随着备案移动金融APP名单出炉，规范金融数据安全成为2020年上半年金融科技监管的主旋律，尤其是密码保护、个人信息安全更是治理的重点。为了给金融APP治理提供进一步的参考，南方金融合规课题组从消费者角度对多款主流移动金融APP进行了实际测试打分，本阶段主要关注移动金融APP个人信息安全合规情况。

上期我们以互联网公司旗下35家平台为样本，今天我们推出对金融科技公司旗下24家互金APP的测评，这是《2020金融半年报》移动金融APP个人信息安全合规榜单的第二期。测评标准依据《APP违法违规收集使用个人信息认定方法》、《APP违法违规收集使用个人信息自评估指南》和《网络安全规范实践指南》，测评指标涵盖APP手机权限获取、隐私政策文本、个人信息收集使用三大主维度48个分项。

南方金融合规课题组通过下载、注册、实际使用等方式，对金融科技公司旗下24款互金APP的现状进行了专项评估。结果显示，近四成受检APP在申请权限时未明确说明用途，四分之一受检APP在隐私政策中未明确告知申请权限所涉及的功能，近三成APP存在强制获取权限的情况，另有三成APP未明确说明使用第三方代码插件（含SDK），近四成APP在为第三方借贷平台引流时存在误导行为。

从整体评分来看，欢贝、豆豆钱、微信卡卡带、声贝、时代等5款APP排名垫底。

获取许可过程中存在许多不合规问题

金融科技公司是互联网金融服务的主力军，用科技赋能普惠金融，通过大数据让金融服务更加触手可及。数据资产是金融科技赖以生存的武器，但大数据信息的滥用也会直接危害消费者个人信息安全。

研究团队本次测评选取了24款金融科技公司的互联网金融App，其中大部分App的下载量都在千万级别。结果显示，金融科技公司的互联网金融App在权限获取方面存在诸多问题。在测试的App中，有三成的权限获取分数在80分以下（加权前，100分），而在隐私政策部分和个人信息收集部分，分数低于80分（加权前，100分）的App占比分别为16.7%和12.5%。其中，极贷App在三个部分均位列低端细分领域榜单，隐私政策部分分数低于70分。

按照《自评指南》的要求，应用在开放系统权限时，应当说明该权限收集个人信息的目的。然而，本次评估中，37.5%申请权限的应用在开放权限时并未明确说明用途。涉案应用包括人人贷、我来书屋、省贝、你我贷、微信卡卡贷、豆豆钱、借贷宝、飞贷、小花钱包等；四分之一的应用在隐私政策中未告知应用所涉及权限的功能和用途；四分之一的应用存在强制获取部分权限的现象，用户若不开放所需权限则无法进入应用。涉案应用包括分期乐、来分期、你我贷、拍拍贷、微信卡卡贷、豆豆钱、借贷宝等。

App专项治理组曾指出，无论是权限获取还是个人信息收集，都需要遵循“最少足够”的原则，这个原则是放在权限获取的具体语境中去考虑的。也就是说，如果某个App需要的权限被移除，且不影响App正常功能，那么这个权限其实就不应该被获取。另外，《信息安全技术 移动互联网应用程序（App）个人信息收集基本规范》明确规定了金融借贷的手机信息范围，并不包括通讯录、通话及短信详情。但经过调研组调查，67%的App要求读取通讯录功能，超过45%的App要求读取通话记录权限，25%的App要求读取短信列表权限。其中，需要读取通话记录的App有分期乐、乐卡、欢贝、生贝、久福万卡、拍拍呆呆、你我呆呆、人人呆呆、豆豆钱、小花钱包。

一般来说，APP获取通讯录权限是为了方便用户在贷款过程中录入联系方式，协助贷后管理。大部分APP并未做出强制要求，但也有例外。比如小赢分期APP在贷款申请过程中，会强制获取用户的通讯录，如果不同意，则无法进行下一步操作。对此，虽然该APP在隐私政策中有解释称“收集此类信息用于反欺诈识别，协助识别不符合金融监管要求的借款人”，但业内研究人员持有不同看法。宁仁律师事务所金融与科技委员会副主任马军对南都记者表示，从合理角度看，添加联系方式并非贷款功能的必要，是否有必要强制收集值得探讨。

