App|用“还呗”得一键授权签40余份协议 “及贷”要收集你网购外卖账户信息协议|账户|金融|

_原题为 用“还呗”得一键授权签40余份协议 “及贷”要收集你网购外卖账户信息

文章图片

文章图片
金融合规分析之移动金融App个人信息安全榜第二期
特殊的2020年行进过半，我国经济正逐渐展现复苏、韧性、活力的姿态， “六稳六保”工作落地有声。为进一步助力“识变应变”“补短强弱” ，南方都市报今起推出“财经半年报”数据智库产品，着眼金融机构合规分析、资本市场风险观察、广东上市公司质量研报等方面展开系列报道。从智媒角度，为机构及企业的行稳致远提供参考。本期为金融机构合规分析之移动金融App个人信息安全榜第二期。
随着一批批移动金融App备案名单出炉，规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律，尤其密码防护、个人信息安全等方面，是治理的聚焦点。为给金融App治理工作进一步提供参考，南都金融合规研究课题组从消费者角度，针对一批主流移动金融App进行实测评分，本阶段主要聚焦移动金融App个人信息安全合规。
上一期，我们以35个互联网公司旗下平台为样本，今天则推出针对24个金融科技公司旗下互金App的测评，即“2020财经半年报”之移动金融App个人信息安全合规榜第二期。测评标准以《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》为依据，测评指标围绕App手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度、48个分项展开。
南都金融合规研究课题组通过下载、注册、实操使用等环节，本期专项测评了24个金融科技公司旗下互金App的情况。结果显示，近四成所测App申请权限时未明示目的，四分之一所测App在隐私政策中未清晰告知申请权限涉及的功能，还有四分之一的App强制获取权限。另有约三成App未清晰说明第三方代码插件（含SDK）的使用情况，还有约三分之一的App在向第三方借贷平台导流时存在诱导行为。
从总分来看，还呗、豆豆钱、维信卡卡贷、省呗和及贷5个App评分垫底。
权限获取方面不合规问题较多
金融科技公司是参与互联网金融业务的主力军，以科技赋能普惠金融，以大数据手段让金融服务更下沉。数据资产是金融科技赖以生存的武器，但大数据信息的滥用，也将直接伤害消费者个人信息安全。
课题组本次测评中选取的24个金融科技公司旗下互金App ，下载量大多在千万级别。结果显示，金融科技公司旗下互金App在权限获取方面存在问题较多，所测App中有三成的权限获取部分评分在80分以下（未算权重前， 100分制），而在隐私政策部分和个人信息收集部分，评分在80分以下（未算权重前， 100分制）的App占比分别为16.7%、12.5% 。其中，及贷App在三个部分的低分区均榜上有名，隐私政策部分得分低于70分。
根据《自评估指南》要求，当App打开系统权限时， App应当说明该权限将收集个人信息的目的。但在本次测评中， 37.5%的App申请获取权限都未在打开时明示目的，涉及App有人人贷借款、我来数科、省呗、你我贷借款、维信卡卡贷、豆豆钱、借贷宝、飞贷、小花钱包；而四分之一的App未在隐私政策中告知申请权限涉及的功能及目的；还有三成的App存在强制获取部分权限的现象，若用户不打开该项要求的权限，无法进入App ，涉及App有分期乐、来分期、你我贷借款、拍拍贷借款、维信卡卡贷、豆豆钱、借贷宝。
App专项治理组曾指出，权限获取和个人信息收集都需要遵循“最小够用”原则，放到权限获取的具体语境中，即是说如果把某一项App需要的权限给拿掉，不影响App的正常功能，那么这个权限实际上就不应该获取。此外，《信息安全技术移动互联网应用程序（App）收集个人信息基本规范》中明确了金融借贷手机信息的范围，并未将通讯录、通话和短信详单纳入其中。但是，经课题组排查， 67%的App要求获取读取通讯录功能， 45%以上的App都要求获取读取通话记录权限， 25%的App要求获取读取短信列表权限。其中，要求读取通话记录的App有分期乐、乐卡、还呗、省呗、玖富万卡、拍拍贷借款、你我贷借款、人人贷借款、豆豆钱、小花钱包。
