随着一批批移动金融App备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融App治理工作进一步提供参考,南都金融合规研究课题组从消费者角度,针对一批主流移动金融App进行实测评分。
上一期,我们聚焦账户密码安全推出相关测评报道,本次则瞄准移动金融App个人信息安全合规,以82个常用的移动金融App(含10个嵌入型端口)为样本,并将其分别三类——互联网公司旗下互金App35个、金融科技公司旗下互金App24个、消费金融公司App 23个,展开分组测评。测评标准以《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》为依据,围绕App手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度、48个分项指标进行实测。
今日发布的“2020财经半年报”主题为移动金融App个人信息安全合规榜第一期,样本为35个互联网公司旗下平台。
南都金融合规研究课题组通过下载、注册、实操使用等环节,对82个常用的移动金融App(含10个嵌入型端口)进行了两周的专项测评,本篇聚焦于35个互联网公司旗下互金平台,其中包含嵌入型金融服务端口10个(指类似今日头条、美团等,将金融服务板块业务放在综合性生活服务App中的情况)。
结果显示,互联网综合性生活服务App上的嵌入型金融服务端口普遍存在隐私条款缺失的情况,个人信息收集的规范性有待加强;而25个独立App中,国美、新浪系App安全问题暴露明显,排名垫底。
协议条款,微博分期、爱奇艺等默认勾选“同意”
越来越多互联网大厂开始涉足金融业务,他们在金融业务的链条上,同时作为流量平台和消费场景的角色。南都金融合规研究课题组发现,不少互联网综合性生活服务App中都嵌入了金融服务的端口,以消费金融分期、借贷业务为主,资金方多为银行、消费金融公司和互联网小贷,互联网平台则成为助贷撮合方。
为了观察互联网平台对上线金融业务的合规性,我们选取了使用频率较高、用户量较大的10款App进行实测:分别是美团、微博、搜狗输入法、携程旅行、唯品会、滴滴出行、同程旅行、58同城、爱奇艺、今日头条。除了这些对于用户而言更为便捷的金融服务端口,上述10款App中,也有不少互联网公司都开发了金融业务的独立App:如微博分期、搜狗借钱、携程金融、滴滴金融、58好借等。
不过,由于互联网平台上嵌入的金融服务端口业务性质相对单一,且根据各平台的定义,这种服务属于第三方平台提供的服务,不便适用本课题组搭建的评分体系,故未纳入评分,仅做合规性案例分析。其他25个互联网公司旗下的互金类App则纳入评分体系。
本次评分从整体上来看,个人信息安全部分的评分普遍比上一期账户密码安全部分更高,八成被测App都拿到了80分以上的成绩,仅有新浪金融、微博分期、国美金融和浪小花低于80分。
其中,本轮被测App在隐私政策文本单项评分上的问题相对较大一些,近四分之一的被测App隐私政策评分在80分以下(未算权重前,100分制),包括微博分期、永辉金融、浪小花、搜狗借钱、新浪金融、国美金融。而根据课题组梳理,扣分点主要集中在注册前是否主动弹窗提示消费者进行阅读,隐私政策中对于权限获取、个人信息收集规则的说明,以及对于第三方代码插件或SDK的披露。此外,还有微博分期、新浪分期都存在替用户默认勾选“同意”各类协议条款的现象,而爱奇艺、360借条、58好借则在向第三方借贷平台导流时,存在用户默认勾选“同意”各类协议条款的现象。
今日头条、唯品会等嵌入型端口隐私政策未提“金融”
课题组注意到,以今日头条为代表的互联网综合性生活服务App嵌入的金融服务,以借贷为主,一些平台还上线了银行存款理财、基金销售、保险销售和股票行情业务。据梳理,几乎每个平台都有一项借贷业务是平台与资金方直接合作的助贷业务,还有一些平台则搭载了类似贷款超市的模块,向一些第三方借贷平台导流。
值得注意的是,只有美团金融、微博借钱和搜狗输入法设置单独的隐私政策,七成互联网平台都未对嵌入的本集团旗下金融业务设置独立的隐私政策。经过隐私政策文本细读发现,携程旅行、滴滴出行的整体隐私政策中,相对明确地有一段话提及金融服务的部分,如滴滴出行隐私政策中称:“通过滴滴平台使用消费金融服务时,基于法律法规要求及风控需求,您需要提供姓名、身份证或其他身份证明、银行卡号及其绑定手机号、面部识别特征、常用地址、联系人信息,并将其共享给提供服务的第三方。”
