來源：南方都市報

《個人信息保護法》（以下簡稱“《個保法》”）已于2021年11月1日起施行。新法落地，對金融機構提升用戶個人金融信息保護能力提出了新的合規考驗，南都“數字金融生態合規研究”課題組觀察發現，不少消費金融類App在《個保法》生效后更新了版本，為考察合規化改造成效，課題組近期對10家頭部消金公司旗下的共16款主流消費金融App進行了深度體驗測評。本次測評發現，在隱私政策文本相關測評項中，大部分樣本App整體表現尚可，但杭銀金融、消邦以及哈銀消金仍出現個人信息種類列舉不完善的問題；在權限獲取方面，則有個別App存在較大問題，如海爾消費金融旗下的兩款App曾在10月下旬因未完成整改被中國互聯網金融協會通報批評，但在本次測評中仍存在不同程度的強制索權、反復索權或提前自動獲取權限問題；此外，中原消費金融、柚卡、空手到、捷信金融等多個樣本App尚未落實數據可攜帶權要求，在隱私政策中并未向用戶說明獲取本人個人信息副本的方式，在App內也未發現相關途徑。

16款消金App隱私權限測評結果（iOS版本）

個別App對用戶閱讀隱私政策“主動提醒”不足

課題組參考《移動互聯網應用程序（App）個人信息保護常見問題及處置指南》（以下簡稱《處置指南》）《App違法違規收集使用個人信息自評估指南》（以下簡稱《自評估指南》）等標準，將隱私政策的易訪問性、易讀性和App對用戶的“主動提醒”幾個方面作為主要評價項目。測評發現，一些App在“主動提醒”方面做得不夠到位。如中銀消費金融App的隱私政策在首次使用App時，需要用戶點擊鏈接并跳轉至瀏覽器用網頁打開，讀完后再次返回App進行操作，不夠方便。杭銀消金旗下的杭銀金融（安卓版）、消邦App的隱私政策文本盡管使用了較為顯著的顏色區別、加粗及下劃線等形式，但字號特別小，用戶不便于在手機端進行閱讀。參考《處置指南》要求，隱私政策應該易于訪問。該指南同時要求，隱私政策文本文字顯示方式（字號、顏色、行間距等）應當不對用戶造成閱讀困難。此外，《自評估指南》中要求，“在用戶安裝、注冊或首次開啟App時，應主動提醒用戶閱讀隱私政策。”參考上述標準，課題組在測評中發現，也有部分App在“主動提醒”用戶方面表現較為突出。比如，在招聯金融App中的“我的”頁面顯著位置，設有“我的合同”欄目，其中可查看《招聯金融隱私政策》等與招聯金融平臺簽署的所有協議，馬上金融、安逸花App則多次彈窗提示用戶查閱隱私政策，App內有多處欄目可查看隱私政策，用戶觸達都比較便捷。

海爾消金旗下App申請權限存反復索取、目的不明等問題

2020年9月下發的《網絡安全標準實踐指南—移動互聯網應用程序（App）系統權限申請使用指南》（以下簡稱《權限申請使用指南》）中要求，權限申請的基本原則是“最小必要”“用戶可知”“不強制不捆綁”“動態申請”。參考這一標準，課題組發現，在本期樣本App中，各平臺對權限獲取申請方式的整改已成“基本動作”，初見成效。整體而言，多數App在申請權限時，已實現了觸發相關業務時同步申請權限，而非一次性捆綁授權。在iOS版App中，所有樣本App均做到申請權限時，同步說明目的；而在安卓版App中，除了招聯金融、招聯好期貸以及海爾消費金融以外，其余的13個樣本App均在申請權限時同步說明目的。值得注意的是，曾被中互金協會通報整改不力的海爾消費金融旗下的海爾消費金融和夠花2款App，其安卓和iOS版本在本次測評期間仍存在不同程度的強制索權、反復索權或提前自動獲取權限問題。《權限申請使用指南》指出，“App在用戶未觸發相關功能或服務時，不能提前申請開啟與其他功能相關但與當前功能無關的權限。”而測評發現，海爾消費金融App的iOS版本存在提前自動開啟權限的情況。首次使用該App時，注冊登錄后還未使用其他功能時，進入該App的“隱私設置-授權管理”一欄發現，定位服務、訪問相機、相冊和通訊錄4大權限在未申請授權的情況下，均已處于開啟狀態。此外，當使用海爾消費金融App安卓版的申請借款功能，用戶按平臺要求填寫聯系人電話時，App向用戶申請“通訊錄”權限，拒絕后提示“允許訪問通訊錄是為了幫助快捷選擇聯系人”，若再次拒絕，則重復出現申請彈窗。但實際上，在其他樣本App中，這一功能均使用手動填寫的方式來替代，且拒絕后便不再向用戶再次索權。根據《權限申請使用指南》中要求，“如用戶明確拒絕App業務功能所需權限，App不應頻繁申請系統權限干擾用戶正常使用，除非由用戶主動觸發功能，且沒有該權限參與此業務功能無法實現。”