一般而言，获取通讯录权限的App都是为了方便用户在借款过程中键入联系人信息，及辅助进行贷后管理，大部分App也未做强制性要求，但亦有例外。比如小赢分期App ，在贷款申请过程中，就会强制获取用户的通讯录，如果不同意，就无法进行下一步操作。对此，该App在隐私政策中虽对此有说明解释称：“收集这类信息是为了反欺诈识别，以及辅助识别不符合金融监管规定的借款人” ，不过，业内研究者持有不一样的观点。宁人律师事务所金融与科技委员会副主任马军对南都采访人员表示，从合理角度看，添加联系人并不是借贷功能所必须的，是否需要强制收集值得商榷。分页标题
还呗、省呗“捆绑式”一键授权几十份征信查询书
课题组发现， “捆绑式”一键授权的现象在本批次所测App中比较突出，其中还呗App和省呗App的做法较夸张。公开资料显示，还呗是数禾科技旗下主打品牌，其大股东是分众传媒全资子公司，还呗于2016年6月进入市场，是一款信用卡账单分期App ，核心团队主要来自有“零售之王”之称的招商银行信用卡中心及其他知名金融机构，放贷资金方主要是拥有互联网小贷牌照的数禾科技全资子公司重庆市分众小贷及银行、消费金融公司等。而省呗也是信用卡综合服务产品，隶属于深圳萨摩耶互联网金融服务有限公司，成立于2015年，创始团队也主要来源于招商银行信用卡中心。
据实测，当南都采访人员首次打开还呗App ，输入手机验证码完成注册后，并不能直接进入App ，还需要在App引导下录入面容ID进行人脸识别。南都采访人员注意到，这一步涉及收集用户个人信息中敏感度较高的生物识别信息，但并未给予用户签署授权同意采集的专有协议。不仅如此，还同时要求用户勾选同意一系列“征信查询相关授权协议” 。经翻阅，这部分协议共40余份，涉及签约主体20余个，包含的类型包括“消费信贷服务协议”“电子签名授权委托书”“自动还款协议”“征信授权书”“隐私协议”“客户知情确认书”“循环额度合同”“开户协议”“个人消费贷款合同”“承诺函”等涉及多种不同业务功能环节的协议，超过一半是征信查询授权书。经南都采访人员查阅，协议均以空白合同为主，部分协议排版显得很随意，而且不同类型的协议打乱混在一起，很多协议从列表标题上根本无法判断是需要跟哪家公司签署协议，给用户造成了极大的阅读障碍。
况且，这些协议的签订，本应该是在用户自主点击申请贷款时要求的，一般用于App借贷业务的资格、信用及偿付能力审核功能。但还呗App却要求用户在进入App前就一次性授权同意，否则连App的浏览功能都无法使用，属于通过捆绑App多项业务功能的方式，要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。按照《自评估指南》的相关要求判定，还呗App在实际收集个人信息的时候，业务功能环节与签署协议并没有对应。
对于这种粗暴的“捆绑式”授权要求，马军律师直言“不合理” 。他表示征信授权虽然是业务贷款所需，如果涉及多方征信授权，应当思考，是否符合“最小够用”原则，一个够不够。 “并且每份合同或授权都应当单独获得个人的同意，而非一次性授权。 ”他直言“在这种情况下，用户根本不可能看授权书或合同，可能会导致一次性授权收集大量的个人信息，不利于保护个人信息。 ”
京衡律师事务所律师张豪作出了补充解释，通过所谓的“一次性授权”的方式诱使用户签订批量贷前空白合同，过度处理个人信息，违反正当、必要原则，将对用户的征信造成一定的负面作用。
省呗也存在同样的问题，只是程度稍轻，需要一次性授权签署20余份协议。值得注意的是，省呗、还呗App在隐私政策文本部分获得的评分是相对高的，都在80分以上，这暴露出部分App只花心思做表面功夫，实际的信息收集行为依然我行我素。据公开报道显示，省呗App所隶属的萨摩耶金服在去年曾被曝借用探针盒子的方式，在商场等地方自动收集消费者信息，以此渠道进行获客。
