深扒京东金融、平安普惠等8款金融App收集个人信息情况
2019年12月30日,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合印发了关于《App违法违规收集使用个人信息行为认定方法》(以下简称:《认定方法》)的通知,对违法违规收集使用个人信息的行为进行了明确界定。
随着网络科技的发展,个人信息数据逐渐变成一种颇具价值的资源。利益驱使下,信息泄露事件频发,甚至引发金融诈骗等恶性事件。近期,相关部门加大了监管力度,多次公开批评不规范收集用户信息的金融App,并发布《中国人民银行金融消费者权益保护实施办法(征求意见稿)》进一步保护金融消费者信息数据。
消金时代下载了支付宝、度小满金融、京东金融、小米金融、招联金融、海尔消金、我来数科、平安普惠共计8款金融类App并详细查看其隐私政策,发现大部分平台目前在信息收集上较为合规,但在信息收集范围最小、必要原则上问题较多,其中海尔消金涉嫌强制收集用户敏感信息。
信息收集范围差异大
针对“未经用户同意收集使用个人信息”这一违规现象,《认定方法》详细列出了9类行为。消金时代选取其中第1、2、4、6、8这五类行为对上述金融App依次对照。
(图注:8款App收集信息统计情况)
1. “征得用户同意前就开始收集个人信息或打开可收集个人信息的权限”为未经用户同意收集使用个人信息。
消金时代注意到,上述App的应用权限均默认为询问状态,并没有自动开启。其中,招联金融申请权限最多,达14项;其次是小米金融申请11项;海尔消金、支付宝分别为10项、9项,度小满金融、京东金融为7项,平安普惠和我来数科较少,为6项和5项。
2. “用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用” 。
消金时代关闭App所有权限,大部分平台在开始运行时都会提醒用户打开相应权限,拒绝后即不再提醒,不过招联金融、支付宝提醒次数较为频繁,但也在可接受范围。
4.“以默认选择同意隐私政策等非明示方式征求用户同意”。
针对隐私政策或协议,上述平台中,度小满金融需要用户自行点击“我已阅读并同意”选项,较为合规,其他平台均为“同意”或者“不同意”两个选项,其中“同意”选项有颜色加深提示。仅有平安普惠违反上述规则,只设置了同意选项,且用户阅读界面较小,阅读体验一般。
(图注:平安普惠、度小满金融、京东金融App截图)
6.“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”。
大部分平台在隐私政策中均声明,用户可以通过App设置自行取消营销、用户调查等推送。但海尔消金App隐私政策并没有给出相关方法。
8.“未向用户提供撤回同意收集个人信息的途径、方式”。
据消金时代观察,上述大部分平台提供了注销账号的方式,并保证注销账号后会删除个人信息,但在答复时间以及注销账户引导上有差别。其中招联金融原则上30天内进行答复,小米金融、我来数科未作出承诺,其他平台均承诺15天内进行答复。除我来数科、海尔消金、平安普惠需要联系客服进行注销账号外,其他平台均在隐私政策中提示了注销账号的方法。
但《认定方法》规定,注销用户账户需人工处理的“承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限”完成核查和处理。
此外,删除个人信息时,招联金融、海尔消金仍需要用户提供书面请求,其他平台则没有这一规定。《认定方法》中提到“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”将被认定为“未按法律规定提供删除或更正个人信息功能”。
违反最小必要原则,读取通讯录仍然常见
实际上,不同金融机构的App在信息收集范围上差异较大,而哪些信息该收集哪些信息不该收集也一直是法律的模糊地带。
今年10月25日发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》明确了金融借贷机构实现服务所需的最小必要个人信息。可收集信息包括:账号信息(账号、口令)、银行账户信息(开户行名称、银行卡卡号、银行卡有效期限、银行预留手机号码)、个人信用信息(中国人民银行个人信用报告、第三方个人信用评分)紧急联系人信息、借贷交易记录。
