App|用“还呗”得一键授权签40余份协议 “及贷”要收集你网购外卖账户信息( 二 )
还呗、省呗“捆绑式”一键授权几十份征信查询书
课题组发现 , “捆绑式”一键授权的现象在本批次所测App中比较突出 , 其中还呗App和省呗App的做法较夸张 。 公开资料显示 , 还呗是数禾科技旗下主打品牌 , 其大股东是分众传媒全资子公司 , 还呗于2016年6月进入市场 , 是一款信用卡账单分期App , 核心团队主要来自有“零售之王”之称的招商银行信用卡中心及其他知名金融机构 , 放贷资金方主要是拥有互联网小贷牌照的数禾科技全资子公司重庆市分众小贷及银行、消费金融公司等 。 而省呗也是信用卡综合服务产品 , 隶属于深圳萨摩耶互联网金融服务有限公司 , 成立于2015年 , 创始团队也主要来源于招商银行信用卡中心 。
据实测 , 当南都采访人员首次打开还呗App , 输入手机验证码完成注册后 , 并不能直接进入App , 还需要在App引导下录入面容ID进行人脸识别 。 南都采访人员注意到 , 这一步涉及收集用户个人信息中敏感度较高的生物识别信息 , 但并未给予用户签署授权同意采集的专有协议 。 不仅如此 , 还同时要求用户勾选同意一系列“征信查询相关授权协议” 。 经翻阅 , 这部分协议共40余份 , 涉及签约主体20余个 , 包含的类型包括“消费信贷服务协议”“电子签名授权委托书”“自动还款协议”“征信授权书”“隐私协议”“客户知情确认书”“循环额度合同”“开户协议”“个人消费贷款合同”“承诺函”等涉及多种不同业务功能环节的协议 , 超过一半是征信查询授权书 。 经南都采访人员查阅 , 协议均以空白合同为主 , 部分协议排版显得很随意 , 而且不同类型的协议打乱混在一起 , 很多协议从列表标题上根本无法判断是需要跟哪家公司签署协议 , 给用户造成了极大的阅读障碍 。
况且 , 这些协议的签订 , 本应该是在用户自主点击申请贷款时要求的 , 一般用于App借贷业务的资格、信用及偿付能力审核功能 。 但还呗App却要求用户在进入App前就一次性授权同意 , 否则连App的浏览功能都无法使用 , 属于通过捆绑App多项业务功能的方式 , 要求用户一次性接受并授权同意多项业务功能收集个人信息的请求 。 按照《自评估指南》的相关要求判定 , 还呗App在实际收集个人信息的时候 , 业务功能环节与签署协议并没有对应 。
对于这种粗暴的“捆绑式”授权要求 , 马军律师直言“不合理” 。 他表示征信授权虽然是业务贷款所需 , 如果涉及多方征信授权 , 应当思考 , 是否符合“最小够用”原则 , 一个够不够 。 “并且每份合同或授权都应当单独获得个人的同意 , 而非一次性授权 。 ”他直言“在这种情况下 , 用户根本不可能看授权书或合同 , 可能会导致一次性授权收集大量的个人信息 , 不利于保护个人信息 。 ”
京衡律师事务所律师张豪作出了补充解释 , 通过所谓的“一次性授权”的方式诱使用户签订批量贷前空白合同 , 过度处理个人信息 , 违反正当、必要原则 , 将对用户的征信造成一定的负面作用 。
省呗也存在同样的问题 , 只是程度稍轻 , 需要一次性授权签署20余份协议 。 值得注意的是 , 省呗、还呗App在隐私政策文本部分获得的评分是相对高的 , 都在80分以上 , 这暴露出部分App只花心思做表面功夫 , 实际的信息收集行为依然我行我素 。 据公开报道显示 , 省呗App所隶属的萨摩耶金服在去年曾被曝借用探针盒子的方式 , 在商场等地方自动收集消费者信息 , 以此渠道进行获客 。
与上述App的做法相比 , 平安普惠在贷款申请环节收集个人信息时的做法或值得参考 , 其将过程中需要授权的协议拆分成为几个步骤一一请示用户的同意 , 且并非使用传统的“点击按钮同意”方式 , 需要用户在屏幕上进行手写签名 , 这一过程虽然麻烦 , 但却将主动权交还给了用户 。 符合《自评估指南》中“以用户主动填写、点击、勾选等自主行为 , 作为产品或服务的业务功能开启或开始收集个人信息的条件”的要求 。
及贷、我来数科超范围收集个人信息
上期测评报告中 , 未披露第三方代码插件(含SDK)使用情况、未清晰说明收集个人信息与业务功能的对应关系成为App不合格的重灾区 。 本期测评的App也存在这样的问题 , 三成App未披露第三方代码插件(含SDK)使用情况 , 涉及App有众安小贷、及贷、维信卡卡贷、豆豆钱、借贷宝、喜鹊快贷、小花钱包;17%的App未清晰说明收集个人信息与业务功能的对应关系 , 涉及App有拉卡拉金融、还呗、维信卡卡贷、豆豆钱 。
在上期测评报告中 , 课题组曾披露了互金平台浪小花和微博借钱超范围收集个人信息的情况 , 这种现象在本期测评的24个App中亦有出现 。
比如我来数科在其隐私政策中表示 , 需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡和个人征信账户、网络社交账户的账号和密码 。 及贷App更是在收集用户基本信息前 , 要求用户同意《隐私保护及信息授权协议》 , 其中要求收集用户的“信用卡、银行储蓄卡、网银等账户信息 , 包括但不限于卡号、户名、额度、账单在内的各类信息”;“淘宝网、支付宝、京东、美团、饿了么账户以及其他支付、交易工具、电商平台、外卖服务平台等账户信息 , 包括但不限于账户、交易记录在内的各类信息 。 ”值得注意的是 , 该协议提及 , “在收集其中部分信息时 , 还需要您同时提供相关账户、密码、验证码信息 。 ”这意味着 , 用户需要在App提供的页面中输入上述多种私密性较强的账户密码 , 如果平台技术不过关 , 或有意缓存此类信息 , 用户的隐私安全将面临极大的风险 。
推荐阅读
- App|盗播产业链调查:一款App看遍各大平台,超前点播也可绕过
- 硬件|正面刚Apple Watch和Fitbit 亚马逊推出智能手环Halo
- 主打置顶|北京47部门高频事项均可“一键办”,43类证照能调电子版
- 南都|从3岁上数学思维课,学的是什么?南都测评6款App
- 选手|跨专业融合跨到翻车的程度?说唱新世代有个rapper是道士
- Apple|媒体出版行业需要积极适应iOS 14的隐私指导
- Apple|研究称在约会App资料中显示拥有iPhone被 "匹配 "的几率增加76%
- Apple|FB批评苹果的应用商店政策被迫在iOS上推出移除游戏功能的Gaming应用
- Apple|苹果开始销售搭载十代酷睿处理器的13英寸MacBook Pro翻新机
- 新氧美容APP|因太性感退圈7年,回归后魅力炸裂圈粉无数,湖南美人真狠啊!