主流金融借貸App仍存在隱私條款問題

長久以來，違規資料爬蟲、侵犯個人隱私資訊等行為滋生了互金行業的資料灰黑產業鏈，今年相關部門對涉及上述違規行為公司的打擊力度顯著提高，現在行業對此都異常敏感。

通過上述表格可以發現，目前主流金融借貸App的主要問題可能是“過度索取許可權”以及“不給許可權不讓用”。

“不給許可權不讓用”一直被認為是霸王條款，部分App運營者通過讓使用者同意“隱私政策”的方式，達到明示規則和徵得同意兩個要求，這種方式已經成為行業普遍現象。

在上述10個金融借貸App中，除了招聯金融、融360和小米貸款能夠提供類似“逛一逛”功能之外（但融360和小米貸款頁面中的功能展示需同意其隱私條款），其他平臺App只有同意所提供的隱私條款才能進入App頁面。

此外，在“超範圍收集個人資訊”方面，上述大多數金融借貸App都有值得商榷的地方。

以人人貸App為例，在瀏覽“人人貸註冊服務協議”時發現，其第六節“使用者資訊和資料及隱私權保護”顯示：

人人貸索要了包括個人生物識別資訊、個人財產資訊、行政機關和司法機關留存的任何資訊、以及各種“包括但不限於…”等，超出了近期釋出的金融借貸收集最小必要資訊範圍（後文將詳細列表展示）。

按照規範的收集資訊範圍，App運營者根據不同需要，可收集資訊包括：賬號資訊（賬號、口令）、銀行賬戶資訊（開戶行名稱、銀行卡卡號、銀行卡有效期限、銀行預留手機號碼）、個人信用資訊（中國人民銀行個人信用報告、第三方個人信用評分）。

例如人人貸註冊服務協議的“6.2.4”處稱，“您不可撤銷地同意公司、公司的關聯方及合作方通過站內信、電子郵件、電話、簡訊等方式向您提供、傳送服務狀態的通知、營銷活動及其他商業性資訊。”顯然有“過度索取許可權”的嫌疑。

另外，關於使用者賬號登出後的處置問題，這裡以京東金融App和人人貸App做個簡單對照。

但是在人人貸的該項條款中，針對使用者登出後的個人隱私資料並沒有給出後續的處理內容。而在模稜兩可的“在該等情況下”（個人理解可以使被動地終止，也可以是主動地終止），人人貸平臺仍可以儲存使用者的個人資訊和資料，並做協議規定的使用和披露（這又牽涉到下面的“私自共享給第三方”問題）。

事實上，“私自共享給第三方”也是金融借貸App中存在的通病。App資訊共享政策使用者往往不會注意到，而某款App的第三方產品或服務的提供商、關聯公司又是哪家，使用者更不清楚。與第三方資訊共享的“無底洞”，幾乎存在於所有App中，區別只是，有的App稱保證自己的合作方靠譜，有的App則直接“甩鍋”。

例如，在“人人貸隱私權政策”中，人人貸直接預設將個人資訊和資料與人人貸關聯方、合作方共享，並提供有針對性的商品、服務和推廣活動；

類似地，在“你我貸隱私政策”中，除了導流給第三方機構，你我貸還用“但您離開我們跳轉至第三方H5頁面時，請注意保護您的個人隱私”撇清了可能存在的隱私資料漏洞。

另據相關了解，部分金融借貸App目前仍然存在獲取使用者通訊記錄及內容的行為，包括通話詳單和簡訊，使用者親戚朋友、聯絡人及其手機號碼，以便用於使用者違約時由催收機構向用戶手機裡的聯絡人披露使用者的違約資訊。但根據基本規範來看，強制讀取使用者通訊錄已被明確禁止。

但在“你我貸隱私政策”和“人人貸隱私權政策”中，目前有關通訊資訊和內容、通訊錄資訊的收集使用內容並未得到調整。

金融App資訊收集面臨“最小”“必要”原則

近年來，儘管中國針對金融類App出臺了多項規定，但隨著獲客、運營、風險成本的水漲船高，仍有金融借貸App在收集個人資訊時明顯並未遵循最少收集原則，存在違規收集使用借款人個人資訊，強制或直接預設讀取通訊錄等情況。

