15款金融类App被点名,违规收集信息痼疾怎么治
来源:北京商报 2021-02-25 11:23:34
加强对侵害用户权益APP的整治,监管红线仍在持续收紧中。据广东省通信管理局(以下简称“广东信管局”)官网2月23日消息,215款存安全隐患问题App被勒令整改,其中包括12款金融理财类App。另有7款前期通报App存在未整改或整改不彻底情况再遭点名,其中也包括3款金融类App。业内人士分析认为,游离在大型金融机构之外的小平台App在整治过程中难以得到关注,数据分级管理或将成为下一阶段整治的工作重点。
12款金融理财类App违规
广东再通报一批违规App。2月23日晚间,广东信管局官网披露,2021年1月,广东信管局共监测发现215款App存在侵害用户权益和安全隐患问题,其中,12款金融理财类App被点名,具体包括白熊保单管家、布谷农场、分期乐、广金所、合众e贷财富等平台。
其中,布谷农场运营主体为深圳财富农场互联网金融服务有限公司,侵害用户权益问题在于未在隐私政策等公示文本中逐一列明App所集成第三方SDK收集使用个人信息的目的、方式和范围,存在的安全隐患主要在于WebView远程代码执行漏洞以及界面劫持风险。
而深圳合众财富金融投资管理有限公司旗下合众e贷财富App,除了未列明个人信息具体用途外,还存在违反必要原则收集个人信息、更正、删除用户信息及注销用户账号的处理承诺时限(30天)均超过15个工作日等2项违规行为。
北京商报记者了解到,布谷农场与合众e贷财富均为网贷平台App,此前也曾是业内知名平台,网贷平台全面退出的大背景下,2家平台也少有消息传出。而在2019年1月,合众e贷曾向美国证监会递交招股书,最终未能完成上市。2021年1月,合众e贷公告宣布完成P2P业务结清工作,转型为持牌金融机构服务商。
从安卓版应用市场当前版本来看,布谷农场、合众e贷财富App分别在1月13日、2月7日进行了版本更新。但从2月24日北京商报记者实测情况来看,两款App在收集用户信息方面仍存在较大问题。
布谷农场安卓版本提供的《隐私协议》当前对于整改要求尚未落实到位,对于监管要求的第三方SDK收集信息方面尚未做出说明。同时,其《隐私政策》内容较为简短,关于账户注销等方面也未曾提及。合众e贷财富安卓版本中,未在用户注册环节单独提供《隐私政策》,注销账户需要自主致电客服方可施行。
对于当前用户信息收集方面存在的问题以及后续整改情况,北京商报记者向布谷农场、合众e贷方面进行了进一步了解,但截至发稿未收到回复。
西南财经大学金融学院数字经济研究中心主任陈文告诉北京商报记者,从互联网运营平台正常开展业务的角度来看,监管明确提出信息采集最小化的要求,但在实际业务开展过程中,平台往往是尽可能多的采集信息。“对于金融理财类App来说,接触更多的便是用户实名信息和交易数据,最基础的商业逻辑也在于这种数据信息可以进行直接变现。”
而除了布谷农场、合众e贷、分期乐等较为知名的平台外,本次被点名的还包括小花借条App、信用卡还呗等平台。陈文表示,当前监管主导的移动金融类App备案制度等,多针对持牌金融机构、大型互联网平台旗下App,对于这类层出不穷、游离在大型金融机构之外的小平台App,实际上很难得到关注。
中邮消金、顺丰金融等再被点名
事实上,自App收集用户信息整治工作开展以来,广东信管局已经多次通报违规App名单,责令其限期整改并通知各应用商店督促整改。在本次通报中,广东信管局也再度对前期已通报App整改进度进行核查复测,其中7款App存在未整改或整改不彻底情况,再次被点名。
而在这7款App中,包括深圳市顺恒融丰投资有限公司旗下顺丰金融App、中邮消费金融有限公司(以下简称“中邮消费金融”)旗下中邮钱包App在内的3款金融类App被列入其中,3款App曾在2020年被通报。北京商报记者对比发现,再度被通报的3款金融App违规行为有所细化。
顺丰金融App方面,违规行为主要在于征得用户同意前,App嵌入的第三方SDK私自收集个人MAC地址信息;注册登录时,以默认方式同意隐私政策以及违反必要原则收集个人信息,拒绝向用户提供留言、上传图片等功能。
