消金App隐私权限实测:海尔消费金融仍存在反复索权问题

2021-11-29 23:54:10 南方都市报

《个人信息保护法》(以下简称“《个保法》”)已于2021111日起施行。新法落地,对金融机构提升用户个人金融信息保护能力提出了新的合规考验,南都“数字金融生态合规研究”课题组观察发现,不少消费金融App在《个保法》生效后更新了版本,考察合规化改造成效,课题组近期10家头部消金公司旗下的共16款主流消费金融App进行了深度体验测评

本次测评发现,在隐私政策文本相关测评项中,大部分样本App整体表现尚可,但杭银金融、消邦以及哈银消金仍出现个人信息种类列举不完善的问题;在权限获取方面,则有个别App存在较大问题,如海尔消费金融旗下的两款App曾在10月下旬因未完成整改被中国互联网金融协会通报批评,但在本次测评中仍存在不同程度的强制索权、反复索权或提前自动获取权限问题;此外,中原消费金融、柚卡、空手到、捷信金融等多个样本App尚未落实数据可携带权要求,在隐私政策中并未向用户说明获取本人个人信息副本的方式,在App内也未发现相关途径。

16款消金App隐私权限测评结果(iOS版本)

16款消金App隐私权限测评结果(安卓版本)

个别App对用户阅读隐私政策“主动提醒”不足

课题组参考《移动互联网应用程序(App)个人信息保护常见问题及处置指南》(以下简称《处置指南》)《App违法违规收集使用个人信息自评估指南》(以下简称《自评估指南》)等标准,将隐私政策的易访问性、易读性和App对用户的“主动提醒”几个方面作为主要评价项目。

测评发现,一些App在“主动提醒”方面做得不够到位。如中银消费金融App的隐私政策在首次使用App时,需要用户点击链接并跳转至浏览器用网页打开,读完后再次返回App进行操作,不够方便。杭银消金旗下的杭银金融(安卓版)、消邦App的隐私政策文本尽管使用了较为显著的颜色区别、加粗及下划线等形式,但字号特别小,用户不便于在手机端进行阅读。参考《处置指南》要求,隐私政策应该易于访问。该指南同时要求,隐私政策文本文字显示方式(字号、颜色、行间距等)应当不对用户造成阅读困难。

此外,《自评估指南》中要求,“在用户安装、注册或首次开启App时,应主动提醒用户阅读隐私政策。”参考上述标准,课题组在测评中发现,也有部分App在“主动提醒”用户方面表现较为突出。

比如,在招联金融App中的“我的”页面显著位置,设有“我的合同”栏目,其中可查看《招联金融隐私政策》等与招联金融平台签署的所有协议,马上金融、安逸花App则多次弹窗提示用户查阅隐私政策,App内有多处栏目可查看隐私政策,用户触达都比较便捷。


海尔消金旗下App申请权限存反复索取、目的不明等问题

2020年9月下发的《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》(以下简称《权限申请使用指南》)中要求,权限申请的基本原则是“最小必要”“用户可知”“不强制不捆绑”“动态申请”。参考这一标准,课题组发现,在本期样本App中,各平台对权限获取申请方式的整改已成“基本动作”,初见成效。

整体而言,多数App在申请权限时,已实现了触发相关业务时同步申请权限,而非一次性捆绑授权。在iOS版App中,所有样本App均做到申请权限时,同步说明目的;而在安卓版App中,除了招联金融、招联好期贷以及海尔消费金融以外,其余的13个样本App均在申请权限时同步说明目的。

值得注意的是,曾被中互金协会通报整改不力的海尔消费金融旗下的海尔消费金融和够花2款App,其安卓和iOS版本在本次测评期间仍存在不同程度的强制索权、反复索权或提前自动获取权限问题。

《权限申请使用指南》指出,“App在用户未触发相关功能或服务时,不能提前申请开启与其他功能相关但与当前功能无关的权限。”而测评发现,海尔消费金融App的iOS版本存在提前自动开启权限的情况。首次使用该App时,注册登录后还未使用其他功能时,进入该App的“隐私设置-授权管理”一栏发现,定位服务、访问相机、相册和通讯录4大权限在未申请授权的情况下,均已处于开启状态。