據相關律所表示，目前國內有近40部法律、30餘部法規涉及個人資訊保護。其中《網路安全法》明確規定，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，不得收集與其提供的服務無關的個人資訊，不得違反法律、行政法規的規定。

然而，怎樣收集使用者資訊是正當的、必要的，哪些資訊的收集與服務無關等等問題，仍處於法律條文的模糊地帶。

當然，金融機構並不是盲目地遵循資料採集的最少、必要原則，這一切都建立在，替代資料應用的“必要性”，在金融機構的風險應用中被充分理解的基礎上，才能真正辨別，被採集的是否為必要資料。

在這個層面，為避免必要資料的合理採集受限，金融機構與監管層之間的充分溝通解釋，也顯得十分重要。

今年10月25日《資訊保安技術 移動網際網路應用程式（App）收集個人資訊基本規範（草案）》對外公佈，明確了金融借貸機構（包括銀行、消費金融公司、小貸公司等網路借貸服務機構）在法律法規要求的最小必要個人資訊，以及在實現服務所需的最小必要個人資訊。具體最少資訊如下表：

此後，11月6日工業和資訊化部再度加碼釋出《關於開展APP侵害使用者權益專項整治工作》，引起社會各界持續關注。

此次治理內容包括“私自收集個人資訊”、“超範圍收集個人資訊”、“私自共享給第三方”、“強制使用者使用定向推送功能”、“不給許可權不讓用”、“頻繁申請許可權”、“過度索取許可權”、“為使用者賬號登出設定障礙” 八類App違規行為。

實際上，2019年初，中央網信辦、工業和資訊化部、公安部和國家市場監管總局等四部門已決定從2019年1月至12月，在全國範圍組織開展App違法違規收集使用個人資訊專項治理。現在，這一整治行動已接近尾聲，金融App則成為非法收集個人資訊的重災區。

據中國資訊通訊研究院釋出的《2019年金融行業移動App安全觀測報告》顯示，截2019年9月，中國信通院從232個安卓應用市場中收錄了超13萬款金融行業App，觀測發現，70.22%的金融行業App存在高危漏洞，黑客可利用這些漏洞竊取使用者資料、進行App仿冒、植入惡意程式、攻擊服務等，對App安全具有嚴重威脅，其中部分高危漏洞甚至存在導致App資料洩露的風險。

對此，北京金融科技研究院院長謝平在11月18日某論壇上，針對金融類App監管問題時稱，“現在金融機構App是不監管的，隨便掛在安卓或者蘋果商店都可以下載，”“但是我最近注意到，教育的、醫療的App有人監管了，教育App教育部要管了，有些內容不能放進去，金融App的監管問題聽說監管當局也已經在討論了。”

不過，除了需要監管部門及時補位之外，針對金融App個人資訊保護也同樣需要考慮到企業的難點。

App治理工作組專家何延哲近期表示，隱私政策如何展示、許可權目的如何告知、登出機制如何設定三個問題是企業合規整改中的常見問題，如何解決上述問題讓使用者、企業及監管方都滿意變得非常困難。

何延哲認為，在金融App收集個人資訊的過程中最大的難點是做到公開透明。使用者不一定能接受金融App公開透明，也不一定相信企業是為了保護安全才收集個人資訊；公開透明個人資訊收集規則是否會幫助黑灰產進行攻擊帶來新的安全問題也需要考慮；對於監管來說，透明公開是有價值的，但是對於風控的影響以及風控的要求和現實的差距也值得思考。

但何延哲還是建議企業一定要有風險意識，在使用資料進行創新、盈利的方案前要反覆評估、斟酌。他建議企業要做一個Plan B，以確定在突如其來的合規要求面前保證業務的連貫。

換句話說，金融App至少應開始尋求“最小”、“必要”的個人資訊專案，告別以往規模化獲取使用者資訊的操作。

（備註：受近期監管因素影響，上述金融類APP的具體條款可能出現實時變化。）