2020财经半年报之移动金融App个人信息安全合规榜第二期

2020财经半年报之移动金融App个人信息安全合规榜第二期

随着多批移动金融APP备案清单的发布，规范金融数据安全也成为2020年上半年金融科技监管的主旋律，尤其是密码保护、个人信息安全等方面，更是治理的重点。 . 为进一步为金融类APP治理提供参考，南都金融合规研究组从消费者角度对多款主流移动金融类APP进行了实测评分。这一阶段主要关注移动金融APP的个人信息安全合规性。

上一期我们以35家互联网公司的平台为样本。今天，我们推出了对24家金融科技公司的互助金融APP的评测，在《2020年金融半年报》中移动金融APP个人信息安全合规榜单中位列第二。预计。评价标准依据《应用程序非法收集、使用个人信息的审批办法》、《应用程序非法收集、使用个人信息行为自评指南》、《网络安全标准实务指引》 ”。个人信息的收集和使用分为三个一级维度和48个子项。

南都金融合规研究组通过下载、注册、实战等环节，对24家金融科技公司的公募基金APP进行了专项评估。结果显示，近40%的被测应用在申请权限时没有表达目的，1/4的被测应用没有在隐私政策中明确告知申请权限涉及的功能，近30%的应用被迫获得许可。约 30% 的 App 未明确说明使用第三方代码插件（包括 SDK），近 40% 的 App 在将流量引流至第三方借贷平台时存在诱导行为。

从总分来看，欢贝、豆豆钱、微信卡贷、生贝、即贷5款APP在总分中垫底。

获取权限存在很多不合规问题

金融科技企业是参与互联网金融业务的主力军，以科技赋能普惠金融，以大数据的方式让金融服务更加被淹没。数据资产是金融科技赖以生存的武器，但大数据信息的滥用也会直接危害消费者个人信息的安全。

课题组在本次测评中评选出的24家金融科技公司的互金类APP，大部分下载量都在千万级。结果表明，金融科技公司互金APP在权限获取方面存在诸多问题。30% 的被测 App 的权限获取分数低于 80（未计算权重，100 分制），而在隐私政策部分的个人信息收集和个人信息收集部分，具有80分以下（加权前，100分制）分别占16.7%和12.5%。其中，极贷App在三个部分中排名低分，隐私政策部分得分低于70分。

根据《自我评估指南》的要求，应用打开系统权限时，应说明该权限收集个人信息的目的。但在本次评测中，37.5%的app申请权限并没有在打开时说明目的，涉及app的人人贷、爱来积客、行贝、有物贷、微信卡贷、豆豆钱、解结宝、飞贷、小花钱包；四分之一的应用程序没有将申请权限所涉及的功能和用途告知隐私政策；四分之一的应用程序被迫获得一些权限。如果您没有打开所需的权限，您将无法进入该应用程序。涉及的APP包括分期乐、来强、有为贷、拍拍贷、微信卡贷、豆豆钱、即贷宝。

App 专项治理组曾指出，无论是权限获取还是个人信息收集，都需要遵循“足够少”的原则，并将其置于权限获取的具体上下文中，即如果某个 App 需要的权限被移除，它不会被使用。影响App的正常功能，那么这个权限实际上是不应该得到的。此外，《信息安全技术移动互联网应用（App）收集个人信息的基本规范》明确了金融借贷手机信息的范围，不包括通讯录、通话和短信等详细信息。但经研究团队调查，67%的应用需要阅读通讯录功能，超过 45% 的应用需要读取通话记录的权限，25% 的应用需要读取短信列表的权限。其中，需要读取通话记录的应用包括分期乐、乐卡、欢贝、星贝、久付万卡、拍拍贷、有物贷、人人贷、豆豆钱、小花钱包等。

