這些金融理財類App涉嫌違規收集個人資訊,誰來為使用者隱私護航?
大資料產業風起雲湧,海量使用者背後的資料成為多方主體眼中的“香饃饃”,數字經濟在大幅提升效率的同時,權利公平與資訊保安也隱患重重。
從Facebook超5000萬用戶資訊洩露,到Google因資料洩露關閉Google+服務,從華住酒店5億使用者資訊遭竊取,到巧達科技涉嫌販賣1.6億求職簡歷,在大資料全面滲透人類生活的當下,任何一個角落都可能成為侵犯隱私與網路犯罪的“溫床”。
移動網際網路應用程式(App)亦未能倖免。由於直接與終端數以億計的使用者互動,App在獲取使用者個人資訊上具有極大的便利性,尤其在使用者隱私保護意識普遍不強、國內個人資訊保護法缺位的背景下,App涉嫌強制授權、過度索權、超範圍收集個人資訊的現象屢見不鮮,金融理財類App則因接觸更多個人敏感資訊而成“重災區”。
近日,25歲的黃立(化名)打算用小米金融App申請貸款,由於平常較為關注個人隱私保護,註冊賬戶時他有意識地查看了《隱私政策》,赫然發現其中有一條款透露,該App收集的資訊類別將包括與使用者的應用使用相關的資訊,例如應用列表、應用狀態記錄(下載、安裝、更新、刪除)等。
這讓黃立有點詫異。“我用一款App申請貸款,為什麼對方要知道我安裝的全部App列表?”黃立從小米金融一位客服人員處得到的答覆是,應用列表資訊將作為該平臺綜合授信的一個維度,比如從列表中獲知使用者是否安裝了多款借款類App,依此綜合評估使用者的信用風險,但平臺並不會讀取應用裡的個人資訊。儘管如此,黃立仍然覺得隱私受侵犯了,“我用什麼App都讓他們知道了,我的隱私和安全在哪裡?”
一面是大資料發展亟需打破資料壁壘、匯聚海量資料,一面是公民個人資訊在大資料時代下“裸奔”、個人隱私屢受侵犯,如何在兩者中權衡與取捨,成為擺在各方主體面前的一道考題。
“一攬子”協議與涉嫌霸王條款
“我其實是不大讚同這種做法的,”針對收集App列表的行為,中國人民大學律師學院院長助理、廣東融關律師事務所高階合夥人陳科軍在接受零壹財經採訪時表示,“個人手機安裝的App列表屬於比較隱私的一個事情,但現在只要點選‘同意’,包括個人基礎資訊、App列表資訊等資訊都被全部獲取了,這其實涉嫌強制一攬子索取授權。”
小米金融隱私政策
陳科軍表示,更好的做法應該是針對此類更為敏感的資訊,單獨徵求使用者明確授權。“比如我授權同意時目標很明確,只同意App獲取某個或某些資訊,另外一些更為隱私的資訊最好單獨徵求授權。”
華北某律師事務所一位不願透露姓名的律師則對零壹財經指出,一些手機App侵犯個人隱私或過度收集個人資訊的問題早已有之,過度收集、一攬子收集使用者個人資訊,可能會使使用者存在手機裡的隱私資料等被肆意檢視、竊取,造成使用者隱私洩露,給使用者帶來巨大的安全隱患。
在諸多金融理財類頭部App中,零壹財經還發現不少政策涉嫌“霸王”條款。
“人人貸借款”App由人人貸商務顧問(北京)有限公司運營,該App在其隱私政策中聲稱,將永久儲存使用者的個人資訊以及相關網路借貸業務資料,同時,使用者個人資訊經匿名化處理後將形成可以使用及流通的資料,對此類資料的儲存及處理無需另行通知並徵得使用者的同意。
“人人貸借款”隱私政策
不過,依照《資訊保安技術個人資訊保安規範》(以下簡稱《安全規範》)中的相關定義,“匿名化”指的是通過對個人資訊的技術處理,使得個人資訊主體無法被識別,且處理後的資訊不能被複原的過程;個人資訊經匿名化處理後所得的資訊不屬於個人資訊。依此定義,上述政策中聲稱將永久儲存的是可以識別個人身份的個人資訊,還是匿名化後的資料?如果是前者,看監管對個人資訊的額外說明;如果是後者,為何政策文字使用的是“個人資訊”這一表述?
