个人信息保护合规测评⑥丨20款消费金融类APP:支付宝点击8次关闭位置授权,众安小贷人脸识别未获单独同意

合规科技张雅婷,吴霜,李润泽子,郭美婷 2021-11-25 19:10

4款APP低于60分需加强个人信息保护。

个人信息保护合规测评⑤丨20款出行旅行类APP:美团打车无个性化推荐关闭按钮,如祺出行等得分垫底 个人信息保护合规测评④丨20款手游APP:开心消消乐、球球大作战无法在应用内撤回同意,仅4款提供个人信息副本和转移服务 个人信息保护合规测评③丨20款电商生活类APP:拼多多等5款无法应用内撤回同意,11款个性化推荐拒绝难 展开更多

我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界,以“告知—同意”为核心原则对平台进行个人信息处理予以规范。

为了解企业在个人信息保护方面的落实情况,南方财经合规科技研究院基于《个人信息保护法》与《App违法违规收集使用个人信息行为认定方法》的相关条款,对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这9大方面共20个测评项,测评总分为100分。

结合用户量与功能差异等因素,测评选取了20款消费金融类APP(含持牌消费金融公司、互联网小贷公司和提供贷款服务的互联网公司等)进行个人信息保护合规实测。测评结果显示,有钱花得分80分,个人信息保护等级较高;万达普惠、中原消费金融、安逸花、京东金融、招联金融、携程金融、新浪金融、支付宝等15款APP得分在60分至80分;苏宁金融、够花、好分期、捷信金融得分不足60分,个人信息保护有待加强。

撤回同意、敏感个人信息保护、个性化推荐、数据可携带权、第三方处理者单独告知,成为平台的高频合规问题。好分期等6款APP无法直接撤回同意,无APP撤回同意便捷,如支付宝需经8个步骤关闭授权。敏感个人信息保护亟待加强,招联金融未经同意获取相册权限,众安小贷人脸识别未获单独同意且未告知用户权益影响。个性化推荐的选择权难实现,多款APP未明确告知是否提供个性化推荐,且未区分关闭个性化内容及广告推荐,仅4款APP可便捷关闭。第三方SDK同是合规重灾区,仅1款实现个人信息处理的合规告知,1款APP获取用户的单独同意。数据可携带权的实现也不尽如人意,9款APP未提可获取个人信息副本,仅2款APP明示可提供个人信息的转移服务。

6款无法应用内撤回同意,支付宝关闭授权需8步

撤回同意权已成为全球个人信息保护立法的趋势与共识,《个人信息保护法》中也对此进行了回应。第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

此次测评对撤回同意聚焦于APP内是否提供了用户自主撤回同意的相关功能选项。测评发现,20款消费金融类APP中,京东金融、捷信金融、安逸花、中原消费金融等14款能够在APP内或跳转至手机系统设置对相关授权撤回同意

分期乐提供系统权限管理

招联金融、好分期、携程金融、众安小贷、万达普惠5款应用需要用户自行前往系统设置中关闭授权,够花虽有“系统设置”管理页面,但未包含对相册权限的使用。够花在隐私政策的设备权限调用说明中列举,“访问照片”会在用户首次使用具体业务场景下弹窗询问,例如更改头像,且可以关闭授权。但在实际操作中,点击更换头像并未弹窗询问是否授权,APP默认用户授权相册功能,且无法关闭该授权。

撤回同意的便捷性值得关注。《个人信息保护法》二审稿中对撤回同意增加“便捷”的要求,与欧盟《通用数据保护条例》(GDPR)“撤回同意应当和表示同意一样简单”的宗旨以及《个人信息安全规范》等相关规定相呼应。

参照国家网信办、工信部、公安部、市场监管总局2019年11月联合制定的《App违法违规收集使用个人信息行为认定方法》中,关于“隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到”的规定,测评将打开APP后如经过4次点击仍无法关闭相关授权,视为不便捷。

测评结果显示,在提供应用内部关闭授权或跳转系统关闭授权的消费金融类APP中,均不便捷,需超过4次操作步骤。以支付宝为例,关闭位置授权需要通过“我的-设置-隐私-系统权限管理-位置-管理位置权限-位置-关闭精确位置”路径进行8次点击。

敏感个人信息保护缺失,相册、人脸识别未获单独同意

《个人信息保护法》设专节对处理敏感个人信息作出更严格的限制,明确敏感个人信息的定义、处理前提和监管要求等。

依据法律,平台处理敏感个人信息应取得个人的单独同意,并应向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