一般来说，获取通讯录权限的APP是为了方便用户在借阅过程中输入联系方式，协助贷后管理。大多数应用程序没有强制性要求，但也有例外。比如小影分期App会在贷款申请过程中强行获取用户通讯录。如果您不同意，则无法进行下一步。对此，尽管该应用在其隐??私政策中解释道：“收集此类信息是为了进行反欺诈识别，并协助识别不遵守金融法规的借款人。” 然而，行业研究人员持有不同意见。的意见。宁人律师事务所金融科技委员会副主任马军，

数十张征信查询表“捆绑”一键授权还款保存

调研组发现，在这批测试的App中，“捆绑”一键授权的现象较为突出，其中欢贝App和省祈祷App的做法被夸大了。公开资料显示，欢贝是数禾科技的主打品牌。其主要股东为分众传媒的全资子公司。欢贝于2016年6月上市，是一款信用卡账单分期APP。招商银行信用卡中心等有“王者之王”之称的知名金融机构，主要向拥有互联网小贷牌照的数禾科技全资子公司重庆分众小贷提供资金，以及银行和消费金融公司。而生贝也是一个综合性的信用卡服务产品，

据实测，南都记者第一次打开欢北App，输入手机验证码完成注册后，无法直接进入App。他还需要在App的引导下输入人脸ID进行人脸识别。南都记者注意到，这一步涉及对用户个人信息中高度敏感的生物特征信息的采集，但并未给用户签署专有协议授权采集。不仅如此，还要求用户勾选并同意一系列“征信相关授权协议”。阅读后，这部分协议有40多个，涉及20多个缔约方，包括的类型包括“ 很多协议不能从列表的标题上判断出需要与哪些公司签订协议，并给用户一个协议。造成了巨大的阅读障碍。

而且，这些协议的签署本应是用户点击申请贷款时的要求，一般用于App借贷业务的资质、资信、偿付能力审核等功能。但是，欢百App需要用户在进入App前授权并同意一次。否则，连App的浏览功能都无法使用。这是一种捆绑App多个业务功能的方式，需要用户一次接受并授权多个业务功能。要求收集个人信息。根据《自我评估指南》的相关要求，欢贝App在实际收集个人信息时，业务功能链接与协议签订不对应。

对于这种粗暴的“捆绑”授权请求，马军律师直言“不合理”。他说，虽然商业贷款??需要授信，但如果涉及到多个授信，就要考虑是否符合“最少够用”的原则，一个是否够用。“而且每份合同或授权都应单独征得个人同意，而不是一次性授权。” 他直言，“在这种情况下，用户无法阅读授权书或合同，可能导致一次性授权收集大量个人信息，不利于个人信息保护。”

京衡律师事务所律师张浩作补充说明，采用所谓“一次性授权”的方式，诱导用户在批量借贷前签订空白合同，过度处理个人信息，违反了合法性和必要性，以及对用户的征信。造成一定的负面影响。

盛北也存在同样的问题，但程度较轻，需要一次性授权才能签署20多份协议。值得注意的是，生贝和欢贝应用在隐私政策正文部分获得的分数都比较高，均在80分以上，这说明部分应用只是表面功夫，实际信息收集行为还是我我行我素。据公开报道，盛贝App旗下的萨摩耶金融服务公司去年被曝借用探针盒在商场等地自动采集消费者信息，通过该渠道获客。

与上述APP的做法相比，平安普惠在贷款申请过程中收集个人信息的做法或许值得借鉴。它将过程中需要授权的协议拆分为多个步骤并征求用户同意，不使用传统方式。“单击按钮同意”方法需要用户在屏幕上手动签名。这个过程虽然麻烦，但它把主动权还给了用户。符合《自评指引》中“用户主动填写、点击、查看等自主行为作为开通或开始收集个人信息的条件作为产品或服务的业务功能”的要求”。

