這些金融理財類App涉嫌收集個人信息，誰來為用戶隱私護航？

來源：零壹財經

作者：郭少圳 林帥

大數據產業風起雲湧，海量用戶背後的數據成為多方主體眼中的「香饃饃」，數字經濟在大幅提升效率的同時，權利公平與信息安全也隱患重重。

從Facebook超5000萬用戶信息泄露，到Google因數據泄露關閉Google 服務，從華住酒店5億用戶信息遭竊取，到巧達科技涉嫌販賣1.6億求職簡歷，在大數據全面滲透人類生活的當下，任何一個角落都可能成為侵犯隱私與網路犯罪的「溫床」。

移動互聯網應用程序（App）亦未能倖免。由於直接與終端數以億計的用戶交互，App在獲取用戶個人信息上具有極大的便利性，尤其在用戶隱私保護意識普遍不強、國內個人信息保護法缺位的背景下，App涉嫌強制授權、過度索權、超範圍收集個人信息的現象屢見不鮮，金融理財類App則因接觸更多個人敏感信息而成「重災區」。

近日，25歲的黃立（化名）打算用小米金融App申請貸款，由於平常較為關注個人隱私保護，註冊賬戶時他有意識地查看了《隱私政策》，赫然發現其中有一條款透露，該App收集的信息類別將包括與用戶的應用使用相關的信息，例如應用列表、應用狀態記錄（下載、安裝、更新、刪除）等。

這讓黃立有點詫異。「我用一款App申請貸款，為什麼對方要知道我安裝的全部App列表？」黃立從小米金融一位客服人員處得到的答覆是，應用列表信息將作為該平台綜合授信的一個維度，比如從列表中獲知用戶是否安裝了多款借款類App，依此綜合評估用戶的信用風險，但平台並不會讀取應用里的個人信息。儘管如此，黃立仍然覺得隱私受侵犯了，「我用什麼App都讓他們知道了，我的隱私和安全在哪裡？」

一面是大數據發展亟需打破數據壁壘、匯聚海量數據，一面是公民個人信息在大數據時代下「裸奔」、個人隱私屢受侵犯，如何在兩者中權衡與取捨，成為擺在各方主體面前的一道考題。

「一攬子」協議與涉嫌霸王條款

「我其實是不大讚同這種做法的，」針對收集App列表的行為，中國人民大學律師學院院長助理、廣東融關律師事務所高級合伙人陳科軍在接受零壹財經採訪時表示，「個人手機安裝的App列表屬於比較隱私的一個事情，但現在只要點擊『同意』，包括個人基礎信息、App列表信息等信息都被全部獲取了，這其實涉嫌強制一攬子索取授權。」

小米金融隱私政策

陳科軍表示，更好的做法應該是針對此類更為敏感的信息，單獨徵求用戶明確授權。「比如我授權同意時目標很明確，只同意App獲取某個或某些信息，另外一些更為隱私的信息最好單獨徵求授權。」

華北某律師事務所一位不願透露姓名的律師則對零壹財經（微信公號：Finance_01）指出，一些手機App侵犯個人隱私或過度收集個人信息的問題早已有之，過度收集、一攬子收集用戶個人信息，可能會使用戶存在手機里的隱私資料等被肆意查看、竊取，造成用戶隱私泄露，給用戶帶來巨大的安全隱患。

在諸多金融理財類頭部App中，零壹財經（微信公號：Finance_01）還發現不少政策涉嫌「霸王」條款。

「人人貸借款」App由人人貸商務顧問（北京）有限公司運營，該App在其隱私政策中聲稱，將永久保存用戶的個人信息以及相關網路借貸業務數據，同時，用戶個人信息經匿名化處理後將形成可以使用及流通的數據，對此類數據的保存及處理無需另行通知並徵得用戶的同意。

「人人貸借款」隱私政策

不過，依照《信息安全技術個人信息安全規範》（以下簡稱《安全規範》）中的相關定義，「匿名化」指的是通過對個人信息的技術處理，使得個人信息主體無法被識別，且處理後的信息不能被複原的過程；個人信息經匿名化處理後所得的信息不屬於個人信息。依此定義，上述政策中聲稱將永久保存的是可以識別個人身份的個人信息，還是匿名化後的數據？如果是前者，則涉嫌對個人信息的違規保存；如果是後者，為何政策文本使用的是「個人信息」這一表述？

零壹財經（微信公號：Finance_01）以此向「人人貸借款」方面詢問，但截至發稿尚未收到答覆。

一位不願透露姓名的分析人士則指出，按照《安全規範》的定義，匿名化後的信息已不再稱為「個人信息」，政策中明文提及將永久保存「個人信息」，之後又提及個人信息經匿名化處理後將形成可使用及流通的數據，「不排除這種形式的文本表述有打擦邊球的嫌疑，如果實質上永久保存的是個人信息，則這一政策堪稱霸王條款。」

零壹財經（微信公號：Finance_01）注意到，《安全規範》中明確提出了「個人信息保存時間最小化」原則。原則指出，個人信息保存期限應為實現個人信息主體授權使用的目的所必需的最短時間（法律法規另有規定或者個人信息主體另行同意的除外）；超出上述個人信息保存期限後，應對個人信息進行刪除或匿名化處理。