欢贝与省贝“捆绑”数十份征信文件一键授权

研究团队发现，在本批测试的APP中，“捆绑式”一键授权现象较为突出，其中欢贝App和盛贝App的做法更为夸张。公开资料显示，欢贝为数禾科技旗下主打品牌，其大股东为分众传媒全资子公司。欢贝于2016年6月入市，是一款信用卡账单分期APP，核心团队主要来自有“零售之王”之称的招行信用卡中心等知名金融机构，放贷资金主要来自数禾科技旗下拥有互联网小额贷款牌照的全资子公司重庆分众小贷以及银行、消费金融公司等。盛贝也是一款综合性信用卡服务产品，隶属于深圳市萨摩耶互联网金融服务有限公司，成立于2015年，创始团队也主要来自招行信用卡中心。

据实测，南都记者首次打开欢贝App，输入手机验证码完成注册时，并不能直接进入App，还需要在App的引导下输入Face ID进行人脸识别。南都记者注意到，这一步涉及收集用户个人信息中敏感度较高的生物特征信息，但并未给用户专属协议签署授权同意收集。不仅如此，用户还需要勾选并同意一系列“信用查询相关授权协议”。经查阅，该部分共有40余份协议，涉及20余个缔约主体，包括《消费信贷服务协议》《电子签名授权书》《自动还款协议》《征信查询授权书》《隐私协议》《客户知情确认书》《循环信贷合同》《开户协议》《个人消费贷款合同》《承诺书》等协议，涉及多种不同的业务功能环节，其中一半以上为征信查询授权书。据南都记者查阅，协议以空白合同为主，部分协议排版显得非常随意，不同类型的协议混杂在一起。很多协议从列表标题根本无法判断需要和哪家公司签订协议，给用户带来了很大的阅读困难。

而且这些协议的签署本来就应该是用户点击申请贷款时需要签署的，一般用于App放贷业务的资格、信用和偿付能力审核功能。但欢贝App却要求用户在进入App前必须授权同意一次，否则连App的浏览功能都无法使用。这是一种将App多个业务功能捆绑在一起的做法，要求用户一次性接受并授权多个业务功能收集个人信息。根据《自评指南》的相关要求，欢贝App在实际收集个人信息时，业务功能环节与签署的协议并无对应关系。

马军律师表示，这种粗暴的“捆绑式”授权要求“不合理”。他表示，虽然商业贷款​​需要授信授权，但如果涉及多次授信授权，则应考虑是否符合“最少足够”原则，一次是否足够。“而且每一份合同或授权都应分别取得个人同意，而不是一次性授权。”他直言，“这种情况下，用户不太可能会阅读授权书或合同，可能导致一次性授权就收集大量个人信息，不利于个人信息保护。”

京衡律师事务所律师张浩补充解释称，通过所谓“一次性授权”的方式，诱导用户签署一批空白的贷前合同，而对个人信息的过度处理违背了合法、必要原则，会对用户信用造成一定的负面影响。

盛贝也存在同样的问题，但程度较轻，需要一次性签署20余份协议。值得注意的是，盛贝和欢贝App在隐私政策文字部分得分相对较高，均在80分以上，这揭示出部分App只在表面工作上花了功夫，实际的信息收集行为仍我行我素。据公开报道，盛贝App所属的萨​​摩金融去年就被曝光利用探针盒子自动收集商场等场所的消费者信息，以此渠道获客。

相比上述APP的做法，平安普惠在贷款申请流程中收集个人信息的做法或许值得借鉴。其将需要授权的同意拆分成几个步骤，逐一征求用户同意，并没有采用传统的“点击按钮同意”的方式，需要用户在屏幕上手写签名。这个过程虽然麻烦，但却将主动权交还给用户，符合《自评指引》中“用户主动填写、点击、勾选等自主行为作为产品或服务业务功能启动或开始收集个人信息的条件”的要求。

