大数据产业风起云涌,海量用户背后的数据成为多方主体眼中的“香馍馍”,数字经济在大幅提升效率的同时,权利公平与信息安全也隐患重重。
从Facebook超5000万用户信息泄露,到Google因数据泄露关闭Google+服务,从华住酒店5亿用户信息遭窃取,到巧达科技涉嫌贩卖1.6亿求职简历,在大数据全面渗透人类生活的当下,任何一个角落都可能成为侵犯隐私与网络犯罪的“温床”。
移动互联网应用程序(App)亦未能幸免。由于直接与终端数以亿计的用户交互,App在获取用户个人信息上具有极大的便利性,尤其在用户隐私保护意识普遍不强、国内个人信息保护法缺位的背景下,App涉嫌强制授权、过度索权、超范围收集个人信息的现象屡见不鲜,金融理财类App则因接触更多个人敏感信息而成“重灾区”。
近日,25岁的黄立(化名)打算用小米金融App申请杉德畅刷,由于平常较为关注个人隐私保护,注册账户时他有意识地查看了《隐私政策》,赫然发现其中有一条款透露,该App收集的信息类别将包括与用户的应用使用相关的信息,例如应用列表、应用状态记录(下载、安装、更新、删除)等。
这让黄立有点诧异。“我用一款App申请杉德畅刷,为什么对方要知道我安装的全部App列表?”黄立从小米金融一位客服人员处得到的答复是,应用列表信息将作为该平台综合授信的一个维度,比如从列表中获知用户是否安装了多款借款类App,依此综合评估用户的信用风险,但平台并不会读取应用里的个人信息。尽管如此,黄立仍然觉得隐私受侵犯了,“我用什么App都让他们知道了,我的隐私和安全在哪里?”
一面是大数据发展亟需打破数据壁垒、汇聚海量数据,一面是公民个人信息在大数据时代下“裸奔”、个人隐私屡受侵犯,如何在两者中权衡与取舍,成为摆在各方主体面前的一道考题。
“一揽子”协议与涉嫌霸王条款
“我其实是不大赞同这种做法的,”针对收集App列表的行为,中国人民大学律师学院院长助理、广东融关律师事务所高级合伙人陈科军在接受零壹财经采访时表示,“个人手机安装的App列表属于比较隐私的一个事情,但现在只要点击‘同意’,包括个人基础信息、App列表信息等信息都被全部获取了,这其实涉嫌强制一揽子索取授权。”
小米金融隐私政策
陈科军表示,更好的做法应该是针对此类更为敏感的信息,单独征求用户明确授权。“比如我授权同意时目标很明确,只同意App获取某个或某些信息,另外一些更为隐私的信息最好单独征求授权。”
华北某律师事务所一位不愿透露姓名的律师则对零壹财经指出,一些手机App侵犯个人隐私或过度收集个人信息的问题早已有之,过度收集、一揽子收集用户个人信息,可能会使用户存在手机里的隐私资料等被肆意查看、窃取,造成用户隐私泄露,给用户带来巨大的安全隐患。
在诸多金融理财类头部App中,零壹财经还发现不少政策涉嫌“霸王”条款。
“人人贷借款”App由人人贷商务顾问(北京)有限公司运营,该App在其隐私政策中声称,将永久保存用户的个人信息以及相关网络借贷业务数据,同时,用户个人信息经匿名化处理后将形成可以使用及流通的数据,对此类数据的保存及处理无需另行通知并征得用户的同意。
“人人贷借款”隐私政策
不过,依照《信息安全技术个人信息安全规范》(以下简称《安全规范》)中的相关定义,“匿名化”指的是通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程;个人信息经匿名化处理后所得的信息不属于个人信息。依此定义,上述政策中声称将永久保存的是可以识别个人身份的个人信息,还是匿名化后的数据?如果是前者,则涉嫌对个人信息的违规保存;如果是后者,为何政策文本使用的是“个人信息”这一表述?