与上述App的做法相比，平安普惠在贷款申请环节收集个人信息时的做法或值得参考，其将过程中需要授权的协议拆分成为几个步骤一一请示用户的同意，且并非使用传统的“点击按钮同意”方式，需要用户在屏幕上进行手写签名，这一过程虽然麻烦，但却将主动权交还给了用户。符合《自评估指南》中“以用户主动填写、点击、勾选等自主行为，作为产品或服务的业务功能开启或开始收集个人信息的条件”的要求。
及贷、我来数科超范围收集个人信息
上期测评报告中，未披露第三方代码插件（含SDK）使用情况、未清晰说明收集个人信息与业务功能的对应关系成为App不合格的重灾区。本期测评的App也存在这样的问题，三成App未披露第三方代码插件（含SDK）使用情况，涉及App有众安小贷、及贷、维信卡卡贷、豆豆钱、借贷宝、喜鹊快贷、小花钱包；17%的App未清晰说明收集个人信息与业务功能的对应关系，涉及App有拉卡拉金融、还呗、维信卡卡贷、豆豆钱。
在上期测评报告中，课题组曾披露了互金平台浪小花和微博借钱超范围收集个人信息的情况，这种现象在本期测评的24个App中亦有出现。
比如我来数科在其隐私政策中表示，需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡和个人征信账户、网络社交账户的账号和密码。及贷App更是在收集用户基本信息前，要求用户同意《隐私保护及信息授权协议》，其中要求收集用户的“信用卡、银行储蓄卡、网银等账户信息，包括但不限于卡号、户名、额度、账单在内的各类信息”；“淘宝网、支付宝、京东、美团、饿了么账户以及其他支付、交易工具、电商平台、外卖服务平台等账户信息，包括但不限于账户、交易记录在内的各类信息。 ”值得注意的是，该协议提及， “在收集其中部分信息时，还需要您同时提供相关账户、密码、验证码信息。 ”这意味着，用户需要在App提供的页面中输入上述多种私密性较强的账户密码，如果平台技术不过关，或有意缓存此类信息，用户的隐私安全将面临极大的风险。分页标题
一位业内人士对南都采访人员分析称，部分金融科技公司由于自身基因的原因，缺乏用户消费场景和大数据，又无法同数据量丰富的电商平台达成数据共享合作，所以才要求用户自主登录这些账户提供给平台机会读取相关信息。部分金融科技公司对外宣称自身平台的风控数据维度详细，具有很精准的研判能力，实际上是通过爬虫技术大量爬取用户各类账户信息、个人偏好信息等而来的。在具体情况中，这些数据来源是否合法合规，是否存在违规超范围收集处理用户个人信息的情况，值得深究。
对此，张豪律师指出，对于借贷业务而言，信用判断类的必要性数据应限定于直接判断一个人信用状况的信息或者有利于直接防范信用违约损失的信息是必要的信息。但鉴于互联网贷款的特殊性，金融科技基于大数据的发展，很多表面上与判定信用状况无关的弱关系数据或非结构化数据在信用判定具有一定的价值。上述平台要求用户提供的这些第三方电商平台的交易数据，在一定程度上或许能够作为补充的判定依据维度。但是，粗暴地要求用户进行一揽子授权，同意主动交出密码，其中的操作风险如何规避，也应该是平台需要审慎考虑的问题。
南都采访人员实测发现，不少金融科技公司旗下互金App的确比较依赖支付宝、京东金融、微信支付等金融科技头部玩家对用户的画像作为评估参考，目前，已有少数被测App有意识地规避获取此类信息的操作风险，避免直接要求用户输入密码，比如要求用户在页面上传支付宝App中个人信息页面及芝麻分页面、京东App实名认证页面及小白信用页面、微信App中账号与安全页面及支付分的截图信息。这些App将获取的截图信息共享至合作方，合作金融机构或担保公司通过识别截图中的个人信息数据来进行信用评估。
诱导式获客？向第三方引流未明示用户