招聯金融等App內無“權限管理”入口，撤回同意不便

課題組關注到，撤回同意也是《個保法》賦予用戶的一個重要權利，《個保法》第十五條規定，“基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。”這主要是指用戶在授予App相關個人信息的采集、處理權限后，能否在App內實現對相關授權同意的撤回。參照《App違法違規收集使用個人信息行為認定方法》中關于“隱私政策難以訪問”的判定標準，進入App主界面后需多于4次點擊訪問為“不便”，測評組將打開App后經過4次以上點擊仍無法關閉相關授權視為不便捷。實測發現，有11個樣本App內置了“權限管理”功能，占比約68%。其中捷信金融App最為便捷，只需從首頁經過兩次點擊即可進入“權限管理”欄目；馬上金融、安逸花、小馬花花、中郵錢包、中原消費金融、柚卡、夠花、杭銀金融、消邦App只需3次點擊。而海爾消費金融App所需操作步驟最多，需要4次點擊。其他App則未發現有內置“權限管理”類似的功能，需要用戶自主進入手機系統設置中進行權限同意的撤回等管理，包括招聯金融、招聯好期貸、空手到、中銀消金、哈銀消金這5款App。

杭銀金融、哈銀消金對采集個人信息列舉不全

除權限申請外，App對個人信息收集處理方面的“告知-知情-同意”也是本次測評中的重點。根據《個保法》十三條規定，個人信息處理者應當列明收集信息的具體內容，而不能以“等”來涵蓋其需要收集信息的具體內容。課題組在本次測評中發現，杭銀金融和消邦在隱私政策的“我們在何種情況下收集您的個人信息”款項當中，在列舉根據需要用戶提供的個人信息當中使用了“等”的字樣。類似地，哈銀消金隱私政策中需要用戶授權哈銀消金方面查詢、收集相關個人信息，但在列舉過程中使用了“包括但不限于”的說法。兩款App均存在收集個人信息種類列舉不完善的問題。不過，也有部分App對上述項目列舉清晰，一一對應，甚至將向第三方共享的個人信息也比較完善地列明，比如馬上消費金融、中原消費金融旗下App等。上述App隱私政策文本在陳述共享情形時，對授權合作伙伴的類型進行了逐一列舉，包括技術服務、銀行卡鑒權、數據統計和分析服務、推廣服務等，并詳細列舉需要對授權合作伙伴共享的個人信息種類。