而今日头条、唯品会App的整体隐私政策中,甚至未提及“金融”“借贷”“保险”等字眼。其余平台隐私政策中关于金融服务的部分则只是归纳在“第三方服务业务”部分,一笔带过,并未提及平台自身的责任。
对此,宁人律师事务所金融与科技委员会副主任马军向南都记者表示,按照《网络安全法》《电子商务法》等法律法规的要求,涉及第三方平台收集个人信息时,应当明确说明是哪些机构,用途是什么,确保消费者个人信息被合法收集、使用。马军认为,如果平台自身未说明责任,并不影响最终责任的承担。
那么此类嵌入型端口普遍存在隐私条款缺失是否合规?马军表示,“客观说,集团旗下公司与集团都是独立的法人主体,应当各自履行法定义务,不能混为一谈。如果是嵌入式的应当在借钱平台上单独起草隐私政策,并且原平台上应当在隐私政策中包含金融业务的个人信息收集说明。”
京衡律师事务所律师张豪则补充称,若平台仅做网络推广,实际的出借主体及个人信息收集主体为持牌金融机构,则应该在跳转至金融借贷页面时,由持牌金融机构应对借款用户单独设置《隐私政策》及《授权协议》,并明确相应的数据收集主体及所收集的数据的范围、类型、方式等,以及用户授权的相关约定。
微博借钱、浪小花超范围收集个人信息
值得一提的是,7月中旬央视315晚会曝光了不合规第三方SDK“偷取”用户手机中的隐私后,全国信息安全标准化技术委员会披露了《网络安全标准实践指南——移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿),其别对第三方SDK收集行为作出了要求,首先要求App必须通过隐私政策或其他显著方式(如第三方SDK隐私政策链接)向用户明示第三方SDK的个人信息收集行为。不过,课题组此番排查发现,超四分之一的App隐私政策中并未明示(未提及或笼统说明)相关信息。
在这一评估细项中,做得较好的App有苏宁金融、度小满金融、有钱花、360借条、翼支付等,以表格形式将设备类型、嵌入SDK名称、第三方机构名称、场景描述、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地披露给用户,易读性也较强。
此外,个人信息的收集规则是隐私政策的重点内容,也是用户关心的焦点。《自评估指南》中对此有明文规定,需要明示收集个人信息的业务功能、目的、方式、范围,需要明示各项业务功能所收集的个人信息类型,且业务功能与所收集个人信息类型需要一一对应,不能使用“等、例如”“某些功能”“特定产品或服务”等模糊化词语概括说明。
课题组测评结果显示,有接近四分之一的App并未在隐私政策中清晰说明收集个人信息与业务功能的对应关系,涉及App有新浪金融、国美金融、国美易卡、搜狗借钱、永辉金融、滴滴金融。App专项治理小组曾提到,该部分的介绍既要详细也要明了,比如将业务功能根据用户使用App的习惯进行分类,便于用户找到自己所关心的部分了解其收集的个人信息。如果将业务功能混杂在一起,则收集个人信息的目的交代会变得含糊,对用户理解构成干扰。
除此外,课题组还注意到少数App仍有过度收集个人信息的行为,较为典型的App是浪小花和嵌入在微博里面的“微博借钱”业务,两者的隐私政策一模一样。隐私政策中,要求收集用户的9大类、高达48余项的个人信息。由于其使用“等”这类字眼,意味着有可能还会收集除此外的信息。其中,除了较为常见的其他App都在要求收集的信息外,它们还要求用户提供通话和短信详单,网银、借记卡、信用卡、淘宝、支付宝、京东、美团等账号及交易信息;芝麻信用信息。
综合所有规定,监管要求App收集个人信息应该遵循“最小必要”原则,是指“保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无常运行的个人信息,以及法律法规要求必须收集的个人信息。”也就是仅收集/申请与App业务功能有直接关联的个人信息类型/系统权限。
