來源：南方都市報(bào)

《個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“《個(gè)保法》”）已于2021年11月1日起施行。新法落地，對(duì)金融機(jī)構(gòu)提升用戶個(gè)人金融信息保護(hù)能力提出了新的合規(guī)考驗(yàn)，南都“數(shù)字金融生態(tài)合規(guī)研究”課題組觀察發(fā)現(xiàn)，不少消費(fèi)金融類App在《個(gè)保法》生效后更新了版本，為考察合規(guī)化改造成效，課題組近期對(duì)10家頭部消金公司旗下的共16款主流消費(fèi)金融App進(jìn)行了深度體驗(yàn)測(cè)評(píng)。本次測(cè)評(píng)發(fā)現(xiàn)，在隱私政策文本相關(guān)測(cè)評(píng)項(xiàng)中，大部分樣本App整體表現(xiàn)尚可，但杭銀金融、消邦以及哈銀消金仍出現(xiàn)個(gè)人信息種類列舉不完善的問題；在權(quán)限獲取方面，則有個(gè)別App存在較大問題，如海爾消費(fèi)金融旗下的兩款A(yù)pp曾在10月下旬因未完成整改被中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)通報(bào)批評(píng)，但在本次測(cè)評(píng)中仍存在不同程度的強(qiáng)制索權(quán)、反復(fù)索權(quán)或提前自動(dòng)獲取權(quán)限問題；此外，中原消費(fèi)金融、柚卡、空手到、捷信金融等多個(gè)樣本App尚未落實(shí)數(shù)據(jù)可攜帶權(quán)要求，在隱私政策中并未向用戶說明獲取本人個(gè)人信息副本的方式，在App內(nèi)也未發(fā)現(xiàn)相關(guān)途徑。

16款消金App隱私權(quán)限測(cè)評(píng)結(jié)果（iOS版本）

個(gè)別App對(duì)用戶閱讀隱私政策“主動(dòng)提醒”不足

課題組參考《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）個(gè)人信息保護(hù)常見問題及處置指南》（以下簡(jiǎn)稱《處置指南》）《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》（以下簡(jiǎn)稱《自評(píng)估指南》）等標(biāo)準(zhǔn)，將隱私政策的易訪問性、易讀性和App對(duì)用戶的“主動(dòng)提醒”幾個(gè)方面作為主要評(píng)價(jià)項(xiàng)目。測(cè)評(píng)發(fā)現(xiàn)，一些App在“主動(dòng)提醒”方面做得不夠到位。如中銀消費(fèi)金融App的隱私政策在首次使用App時(shí)，需要用戶點(diǎn)擊鏈接并跳轉(zhuǎn)至瀏覽器用網(wǎng)頁(yè)打開，讀完后再次返回App進(jìn)行操作，不夠方便。杭銀消金旗下的杭銀金融（安卓版）、消邦A(yù)pp的隱私政策文本盡管使用了較為顯著的顏色區(qū)別、加粗及下劃線等形式，但字號(hào)特別小，用戶不便于在手機(jī)端進(jìn)行閱讀。參考《處置指南》要求，隱私政策應(yīng)該易于訪問。該指南同時(shí)要求，隱私政策文本文字顯示方式（字號(hào)、顏色、行間距等）應(yīng)當(dāng)不對(duì)用戶造成閱讀困難。此外，《自評(píng)估指南》中要求，“在用戶安裝、注冊(cè)或首次開啟App時(shí)，應(yīng)主動(dòng)提醒用戶閱讀隱私政策。”參考上述標(biāo)準(zhǔn)，課題組在測(cè)評(píng)中發(fā)現(xiàn)，也有部分App在“主動(dòng)提醒”用戶方面表現(xiàn)較為突出。比如，在招聯(lián)金融App中的“我的”頁(yè)面顯著位置，設(shè)有“我的合同”欄目，其中可查看《招聯(lián)金融隱私政策》等與招聯(lián)金融平臺(tái)簽署的所有協(xié)議，馬上金融、安逸花App則多次彈窗提示用戶查閱隱私政策，App內(nèi)有多處欄目可查看隱私政策，用戶觸達(dá)都比較便捷。