时代和我来书客超越其权利范围收集个人信息

在前几期测评报告中，未披露使用第三方代码插件（含SDK）、未说明收集个人信息与业务功能的对应关系成为APP最严重的缺陷，本期测评同样存在此类问题，30%的APP未披露使用第三方代码插件（含SDK），包括众安小贷、吉贷、微信咔咔贷、豆豆钱、借贷宝、喜鹊快贷、小花钱包；17%的APP未说明收集个人信息与业务功能的对应关系，包括拉卡拉金融、欢贝、微信咔咔贷、豆豆钱。

在此前测评报告中，研究团队披露过互联网金融平台浪小花、微博借钱等存在超出法律规定范围收集个人信息的情况，这一现象在本期测评的24款APP中也出现。

例如，爱来舒客在其隐私政策中表示，需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡、个人信用账户、网络社交账户的账号和密码。在收集用户基本信息之前，极贷App要求用户同意《隐私保护及信息授权协议》，该协议要求收集用户的“信用卡、银行储蓄卡、网银等账户信息，包括但不限于卡号、开户名、金额、账单等信息”；“淘宝、支付宝、京东、美团、饿了么等支付、交易工具、电商平台、外卖服务平台等账户信息，包括但不限于账户、交易记录等信息”。值得注意的是，协议中提到“在收集部分这些信息时，还要求您同时提供相关的账户、密码、验证码信息”。这意味着，用户需要在App提供的页面上输入上述多个高度私密的账户密码。如果平台技术不过关或者故意缓存这些信息，用户的隐私安全将面临极大风险。

一位业内人士向南都记者表示，部分金融科技公司由于自身基因原因，缺乏用户消费场景和大数据，无法与数据丰富的电商平台达成数据共享合作，因此要求用户自行登录这些账户，为平台提供读取相关信息的机会。部分金融科技公司宣称其平台的风控数据维度详实，有非常精准的研判能力，但实际上却利用爬虫技术爬取大量用户账户信息、个人偏好信息等。在具体案件中，这些数据的来源是否合法合规，是否存在违反规定、超出收集处理用户个人信息范围的情况，值得进一步考察。

对此，张浩律师指出，对于借贷业务而言，信用判断所需的数据应当仅限于直接判断个人信用状况的信息或者有利于直接防范信用违约损失的信息。但鉴于互联网贷款的特殊性以及基于大数据的金融科技发展，很多看似与信用状况判断无关的弱关系数据或者非结构化数据在信用判断中却具有一定的价值。上述平台要求用户提供的这些第三方电商平台的交易数据，在一定程度上可以作为判断的补充依据。但粗暴地要求用户进行一揽子授权并同意主动交出密码，如何规避其中涉及的操作风险也应当是平台需要慎重考虑的问题。

南都记者发现，金融科技公司旗下不少互金APP确实依赖支付宝、京东金融、微信支付等头部金融科技公司用户画像作为评估的参考。目前，少数接受测试的APP有意识规避获取此类信息的操作风险，避免直接要求用户输入密码。比如，要求用户上传支付宝App中个人信息页和芝麻信用页、京东App实名认证页和小白信用页、微信App中账户与安全页和支付分数的截图。这些APP将获取的截图信息分享给合作方，合作的金融机构或担保公司通过识别截图中的个人信息数据进行信用评估。

诱导客户获取？将未识别的用户引导至第三方

借贷及引流业务是金融科技公司旗下大部分APP都有的业务板块。在这个过程中，平台虽然本身不​​做贷款审核，但会利用大数据算法对用户进行画像，将具有一定身份标签的用户推送到合适的第三方借贷平台。这个过程也涉及到用户信息的分享和传递，这些接收信息的平台应该被定义为原APP的第三方合作伙伴。《自评指南》规定，隐私政策应该写明接收方的类型或身份；如果将个人信息传输到第三方服务器，应该通过弹窗提示等方式明确告知用户。