按照敏感个人信息的定义“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,用户的相册中极易包含多类敏感个人信息,平台是否获取用户的单独同意尤为重要。测评发现,部分APP存在获取相册权限但并未明确提示的现象。

以招联金融为例,其隐私政策显示,在用户使用IOS系统时,APP可能会申请权限访问照片库,以便用户使用修改头像及其他会上传照片或视频的相关服务。拒绝授权后,前述功能或服务可能无法使用。但在使用招联金融更换用户头像时,APP并未弹窗申请获取相册权限,即可直接进入相册页面选择照片。

人脸信息作为生物识别信息也应得到更高强度的保护。不少金融消费类APP均为人脸识别功能提供单独授权页面并设专有规则,如度小满提供《面容验证支付协议》、支付宝提供《生物识别服务通用规则》、分期乐提供《个人敏感信息授权书》等。

支付宝获取人脸识别页面

部分APP则将人脸识别的单独同意与相机功能设为同一授权,在人脸识别的保护机制上有待加强。例如,众安小贷在隐私政策中提到,在额度评估流程内,身份认证及人脸识别功能需使用相机,使用时会唤起相机权限。实测发现,众安小贷在获得相机权限后,收集人脸信息时并未获得用户的单独同意,直接进入人脸识别环节。同时,众安小贷在隐私政策中仅提及进行人脸识别的必要性和主要用途,但未表明对个人权益的影响。

个性化内容及广告推荐关闭不明晰,仅4款关闭便捷

《个人信息保护法》从一审稿到成文,在不断强化对自动化决策的规制。第二十四条要求,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

对于消费金融类应用而言,收集用户的浏览记录、搜索记录、交易信息等进行算法的自动化决策机制分析形成间接用户画像,用以为用户提供更具有个性化需求的内容或广告服务。

针对个性化推荐,平台是否设置了关闭个性化内容推荐及个性化广告推荐的功能、是否提供便捷的拒绝方式、关闭个性化推荐后是否会影响产品使用,这三项内容成为合规焦点。

20款消费金融类APP提供的个性化推荐服务不一。在明确提到会提供个性化内容与个性化广告推荐的应用中,京东金融、携程金融、支付宝3款在应用内对两种推荐分别提供关闭按钮。

京东金融提供分别提供个性化内容、广告推荐管理

其他多款应用未在功能设置上未对关闭个性化广告推荐和关闭个性化内容推荐进行明确区分,如好分期、够花、分期乐等APP需通过系统设置的“通知”选项等进行关闭,苏宁金融仅提供“个性化内容和广告推荐”的统一关闭按钮。

在仅提供个性化内容或广告一种推荐服务的应用中,不少APP提供明确关闭按钮,如捷信金融有关闭个性化广告功能,天星金融提供个性化内容推荐关闭选项。有APP的关闭选项不太明确,如国美易卡的隐私管理中包含“非定向推送信息权限”的管理,提示可以禁止平台使用某些类别的信息向用户展示更相关的推送,但此选项没有显示“关闭” 的按钮,只有“去设置”和“已允许”,点击“去设置”也未显示“已关闭”或跳转至其他页面关闭,无法判断是否已关闭该权限。

新浪金融、招联金融、拍拍贷贷款、众安小贷、中邮钱包5款APP的隐私政策中均未提及会收集用户个人信息用于个性化推荐的相关内容,无个性化关闭按钮。

苏宁金融为个性化推荐提供应用场景及功能列表

在“是否提供便捷的拒绝方式”上,测评同样参照《App违法违规收集使用个人信息行为认定方法》,打开APP后如经过4次点击仍无法关闭个性化推荐,则视为不便捷。

结果显示,在提供个性化推荐的15款APP中仅4款APP在所提供的推荐服务上完全实现了不超过4次点击即可关闭,包括国美易卡、中原消费金融、有钱花、万达普惠。

第三方SDK告知不全,仅1款获单独同意

《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。

APP内通常会接入多个SDK(软件开发工具包),利用SDK技术为用户提供多样化的服务。目前,所测20款消费金融类APP都在隐私政策中明示了接入相关合作方SDK的目录,但因详细度不同而存在一定合规问题。

依据法律要求,APP应向个人告知第三方的“名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。测评发现,仅分期乐实现了合规告知,15款APP未告知第三方SDK对个人信息的处理方式,9款APP未告知第三方SDK的联系方式。