海爾消金旗下App申請(qǐng)權(quán)限存反復(fù)索取、目的不明等問題

2020年9月下發(fā)的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請(qǐng)使用指南》（以下簡(jiǎn)稱《權(quán)限申請(qǐng)使用指南》）中要求，權(quán)限申請(qǐng)的基本原則是“最小必要”“用戶可知”“不強(qiáng)制不捆綁”“動(dòng)態(tài)申請(qǐng)”。參考這一標(biāo)準(zhǔn)，課題組發(fā)現(xiàn)，在本期樣本App中，各平臺(tái)對(duì)權(quán)限獲取申請(qǐng)方式的整改已成“基本動(dòng)作”，初見成效。整體而言，多數(shù)App在申請(qǐng)權(quán)限時(shí)，已實(shí)現(xiàn)了觸發(fā)相關(guān)業(yè)務(wù)時(shí)同步申請(qǐng)權(quán)限，而非一次性捆綁授權(quán)。在iOS版App中，所有樣本App均做到申請(qǐng)權(quán)限時(shí)，同步說明目的；而在安卓版App中，除了招聯(lián)金融、招聯(lián)好期貸以及海爾消費(fèi)金融以外，其余的13個(gè)樣本App均在申請(qǐng)權(quán)限時(shí)同步說明目的。值得注意的是，曾被中互金協(xié)會(huì)通報(bào)整改不力的海爾消費(fèi)金融旗下的海爾消費(fèi)金融和夠花2款A(yù)pp，其安卓和iOS版本在本次測(cè)評(píng)期間仍存在不同程度的強(qiáng)制索權(quán)、反復(fù)索權(quán)或提前自動(dòng)獲取權(quán)限問題。《權(quán)限申請(qǐng)使用指南》指出，“App在用戶未觸發(fā)相關(guān)功能或服務(wù)時(shí)，不能提前申請(qǐng)開啟與其他功能相關(guān)但與當(dāng)前功能無關(guān)的權(quán)限。”而測(cè)評(píng)發(fā)現(xiàn)，海爾消費(fèi)金融App的iOS版本存在提前自動(dòng)開啟權(quán)限的情況。首次使用該App時(shí)，注冊(cè)登錄后還未使用其他功能時(shí)，進(jìn)入該App的“隱私設(shè)置-授權(quán)管理”一欄發(fā)現(xiàn)，定位服務(wù)、訪問相機(jī)、相冊(cè)和通訊錄4大權(quán)限在未申請(qǐng)授權(quán)的情況下，均已處于開啟狀態(tài)。此外，當(dāng)使用海爾消費(fèi)金融App安卓版的申請(qǐng)借款功能，用戶按平臺(tái)要求填寫聯(lián)系人電話時(shí)，App向用戶申請(qǐng)“通訊錄”權(quán)限，拒絕后提示“允許訪問通訊錄是為了幫助快捷選擇聯(lián)系人”，若再次拒絕，則重復(fù)出現(xiàn)申請(qǐng)彈窗。但實(shí)際上，在其他樣本App中，這一功能均使用手動(dòng)填寫的方式來替代，且拒絕后便不再向用戶再次索權(quán)。根據(jù)《權(quán)限申請(qǐng)使用指南》中要求，“如用戶明確拒絕App業(yè)務(wù)功能所需權(quán)限，App不應(yīng)頻繁申請(qǐng)系統(tǒng)權(quán)限干擾用戶正常使用，除非由用戶主動(dòng)觸發(fā)功能，且沒有該權(quán)限參與此業(yè)務(wù)功能無法實(shí)現(xiàn)。”

招聯(lián)金融等App內(nèi)無“權(quán)限管理”入口，撤回同意不便

課題組關(guān)注到，撤回同意也是《個(gè)保法》賦予用戶的一個(gè)重要權(quán)利，《個(gè)保法》第十五條規(guī)定，“基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。”這主要是指用戶在授予App相關(guān)個(gè)人信息的采集、處理權(quán)限后，能否在App內(nèi)實(shí)現(xiàn)對(duì)相關(guān)授權(quán)同意的撤回。參照《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》中關(guān)于“隱私政策難以訪問”的判定標(biāo)準(zhǔn)，進(jìn)入App主界面后需多于4次點(diǎn)擊訪問為“不便”，測(cè)評(píng)組將打開App后經(jīng)過4次以上點(diǎn)擊仍無法關(guān)閉相關(guān)授權(quán)視為不便捷。實(shí)測(cè)發(fā)現(xiàn)，有11個(gè)樣本App內(nèi)置了“權(quán)限管理”功能，占比約68%。其中捷信金融App最為便捷，只需從首頁(yè)經(jīng)過兩次點(diǎn)擊即可進(jìn)入“權(quán)限管理”欄目；馬上金融、安逸花、小馬花花、中郵錢包、中原消費(fèi)金融、柚卡、夠花、杭銀金融、消邦A(yù)pp只需3次點(diǎn)擊。而海爾消費(fèi)金融App所需操作步驟最多，需要4次點(diǎn)擊。其他App則未發(fā)現(xiàn)有內(nèi)置“權(quán)限管理”類似的功能，需要用戶自主進(jìn)入手機(jī)系統(tǒng)設(shè)置中進(jìn)行權(quán)限同意的撤回等管理，包括招聯(lián)金融、招聯(lián)好期貸、空手到、中銀消金、哈銀消金這5款A(yù)pp。