对此,马军律师指出,《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》中明确了金融借贷手机信息的范围,并未将通讯录、通话和短信详单、第三方账号等纳入可收集的范畴。他认为,上述平台收集第三方账号信息就属于超范围收集了,未遵从“最小够用”原则。
此外,张豪律师还向南都记者表示,在个别不支持数据共享或技术接口对接的场景下,金融机构为获取用户的特定数据,会要求用户通过自主输入账号密码的方式,并在用户充分授权的前提下收集相应的数据。但现实中存在个别企业会缓存用户输入的相关账户信息及密码信息,该非法收集的行为存在较大的法律风险。
【测评标准说明】
本次测评,设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分,计分权重分别占比20%、50%和30%。
在“手机权限获取”维度中,涉及用户进入App时,是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中,南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。
在“隐私政策文本”维度下设隐私政策的独立性、易读性,清晰说明各项业务功能及所收集个人信息类型,清晰说明个人信息处理规则及用户权益保障,隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标,计分权重分别占比10%、50%、30%和10%。按一级维度权重算,满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。
在“收集使用个人信息行为”维度中,主要测评了个人信息传输至第三方服务器时,是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项,是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。
出品:南都财经新闻部
测评&数据采集分析:南都记者 熊润淼
实习生 陈琪琦 温依雯
随着一批批移动金融App备案名单出炉,规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律,尤其密码防护、个人信息安全等方面,是治理的聚焦点。为给金融App治理工作进一步提供参考,南都金融合规研究课题组从消费者角度,针对一批主流移动金融App进行实测评分。
上一期,我们聚焦账户密码安全推出相关测评报道,本次则瞄准移动金融App个人信息安全合规,以82个常用的移动金融App(含10个嵌入型端口)为样本,并将其分别三类——互联网公司旗下互金App35个、金融科技公司旗下互金App24个、消费金融公司App 23个,展开分组测评。测评标准以《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》为依据,围绕App手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度、48个分项指标进行实测。
今日发布的“2020财经半年报”主题为移动金融App个人信息安全合规榜第一期,样本为35个互联网公司旗下平台。
南都金融合规研究课题组通过下载、注册、实操使用等环节,对82个常用的移动金融App(含10个嵌入型端口)进行了两周的专项测评,本篇聚焦于35个互联网公司旗下互金平台,其中包含嵌入型金融服务端口10个(指类似今日头条、美团等,将金融服务板块业务放在综合性生活服务App中的情况)。
结果显示,互联网综合性生活服务App上的嵌入型金融服务端口普遍存在隐私条款缺失的情况,个人信息收集的规范性有待加强;而25个独立App中,国美、新浪系App安全问题暴露明显,排名垫底。
协议条款,微博分期、爱奇艺等默认勾选“同意”
越来越多互联网大厂开始涉足金融业务,他们在金融业务的链条上,同时作为流量平台和消费场景的角色。南都金融合规研究课题组发现,不少互联网综合性生活服务App中都嵌入了金融服务的端口,以消费金融分期、借贷业务为主,资金方多为银行、消费金融公司和互联网小贷,互联网平台则成为助贷撮合方。