海爾消金、夠花App或存在一次性捆綁授權問題

對用戶強烈反感的一攬子授權等問題，《個保法》特別要求，個人信息處理者在處理敏感個人信息等環節應取得個人的單獨同意。在《信息安全技術 個人信息安全規范》這項國家標準文件中更是詳細要求，“不應通過捆綁產品或服務各項業務功能的方式，要求個人信息主體一次性接受并授權同意其未申請或使用的業務功能收集個人信息的請求。”參考這一標準，課題組發現，海爾消費金融、夠花App注冊和登錄即需同意《消費信貸服務協議》《個人信息使用授權協議》的授權，其中存在“授權我公司可將您的身份信息發送至第三方機構進行身份信息一致性校驗”“海爾消金可能將您提供或在向您提供服務過程中收集的信息用于征信查詢等用途”等條款。一位研究互聯網金融法律問題的資深律師向課題組指出，參考《信息安全技術 個人信息安全規范》規定，每份合同或授權都應當單獨獲得個人的同意，并非一次性授權。如果合同授權涉及具體業務功能，注冊、登錄App尚未觸發消費信貸業務功能，可能存在“提前要求用戶進行一次性授權同意”的問題。此外，本次測評還對在實名認證環節是否在收集敏感信息時單獨授權進行了觀察。根據《個人金融信息保護技術規范》，身份證、人臉、指紋分屬于C2、C3類重要個人身份信息，敏感級別較高。因此，App在收集上述敏感信息時都需要逐項征得用戶同意。測評發現，各消金App在實名認證中的上傳身份證、刷臉兩個敏感信息收集環節所設計的提示形式和步驟，顯著程度不一，部分App要求用戶單獨簽署一份授權服務協議以示“同意”，而部分App采用的是頁面文字類提示。南都課題組在測評中發現，僅有中原消金、柚卡、招聯金融、招聯好期貸、空手到、杭銀消金、中銀消金這7個樣本App在實名認證這一環節有單獨的授權服務協議。而其余部分App在實名認證環節，有頁面提示或彈窗提示。

中原消金、空手到等App未提供個人信息副本獲取方式

數據可攜帶權也是在《個保法》的一大亮點，其中要求“個人有權向個人信息處理者查閱、復制其個人信息……個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。”課題組發現，樣本App中有10款App明確表示授予用戶獲取個人信息副本的權利，但獲取方式難易程度不一，包括馬上金融、安逸花、小馬花花、中郵錢包、海爾消費金融、夠花、中銀消費金融、杭銀金融、消邦和哈銀消金。多數App可以通過撥打客服熱線提出要求，并在通過身份核驗后獲取；有App則稱，可以在終端的個人中心查看個人信息副本。測評還發現，部分App隱私政策中對用戶本人如何獲取“個人信息副本”或如何享有“個人信息復制權”沒有明確說明，包括中原消費金融、柚卡、空手到、捷信金融4個App；而招聯金融、招聯好期貸在隱私政策中提到用戶享有個人信息復制權，但并未進一步說明復制個人信息的方式。其中，在興業消費金融旗下的空手到App僅提供查閱個人信息的功能，并未提供“個人信息復制權”，且該App隱私政策中表示，“用戶有權查詢、更正和補充個人信息”，但對于“App收集的設備信息、使用本平臺的非基本功能時產生的個人信息”無法查詢、更正和補充。

16款互聯網貸款App隱私權限測評-主要亮點&不足一覽表

【測評說明】

《個保法》以“告知-知情-同意”為核心原則，針對消費者反感的一攬子授權、反復索權、未知情情況下收集個人信息等問題，均予以規范。本次測評重點關注隱私政策文本部分的說明，及權限申請、個人信息收集是否讓用戶充分“知情”，并賦予用戶“同意”的權利。測評標準以《個保法》為綱領，以《移動互聯網應用程序（App）系統權限申請使用指南》《移動互聯網應用程序（App）個人信息保護常見問題及處置指南》《App違法違規收集使用個人信息行為認定方法》《App違法違規收集使用個人信息自評估指南》《信息安全技術 個人信息安全規范》和《網絡安全標準實踐指南》等規范性文件及指南為參考依據，分別從隱私政策的易讀性，清晰說明收集個人信息情況，用戶權益保障，獲取權限同步告知目的，收集個人信息征得用戶自主選擇同意，不強制索權、超范圍收集等方面設定測評指標，共分為6個一級維度、70個二級指標展開。本期測評對象選取了10家頭部消費金融公司旗下的共16個App，包括馬上金融、安逸花、小馬花花、招聯金融、招聯好期貸、中郵錢包、中原消費金融、柚卡、海爾消費金融、夠花、空手到、捷信金融、中銀消費金融、杭銀金融、消邦以及哈銀消金，選取的App在應用市場中的下載安裝量都在千萬級別以上。測評體驗時間為2021年11月15日-28日，測評期間App均已更新至最新版本，本次測評中版本更新截至2021年11月28日24時，測評同時在安卓和蘋果兩臺手機上同時進行，并分別測評打分，選取最后一次更新的App為樣本進行打分。（來源：南都“數字金融生態合規研究”課題組）