零壹財經以此向“人人貸借款”方面詢問,但截至發稿尚未收到答覆。
一位不願透露姓名的分析人士則指出,按照《安全規範》的定義,匿名化後的資訊已不再稱為“個人資訊”,政策中明文提及將永久儲存“個人資訊”,之後又提及個人資訊經匿名化處理後將形成可使用及流通的資料,“不排除這種形式的文字表述有打擦邊球的嫌疑,如果實質上永久儲存的是個人資訊,則這一政策堪稱霸王條款。”
零壹財經注意到,《安全規範》中明確提出了“個人資訊儲存時間最小化”原則。原則指出,個人資訊儲存期限應為實現個人資訊主體授權使用的目的所必需的最短時間(法律法規另有規定或者個人資訊主體另行同意的除外);超出上述個人資訊儲存期限後,應對個人資訊進行刪除或匿名化處理。
亂象叢生
事實上,在移動網際網路高速發展、智慧手機大量普及的當下,作為直接接觸海量使用者的終端工具,App在推動數字經濟發展等方面發揮了舉足輕重的作用,但也成為個人資訊洩露、公民隱私遭侵犯的“重災區”,尤其是涉及大量個人敏感資訊的金融理財類App。
去年11月,中國消費者協會發布《100款App個人資訊收集與隱私政策測評報告》,對10大類100款App基於其使用者協議、隱私政策進行綜合評分。評分結果顯示,金融理財類App平均分僅為28.91分,在10個大類中排名墊底,其中中小型App的問題更為突出。
資料來源:中國消費者協會,零壹財經
4月3日,零壹財經隨機在安卓市場、AppStore中下載了多款中小型金融理財類App發現,強制授權、不可撤銷授權,乃至沒有公示任何隱私政策的現象屢見不鮮,混亂程度令人觸目驚心。
“杏仁錢包”註冊頁面未有任何使用者協議或隱私政策,憑藉手機號和驗證碼即可完成註冊;“借貸花”(安卓版本)、“快貸”註冊頁面顯示的《隱私政策》均未有超連結,無法檢視具體內容,所謂的隱私政策形同虛設;“省唄借款”稱信用賬戶登出後,使用者仍不可撤銷地授權該公司繼續持有、保留使用者資訊;“悟空理財”則在《使用者協議》中稱,使用者須不可撤銷地同意並授權將交易資訊及記錄與關聯方平臺共享。
這與《安全規範》中的相關條款明顯有相悖之嫌。據《安全規範》,個人資訊控制者應向個人資訊主體提供方法撤回收集、使用其個人資訊的同意授權;個人資訊主體登出賬戶後,應及時刪除其個人資訊或做匿名化處理,等等。
據瞭解,《安全規範》為推薦性國家標準,2017年12月29日釋出、2018年5月1日正式實施。該規範是貫徹《網路安全法》中個人資訊保安要求的重要配套標準,儘管並不具備法律效力和強制約束力,但《安全規範》明確了個人資訊的收集、儲存、使用、共享的合規要求,為網路運營者制定隱私政策及完善內控提供了重要指引。
目前,國內尚無專門針對個人資訊保護的法律,業內對此的呼聲也日漸高漲。
專家建議:從多個維度規範相關行為
隨著全球加速進入大資料時代,個人資訊保護專項立法已成國際慣例。據悉,目前全球已有近90個國家和地區出臺或完善個人資訊保護法律,包括《通用資料保護條例》(歐盟)、《消費者隱私權利法案》(美國)、《聯邦資訊保護法》(德國)等。
而近年來,中國已陸續出臺相關法律法規以及規範性檔案,但總體呈現分散立法狀態、法律效力也各有不同,包括《刑法》、《民法總則》、《消費者權益保護法》、《網路安全法》、《電子商務法》等,以及推薦性國家標準《資訊保安技術個人資訊保安規範》等,司法解釋層面則有最高人民法院與最高人民檢察院聯合釋出的《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》,個人資訊保護法則已列入十三屆全國人大常委會立法規劃,相關部門正在抓緊研究和起草。
中國投資有限公司董事總經理張一清在其撰寫的文章中指出,資料時代的監管應該關注資料資源的獲取和使用邊界,在這個邊界外對個人隱私需要有立法保護。接受零壹財經(微信公號:Finance_01)採訪的多位專家也均建議,應將多方主體納入監管,且從多個維度打擊規範相關行為。
陳科軍建議,對此類行為的打擊應該有幾個維度,包括行政處罰維度、刑法維度。“現在基本只有刑事打擊,沒有行政處罰,應該有一個行政前置處理,刑事案件都是情節非常嚴重的了,但很多普通的違法沒有得到有效遏制和處理。現在的違法情況就是,要麼零成本,要麼就付出刑事代價,然而中間還有很多模糊地帶。”
中國信通院工業和資訊化法律服務中心副主任許長帥曾建議,未來個人資訊保護立法應設計把個人資訊保護推薦性國家標準轉化為具有法律約束力要求的制度。他表示,如果企業沒有做到,那麼除了民事責任以外,還要承擔行政法上的責任,這樣可能更有利於企業的良好經營。
制定資訊獲取、使用等環節的嚴格程式也是關鍵。“比如說資訊要分類,使用者只授權同意相應的資訊型別,其他資訊不能概括性地要求使用者授權,這實際上是綁架了使用者,這一塊要明晰。”陳科軍說。