來源:金融觀察團
原標題:消金APP隱私權限調查(一): 興業消金不給權限不讓用 變相強制訪問通訊錄
伴隨消費金融、互聯網金融飛速發展,金融類APP多次爆出用戶隱私泄露等侵害事件,成爲消費者和監管部門重點的關注。
最新消息是,3月15日,央行官方微信以圖片形式點名了八大類金融套路,其中之一就是“被泄露的個人信息”。
此前央視“3・15晚會”就提到,大部分手機上的APP在使用前,都必須強迫用戶同意自己的定位、麥克風、照相機等權限可以被APP使用。除此之外,部分APP還存在竊取個人隱私等有害行爲。
近期,金融觀察團將在消費金融領域內開展《消金APP隱私權限調查》系列報道,首先從持牌消費金融機構旗下的IOS版本借貸APP開始,針對不給權限不讓用、強制讀取通訊錄、是否允許銷號三項業內主要關注點進行調查,還原行業現狀。首期研究的對象,是興業消費金融旗下的“空手到”APP(IOS)版。
持牌機構也照樣:不給權限不讓用
金融觀察團下載興業消費金融的借款平臺“空手到”APP後,打開APP,頁面就顯示,“APP需要讀取以下權限才能正常使用”,而讀取的內容包括六大項:即電話權限、存儲權限、定位權限、相機權限、信息權限、通訊錄權限,其中通訊錄權限包含讀取聯繫人,用戶快速錄入。
筆者嘗試取消藍色圓框中的“✔”,但並不能取消。
點擊知曉之後,即出現《空手到應用隱私保護政策》,如果點擊 “拒絕”,就顯示“如拒絕同意隱私保護政策,將無法使用,請知悉。“
金融觀察團又用另一部iPhone手機驗證上述權限,顯示的結果完全相同,也是不給權限不讓用。
值得注意的是,“不給權限不讓用“一直是APP違規的重災區。2020年年初,工信部公佈的第二批侵害用戶權益行爲APP名單,15款APP被要求限期整改。這些APP的問題主要涉及私自收集個人信息、過度索取權限、私自共享給第三方、賬戶註銷難等。其中金融類APP“飛貸”被點名,原因就是“不給權限不讓用”。
中聞律師事務所合夥人李亞指出,《網絡安全法》明確規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定。因此,金融借貸類APP超出範圍強制用戶開放通訊錄權限、“不給權限不讓用”等,是違法違規的。
他表示,侵害個人信息依法得到保護的權利的,可視情節,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
而在註冊階段,《用戶隱私協議》顯示,興業消費金融收集的信息更多。在“借款資質審覈、信用及償付能力審覈評估”中,顯示要收集真實姓名、性別、年齡、身份證信息、聯繫電話、電子郵箱、婚姻狀態、通訊地址、學歷信息、職業信息、收入狀況、貸款情況、銀行賬戶信息、緊急聯繫人信息、常用設備信息、人臉識別信息、徵信報告信息等。
李亞指出,按照規定,金融借貸類APP最小(必要)權限範圍僅有存儲權限一項;且當收集的個人信息超出服務類型的最少信息時,超出部分的個人信息,App 應逐項徵得用戶明示同意。
可以拒絕訪問通訊錄 但拒絕就沒法貸款
強制訪問通訊錄,是業內深受詬病的一點。在獲取借款人通訊錄信息後,不少借款機構違規採取“爆通訊錄”等催收方式侵害借款人合法權益。
那麼,作爲持牌消費金融機構的興業消費金融表現如何?