(图注:最小、必要信息收集范围截图)
据消金时代观察,目前金融机构App除收集用户最小必要的基本信息外,还会在隐私政策中声明将会收集用户的通信信息、出行信息、生物信息等。其差别主要为是否在隐私政策中明确强制收集。
例如,度小满金融、京东金融、支付宝声明,用户可以关闭通信信息、出行信息等相应权限,会影响特定产品服务功能,但不影响使用其他产品。
而平安普惠、海尔消金则在隐私政策中明确表示会强行收集上述非最小、必要信息。
平安普惠在隐私政策中提及将会收集用户的联系人信息、即时通信账户信息,如果用户不同意隐私政策,则无法使用平安普惠。
(图注:海尔消金、平安普惠隐私政策截图)
值得注意的是,海尔消金需要收集用户的敏感信息,例如行踪轨迹、住宿信息、健康生理信息,如果用户不愿意提供该等敏感信息,海尔消金将无法提供服务。
对于收集上述信息的目的,海尔消金提到,除了将上述敏感信息用于验证身份和提供贷款、风控外,还会用于“帮助我们了解和分析用户需求,设计新产品和运作模式,或者用于我们开展的其他新业务中”以及“用于安全防范、反欺诈、对账结算、存档和备份;其他为更好向您提供服务的合理目的”。
海尔消金强制将上述行踪轨迹、住宿情况等敏感信息用于分析用户需求开展其他新业务,且没有提供退出参与的方式。
《认定方法》提到,“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”为未经用户同意收集使用个人信息。
小米金融在隐私政策中将收集的信息分为4大类别,每个类别例举了一些将会收集信息的例子,如“我们可能收集与贷款服务相关的个人信息,例如身份证信息、银行卡信息、联系方式、人脸头像等”。小米金融没有对将会收集的信息全面列出,而是用“等”字代替,存在表述不明的嫌疑。作为对比,京东金融、度小满金融则清晰全面地展示出需要收集的信息及其用途。
(图注:我来数科、小米金融隐私政策截图)
我来数科需要收集京东、淘宝、支付宝信息,没有做出合理解释,同样令人难以理解。
值得注意的是,上述8家机构所要收集的通讯信息、位置数据、出行信息、互联网使用信息等已经超出最小必要原则范围。对于金融机构可收集的信息范围,仍需要监管进一步细化,从而达到保护公民信息的目的。
信息保护力度不一
在个人信息保护上,度小满金融、海尔消金、京东金融、招联金融承诺因物理、技术、管理防护设施遭到破坏,导致信息泄漏后将会承担法律责任,小米金融、我来数科未提及这一项。
此外,《认定方法》提到,“App接入第三方应用,未经用户同意,向第三方应用提供个人信息”将被认定为“未经同意向他人提供个人信息”。
目前,平台均会通过隐私政策来获得用户同意将信息共享给关联平台、合作机构以及第三方平台,同时会与其签署协议,要求对方严格保密用户信息。其中支付宝最为谨慎,会评估第三方收集信息的合法性、正当性、必要性,要求第三方对用户信息采取保护措施,此外还会通过弹窗提示等形式征得用户同意,或确认第三方已经征得用户同意。
值得注意的是,部分金融机构与关联平台、合作机构共享信息外,还会接入第三方产品服务,第三方会自行收集用户信息,如度小满接入的爱奇艺会员、水电煤缴费服务等。在接入此类第三方产品服务时,用户的隐私又该如何保护呢?
度小满金融、支付宝提到,会依法对第三方服务链接进行审查,但无法保证其一定会按照要求去做,建议用户了解他们如何收集保存用户信息。
(图注:度小满金融、平安普惠隐私政策截图)
平安普惠则直接甩锅,在隐私政策中提到“我们会尽商业上的合理努力去要求这些第三方主体对您的个人信息采取保护措施,但我们无法保证这些主体一定会按照我们的要求采取保护措施,亦不对这些主体的行为及后果承担任何责任。”
综上,在整改后,支付宝、京东金融、度小满金融等头部平台近期更新的隐私政策较为规范,平安普惠、我来数科、小米金融仍然有进一步优化的空间,海尔消金、招联金融已近一年没有更新隐私政策,存在问题较多。