仅万达普惠的第三方SDK实现了“取得个人的单独同意”,在下载应用后的首次弹窗中,包含对外部SDK的简介。

万达普惠单独弹窗第三方SDK的简介

多款APP虽在首次弹窗中提到“未经您的授权同意,我们不会将上述信息共享给第三方或用于您未授权的其他用途”,但第三方SDK的详细信息需要APP内的隐私管理中查阅。

9款未提个人信息复制权,仅2款提供个人信息转移

数据可携带权是《个人信息保护法》三审新增的一项权利。第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。”

可携带权分为两个维度:其一,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供,即个人可获得个人信息副本;其二,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

测评发现,9款APP未明确提及可提供个人信息复制服务,仅京东金融、好分期、安逸花、中邮钱包、万达普惠、众安小贷、够花、分期花、有钱花、360借条、招联金融11款APP可以提供个人信息的副本。以京东金融为例,获取个人信息副本,可以通过拨打客服热线,人工客服进行身份核验后,可将个人信息副本提交给用户。

但可携带权的另一维度——个人信息的转移服务,执行的情况则不容乐观。仅安逸花、携程金融2款APP提到了用户“转移个人信息”的权利受到保障,可以通过联系平台方实现。

南财合规建议

1、对于相机、位置信息、麦克风等授权的撤回同意,APP内可设权限管理专区,并明确在何种场景下使用及用以哪些目的等。为实现便捷性的要求,关闭授权的点击步骤不应超过4次,建议在应用内可直接关闭。

2、消费金融类APP常见对敏感个人信息的收集处理,如通过人脸识别提供远程开户、绑卡核身、账户登录、分期购物、人脸支付等服务,应在相关场景提供专有协议或规则,告知用途和可能风险,并明确获得用户单独同意,保障用户知情权与选择权。同时,当用户不想再继续授权使用其人脸数据时,APP必须提供“退出”或“删除”渠道,确保用户的删除权。

3、在个性化推荐问题上,企业除了《个人信息保护法》,还应参照《互联网信息服务算法推荐管理规定(征求意见稿)》等关于算法机制的要求。在隐私政策中,应明确告知用户是否进行了个性化内容推荐与个性化广告推荐,体现是收集的信息类型、目的意图、运行机制等。如个性化内容与广告推荐均有,则应为用户分别提供单独的关闭按钮,并告知关闭后的影响。为实现用户的便捷关闭,应将开启或关闭选项设于APP“设置”页面的显著位置,点击步骤不应超过4次。

4、第三方单独告知问题方面,目前大多数APP提供了第三方SDK信息收集的单独列表,应对当前未落实的联系方式、处理方式进行明确告知。在取得个人的单独同意上,可在首次开启APP的弹窗中设计。

5、对于用户的个人信息可携带权,APP应在隐私政策明确列明《个人信息保护法》中赋予用户的权利,并提供实现路径。企业应为此提供专门的联系方式获取或在APP内设计直接获取导出按钮。

测评补充说明

测评时间:11月18日至25日

APP所测版本(括号内为隐私政策更新或生效时间):

IOS版:京东金融6.2.50(2021.10.04),捷信金融34.24.1(2021.8.24),招联金融6.1.0(2021.11.10),好分期v7.3.1(2021.9.29),安逸花3.4.57(2021.11.12),支付宝10.2.36(2021.3.8),携程金融2.4.10(2021.10.31),万达普惠4.1.9(2021.8.9),够花3.6.4(2021.5.31),国美易卡5.3.3(2021.11.17),分期乐6.11.0_6(2021.11.1),有钱花5.5.0(2021.10.28)

Android版:中原消费金融4.0.1(2021.10.28),中邮钱包2.9.26build336(P1)(2021.11.18),天星金融v.4.0(2021.10.29),苏宁金融6.8.5(2021.11.28),新浪金融3.9.25(2021.11),360借条1.9.9(2021.11.18),拍拍贷借款9.10.4(2021.11.1),众安小贷1.9.4(2021.8.22)

出品:南方财经合规科技研究院

统筹:曹金良

研究员:张雅婷,吴霜,李润泽子,郭美婷

(作者:张雅婷,吴霜,李润泽子,郭美婷 编辑:曹金良)

张雅婷

记者

关注与数据相关的一切,聚焦个人信息保护、反垄断、数字政府、数字经济等。常驻广州,微信:ellenmiuo

吴霜

记者

记者,21世纪资管研究院研究员,关注资管、财富管理最新动态,欢迎爆料、讨论,邮箱:wushuang@sfccn.com