手机应用程序收集用户信息持续规范中,又一批违规金融领域App被通报。上海市通信管理局日前发布关于侵害用户权益行为App的通报指出,平安消费金融有限公司(以下简称“平安消费金融”)旗下同名应用平安消费金融App存在超范围收集个人信息情况。
10月13日,针对上述情况,平安消费金融方面回应北京商报记者表示,将确保在时效内尽快完成整改。而北京商报记者实测发现,用户在平安消费金融App进行注册时,需要一键授权将信息同步至18家“平安系”关联公司。有分析人士指出,此举涉嫌侵犯金融消费者的知情权和选择权,作为金融机构,金融的严肃性和合规性不容忽视。
超范围收集信息
上海市通信管理局通报指出,依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规,上海市通信管理局对App(SDK)侵害用户权益的违规行为持续开展整治。本批次共发现27款App(SDK)存在侵害用户权益行为。
具体来看,27款App中涉及16家机构,其中包括14家金融机构以及2家中介类机构,涉及的金融机构则包括银行、保险、消金、期货等多种类型。
唯一一家被点名的消费金融机构是平安消费金融,相关应用程序为该公司旗下同名应用平安消费金融App,应用来源为vivo应用商店,所涉问题为超范围收集个人信息。
结合平安消费金融App等渠道的展示信息来看,平安消费金融App是平安消费金融自营的App。面向消费者提供服务的产品是“平安小橙花”,“平安小橙花”面向个人用户发放消费贷款,最高额度为30万元,年化利率(单利)为4%—24%。
值得一提的是,本次点名也并非平安消费金融首次在个人信息收集方面出现问题,早在2021年,平安消费金融App便曾因未经用户同意收集使用个人信息被国家互联网信息办公室通报。
上海市通信管理局强调,被点名的App(SDK)应对存在的问题立即整改,并对该App(SDK)个人信息和用户权益保护工作开展全面自评估,自通报之日起5个工作日内将整改报告和自评估报告进行书面报送。对未能在限期内完成整改并提交报告的,该局将依法依规予以处理。
对于本次通报中提到的“超范围收集个人信息”情况主要涉及哪些信息及整改进度,平安消费金融回应北京商报记者表示,公司目前正在与上海市通信管理局积极沟通联系,确保在时效内尽快完成整改。
一键授权
手机应用程序违规收集个人信息,主要发生在注册、使用服务等环节。“实名制”等要求下,用户在使用App时,往往需要完成信息注册,这一环节通常需要向运营方提供个人手机号,更进一步则是需要提供姓名、身份证号等。
而基于金融服务的特殊性,金融类App所需要的用户信息更为复杂多样。在持牌消费金融类机构提供的信贷服务中,消费者还需要向平台提供身份证正反面照片、银行卡号、工作单位、紧急联系人电话等多种隐私类信息。
10月12日,北京商报记者对平安消费金融App的注册流程等环节进行了实测。在iOS系统下,点击进入平安消费金融App页面便会弹窗“隐私保护提示及隐私政策概要”,在对应页面消费者可以查看《平安消费金融隐私政策》(以下简称《隐私政策》)和《第三方信息共享清单》,点击“同意”后便会进入注册页面。在弹窗页面下方,还有小字提示平安消费金融App“通过移动金融客户端应用软件备案”。
在注册环节,用户填写手机号以及验证码即可完成注册,但必须同时一键授权三份协议,即《隐私政策》《平安消费金融平台用户服务协议》《平安一账通会员服务协议》。除了平安消费金融本身提供的相关服务外,北京商报记者注意到,《平安一账通会员服务协议》是授权将用户信息共享至“平安系”18家关联公司,所涉行业包括保险、信托、证券、普惠金融等多个领域。
完成注册后,想要使用平安消费金融信贷产品“平安小橙花”,便需要完成一系列实名认证等流程,包括上传身份证正反面照片,并签署个人征信业务授权书、个人信息授权协议、非学生承诺函、资金代扣以及敏感信息授权、支付授权等多份协议,在《个人信息授权协议》以及《敏感个人信息授权书》中,详细列举了公司需要收集的个人信息和可能会同步给第三方的情况。
10月13日,北京商报记者查看发现,平安消费金融App页面显示,《隐私政策》完成新一轮更新,相关服务协议一键授权形式未发生变化。
北京市社会科学院副研究员王鹏表示,强制“一键授权”多协议并将信息进行多方同步,侵害了用户知情权与选择权。同时说明公司在流程设计上缺乏透明度,未提供分层授权或协议摘要,可能会造成信息滥用风险。
对于一键授权“平安系”18家关联公司的必要性,北京商报记者向平安消费金融方面进行采访,截至发稿,未收到公司回复。
应从源头建立“防火墙”
公开信息显示,平安消费金融成立于2020年4月,注册资本为50亿元,公司共有4名股东,分别是中国平安保险(集团)股份有限公司、融熠有限公司、未鲲(上海)科技服务有限公司、锦炯(深圳)科技服务有限公司,持股比例分别为30%、28%、27%以及15%,而后三家机构也均为“平安系”公司。
经营表现方面,平安消费金融发布的公告显示,截至2024年末,公司总资产542.93亿元,全年实现营业收入45.19亿元、净利润10.2亿元,这一业绩表现在行业内居于靠前位置。而对比2023年数据来看,平安消费金融主要经营数据有明显增长,其中,营收同比增长24.59%,净利润同比增幅更是达到108.16%。
另一方面,按照《关于加强商业银行互联网助贷业务管理提升金融服务质效的通知》规定,平安消费金融也在官网披露了合作机构名单。当前,平安消费金融共有77家合作机构,具体包括17家营销获客机构、18家增信服务机构、42家贷后合作机构。
平安消费金融方面告诉北京商报记者,公司充分运用股东资源,依托股东生态实现差异化产品定位。同时,公司与线上优质互联网平台合作,不断提升自身获客能力、存量经营、风控能力,通过技术赋能提高金融服务的效率与准度。
近年来,金融领域的个人信息保护受到广泛关注,随着《中华人民共和国个人信息保护法》等落地实施,围绕金融App收集个人信息,多部门开展专项整治,明确“最小必要”原则。这一过程中,大量违规App被通报,金融App备案机制也在持续推进中。
在素喜智研高级研究员苏筱芮看来,持牌金融机构关注个人信息收集合规,既是践行信息科技合规,同时也是对金融消费者权益保护的具体体现,有助于维护行业健康发展秩序,避免因违规、过度收集个人信息对消费者权益造成侵害,对行业正常经营秩序造成冲击。
博通咨询首席分析师王蓬博指出,个人信息过于泛滥,容易被诈骗、赌博等违法活动利用,遵循最小必要原则去收集信息本质上是对消费者个人权益的保护。作为金融机构,金融的严肃性和合规性不容忽视。
对于后续在个人信息保护方面的合规建设,苏筱芮建议,消费金融机构应从源头建立健全个人信息保护、金融App合规建设的“防火墙”,定期安排专人对App进行合规检测,同时基于消保机制强化与金融消费者的沟通。此外,基于目前金融App违法成本较低的情况,建议后续监管加大对此类侵害消费者权益行为的打击力度,通过违法成本的提升督促机构从源头重视此类合规建设。
王蓬博则表示,消费金融机构要真正依照监管要求进行合规整改,将合规融入各个业务部门的实际业务考核中,从源头杜绝违规现象的发生。同时,消费者在使用金融服务时,也要仔细阅读相关授权协议,充分了解信息授权范围,主动维护自身权益。