借贷引流类业务是多数金融科技公司旗下App都有搭载的一个业务板块，在此过程中，平台本身虽然不进行贷款审核，但却通过大数据算法，对用户进行了画像，将带有某些身份标签的用户推送给了适合的第三方借贷平台，这一过程中也涉及用户信息的共享和传输，这些接收信息的平台应当被定义为原App的第三方合作机构。《自评估指南》中规定，隐私政策中应说明接收方类型或身份；如果将个人信息传输至第三方服务器，应通过弹窗提示等方式明确告知用户。
在上一期测评中，爱奇艺、同程旅行、微博借钱、360借条、搜狗借钱、58好借等平台都有这样的“借贷引流”业务，而在本期测评中，分期乐、众安小贷、玖富万卡、融360、我来数科、及贷、还呗、省呗、小花钱包几个App上都搭载了向第三方借贷平台引流的端口，且上述平台存在诱导用户点击跳转到第三方平台的行为。南都采访人员测试发现，上述平台在其中一些第三方平台的跳转页面自动勾选了“同意授权” ，使用户可能在无意中就泄露了自己的手机号码、姓名等信息，由于这些跳转页面大多是注册页面，所以即使用户意识到了被诱导，但也已经被迫在一些平台上发生了注册行为。根据工信部7月24日的《关于侵害用户权益行为的APP通报》显示，上述App中小花钱包、还呗已有“前科” ，皆因“私自共享给第三方”被通报。
【App|用“还呗”得一键授权签40余份协议 “及贷”要收集你网购外卖账户信息】比如众安小贷App ，当南都采访人员完成注册后，就被App引导上传身份证，上传后就提示“审批不通过” 。紧接着便弹出窗口表示，匹配了专属产品“榕树容易借” ，在页面中用“新口子”、“超低门槛”、“本周放款王”、“剩余名额9%”等宣传语对消费者进行诱导。进入榕树贷款页面时，并没有对消费者进行提醒，也并未提示消费者要阅读第三方平台的隐私政策。据测评，隐私政策、注册协议的文字使用了整个页面字号最小、颜色最浅的字体，没有留出让用户主动勾选的位置，页面中间最大字号和颜色最显眼的是“查看额度”按钮。只要消费者输入手机号码点击“查看额度”按钮，就会被第三方平台收集信息。
马军律师指出，嵌入式的服务本身就有泄露数据的技术风险，如果App要共享个人信息到第三方借贷平台必须征得个人的同意，否则视为非法对外提供。南都采访人员排查近期收到的垃圾营销短信发现，不少短信正是来源于这些仅仅点了几下的第三方平台。
这种霸道式营销存在哪些问题？张豪律师认为，鉴于我国已全面实行手机实名制，且手机号码具有专属性和私隐性，在从严惩治侵犯公民个人信息类犯罪的法治环境下，没有机主姓名信息的单独手机号码，倾向于被认定为构成刑法意义上的公民个人信息。因此，个别团伙将没有机主姓名信息的单独手机号码滥用于金融借贷的精准营销，涉嫌构成侵犯公民个人信息罪。
测评标准说明
本次测评，设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分，计分权重分别占比20%、50%和30% 。
在“手机权限获取”维度中，涉及用户进入App时，是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中，南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。分页标题
在“隐私政策文本”维度下设隐私政策的独立性、易读性，清晰说明各项业务功能及所收集个人信息类型，清晰说明个人信息处理规则及用户权益保障，隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标，计分权重分别占比10%、50%、30%和10% 。按一级维度权重算，满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。
在“收集使用个人信息行为”维度中，主要测评了个人信息传输至第三方服务器时，是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项，是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。
出品：南都财经新闻部
测评&数据采集分析：南都采访人员熊润淼实习生陈琪琦