‌·
分享到:

个保法正式实施,南都测评发现多个互联网金融App更新隐私政策

国美易卡部分功能仍“强制索权” 5款App权限申请目的不明

来源:南方都市报     2021年11月02日        版次:GA15    作者:熊润淼 陈卓睿

  《中华人民共和国个人信息保护法》(以下简称“个保法”)11月1日正式实施。个保法规定,“告知-知情-同意”是App经营者在个人信息处理方面应当遵循的一大核心规则。App作为个人信息处理者,应该承担充分“告知”以保证用户充分“知情”并“同意”的责任。

  在新法和多部法规、规范均已出台并开始施行的背景下,金融类App在隐私保护方面做得如何?是否还存在不合理索取用户权限、违规收集用户个人信息、隐私政策说明不清晰等问题?南都“数字金融生态合规研究”课题组近期对20款主流互联网贷款App进行了深度测评,希望借此唤起企业对用户个人信息保护的更高重视,也为读者提供有效参考。

  本次测评发现,个保法正式施行前一周,至少有9个样本App进行了版本更新和隐私政策文本更新。在隐私政策文本相关测评项中,金融类样本App整体表现尚可;但权限获取方面,则有不少细节问题有待提升,如国美易卡仍存在部分功能“强制索权”,未提供替代方案的情形;此外,国美易卡、众安小贷、万达普惠、小赢卡贷、宜享花等App的安卓版本均存在未说明或未明确说明权限申请目的现象。

  国美易卡仍有“强制索权”

  

  在去年的测评中,南都课题组发现,部分App在打开后必须提供特定的系统权限,否则无法正常进入App;而本次纳入测评的样本App均已经不存在拒绝授权无法使用App的现象,不过,在个别App中仍存在部分功能“强制索取非必要权限”“不给权限就不能用”的现象。

  课题组注意到,2020年9月下发的《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》(以下简称《权限申请使用指南》)中,将App关于权限申请的要求更加细化。其中表示:“App应尊重用户的权限设置,不应欺骗或强迫用户同意不必要的数据访问,若有可能宜为拒绝授权的用户提供替代解决方案。”

  实测发现,国美易卡App中,在申请贷款时,页面提示“请从通讯录导入直系亲属、其他联系人共三位联系人的手机号”,触发访问“通讯录”权限的申请,但未解释使用目的。拒绝后才解释原因,再次拒绝后并没有提供替代方案,反复强制索取“通讯录”权限。

  

  万达普惠、国美易卡等权限申请目的不明晰

  

  《权限申请使用指南》还要求,“App在用户未触发相关功能或服务时,不能提前申请开启与其他功能相关但与当前功能无关的权限。”而课题组测评发现,众安小贷、国美易卡、万达普惠等App在一进入App就要求访问设备上的照片、媒体内容和文件,要求获取设备信息,且并未在隐私政策或任何交互界面对这些要求获取权限的行为作出说明和提示,不符合前述规范文件要求。

  根据《权限申请使用指南》要求,App申请系统权限时,应同步告知权限的申请目的,若仅通过操作系统弹窗向用户申请系统权限,且未告知权限申请目的,则不符合要求;若将目的描述为“需要您开启存储权限,以保证存储相关功能的正常使用”,则属于未具体明确地说明权限的使用目的。

  课题组测评发现,也有个别App并未按《权限申请使用指南》要求执行。比如众安小贷App在身份认证时先要求获取“位置权限”,再要求获取“相机权限”,均未说明原因,仅采用操作系统弹窗向用户申请系统权限。万达普惠App在上传身份证前、刷脸前需要调用相机权限和存储时,都没有说明目的。宜享花App的安卓版也存在申请上述多个权限均未单独说明目的的情形。小赢卡贷App安卓版在首次打开时弹窗表示“为了能正常使用小赢卡贷相关服务需要申请通讯录、电话和文件存储功能”,并表示点击“同意并使用App”就表示“您已同意以上授权”,疑似提前申请权限;而在刷脸前申请打开相机权限,也没有单独说明原因。

  通过实际使用发现,已有部分App比较符合上述要求。如平安普惠App在需要开启摄像头权限时,App有弹窗说明称:“申请开启摄像头权限,用于您人脸识别、上传照片、图像识别以帮助您完成借款申请”。又如有钱花App在刷脸认证前,会先提示:“为了向您提供扫码、拍照、身份验证服务,请您开启相机权限”。

  

  携程金融、天星金融等隐私政策不便阅读

  