和黛，我来Digitech是为了收集超出范围的个人信息

在上一次的评测报告中，未披露第三方代码插件（包括SDK）的使用，以及未明确说明收集个人信息与业务功能的对应关系，已成为该应用失败的重灾区. 本期评估的应用也存在同样的问题。30% 的应用程序未披露使用第三方代码插件（包括 SDK）。涉及的应用包括众安小贷、即贷、微信卡贷、豆豆钱、即贷宝、喜鹊快贷、小花钱包；17%的APP没有明确说明收集个人信息与业务功能的对应关系，涉及拉卡拉金融、欢贝、微信卡贷、豆豆钱等APP。

在上一份评估报告中，研究团队披露，共同基金平台郎晓华和微博借钱收集个人信息超出范围。这一现象也出现在本期评测的 24 款 App 中。

例如，易来数在其隐私政策中表示，需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡、个人信用账户、网络社交账户的账号和密码。极贷App要求用户在收集用户基本信息前同意《隐私保护及信息授权协议》信用卡账单网贷款口子，即需要收集用户的“信用卡、银行储蓄卡、网银等账户信息，包括但不限于卡号、账户名、额度、账单等各类信息”；“淘宝、支付宝、京东、美团、饿了么账户等支付、交易工具、电商平台、外卖服务平台等账户信息，包括但不限于账户，包括交易记录在内的各种信息。” 值得注意的是，协议中提到，“在收集部分信息时，还需要提供相关的账号、密码、验证码信息。” 这意味着用户需要在App提供的页面中输入上述隐私性强的账号密码。如果平台技术不达标，或故意缓存此类信息，用户的隐私和安全将面临极大风险。” 这意味着用户需要在App提供的页面中输入上述隐私性强的账号密码。如果平台技术不达标，或故意缓存此类信息，用户的隐私和安全将面临极大风险。” 这意味着用户需要在App提供的页面中输入上述隐私性强的账号密码。如果平台技术不达标，或故意缓存此类信息，用户的隐私和安全将面临极大风险。

一位业内人士分析南都记者，部分金融科技公司由于自身基因，缺乏用户消费场景和大数据，无法与数据丰富的电商平台达成数据共享合作，要求用户自行登录. 这些账户为平台提供了阅读相关信息的机会。一些金融科技公司声称其平台的风控数据维度详细，具有非常准确的研判能力。在具体情况下，这些数据来源是否合法合规，是否存在违规收集和处理用户个人信息的范围，值得调查。

对此，张浩律师指出，对于借贷业务而言，信用判断的必要数据应仅限于直接判断一个人信用状况的信息或有利于直接防止信用违约损失的信息。但鉴于互联网贷款的特殊性和基于大数据的金融科技的发展，许多看似与判断信用状况无关的弱关联数据或非结构化数据在信用判断中具有一定的价值。上述平台要求用户提供的这些第三方电子商务平台的交易数据，在一定程度上可以作为判断的补充依据。但是，粗鲁地要求用户进行全面授权并同意自愿交出密码，

南都记者发现，不少金融科技公司的互金APP确实依赖支付宝、京东金融、微信支付等金融科技巨头的用户画像作为评价参考。目前，少数测试应用有意识地避免获取此类信息的操作风险是为了避免直接要求用户输入密码，例如要求用户在支付宝应用中上传个人信息页面和芝麻分页面，真正的- 京东APP中的姓名认证页面和小白信用页面，微信APP中的账户和安全页面以及支付点的截图信息。这些应用程序与其合作伙伴共享捕获的屏幕截图信息，

诱导客户获取？在不表达用户的情况下将流量引流给第三方

贷款和引流业务是大多数金融科技公司在其应用程序上的业务板块。在这个过程中，虽然平台本身不做贷款审核，但它使用大数据算法对用户进行画像，并且会带有一定的特征。身份标签的用户被推送到合适的第三方借贷平台。这个过程还涉及到用户信息的共享和传输。这些接收信息的平台应定义为原App的第三方合作伙伴。《自我评估指南》规定，应在隐私政策中说明接收者的类型或身份；个人信息传输至第三方服务器的，应通过弹窗提示等方式明确告知用户。

