[专栏]挖掘JD.com金融、杜晓曼、人人网等10款借贷应用的隐私条款

隐私条款仍然存在于主流金融借贷应用程序中。长期以来，非法数据爬虫和侵犯个人隐私信息孕育了基金行业的数据灰黑色产业链。今年，有关部门大幅加大了对参与上述违法行为的公司的打击力度，现在行业对此极为敏感。作为回应，刘欣财经在过去两周尝试了几种主流金融借贷应用。结果如下:...

主流金融借贷应用仍然存在隐私条款问题< p>

。长期以来，非法数据爬虫、侵犯个人隐私信息等行为滋生了基金行业的数据灰黑色产业链。今年，有关部门大幅加大了对参与上述违法行为的公司的打击力度，现在行业对此极为敏感。

作为回应，刘欣金融在过去两周尝试了几种主流金融贷款应用程序，结果如下:

通过上表可以发现，当前主流金融借贷应用的主要问题可能是“过度的权利主张”和“拒绝权利和拒绝使用”< p>

“不允许，就没有用”一直被认为是霸王条款。一些应用运营商通过允许用户同意“隐私政策”达到了明示规则和同意的两个要求，这在行业中已经成为一种普遍现象。

在上述10个金融借贷应用中，除了兆联金融、融360和小米贷款可以提供类似的“浏览”功能(但是，融360和小米贷款页面中显示的功能必须符合其隐私条款)，其他平台应用只有在同意所提供的隐私条款的情况下才能进入应用页面。< p>

此外，就“收集超出范围的个人信息”而言，上述大多数金融贷款应用程序都有问题。

以人贷应用为例，在浏览“人贷注册服务协议”时，发现第6节“用户信息和数据及隐私保护”显示:

人民贷款要求个人生物特征信息、个人财产信息、行政和司法机关保留的任何信息以及各种“包括但不限于……”等。，这些信息超出了最近发布的金融贷款集合的最低必要信息(详细列表将在后面显示)< p>

根据标准的信息收集范围，应用运营商可以根据不同的需求收集信息，包括:账号信息(账号、密码)、银行账户信息(银行名称、银行。银行卡号。卡有效期、银行预留手机号码)、个人信用信息(中国人民银行个人信用报告、第三方个人信用评分)

例如，《人民贷款登记服务协议》的“6.2.4”部分规定，“您不可撤销地同意公司、其关联方和合作伙伴将通过站内信函、电子邮件、电话、短信等方式向您提供和发送服务状态通知、营销活动和其他商业信息。””显然有“过分主张权威”的嫌疑< p>

此外，关于注销后用户账户的处理，这里有一个京东金融应用和人贷应用的简单比较。

在京东金融的隐私政策中，有关于用户注销和相应数据处理的详细介绍根据内容，如果用户提出删除个人信息，京东金融将在后台删除数据。

但在人民贷款这一条款中，用户注销后个人隐私数据没有后续处理内容。但是，在模棱两可的“这种情况下”(个人理解可能导致被动终止或主动终止)，个人贷款平台仍然可以保存用户的个人信息和数据，并按协议规定进行使用和披露(这反过来又涉及以下“私下向第三方分享”的问题)

事实上，“未经许可与第三方共享”也是金融借贷应用程序中常见的问题应用程序信息共享政策的用户通常不会注意到，用户甚至不太清楚应用程序的第三方产品或服务的提供商或关联公司。几乎所有应用程序都存在与第三方共享信息的“无底洞”，除了一些应用程序声称确保他们的合作伙伴是可靠的，而另一些应用程序则直接“扔罐子”< p>

例如，在“个人贷款隐私政策”中，个人贷款直接违约，以与个人贷款的关联方和合作伙伴共享个人信息和数据，并提供有针对性的商品、服务和促销活动；

。同样，在“您-我-贷款隐私政策”中，除了转移到第三方组织之外，您-我-贷款还使用“但在您离开我们跳到第三方H5页面时，请注意保护您的个人隐私”来消除可能的隐私数据漏洞。

据了解，一些金融借贷应用程序仍然具有获取用户通信记录和内容的行为，包括通话详细信息和短消息、用户的亲属、朋友、联系人及其手机号码，以便在用户默认的情况下，被收款机构用于向用户手机中的联系人披露用户的默认信息。然而，根据基本规范，强制阅读用户地址簿已被明确禁止。< p>