在此前评测中，爱奇艺、同程旅行、微博借贷、360借条、搜狗借贷、58好街等平台均有此类“借贷导流”业务，而在本次评测中，分期乐、众安微贷、久富万咖、融360、我来数客、即贷、欢借、省借、小花钱包等APP均设有向第三方借贷平台导流的端口，且上述平台均存在诱导用户点击跳转第三方平台的行为。南都记者发现，上述平台在某些第三方平台的跳转页面自动勾选“同意授权”，用户可能在无意中泄露手机号、姓名等信息。由于这些跳转页面大多为注册页面，即便用户意识到自己被诱导，也会被强制在某些平台上注册。据工业和信息化部7月24日发布的《关于侵犯用户权益APP的通报》显示，上述APP中的小花钱包、欢背等均有“犯罪记录”，并因“私自分享给第三方”被通报。

以众安小额贷款App为例。南都记者完成注册后，App引导其上传身份证信息，上传后提示“审批失败”，随后出现弹窗，提示匹配到专属产品“榕树易借”，页面以“新品开通”“超低门槛”“本周贷王”“剩余额度9%”等宣传语诱导消费者。进入榕树贷页面，消费者并未得到提醒，也没有提示阅读第三方平台的隐私政策。测评显示，隐私政策和注册协议的文字使用了整个页面最小的字号、最浅的颜色，根本没有给用户主动勾选的空间。页面中间最大的字号、最显眼的颜色，是“查看金额”按钮。只要消费者输入手机号码、点击“查看金额”按钮，这些信息就会被第三方平台收集。

马军律师指出，嵌入式服务存在数据泄露的技术风险，如果APP要将个人信息分享给第三方借贷平台，必须征得个人同意，否则将被视为非法对外提供。南都记者查看近期收到的垃圾营销短信发现，不少短信都来自这些只被点击了几次的第三方平台。

如此霸道营销究竟存在哪些问题？张浩律师认为，鉴于我国已全面实行手机实名制，手机号码具有专属性和私密性，在严格惩治侵犯公民个人信息犯罪的法律环境下，单个没有机主姓名信息的手机号码，往往会被认定为构成刑法意义上的公民个人信息。因此，一些团伙滥用单个没有机主姓名信息的手机号码进行金融贷款精准营销，涉嫌构成侵犯公民个人信息罪。

【评价标准】

本次测评设置了手机权限获取、隐私政策文本、个人信息收集使用行为三个主要维度，满分为100分，评分权重分别为20%、50%、30%。

在“获取手机权限”维度，具体指标有12个，包括用户进入App申请权限时是否出现弹窗、是否强制获取权限、是否默认获取权限、是否明确说明申请权限的目的等。其中，南方金融合规课题组重点关注App强制获取权限、是否明确说明申请权限的目的、申请权限涉及的功能是否在隐私政策中明确说明等问题。

“隐私政策文本”维度下设4个二级维度、26个具体指标，包括隐私政策的独立性与可读性、对各项业务功能及收集的个人信息类型的描述是否清晰、对个人信息处理规则及用户权益保障的描述是否清晰、隐私政策等文件中是否存在免责条款等不合理条款等。评分权重分别占10%、50%、30%、10%。按照一级维度权重计算，满分为50分。南都金融合规课题组重点研究了隐私政策中个人信息收集规则、第三方代码插件、权限应用等问题。

在“收集使用个人信息行为”维度，主要评估10个具体指标，包括在个人信息传输至第三方服务器时是否通过弹窗提示明确告知用户、在收集个人信息前是否为用户提供主动选择同意或不同意的选项、是否以用户主动填写、点击、勾选等自主行为作为产品或服务业务功能开启或开始收集个人信息的条件等。

出品：南都财经报社

评测与数据收集分析：南方都市报记者 熊润淼

实习生陈琪琪

图：杨晨悦