  用户在使用一个App之前,首先需要了解其隐私政策,但有些App还在给用户制造“阅读障碍”。《网络安全标准实践指南 移动互联网应用程序(App)个人信息保护常见问题及处置指南》(以下简称《处置指南》)指出,“未在用户首次使用或用户注册时主动提示用户阅读隐私政策,或以缩小字号、减淡颜色、遮挡等方式诱导用户略过隐私政策链接”属于“未提示用户阅读隐私政策”。

  南都课题组在本次测评中发现,一些App在“主动提示”方面做得不够到位。如首次进入携程金融App,弹窗的“隐私保护提示”中,隐私政策未使用突出显示,与提示中的其他大段文字颜色“浑然一体”,比较不易发现。点击隐私政策后还需跳转至浏览器用网页打开,读完后再次返回App进行操作,不够方便。

  课题组还发现,天星金融、分期乐、度小满金融、有钱花、360借条、平安普惠等均在个保法正式施行前几天更新了隐私政策,其中分期乐、平安普惠等App在近几日打开App时多次弹窗提示用户查看并确认更新的隐私政策。

  同时,课题组发现,天星金融App的隐私政策文本采用PDF文件形式在App中展示,字号极小,虽然可以使用放大功能,但却无法看全整段文字。参考《App违法违规收集使用个人信息自评估指南》要求,隐私政策应该易于访问;隐私政策文本文字显示方式(字号、颜色、行间距等)应当不对用户造成阅读困难。

  实际上,中国人民银行金融消费权益保护局课题组发布的《大型互联网平台消费者金融信息保护问题研究》还曾指出,部分大型互联网平台的协议和合同文本只能在手机客户端查看,无法复制和下载保存。有的协议文本甚至嵌套隐藏在另一个协议的某一条款中,需要再次点击链接跳转到另一界面才能呈现相关内容。这些均不利于金融消费者反复阅读、全面理解、自行留存与其个人信息权利有关的合同文本。

  南都本次测评发现,在众安小贷App的安卓版中,隐私政策文本无法截图,也无法进行复制,除了在App中查看外,没有办法保存下来。测评还发现,在多数样本App的iOS版本中,隐私政策文本都存在不可复制保存的问题;而多数被测评的样本App安卓版本的隐私政策文本都可以进行复制。

  不过也有相对优秀的案例值得借鉴,有部分App在设计中已经做到了“多次提醒,单独授权”。如平安普惠、分期乐App在首次进入App时,用“重要提示”弹窗对个人信息收集的原因和范围进行说明,主动展示隐私政策的主要或核心内容,帮助用户理解收集个人信息的范围和规则进而做出决定;同时,整篇隐私政策文本在排版上易于阅读,将涉及敏感信息的部分进行加粗标识。苏宁金融App隐私政策则将产品业务功能所收集使用的个人信息、所要申请开启的设备访问权限等比较重要的内容都以表格的形式逐项列举,容易查阅。

  

  仅有少量样本App收集人脸信息提供单独授权协议

  

  由于互联网贷款App中的主要业务功能需要进行实名认证、授信以评估资信,从而获得贷款额度,因此,大多数App都需要收集身份证、人脸等敏感信息来完成实名认证。

  在这一过程中,根据《信息安全技术个人信息安全规范》要求,收集个人信息需要做到基本业务功能和扩展业务功能的“告知和明示同意”。在某业务功能开启前,如个人信息主体初始安装、首次使用、注册账号等,应通过弹窗、文字说明、填写框、提示条、提示音等形式的交互界面或设计,向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集主动作出肯定性动作征得其明示同意,这些动作包含勾选、点击“同意”或“下一步”等。

  因此,App在实名认证,刷脸认证、登录或支付,指纹登录或支付这三个单项业务功能实现的过程中,都需要逐项征得用户同意。而根据《个人金融信息保护技术规范》,身份证、人脸、指纹分别属于C2、C3类重要的个人身份信息,从敏感级别上来看都很高。南都课题组在本次测评中发现,有少量样本App在实名认证这一环节有单独的授权服务协议,如京东金融、苏宁金融、天星金融、平安普惠等App。而360借条、分期乐、拍拍贷借款等App在实名认证环节均没有授权服务协议,只是提示称上传身份证用于申请贷款,申请授权访问“摄像头”“相册”等权限。

  而在刷脸认证或开启刷脸登录、支付等功能的业务环节中,有授权服务协议的App也较少,有单独的《人脸识别服务协议》的App有平安普惠、京东金融、苏宁金融、分期乐、小赢卡贷、还呗,且为用户提供了明示同意的勾选框。其他需要进行刷脸识别但没有授权服务协议的App包括万达普惠、拍拍贷借款、有钱花、众安小贷App等。不过,有钱花App以“限时提示”的方式表示需要采集人脸,并简要说明了原因,但这个提示只出现了3秒钟时间,就自动消失了。

