保费规模，无非就是想强调，优保联后台的数据是多么庞大。

第二个问题，谁非法窃取了优保联的数据？

4月19日，优保联（北京）科技有限公司在他的官方微信号（优联保）上发布了一封公开信（点击跳转），这封公开信剑指利宝保险。



由于利宝保险也是优保联的甲方爸爸之一，所以优保联把自己的姿态放得很低。表示他们在今年清明节前夕发现利宝保险旗下的平台万家云服入侵他们的网络系统，自己出于友善及宽容的想法，没有选择马上报警。

首先，关于优保联为何没有马上报警，我先谈谈自己的想法（后面你们就会知道为什么我要讲这点）。

第一，利宝保险是优保联的客户。在事情没有完全调查（沟通）清楚或者利宝保险方面没有给出正面答复之前，贸然报警，不合适。

第二，一旦有关部门介入调查，优保联为了配合调查，业务大概率停摆。除了影响他自己，还影响其他N多的客户，所以，不合适。

第三，不管被谁入侵，都说明优保联的网络信息安全存在漏洞，这对他自己来说是非常不利的。因此报警，把事情马上搞大，不合适。

然而，优保联没有报警，利宝保险旗下的平台万家云服也没有停止入侵。



清明前夕发现，直到4月11日，利宝保险旗下的平台万家云服仍在持续性的主动入侵优保联网络。

于是优保联让法务和律师进行了调查取证，并在万家云服的系统里发现了大量其他保司的数据。

还提到，早在2021年8月，就有其他保司向优保联反映后台数据异常，而这次的数据异常仍然剑指利宝保险旗下的平台万家云服。

让人不解的是，事情已经发展到这个程度，优保联依旧采取保守的策略，希望和利宝保险通过对话解决问题。

最终，等来的却是万家云服科技（重庆）有限公司的一份声明，声明中强调自己和利宝保险无任何关联（抢锅）。

在此，我对优保联这个阶段仍然采取保守的沟通策略，而不是立即报警的决定大为不解。正是因为优保联的这个决定，让万家云服有了操作空间，也包括转移数据的时间。

第三个问题，万家云服和利宝保险到底什么关系？

通过中国保险行业协会官网，我们可以很容易地得到答案。





万家云服，就是利宝保险旗下的互联网保险平台。



但是，通过爱企查的信息显示，万家云服成立于2020年5月，法人郑媛苑，监事况尤波，注册资本200万。没有员工，没有纳税，一家典型的空壳公司。



备案网站www.ins10.cn已经无法打开。

问题来了，在企业关系这一层面上，万家云服确实跟利宝保险没有任何关系。尽管在中保协的官网上，显示万家云服是利宝保险的互联网保险平台。并且，即便两者确有关系，优保联在提供服务时，签约的对象应该也是万家云服。

我们可以溯源利宝保险，但是利宝保险也可以马上撇清自己和万家云服的关系。即便优保联起诉万家云服侵权，按照目前的信息，也只能追究万家云服的责任，而万家云服只是一块“破铜烂铁”。

看到这里，我稍微能够理解优保联为什么一直采取保守策略了。因此他发现自己摊上了一件可大可小的事情，并且被人彻彻底底设计了。

那有没有一种可能，哪怕1%的可能，万家云服和利宝保险真的没有关系呢？



这里，我没有答案，但是我可以讲一个故事：

我是黑社会，我杀了人，我安排一个小弟去顶罪。

第四个问题，万家云服盗取数据的这一行为，严重吗？



这个问题，我用公开信中的几个问题作为答案：



第一个层面，利宝保险可能利用万家云服窃取其他保司的数据，然后进行比价，从而优化或者改良自己的产品，也包括高佣高费用抢占市场，涉嫌不正当竞争。



第二个层面，利宝保险作为一家美资保险集团在中国的全资子公司，可能利用万家云服收集金融数据并泄露到境外，涉嫌泄露国家金融数据。

讲到这里，话题就太大了，正如我前面提到的 —— “可大可小”。已经不是我们普通保险民工可以讨论的范畴了。



公开信的最后，优保联的法人魏宗仪仍然表示自己愿意沟通，希望利宝保险可以道歉，给自己和其他保司一个交代。

显而易见，这篇公开信其实也是一篇公关文，是优保联这个“小人物”的最后挣扎。表示自己也是受害人，面对利宝保险的这波操作，无能为力。

对于优保联来说：

其一，自身存在网络信息安全漏洞，导致其他客户的数据被窃取，自己需要承担相应的民事赔偿责任。并且经此事后，客户的信任度大大下降，严重影响后续经营。

其二，利宝保险甩锅，万家云服主动接锅，一家空壳公司，优保联有力使不出，即便能够追究万家云服的责任，也没有任何实际意义。这里也反映出优保联对于合作机构的前期尽调工作，存在巨大失误。

其三，一旦问题上升到泄露国家金融数据的层面，优保联几乎可以说是“死”于这次事情。如果当真如此，优保联的低姿态，希望通过对话解决问题的态度，无疑加重了实际的损失。

最后的话

在互联网信息技术如此发达的今日，网络信息安全、金融信息安全的重要性不言而喻。尽管这次的优保联事件还远未迎来终局，但这是本人从业6年以来，第一次听闻的保险数据涉外泄露案件，各保司、中介机构在经营互联网保险平台时，莫要大意了。

如果窃取数据的目的只是比价或者倒卖用户信息，虽然不齿，严重性倒也不会说特别高。但凡这些数据被某些国家掌握，事情就不那么简单了。

在《个人信息保护法》刚刚出台的大背景下，我们普通老百姓还是要树立保护个人信息安全的意识。毕竟，立法总是滞后的。



最后，这篇文章也是本人，中国无数普通保险从业人员之一，《致利宝保险负责人的公开信》，位卑未敢忘忧国，正义永不会缺席。



         
作者：小保探险