杭銀金融、哈銀消金對(duì)采集個(gè)人信息列舉不全

除權(quán)限申請(qǐng)外，App對(duì)個(gè)人信息收集處理方面的“告知-知情-同意”也是本次測(cè)評(píng)中的重點(diǎn)。根據(jù)《個(gè)保法》十三條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)列明收集信息的具體內(nèi)容，而不能以“等”來涵蓋其需要收集信息的具體內(nèi)容。課題組在本次測(cè)評(píng)中發(fā)現(xiàn)，杭銀金融和消邦在隱私政策的“我們?cè)诤畏N情況下收集您的個(gè)人信息”款項(xiàng)當(dāng)中，在列舉根據(jù)需要用戶提供的個(gè)人信息當(dāng)中使用了“等”的字樣。類似地，哈銀消金隱私政策中需要用戶授權(quán)哈銀消金方面查詢、收集相關(guān)個(gè)人信息，但在列舉過程中使用了“包括但不限于”的說法。兩款A(yù)pp均存在收集個(gè)人信息種類列舉不完善的問題。不過，也有部分App對(duì)上述項(xiàng)目列舉清晰，一一對(duì)應(yīng)，甚至將向第三方共享的個(gè)人信息也比較完善地列明，比如馬上消費(fèi)金融、中原消費(fèi)金融旗下App等。上述App隱私政策文本在陳述共享情形時(shí)，對(duì)授權(quán)合作伙伴的類型進(jìn)行了逐一列舉，包括技術(shù)服務(wù)、銀行卡鑒權(quán)、數(shù)據(jù)統(tǒng)計(jì)和分析服務(wù)、推廣服務(wù)等，并詳細(xì)列舉需要對(duì)授權(quán)合作伙伴共享的個(gè)人信息種類。

海爾消金、夠花App或存在一次性捆綁授權(quán)問題

對(duì)用戶強(qiáng)烈反感的一攬子授權(quán)等問題，《個(gè)保法》特別要求，個(gè)人信息處理者在處理敏感個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意。在《信息安全技術(shù) 個(gè)人信息安全規(guī)范》這項(xiàng)國(guó)家標(biāo)準(zhǔn)文件中更是詳細(xì)要求，“不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能的方式，要求個(gè)人信息主體一次性接受并授權(quán)同意其未申請(qǐng)或使用的業(yè)務(wù)功能收集個(gè)人信息的請(qǐng)求。”參考這一標(biāo)準(zhǔn)，課題組發(fā)現(xiàn)，海爾消費(fèi)金融、夠花App注冊(cè)和登錄即需同意《消費(fèi)信貸服務(wù)協(xié)議》《個(gè)人信息使用授權(quán)協(xié)議》的授權(quán)，其中存在“授權(quán)我公司可將您的身份信息發(fā)送至第三方機(jī)構(gòu)進(jìn)行身份信息一致性校驗(yàn)”“海爾消金可能將您提供或在向您提供服務(wù)過程中收集的信息用于征信查詢等用途”等條款。一位研究互聯(lián)網(wǎng)金融法律問題的資深律師向課題組指出，參考《信息安全技術(shù) 個(gè)人信息安全規(guī)范》規(guī)定，每份合同或授權(quán)都應(yīng)當(dāng)單獨(dú)獲得個(gè)人的同意，并非一次性授權(quán)。如果合同授權(quán)涉及具體業(yè)務(wù)功能，注冊(cè)、登錄App尚未觸發(fā)消費(fèi)信貸業(yè)務(wù)功能，可能存在“提前要求用戶進(jìn)行一次性授權(quán)同意”的問題。此外，本次測(cè)評(píng)還對(duì)在實(shí)名認(rèn)證環(huán)節(jié)是否在收集敏感信息時(shí)單獨(dú)授權(quán)進(jìn)行了觀察。根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，身份證、人臉、指紋分屬于C2、C3類重要個(gè)人身份信息，敏感級(jí)別較高。因此，App在收集上述敏感信息時(shí)都需要逐項(xiàng)征得用戶同意。測(cè)評(píng)發(fā)現(xiàn)，各消金App在實(shí)名認(rèn)證中的上傳身份證、刷臉兩個(gè)敏感信息收集環(huán)節(jié)所設(shè)計(jì)的提示形式和步驟，顯著程度不一，部分App要求用戶單獨(dú)簽署一份授權(quán)服務(wù)協(xié)議以示“同意”，而部分App采用的是頁(yè)面文字類提示。南都課題組在測(cè)評(píng)中發(fā)現(xiàn)，僅有中原消金、柚卡、招聯(lián)金融、招聯(lián)好期貸、空手到、杭銀消金、中銀消金這7個(gè)樣本App在實(shí)名認(rèn)證這一環(huán)節(jié)有單獨(dú)的授權(quán)服務(wù)協(xié)議。而其余部分App在實(shí)名認(rèn)證環(huán)節(jié)，有頁(yè)面提示或彈窗提示。