金融觀察團發現,在強制讀取通訊錄這塊,興業消費金融的設置“繞了個彎子”。根據《用戶隱私協議》,消費者可以在設備的設置功能中選擇關閉部分或全部權限,來拒絕平臺收集個人信息。可以關閉的權限有精準地理定位、短信權限、麥克風、相機、通訊錄。
於是,筆者在手機設置裏關閉了通訊錄、相機權限。
但現實呢?在試圖辦理貸款時,金融觀察團首先要完成實名認證,需要使用到曠視旗下的FACE++人臉識別,就必須開啓相機權限。
下一步,若要辦理貸款,空手到顯示要求填寫三個聯繫人信息,包括朋友、同事等。筆者如果選擇“暫不設置”通訊錄權限,就根本無法填寫聯繫人的手機號碼,“請允許到訪您的通訊錄(用於聯繫人快速錄入),否則會影響您的後續操作”。但實際情況是,空手到只允許“選擇聯繫人的手機號碼”,無法手動輸入。
值得注意的是,去年6月,全國信息安全標準化技術委員會發布《網絡安全實踐指南――移動互聯網應用基本業務功能必要信息規範》(下稱《規範》)首次明確,金融借貸類APP所收集的必要信息有手機號碼、賬號信息、身份信息、銀行賬戶信息、個人徵信信息、緊急聯繫人信息、借貸交易記錄等七項。其中,“緊急聯繫人信息”僅限兩人,用於逾期不還情況下進行催款,且應允許手動輸入,而非強制讀取通訊錄。
筆者諮詢了興業消費金融的客服人員,多次強調不讓讀取通訊錄不給用問題(已錄音)。該客服人員要求筆者提供身份證號、姓名、所在單位等個人信息。並表示,空手到那邊的話,是需要選擇“開放信息”才能辦理,後續辦貸款必須填寫聯繫人信息。
此外,該工作人員還指出,要辦理貸款並不是僅僅線上提供信息即可,線上只是做一個預約申請,客戶經理會聯繫筆者,線下還要提供半年穩定的工作收入證明、代發工資流水、公積金等信息。
李亞對金融觀察團表示,在通訊錄非爲金融借貸類APP採取用戶個人信息必要範圍的情況下,用戶拒絕讀取通訊錄就無法辦理貸款,是變相的強制用戶開放通訊錄權限、強制採取用戶個人信息的行爲,同樣是違反相關規定的。
客服稱可以銷號 三個工作日內處理
根據興業消費金融的隱私設置,消費者可以聯繫400電話協助進行賬戶註銷。註銷賬戶後,興業消費金融將停止提供服務。除法律法規另行規定外,興業消金將刪除消費者個人信息或對其進行匿名化處理。
於是,金融觀察團向興業消費金融客服人員提出了空手到APP銷號請求。其客服人員表示,確定可以銷號。可以幫忙登記,三個工作日內會有後臺人員聯繫辦理銷號。
至於三個工作日內有沒有客服人員聯繫筆者、能不能確認銷號,筆者將繼續跟蹤報道。
根據聚投訴的投訴信息,興業消費金融投訴量投訴量371條,解決率77.9%。而最近的一次投訴,就是“網爆通訊錄對我的父母親人朋友”,且顯示在“處理中”。
興業消費金融是經中國銀監會批准成立的全國性消費金融公司, 2014年12月23日正式成立。根據其官方網站,截至目前,已在泉州、福州等地區設立30家一級事業部,並在50多個城市展業,業務半徑基本覆蓋我國經濟發達地區。
根據媒體報道,興業消費金融主要依靠線下直銷團隊“上門收件、親核親訪”來展業。截至2019年上半年,其線下業務貸款餘額230.39億元,在總貸款餘額中佔比81.75%。
金融觀察團認爲,鑑於隱私權問題是金融APP的通病,作爲持牌消金機構,興業消費金融的隱私保護問題相對於很多金融科技機構確實嚴密一些,比如客服表示可以銷號。此前我們報道的飛貸就無法銷號(飛貸APP違規被點名:一經註冊無法註銷 被投訴年利率超36%),且近日還沒媒體爆出至今未整改。但作爲持牌機構,更需要承擔起保護消費者權益的重任,合規運行,在行業內形成表率。
慶幸的是,隱私侵害愈加嚴重的背景下,監管機構針對APP的規範行動持續深化。根據北京商報統計,從2019年7月-2020年1月,相關部門針對App違規收集個人信息,至少進行了7次公開點名,且每次都有知名App在列。
在金融領域,還央行下發了《關於發佈金融行業標準加強移動金融客戶端應用軟件安全管理的通知》。《通知》要求加強移動金融客戶端應用軟件安全管理,並同時下發了《移動金融客戶端應用軟件安全管理規範》。
李亞律師表示,我國目前有多部相關法律法規以及規範性文件來保護用戶個人信息,譬如《刑法》、《民法總則》、《消費者權益保護法》、《網絡安全法》、《電子商務法》;但是立法相對分散、懲罰規則也並不完善。建議應細化相應的公民個人信息使用標準,規範目前的灰色地帶,加大侵害公民個人信息行爲的懲罰力度。