但是在“您-我-贷款隐私政策”和“人员-贷款隐私政策”中，通信信息和内容以及地址簿信息的收集和使用目前尚未进行调整。

金融应用信息收集面临“最低”和“必要”原则< p>

。近年来，尽管中国出台了许多针对金融应用的法规，但随着客户获取成本、运营成本和风险的上升，仍有一些金融贷款应用在收集个人信息时明显不遵循最低收集原则。存在非法收集和使用借款人个人信息、强制或直接违约阅读地址簿等情况。

据相关律师事务所统计，中国目前有近40部法律和30多部个人信息保护法规。其中，《网络安全法》明确规定，网络经营者收集和使用个人信息应当遵循合法、合法、必要的原则，不得收集与其提供的服务无关或者违反法律、行政法规规定的个人信息。

然而，如何收集用户信息是合法和必要的，而什么样的信息与服务无关仍处于法律规定的模糊领域。

当然，金融机构不会盲目遵循最低和必要的数据收集原则。所有这些都是基于数据应用替代的“必要性”，只有在充分理解金融机构风险应用的基础上，才能真正区分收集的数据是否必要。

在这个层面上，为了避免合理收集必要数据的限制，金融机构与监管机构之间充分沟通和解释也是非常重要的。

信息安全技术移动互联网应用个人信息收集基本规范(草案)于今年10月25日发布，规定了金融贷款机构(包括银行、消费金融公司、小额贷款公司和其他点对点贷款服务机构)法律法规要求的最低个人信息要求，以及实现服务所需的最低个人信息要求。具体的最低信息如下:

自那以后，11月6日，工业和信息化部再次增加了代码，发布了《关于侵犯用户权益的应用专项整治工作》，引起了社会各界的持续关注。< p>

此治理包括八种应用违规，包括“私下收集个人信息”、“收集超出范围的个人信息”、“私下与第三方共享”、“强制用户使用定向推送功能”、“不向用户授予权限”、“频繁申请权限”、“过度要求权限”和“设置用户帐户取消障碍”

事实上，2019年初，中央互联网信息办公室、工业和信息化部、公安部、国家市场监管总局等四个部门决定，从2019年1月至12月，在全国范围内组织开展针对应用非法收集和使用个人信息的专项治理现在，这次整顿行动已经接近尾声，金融应用已经成为非法收集个人信息的重灾区。

根据中国信息与通信研究院发布的2019年金融行业移动应用安全观察报告，2019年9月，中国信息与通信研究院从232个安卓应用市场收集了超过13万个金融行业应用。观察发现，70.22%的金融行业应用程序存在高风险漏洞。黑客可以利用这些漏洞窃取用户数据，进行应用伪造，植入恶意程序，攻击服务等。，这对应用程序安全构成了严重威胁。其中一些高风险漏洞甚至有导致应用程序数据泄漏的风险。

对此，北京金融科技学院院长谢平11月18日在一个关于金融应用监管的论坛上表示，“目前，金融机构应用不受监管，可以通过在安卓或苹果商店上悬挂来下载。”“然而，我最近注意到教育和医疗应用程序受到监管，教育应用程序教育部将会处理此事。有些内容不能放进去。我听说监管机构也在讨论对金融应用的监管。”“

但是，除了需要监管机构及时更换之外，金融应用的个人信息保护还需要考虑企业的困难。

应用治理工作组专家何艳哲最近表示，如何显示隐私政策、如何告知授权目的、如何建立撤销机制这三个问题是企业合规整改中常见的问题。如何解决上述问题以满足用户、企业和监管者的需求变得非常困难。

何艳哲认为，金融应用收集个人信息的最大困难是公开透明。用户不一定接受金融应用的开放性和透明性，也不一定相信企业收集个人信息是为了保护安全。公开透明的个人信息收集规则是否会帮助黑灰色生产者进行攻击带来新的安全问题也需要考虑。对于监管而言，透明度和公开性是有价值的，但对风力控制的影响以及风力控制要求与现实之间的差距也值得思考。

但何艳哲仍然建议，企业在利用数据制定创新和盈利计划之前必须有风险意识并反复评估和考虑。他建议，企业应该制定一个计划B，以确保业务连续性，面对突然的合规要求。

换句话说，金融应用至少应该开始寻找“最少”和“必要”的个人信息项目，告别以往获取用户信息的大规模操作。

刘欣财经从一家特许消费金融公司的产品运营部了解到，根据上述规范，大多数公司都会调整其应用产品，从而增加相应的运营费用，进而影响企业的盈利能力。然而，毫无疑问，合规是公司目前面临的最重要的问题。

(备注:由于近期监管因素，上述金融应用的具体条款可能会实时变化)