亂象叢生

事實上，在移動互聯網高速發展、智能手機大量普及的當下，作為直接接觸海量用戶的終端工具，App在推動數字經濟發展等方面發揮了舉足輕重的作用，但也成為個人信息泄露、公民隱私遭侵犯的「重災區」，尤其是涉及大量個人敏感信息的金融理財類App。

去年11月，中國消費者協會發布《100款App個人信息收集與隱私政策測評報告》，對10大類100款App基於其用戶協議、隱私政策進行綜合評分。評分結果顯示，金融理財類App平均分僅為28.91分，在10個大類中排名墊底，其中中小型App的問題更為突出。

資料來源：中國消費者協會，零壹財經

4月3日，零壹財經（微信公號：Finance_01）隨機在安卓市場、AppStore中下載了多款中小型金融理財類App發現，強制授權、不可撤銷授權，乃至沒有公示任何隱私政策的現象屢見不鮮，混亂程度令人觸目驚心。

「杏仁錢包」註冊頁面未有任何用戶協議或隱私政策，憑藉手機號和驗證碼即可完成註冊；「借貸花」（安卓版本）、「快貸」註冊頁面顯示的《隱私政策》均未有超鏈接，無法查看具體內容，所謂的隱私政策形同虛設；「省唄借款」稱信用賬戶註銷後，用戶仍不可撤銷地授權該公司繼續持有、保留用戶信息；「悟空理財」則在《用戶協議》中稱，用戶須不可撤銷地同意並授權將交易信息及記錄與關聯方平台共享。

這與《安全規範》中的相關條款明顯有相悖之嫌。據《安全規範》，個人信息控制者應向個人信息主體提供方法撤回收集、使用其個人信息的同意授權；個人信息主體註銷賬戶後，應及時刪除其個人信息或做匿名化處理，等等。

據了解，《安全規範》為推薦性國家標準，2017年12月29日發布、2018年5月1日正式實施。該規範是貫徹《網路安全法》中個人信息安全要求的重要配套標準，儘管並不具備法律效力和強制約束力，但《安全規範》明確了個人信息的收集、保存、使用、共享的合規要求，為網路運營者制定隱私政策及完善內控提供了重要指引。

目前，國內尚無專門針對個人信息保護的法律，業內對此的呼聲也日漸高漲。

專家建議：從多個維度規範相關行為

隨著全球加速進入大數據時代，個人信息保護專項立法已成國際慣例。據悉，目前全球已有近90個國家和地區出台或完善個人信息保護法律，包括《通用數據保護條例》（歐盟）、《消費者隱私權利法案》（美國）、《聯邦信息保護法》（德國）等。

而近年來，中國已陸續出台相關法律法規以及規範性文件，但總體呈現分散立法狀態、法律效力也各有不同，包括《刑法》、《民法總則》、《消費者權益保護法》、《網路安全法》、《電子商務法》等，以及推薦性國家標準《信息安全技術個人信息安全規範》等，司法解釋層面則有最高人民法院與最高人民檢察院聯合發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，個人信息保護法則已列入十三屆全國人大常委會立法規劃，相關部門正在抓緊研究和起草。

中國投資有限公司董事總經理張一清在其撰寫的文章中指出，數據時代的監管應該關注數據資源的獲取和使用邊界，在這個邊界外對個人隱私需要有立法保護。接受零壹財經（微信公號：Finance_01）採訪的多位專家也均建議，應將多方主體納入監管，且從多個維度打擊規範相關行為。

陳科軍建議，對此類行為的打擊應該有幾個維度，包括行政處罰維度、刑法維度。「現在基本只有刑事打擊，沒有行政處罰，應該有一個行政前置處理，刑事案件都是情節非常嚴重的了，但很多普通的違法沒有得到有效遏制和處理。現在的違法情況就是，要麼零成本，要麼就付出刑事代價，然而中間還有很多模糊地帶。」

中國信通院工業和信息化法律服務中心副主任許長帥曾建議，未來個人信息保護立法應設計把個人信息保護推薦性國家標準轉化為具有法律約束力要求的制度。他表示，如果企業沒有做到，那麼除了民事責任以外，還要承擔行政法上的責任，這樣可能更有利於企業的良好經營。

制定信息獲取、使用等環節的嚴格程序也是關鍵。「比如說信息要分類，用戶只授權同意相應的信息類型，其他信息不能概括性地要求用戶授權，這實際上是綁架了用戶，這一塊要明晰。」陳科軍說。

上述不願透露姓名的律師則對零壹財經（微信公號：Finance_01）指出，規範App下載獲取個人隱私的問題需要採取綜合治理的方式，監管部門可以將App開發商、App平台提供商均納入監管，出台相應的規定進行約束。同時，監管部門也要重視提升App用戶對於個人隱私的保護意識，出台相應的App隱私保護指南，為用戶提供隱私泄露時的救濟途徑，進而多方位保障用戶的個人隱私不受侵犯。

【小調查】您用到過哪款APP存在獲取個人隱私問題，請在留言區留言。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！