为了观察互联网平台对上线金融业务的合规性,我们选取了使用频率较高、用户量较大的10款App进行实测:分别是美团、微博、搜狗输入法、携程旅行、唯品会、滴滴出行、同程旅行、58同城、爱奇艺、今日头条。除了这些对于用户而言更为便捷的金融服务端口,上述10款App中,也有不少互联网公司都开发了金融业务的独立App:如微博分期、搜狗借钱、携程金融、滴滴金融、58好借等。
不过,由于互联网平台上嵌入的金融服务端口业务性质相对单一,且根据各平台的定义,这种服务属于第三方平台提供的服务,不便适用本课题组搭建的评分体系,故未纳入评分,仅做合规性案例分析。其他25个互联网公司旗下的互金类App则纳入评分体系。
本次评分从整体上来看,个人信息安全部分的评分普遍比上一期账户密码安全部分更高,八成被测App都拿到了80分以上的成绩,仅有新浪金融、微博分期、国美金融和浪小花低于80分。
其中,本轮被测App在隐私政策文本单项评分上的问题相对较大一些,近四分之一的被测App隐私政策评分在80分以下(未算权重前,100分制),包括微博分期、永辉金融、浪小花、搜狗借钱、新浪金融、国美金融。而根据课题组梳理,扣分点主要集中在注册前是否主动弹窗提示消费者进行阅读,隐私政策中对于权限获取、个人信息收集规则的说明,以及对于第三方代码插件或SDK的披露。此外,还有微博分期、新浪分期都存在替用户默认勾选“同意”各类协议条款的现象,而爱奇艺、360借条、58好借则在向第三方借贷平台导流时,存在用户默认勾选“同意”各类协议条款的现象。
今日头条、唯品会等嵌入型端口隐私政策未提“金融”
课题组注意到,以今日头条为代表的互联网综合性生活服务App嵌入的金融服务,以借贷为主,一些平台还上线了银行存款理财、基金销售、保险销售和股票行情业务。据梳理,几乎每个平台都有一项借贷业务是平台与资金方直接合作的助贷业务,还有一些平台则搭载了类似贷款超市的模块,向一些第三方借贷平台导流。
值得注意的是,只有美团金融、微博借钱和搜狗输入法设置单独的隐私政策,七成互联网平台都未对嵌入的本集团旗下金融业务设置独立的隐私政策。经过隐私政策文本细读发现,携程旅行、滴滴出行的整体隐私政策中,相对明确地有一段话提及金融服务的部分,如滴滴出行隐私政策中称:“通过滴滴平台使用消费金融服务时,基于法律法规要求及风控需求,您需要提供姓名、身份证或其他身份证明、银行卡号及其绑定手机号、面部识别特征、常用地址、联系人信息,并将其共享给提供服务的第三方。”
而今日头条、唯品会App的整体隐私政策中,甚至未提及“金融”“借贷”“保险”等字眼。其余平台隐私政策中关于金融服务的部分则只是归纳在“第三方服务业务”部分,一笔带过,并未提及平台自身的责任。
对此,宁人律师事务所金融与科技委员会副主任马军向南都记者表示,按照《网络安全法》《电子商务法》等法律法规的要求,涉及第三方平台收集个人信息时,应当明确说明是哪些机构,用途是什么,确保消费者个人信息被合法收集、使用。马军认为,如果平台自身未说明责任,并不影响最终责任的承担。
那么此类嵌入型端口普遍存在隐私条款缺失是否合规?马军表示,“客观说,集团旗下公司与集团都是独立的法人主体,应当各自履行法定义务,不能混为一谈。如果是嵌入式的应当在借钱平台上单独起草隐私政策,并且原平台上应当在隐私政策中包含金融业务的个人信息收集说明。”
京衡律师事务所律师张豪则补充称,若平台仅做网络推广,实际的出借主体及个人信息收集主体为持牌金融机构,则应该在跳转至金融借贷页面时,由持牌金融机构应对借款用户单独设置《隐私政策》及《授权协议》,并明确相应的数据收集主体及所收集的数据的范围、类型、方式等,以及用户授权的相关约定。
微博借钱、浪小花超范围收集个人信息
值得一提的是,7月中旬央视315晚会曝光了不合规第三方SDK“偷取”用户手机中的隐私后,全国信息安全标准化技术委员会披露了《网络安全标准实践指南——移动互联网应用程序(App)个人信息安全防范指引》(征求意见稿),其别对第三方SDK收集行为作出了要求,首先要求App必须通过隐私政策或其他显著方式(如第三方SDK隐私政策链接)向用户明示第三方SDK的个人信息收集行为。不过,课题组此番排查发现,超四分之一的App隐私政策中并未明示(未提及或笼统说明)相关信息。