此外,当使用海尔消费金融App安卓版的申请借款功能,用户按平台要求填写联系人电话时,App向用户申请“通讯录”权限,拒绝后提示“允许访问通讯录是为了帮助快捷选择联系人”,若再次拒绝,则重复出现申请弹窗。但实际上,在其他样本App中,这一功能均使用手动填写的方式来替代,且拒绝后便不再向用户再次索权。根据《权限申请使用指南》中要求,“如用户明确拒绝App业务功能所需权限,App不应频繁申请系统权限干扰用户正常使用,除非由用户主动触发功能,且没有该权限参与此业务功能无法实现。”


招联金融等App内无“权限管理”入口,撤回同意不便

课题组关注到,撤回同意也是《个保法》赋予用户的一个重要权利,《个保法》第十五条规定,“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”这主要是指用户在授予App相关个人信息的采集、处理权限后,能否在App内实现对相关授权同意的撤回。

参照《App违法违规收集使用个人信息行为认定方法》中关于“隐私政策难以访问”的判定标准,进入App主界面后需多于4次点击访问为“不便”,测评组将打开App后经过4次以上点击仍无法关闭相关授权视为不便捷。

实测发现,有11个样本App内置了“权限管理”功能,占比约68%。其中捷信金融App最为便捷,只需从首页经过两次点击即可进入“权限管理”栏目;马上金融、安逸花、小马花花、中邮钱包、中原消费金融、柚卡、够花、杭银金融、消邦App只需3次点击。而海尔消费金融App所需操作步骤最多,需要4次点击。其他App则未发现有内置“权限管理”类似的功能,需要用户自主进入手机系统设置中进行权限同意的撤回等管理,包括招联金融、招联好期贷、空手到、中银消金、哈银消金这5款App。


杭银金融、哈银消金对采集个人信息列举不全

除权限申请外,App对个人信息收集处理方面的“告知-知情-同意”也是本次测评中的重点。根据《个保法》十三条规定,个人信息处理者应当列明收集信息的具体内容,而不能以“等”来涵盖其需要收集信息的具体内容。

课题组在本次测评中发现,杭银金融和消邦在隐私政策的“我们在何种情况下收集您的个人信息”款项当中,在列举根据需要用户提供的个人信息当中使用了“等”的字样。类似地,哈银消金隐私政策中需要用户授权哈银消金方面查询、收集相关个人信息,但在列举过程中使用了“包括但不限于”的说法。两款App均存在收集个人信息种类列举不完善的问题。

不过,也有部分App对上述项目列举清晰,一一对应,甚至将向第三方共享的个人信息也比较完善地列明,比如马上消费金融、中原消费金融旗下App等。上述App隐私政策文本在陈述共享情形时,对授权合作伙伴的类型进行了逐一列举,包括技术服务、银行卡鉴权、数据统计和分析服务、推广服务等,并详细列举需要对授权合作伙伴共享的个人信息种类。


海尔消金、够花App或存在一次性捆绑授权问题

对用户强烈反感的一揽子授权等问题,《个保法》特别要求,个人信息处理者在处理敏感个人信息等环节应取得个人的单独同意。

在《信息安全技术 个人信息安全规范》这项国家标准文件中更是详细要求,“不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。”参考这一标准,课题组发现,海尔消费金融、够花App注册和登录即需同意《消费信贷服务协议》《个人信息使用授权协议》的授权,其中存在“授权我公司可将您的身份信息发送至第三方机构进行身份信息一致性校验”“海尔消金可能将您提供或在向您提供服务过程中收集的信息用于征信查询等用途”等条款。一位研究互联网金融法律问题的资深律师向课题组指出,参考《信息安全技术 个人信息安全规范》规定,每份合同或授权都应当单独获得个人的同意,并非一次性授权。如果合同授权涉及具体业务功能,注册、登录App尚未触发消费信贷业务功能,可能存在“提前要求用户进行一次性授权同意”的问题。