中原消金、空手到等App未提供個(gè)人信息副本獲取方式

數(shù)據(jù)可攜帶權(quán)也是在《個(gè)保法》的一大亮點(diǎn)，其中要求“個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息……個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。”課題組發(fā)現(xiàn)，樣本App中有10款A(yù)pp明確表示授予用戶獲取個(gè)人信息副本的權(quán)利，但獲取方式難易程度不一，包括馬上金融、安逸花、小馬花花、中郵錢包、海爾消費(fèi)金融、夠花、中銀消費(fèi)金融、杭銀金融、消邦和哈銀消金。多數(shù)App可以通過撥打客服熱線提出要求，并在通過身份核驗(yàn)后獲取；有App則稱，可以在終端的個(gè)人中心查看個(gè)人信息副本。測(cè)評(píng)還發(fā)現(xiàn)，部分App隱私政策中對(duì)用戶本人如何獲取“個(gè)人信息副本”或如何享有“個(gè)人信息復(fù)制權(quán)”沒有明確說明，包括中原消費(fèi)金融、柚卡、空手到、捷信金融4個(gè)App；而招聯(lián)金融、招聯(lián)好期貸在隱私政策中提到用戶享有個(gè)人信息復(fù)制權(quán)，但并未進(jìn)一步說明復(fù)制個(gè)人信息的方式。其中，在興業(yè)消費(fèi)金融旗下的空手到App僅提供查閱個(gè)人信息的功能，并未提供“個(gè)人信息復(fù)制權(quán)”，且該App隱私政策中表示，“用戶有權(quán)查詢、更正和補(bǔ)充個(gè)人信息”，但對(duì)于“App收集的設(shè)備信息、使用本平臺(tái)的非基本功能時(shí)產(chǎn)生的個(gè)人信息”無法查詢、更正和補(bǔ)充。

16款互聯(lián)網(wǎng)貸款A(yù)pp隱私權(quán)限測(cè)評(píng)-主要亮點(diǎn)&不足一覽表

【測(cè)評(píng)說明】

《個(gè)保法》以“告知-知情-同意”為核心原則，針對(duì)消費(fèi)者反感的一攬子授權(quán)、反復(fù)索權(quán)、未知情情況下收集個(gè)人信息等問題，均予以規(guī)范。本次測(cè)評(píng)重點(diǎn)關(guān)注隱私政策文本部分的說明，及權(quán)限申請(qǐng)、個(gè)人信息收集是否讓用戶充分“知情”，并賦予用戶“同意”的權(quán)利。測(cè)評(píng)標(biāo)準(zhǔn)以《個(gè)保法》為綱領(lǐng)，以《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）系統(tǒng)權(quán)限申請(qǐng)使用指南》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）個(gè)人信息保護(hù)常見問題及處置指南》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南》等規(guī)范性文件及指南為參考依據(jù)，分別從隱私政策的易讀性，清晰說明收集個(gè)人信息情況，用戶權(quán)益保障，獲取權(quán)限同步告知目的，收集個(gè)人信息征得用戶自主選擇同意，不強(qiáng)制索權(quán)、超范圍收集等方面設(shè)定測(cè)評(píng)指標(biāo)，共分為6個(gè)一級(jí)維度、70個(gè)二級(jí)指標(biāo)展開。本期測(cè)評(píng)對(duì)象選取了10家頭部消費(fèi)金融公司旗下的共16個(gè)App，包括馬上金融、安逸花、小馬花花、招聯(lián)金融、招聯(lián)好期貸、中郵錢包、中原消費(fèi)金融、柚卡、海爾消費(fèi)金融、夠花、空手到、捷信金融、中銀消費(fèi)金融、杭銀金融、消邦以及哈銀消金，選取的App在應(yīng)用市場(chǎng)中的下載安裝量都在千萬級(jí)別以上。測(cè)評(píng)體驗(yàn)時(shí)間為2021年11月15日-28日，測(cè)評(píng)期間App均已更新至最新版本，本次測(cè)評(píng)中版本更新截至2021年11月28日24時(shí)，測(cè)評(píng)同時(shí)在安卓和蘋果兩臺(tái)手機(jī)上同時(shí)進(jìn)行，并分別測(cè)評(píng)打分，選取最后一次更新的App為樣本進(jìn)行打分。（來源：南都“數(shù)字金融生態(tài)合規(guī)研究”課題組）