在这一评估细项中,做得较好的App有苏宁金融、度小满金融、有钱花、360借条、翼支付等,以表格形式将设备类型、嵌入SDK名称、第三方机构名称、场景描述、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地披露给用户,易读性也较强。
此外,个人信息的收集规则是隐私政策的重点内容,也是用户关心的焦点。《自评估指南》中对此有明文规定,需要明示收集个人信息的业务功能、目的、方式、范围,需要明示各项业务功能所收集的个人信息类型,且业务功能与所收集个人信息类型需要一一对应,不能使用“等、例如”“某些功能”“特定产品或服务”等模糊化词语概括说明。
课题组测评结果显示,有接近四分之一的App并未在隐私政策中清晰说明收集个人信息与业务功能的对应关系,涉及App有新浪金融、国美金融、国美易卡、搜狗借钱、永辉金融、滴滴金融。App专项治理小组曾提到,该部分的介绍既要详细也要明了,比如将业务功能根据用户使用App的习惯进行分类,便于用户找到自己所关心的部分了解其收集的个人信息。如果将业务功能混杂在一起,则收集个人信息的目的交代会变得含糊,对用户理解构成干扰。
除此外,课题组还注意到少数App仍有过度收集个人信息的行为,较为典型的App是浪小花和嵌入在微博里面的“微博借钱”业务,两者的隐私政策一模一样。隐私政策中,要求收集用户的9大类、高达48余项的个人信息。由于其使用“等”这类字眼,意味着有可能还会收集除此外的信息。其中,除了较为常见的其他App都在要求收集的信息外,它们还要求用户提供通话和短信详单,网银、借记卡、信用卡、淘宝、支付宝、京东、美团等账号及交易信息;芝麻信用信息。
综合所有规定,监管要求App收集个人信息应该遵循“最小必要”原则,是指“保障某一服务类型正常运行所最少够用的个人信息,包括一旦缺少将导致该类型服务无法实现或无常运行的个人信息,以及法律法规要求必须收集的个人信息。”也就是仅收集/申请与App业务功能有直接关联的个人信息类型/系统权限。
对此,马军律师指出,《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》中明确了金融借贷手机信息的范围,并未将通讯录、通话和短信详单、第三方账号等纳入可收集的范畴。他认为,上述平台收集第三方账号信息就属于超范围收集了,未遵从“最小够用”原则。
此外,张豪律师还向南都记者表示,在个别不支持数据共享或技术接口对接的场景下,金融机构为获取用户的特定数据,会要求用户通过自主输入账号密码的方式,并在用户充分授权的前提下收集相应的数据。但现实中存在个别企业会缓存用户输入的相关账户信息及密码信息,该非法收集的行为存在较大的法律风险。
【测评标准说明】
本次测评,设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分,计分权重分别占比20%、50%和30%。
在“手机权限获取”维度中,涉及用户进入App时,是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中,南都金融合规研究课题组重点考查了App在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。
在“隐私政策文本”维度下设隐私政策的独立性、易读性,清晰说明各项业务功能及所收集个人信息类型,清晰说明个人信息处理规则及用户权益保障,隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标,计分权重分别占比10%、50%、30%和10%。按一级维度权重算,满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。
在“收集使用个人信息行为”维度中,主要测评了个人信息传输至第三方服务器时,是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项,是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。
出品:南都财经新闻部
测评&数据采集分析:南都记者 熊润淼
实习生 陈琪琦 温依雯