此外,本次测评还对在实名认证环节是否在收集敏感信息时单独授权进行了观察。根据《个人金融信息保护技术规范》,身份证、人脸、指纹分属于C2、C3类重要个人身份信息,敏感级别较高。因此,App在收集上述敏感信息时都需要逐项征得用户同意。

测评发现,各消金App在实名认证中的上传身份证、刷脸两个敏感信息收集环节所设计的提示形式和步骤,显著程度不一,部分App要求用户单独签署一份授权服务协议以示“同意”,而部分App采用的是页面文字类提示。南都课题组在测评中发现,仅有中原消金、柚卡、招联金融、招联好期贷、空手到、杭银消金、中银消金这7个样本App在实名认证这一环节有单独的授权服务协议。而其余部分App在实名认证环节,有页面提示或弹窗提示。

中原消金、空手到等App未提供个人信息副本获取方式

数据可携带权也是在《个保法》的一大亮点,其中要求“个人有权向个人信息处理者查阅、复制其个人信息……个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。”

课题组发现,样本App中有10款App明确表示授予用户获取个人信息副本的权利,但获取方式难易程度不一,包括马上金融、安逸花、小马花花、中邮钱包、海尔消费金融、够花、中银消费金融、杭银金融、消邦和哈银消金。多数App可以通过拨打客服热线提出要求,并在通过身份核验后获取;有App则称,可以在终端的个人中心查看个人信息副本。

测评还发现,部分App隐私政策中对用户本人如何获取“个人信息副本”或如何享有“个人信息复制权”没有明确说明,包括中原消费金融、柚卡、空手到、捷信金融4个App;而招联金融、招联好期贷在隐私政策中提到用户享有个人信息复制权,但并未进一步说明复制个人信息的方式。其中,在兴业消费金融旗下的空手到App仅提供查阅个人信息的功能,并未提供“个人信息复制权”,且该App隐私政策中表示,“用户有权查询、更正和补充个人信息”,但对于“App收集的设备信息、使用本平台的非基本功能时产生的个人信息”无法查询、更正和补充。

16款互联网贷款App隐私权限测评-主要亮点&不足一览表

测评说明

《个保法》以“告知-知情-同意”为核心原则,针对消费者反感的一揽子授权、反复索权、未知情情况下收集个人信息等问题,均予以规范。本次测评重点关注隐私政策文本部分的说明,及权限申请、个人信息收集是否让用户充分“知情”,并赋予用户“同意”的权利。

测评标准以《个保法》为纲领,以《移动互联网应用程序(App)系统权限申请使用指南》《移动互联网应用程序(App)个人信息保护常见问题及处置指南》《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》《信息安全技术 个人信息安全规范》和《网络安全标准实践指南》等规范性文件及指南为参考依据,分别从隐私政策的易读性,清晰说明收集个人信息情况,用户权益保障,获取权限同步告知目的,收集个人信息征得用户自主选择同意,不强制索权、超范围收集等方面设定测评指标,共分为6个一级维度、70个二级指标展开。

本期测评对象选取了10家头部消费金融公司旗下的共16个App,包括马上金融、安逸花、小马花花、招联金融、招联好期贷、中邮钱包、中原消费金融、柚卡、海尔消费金融、够花、空手到、捷信金融、中银消费金融、杭银金融、消邦以及哈银消金,选取的App在应用市场中的下载安装量都在千万级别以上。

测评体验时间为2021年11月15日-28日,测评期间App均已更新至最新版本,本次测评中版本更新截至2021年11月28日24时,测评同时在安卓和苹果两台手机上同时进行,并分别测评打分,选取最后一次更新的App为样本进行打分。

出品:南都“数字金融生态合规研究”课题组

数据采集分析:南都见习记者陈卓睿、南都记者熊润淼

版本更新截止时间:2021年11月28日24时

设计:刘寅杉

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