小白理财随着一批批移动金融App备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融App治理工作进一步提供参考,南都金融合规研究课题组从消费者角度,针对一批主流移动金融App进行实测评分,本阶段主要聚焦移动金融App个人信息安全合规。
上一期,我们以35个互联网公司旗下平台为样本,今天则推出针对24个金融科技公司旗下互金App的测评,即“2020财经半年报”之移动金融App个人信息安全合规榜第二期。测评标准以《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》为依据,测评指标围绕App手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度、48个分项展开。
南都金融合规研究课题组通过下载、注册、实操使用等环节,本期专项测评了24个金融科技公司旗下互金App的情况。结果显示,近四成所测App申请权限时未明示目的,四分之一的所测App在隐私政策中未清晰告知申请权限涉及的功能,还有近三成App强制获取权限。另有约三成App未清晰说明第三方代码插件(含SDK)的使用情况,还有近四成的App则都在向第三方借贷平台导流时存在诱导行为。
从总分来看,还呗、豆豆钱、维信卡卡贷、省呗和及贷5个App总体评分垫底。
权限获取方面不合规问题较多
课题组本次测评中选取的24个金融科技公司旗下互金App,下载量大多都在千万级别。结果显示,金融科技公司旗下互金App在权限获取方面存在问题较多,所测App中有三成的权限获取部分评分在80分以下(未算权重前,100分制),而在隐私政策部分和个人信息收集部分,评分在80分以下(未算权重前,100分制)的App占比分别为16.7%、12.5%。其中,及贷App在三个部分的低分区均榜上有名,隐私政策部分得分低于70分。
根据《自评估指南》要求,当App打开系统权限时,App应当说明该权限将收集个人信息的目的。但在本次测评中,37.5%的App申请获取权限都未在打开时明示目的,涉及App有人人贷借款、我来数科、省呗、你我贷借款、维信卡卡贷、豆豆钱、借贷宝、飞贷、小花钱包;而四分之一的App未在隐私政策中告知申请权限涉及的功能及目的;还有四分之一的App存在强制获取部分权限的现象,若用户不打开该项要求的权限,无法进入App,涉及App有分期乐、来分期、你我贷借款、拍拍贷借款、维信卡卡贷、豆豆钱、借贷宝。
还呗、省呗“捆绑式”一键授权几十份征信查询书
况且,这些协议的签订,本应该是在用户自主点击申请贷款时要求的,一般用于App借贷业务的资格、信用及偿付能力审核功能。但还呗App却要求用户在进入App前就一次性授权同意,否则连App的浏览功能都无法使用,属于通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。按照《自评估指南》的相关要求判定,还呗App在实际收集个人信息的时候,业务功能环节与签署协议并没有对应。
对于这种粗暴的“捆绑式”授权要求,马军律师直言“不合理”。他表示征信授权虽然是业务贷款所需,如果涉及多方征信授权,应当思考,是否符合“最小够用”原则,一个够不够。“并且每份合同或授权都应当单独获得个人的同意,而非一次性授权。”他直言“在这种情况下,用户根本不可能看授权书或合同,可能会导致一次性授权收集大量的个人信息,不利于保护个人信息。”
京衡律师事务所律师张豪作出了补充解释,通过所谓的“一次性授权”的方式诱使用户签订批量贷前空白合同,过度处理个人信息,违反正当、必要原则,将对用户的征信造成一定的负面作用。
与上述App的做法相比,平安普惠在贷款申请环节收集个人信息时的做法或值得参考,其将过程中需要授权的协议拆分成为几个步骤一一请示用户的同意,且并非使用传统的“点击按钮同意”方式,需要用户在屏幕上进行手写签名,这一过程虽然麻烦,但却将主动权交还给了用户。符合《自评估指南》中“以用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件”的要求。
及贷、我来数科超范围收集个人信息
上期测评报告中,未披露第三方代码插件(含SDK)使用情况、未清晰说明收集个人信息与业务功能的对应关系成为App不合格的重灾区。本期测评的App也存在这样的问题,三成App未披露第三方代码插件(含SDK)使用情况,涉及App有众安小贷、及贷、维信卡卡贷、豆豆钱、借贷宝、喜鹊快贷、小花钱包;17%的App未清晰说明收集个人信息与业务功能的对应关系,涉及App有拉卡拉金融、还呗、维信卡卡贷、豆豆钱。
在上期测评报告中,课题组曾披露了互金平台浪小花和微博借钱超范围收集个人信息的情况,这种现象在本期测评的24个App中亦有出现。
比如我来数科在其隐私政策中表示,需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡和个人征信账户、网络社交账户的账号和密码。及贷App更是在收集用户基本信息前,要求用户同意《隐私保护及信息授权协议》,其中要求收集用户的“信用卡、银行储蓄卡、网银等账户信息,包括但不限于卡号、户名、额度、账单在内的各类信息”;“淘宝网、支付宝、京东、美团、饿了么账户以及其他支付、交易工具、电商平台、外卖服务平台等账户信息,包括但不限于账户、交易记录在内的各类信息。”值得注意的是,该协议提及,“在收集其中部分信息时,还需要您同时提供相关账户、密码、验证码信息。”这意味着,用户需要在App提供的页面中输入上述多种私密性较强的账户密码,如果平台技术不过关,或有意缓存此类信息,用户的隐私安全将面临极大的风险。
对此,张豪律师指出,对于借贷业务而言,信用判断类的必要性数据应限定于直接判断一个人信用状况的信息或者有利于直接防范信用违约损失的信息是必要的信息。但鉴于互联网贷款的特殊性,金融科技基于大数据的发展,很多表面上与判定信用状况无关的弱关系数据或非结构化数据在信用判定具有一定的价值。上述平台要求用户提供的这些第三方电商平台的交易数据,在一定程度上或许能够作为补充的判定依据维度。但是,粗暴地要求用户进行一揽子授权,同意主动交出密码,其中的操作风险如何规避,也应该是平台需要审慎考虑的问题。
诱导式获客?向第三方引流未明示用户
借贷引流类业务是多数金融科技公司旗下App都有搭载的一个业务板块,在此过程中,平台本身虽然不进行贷款审核,但却通过大数据算法,对用户进行了画像,将带有某些身份标签的用户推送给了适合的第三方借贷平台,这一过程中也涉及用户信息的共享和传输,这些接收信息的平台应当被定义为原App的第三方合作机构。《自评估指南》中规定,隐私政策中应说明接收方类型或身份;如果将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。
这样霸道式营销存在哪些问题?张豪律师认为,鉴于我国已全面实行手机实名制,且手机号码具有专属性和私隐性,在从严惩治侵犯公民个人信息类犯罪的法治环境下,没有机主姓名信息的单独手机号码,倾向于被认定为构成刑法意义上的公民个人信息。因此,个别团伙将没有机主姓名信息的单独手机号码滥用于金融借贷的精准营销,涉嫌构成侵犯公民个人信息罪。
【测评标准说明】
本次测评,设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分,计分权重分别占比20%、50%和30%。
在“手机权限获取”维度中,涉及用户进入App时,是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中,南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。
在“隐私政策文本”维度下设隐私政策的独立性、易读性,清晰说明各项业务功能及所收集个人信息类型,清晰说明个人信息处理规则及用户权益保障,隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标,计分权重分别占比10%、50%、30%和10%。按一级维度权重算,满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。
在“收集使用个人信息行为”维度中,主要测评了个人信息传输至第三方服务器时,是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项,是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。
出品:南都财经新闻部
实习生 陈琪琦