零壹财经以此向“人人贷借款”方面询问,但截至发稿尚未收到答复。
一位不愿透露姓名的分析人士则指出,按照《安全规范》的定义,匿名化后的信息已不再称为“个人信息”,政策中明文提及将永久保存“个人信息”,之后又提及个人信息经匿名化处理后将形成可使用及流通的数据,“不排除这种形式的文本表述有打擦边球的嫌疑,如果实质上永久保存的是个人信息,则这一政策堪称霸王条款。”
零壹财经注意到,《安全规范》中明确提出了“个人信息保存时间最小化”原则。原则指出,个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间(法律法规另有规定或者个人信息主体另行同意的除外);超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
乱象丛生
事实上,在移动互联网高速发展、智能手机大量普及的当下,作为直接接触海量用户的终端工具,App在推动数字经济发展等方面发挥了举足轻重的作用,但也成为个人信息泄露、公民隐私遭侵犯的“重灾区”,尤其是涉及大量个人敏感信息的金融理财类App。
去年11月,中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》,对10大类100款App基于其用户协议、隐私政策进行综合评分。评分结果显示,金融理财类App平均分仅为28.91分,在10个大类中排名垫底,其中中小型App的问题更为突出。
资料来源:中国消费者协会,零壹财经
4月3日,零壹财经随机在安卓市场、AppStore中下载了多款中小型金融理财类App发现,强制授权、不可撤销授权,乃至没有公示任何隐私政策的现象屡见不鲜,混乱程度令人触目惊心。
“杏仁钱包”注册页面未有任何用户协议或隐私政策,凭借手机号和验证码即可完成注册;“借贷花”(安卓版本)、“快贷”注册页面显示的《隐私政策》均未有超链接,无法查看具体内容,所谓的隐私政策形同虚设;“省呗借款”称信用账户注销后,用户仍不可撤销地授权该公司继续持有、保留用户信息;“悟空理财”则在《用户协议》中称,用户须不可撤销地同意并授权将交易信息及记录与关联方平台共享。
这与《安全规范》中的相关条款明显有相悖之嫌。据《安全规范》,个人信息控制者应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权;个人信息主体注销账户后,应及时删除其个人信息或做匿名化处理,等等。
据了解,《安全规范》为推荐性国家标准,2017年12月29日发布、2018年5月1日正式实施。该规范是贯彻《网络安全法》中个人信息安全要求的重要配套标准,尽管并不具备法律效力和强制约束力,但《安全规范》明确了个人信息的收集、保存、使用、共享的合规要求,为网络运营者制定隐私政策及完善内控提供了重要指引。
目前,国内尚无专门针对个人信息保护的法律,业内对此的呼声也日渐高涨。
专家建议:从多个维度规范相关行为
随着全球加速进入大数据时代,个人信息保护专项立法已成国际惯例。据悉,目前全球已有近90个国家和地区出台或完善个人信息保护法律,包括《通用数据保护条例》(欧盟)、《消费者隐私权利法案》(美国)、《联邦信息保护法》(德国)等。
而近年来,中国已陆续出台相关法律法规以及规范性文件,但总体呈现分散立法状态、法律效力也各有不同,包括《刑法》、《民法总则》、《消费者权益保护法》、《网络安全法》、《电子商务法》等,以及推荐性国家标准《信息安全技术个人信息安全规范》等,司法解释层面则有最高人民法院与最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,个人信息保护法则已列入十三届全国人大常委会立法规划,相关部门正在抓紧研究和起草。
中国投资有限公司董事总经理张一清在其撰写的文章中指出,数据时代的监管应该关注数据资源的获取和使用边界,在这个边界外对个人隐私需要有立法保护。接受零壹财经采访的多位专家也均建议,应将多方主体纳入监管,且从多个维度打击规范相关行为。
陈科军建议,对此类行为的打击应该有几个维度,包括行政处罚维度、刑法维度。“现在基本只有刑事打击,没有行政处罚,应该有一个行政前置处理,刑事案件都是情节非常严重的了,但很多普通的违法没有得到有效遏制和处理。现在的违法情况就是,要么零成本,要么就付出刑事代价,然而中间还有很多模糊地带。”
中国信通院工业和信息化法律服务中心副主任许长帅曾建议,未来个人信息保护立法应设计把个人信息保护推荐性国家标准转化为具有法律约束力要求的制度。他表示,如果企业没有做到,那么除了民事责任以外,还要承担行政法上的责任,这样可能更有利于企业的良好经营。
制定信息获取、使用等环节的严格程序也是关键。“比如说信息要分类,用户只授权同意相应的信息类型,其他信息不能概括性地要求用户授权,这实际上是绑架了用户,这一块要明晰。”陈科军说。
上述不愿透露姓名的律师则对零壹财经指出,规范App下载获取个人隐私的问题需要采取综合治理的方式,监管部门可以将App开发商、App平台提供商均纳入监管,出台相应的规定进行约束。同时,监管部门也要重视提升App用户对于个人隐私的保护意识,出台相应的App隐私保护指南,为用户提供隐私泄露时的救济途径,进而多方位保障用户的个人隐私不受侵犯。
杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!
转载请注明:杉德畅刷官网 » 金融理财类App涉嫌收集个人信息,用户隐私该如何保护?