在此前的评测中，爱奇艺、同程旅行、微博借贷、360借条、搜狗借贷、58豪卓等平台都有这样的“贷款引流”业务。乐、众安小贷、久付万卡、融360、沃来数客、即贷、欢贝、生贝、小花钱包等均设有第三方借贷平台引流端口，上述平台存在诱导行为用户点击跳转到第三方平台。南都记者测试发现，上述平台在部分第三方平台的跳转页面自动勾选了“同意授权”，导致用户在不经意间泄露了自己的手机号码、姓名等信息，因为大部分这些跳转页面都是注册页面，所以即使用户意识到被诱导，他们被迫在某些平台上注册。根据工信部7月24日发布的《App关于侵犯用户权益的通报》，上述App中的小花钱包和欢贝均存在“犯罪分子”，均被通报为“私下与第三方共享”派对”。

比如在众安小贷App中，南都记者完成注册后，会在App引导下上传身份证，上传后提示“审批失败”。紧接着，弹窗提示其匹配专属产品“悦榕易借”，并使用“新口子”、“超低门槛”、“本周贷王”、“9剩余配额的百分比”给页面上的消费者。诱导。在进入悦榕贷款页面时，没有提醒消费者，也没有提醒消费者阅读第三方平台的隐私政策。根据评价，隐私政策和注册协议的文字使用整个页面上字号最小、颜色最浅的字体，没有地方让用户主动查看。页面中间的最大字体大小和颜色最突出。只要消费者输入手机号码并点击“查看配额”按钮，信息就会被第三方平台收集。

马军律师指出，嵌入式服务本身存在泄露数据的技术风险。APP若要向第三方借贷平台分享个人信息信用卡账单网贷款口子，必须征得个人同意，否则将被视为非法对外提供。南都记者查看了近期收到的垃圾营销短信，发现不少短信来自这些第三方平台，点击几下即可。

如此霸道的营销有什么问题？张浩律师认为，鉴于我国已全面推行手机实名制，手机号码具有排他性和私密性，在严惩侵犯公民个人信息犯罪的法律环境下，没有所有者姓名信息的单独手机号码往往被视为构成刑法意义上的公民个人信息。因此，个别团伙滥用单独的没有所有者姓名信息的手机号码进行金融借贷精准营销，涉嫌构成侵犯公民个人信息罪。

【评价标准说明】

本次评测设置了手机权限获取、隐私政策文本、个人信息收集使用行为三个一级维度。满分100分，得分权重分别占20%、50%和30%。

在“手机权限获取”维度中，涉及到用户是否在弹窗申请权限、是否强制获取权限、是否默认获取权限、用户是否获得权限等12个具体指标。应用程序权限在他们进入应用程序时表达了他们的目的。其中，南都金融合规研究组重点考察了APP强制获取权限、申请权限是否有明确目的、隐私政策是否明确告知申请权限所涉及的功能。

在“隐私政策文本”维度下，设置隐私政策的独立性和可读性，明确说明所收集的个人信息的各种业务功能和类型，明确说明个人信息的处理规则和保护用户权益，隐私政策等文件中是否有免责声明。不合理条款有4个二级维度和26个具体指标，评分权重分别占10%、50%、30%和10%。按照一级维度的权重，满分50分。南都金融合规研究组重点关注隐私政策中个人信息收集规则、第三方代码插件和权限申请等相关问题。

在“个人信息的收集和使用”维度，主要评估用户在个人信息传输到第三方服务器时是否通过弹窗提示等方式明确告知，是否向用户提供了收集个人信息前主动选择同意或不同意选项，用户是否主动填写、点击、选择等自主行为等10个具体指标作为产品或服务的业务功能开通或开始收集个人信息的条件信息。

出品：南都财经新闻部

评价&数据采集分析：南方都市报记者熊润淼

实习生陈琪琪

制图：杨辰月