中邮消费金融则是本次通报中唯一一款持牌金融机构。通报信息显示,中邮钱包App违规行为在于未逐一列明第三方SDK收集个人信息的使用目的、未提供有效的注销账号功能等。
同样,北京商报记者也对上述金融类App进行了实测。顺丰金融App《隐私政策》最近更新日期发生在2020年12月,当前版本中对于此前通报提到的“第三方SDK收集信息说明缺失”这一违规行为进行了补充完善,实测中也未出现通报中提及的“默认勾选隐私政策”的情况。对于顺丰金融App当前整改进度,顺丰金融客服称将反馈至相关部门进行回应,但截至发稿尚未收到回复。
中邮钱包App于2月10日更新的《隐私政策》中,对于监管要求的缺失内容进行了补充,自主注销账号入口也有所完善。对于为何未在规定时间内完成整改工作,截至发稿,暂未收到中邮消费金融方面的回复。
“虽然近年来数据治理包括金融数据治理方面监管动作越来越频繁,但各行业当前仍然处于没有特别明确的规章制度可循的状态。”陈文表示,违规App面临惩罚成本也可能相对较低,整而不改也与此有所关联。
苏宁金融研究院高级研究员黄大智指出,对于被点名后整而不改的企业,还是要依据法律法规进行严格处罚,包括对其进行下架处理等。
广东信管局也在通报中强调,将持续加大巡查力度,及时发现并通报侵犯用户权益的App,并加强对已通报App及其运营者关联App进行跟踪复查,如有必要坚决采取下架、停接入、停域名、行政处罚以及纳入电信业务经营不良名单或失信名单并公开曝光等措施。
下一阶段整治工作怎么走
从广东信管局通报情况来看,本次通报的App侵害用户权益的典型表现占比最高的是未列明App所集成第三方SDK收集使用个人信息的目的、方式和范围,占比为60%,此外,还有提前申请获取终端权限、未提供有效的注销账号功能等问题列入其中。
在本次被点名的12款金融理财类App中,9家机构“踩雷”未说明收集信息用途,即便是持牌消费金融机构也难逃质疑。作为一直以来监管整治的最大要点,违规收集用户信息为何屡禁不止?
黄大智认为,从客观的角度来看,个人信息和相关的数据涉及门类广阔,非常具备多样化、多元化,互联网App制定相关条款的时候,也很难提前详细说明这些事项。从互联网App的主观性来看,对于个人信息保护概念、法律合规意识等近一两年才开始兴起,不排除部分机构对该部分意识有所缺乏从而导致违规。“同样也不排除一些机构,主观上偏向恶意,故意利用个人信息和数据进行非法牟利,进而无限扩张采集范围。”
“也有部分机构存在一定程度的侥幸心理,以为不开展合规工作、打折完成合规工作,在业务开展过程中浑水摸鱼。”金融科技领域专家苏筱芮表示。对于难以发觉的小型平台App,苏筱芮建议,从制度方面进行完善,建立起系统化的App合规管理架构,明确相关责任人。此外,对于“失联类”“僵尸类”App建议尽早从应用市场下架处理,以免沦为不法分子牟利的工具。
不可否认的是,自整治工作开展以来,App侵犯用户信息乱象已经得到极大改善,关于移动金融App的备案工作也仍在持续推进中。下一阶段整治工作怎么走?苏筱芮指出,个人信息保护的工作完善流程并非一蹴而就,平台及其合作伙伴等应该从数据的采集、存储、加工、传输、披露等多个环节规范用户个人信息管理。
在陈文看来,数字经济时代,除了通过App获得、收集用户信息外,部分互联网平台、数字经济企业采集用户信息的方式可能也存在灰色领域,个人信息泄露也是数据安全的一个重要问题,该部分监管也应该进一步加强。
陈文表示,站在数据治理大背景下,完全禁止数据采集也并不合理,也不利于数字经济的发展。从保护尊重个人数据隐私的角度来看,个人隐私数据相较普通数据更具敏感性,就必须进行一些必要规范。“对于数据进行分级,应该来说是下一步工作的重点,央行也一直在进行推动。”
“在数据分级过程中,涉及到个人隐私信息,就要尊重个人的隐私权,如果在能够妥善保管的前提下,用户愿意进行分享,互联网运营平台如何构建必要的补偿机制,可能也是当下探讨比较前沿的一些话题。”陈文称。