  

  众安小贷、国美金融等App未清晰说明收集个人信息情况

  

  值得注意的是,《自评估指南》要求,“应清晰说明各项业务功能及所收集个人信息类型,隐私政策中应当将收集个人信息的业务功能逐项列举,不应使用‘等、例如’字样。隐私政策中对每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用‘等、例如’等方式概括说明。”

  但南都课题组在本次测评中发现,从国美金融App首页的排版来看,借贷业务是其提供的一项主要业务功能,但查阅国美金融App的隐私政策却发现,其陈述需要收集的个人信息时,列举了“银行精选”“基金销售”“国美黄金”“美云保”四种业务类型所需要的手机的个人信息,却漏掉了其开展借贷业务的产品“国美易卡”相关的个人信息收集说明。而且,在“基金销售”“美云保”业务相关的个人信息收集方面,使用了“等、例如”等方式进行概括说明,并未进行逐一列举。众安小贷、宜人贷旗下的宜享花App也存在使用“等、例如”等方式对个人信息收集范围进行概括说明的现象。如在众安小贷App隐私政策中,在陈述“提供消费金融服务”需要收集的个人信息类型时,其中多处使用“等”字眼进行描述。

  此外,参考前述《处置指南》规范文件要求,不应该在非必需的服务场景,诱导或强制采集个人生物识别信息、手持身份证照片等个人敏感信息。而测评组发现,宜享花App的隐私政策中指出:“注销账号时,宜享花平台需要对您进行身份核实,核实方式包括但不限于提交本人手持身份证正面照、人脸识别等。”按《处置指南》要求,这属于超范围、强制收集个人信息。

  亮点

    安全键盘、隐私内容保护保障安全,“手写签名”充分告知

  随着《中国人民银行金融消费者权益保护实施办法》《个人信息保护法》等办法的出台,各家平台的消费者保护工作也有了长足的进步。值得一提的是,测评组在测评过程中发现,不少平台已经从一些细节处为消费者改进设计。

  比如,本次所有被测评App在输入密码的页面都不允许进行截图和录屏,会弹出提示“当前界面涉及隐私内容,不允许截屏”;部分App还在键入账号、密码时,为用户提供了安全键盘,如平安普惠、苏宁金融等App。

  此外,课题组注意到,前述央行研究文章还指出,信息收集使用的“知情-同意”原则被弱化,金融消费者自主选择权受到限制,而大型互联网平台往往通过概括性授权条款削弱了这一机制。“知情-同意”机制通常表现为大型互联网平台以格式合同的形式发布相关条款及隐私权政策声明,消费者在手机客户端上点击“同意”,视为同意授权。课题组实测发现,平安普惠是本次测评的App中,唯一要求用户在页面手写签名进行确认的App,在一定程度上保障了用户的“知情-同意”权。

  测评说明

  本次测评重点关注隐私政策文本部分的说明,及权限申请、个人信息收集是否符合“告知-知情-同意”原则,主要测试在首次进入App及使用App主要业务功能的过程中,在权限获取、个人信息收集、个人信息安全和隐私政策展示方面是否存在不够规范之处,是否让用户充分“知情”。

  测评标准以《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《网络安全标准实践指南——移动互联网应用程序(App)个人信息保护常见问题及处置指南》《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》等规范性文件及指南为依据,分别从隐私政策的易读性,清晰说明收集个人信息情况,用户权益保障,获取权限同步告知目的,收集个人信息征得用户自主选择同意,不强制索权、超范围收集等6个方面设定测评指标,共分为6个一级维度、70个二级指标展开。

  测评对象包括京东金融、度小满金融、有钱花、苏宁金融、天星金融、微博钱包、携程金融、国美金融、国美易卡、平安普惠、360借条、分期乐、拍拍贷借款、宜享花、融360、小赢卡贷、还呗、省呗、众安小贷、万达普惠20个App,选取的App在应用市场中的下载安装量都在千万级别以上。

  测评时间为2021年10月8日-31日,测评期间App均已更新至最新版本,本次测评中版本更新截至2021年10月31日24时,测评时在安卓和苹果两台手机上同时进行,选取最后一次更新的安卓版本为样本进行测评打分。

  出品:南都“数字金融生态合规研究”课题组

  数据采集分析:南都记者 熊润淼 陈卓睿

  版本更新截止时间:2021年10月31日24时

手机看报
返回奥一网 意见反馈