主流金融借贷应用仍然存在隐私条款问题。长期以来,非法数据爬虫和侵犯个人隐私信息的行为在共同基金行业孕育了数据灰黑色的产业链。今年,有关部门加大了对参与上述违法行为的公司的打击力度。现在这个行业对此非常敏感。作为回应,刘欣财经在过去两周尝试了几种主流金融贷款应用。结果如下:...
主流金融借贷应用仍然存在隐私条款问题< br>
长期以来,非法数据爬虫、侵犯个人隐私信息等行为滋生了基金行业的数据灰黑色产业链。今年,有关部门加大了对上述违规企业的打击力度,现在行业对这些企业非常敏感。< br>
作为回应,刘欣金融在过去两周尝试了几种主流金融借贷应用,结果如下:
从上表可以看出,目前主流金融借贷应用的主要问题可能是“越权”和“拒绝授权和拒绝使用”< br>
“不给予许可和不使用许可”一直被视为霸王条款。一些应用运营商通过允许用户同意“隐私政策”达到了明确规则和同意的两个要求,这在行业中已经成为一种普遍现象。
4-在上述10个金融贷款应用中,除了兆联金融、融360和小米贷款可以提供类似的“浏览”功能(但融360和小米贷款页面中显示的功能需要符合其隐私条款),其他平台应用只有在同意所提供的隐私条款的情况下才能进入应用页面。< br>
此外,就“收集超出范围的个人信息”而言,上述大多数金融贷款应用程序都存在问题。
< br>
根据标准的信息收集范围,应用运营商可以根据不同的需求收集信息,包括:账号信息(账号、密码)、银行账户信息(银行名称、银行)。银行卡号。卡有效期、银行预留手机号码)和个人信用信息(中国人民银行个人信用报告、第三方个人信用评分)
例如,人民贷款登记服务协议的“6.2.4”部分规定,“您不可撤销地同意,公司、其关联方和合作伙伴将通过内部信函、电子邮件、电话、短信等向您提供和发送服务状态、营销活动和其他商业信息的通知。””显然有“过分主张权威”的嫌疑< br>
此外,关于取消后用户账户的处理,这里是京东金融应用和人贷应用的简单比较。
根据内容,如果用户提出删除个人信息,京东金融将在后台删除数据。
但是,在人民贷款的这一条款中,在用户注销后,没有给出个人隐私数据的后续处理内容。但是,在模棱两可的“这种情况下”(个人理解可能导致被动终止或主动终止),个人贷款平台仍然可以保存用户的个人信息和数据,并按协议规定进行使用和披露(这反过来又涉及以下“私下向第三方分享”的问题)
事实上,“与第三方私下分享”也是金融借贷应用中的一个常见问题。应用程序信息共享政策的用户通常不会注意到,用户甚至不太清楚应用程序的第三方产品或服务的提供商或关联公司。几乎所有应用程序都存在与第三方共享信息的“无底洞”,除了一些应用程序声称确保他们的合作伙伴是可靠的,而另一些应用程序则直接“扔罐子”
根据相关信息,一些金融借贷应用仍然具有获取用户通信记录和内容的行为,包括用户的通话详细信息和短信、亲属、朋友、联系人和手机号码,以便在用户违约时,被代收机构用于向用户手机中的联系人披露用户的违约信息。然而,根据基本规范,强制阅读用户地址簿已被明确禁止。< br>
但是在《个人贷款隐私政策》和《个人贷款隐私政策》中,目前通信信息和内容以及通讯录信息的收集和使用还没有调整。
金融应用信息收集面临“最低”和“必要”的原则。近年来,尽管中国出台了多项金融应用法规,但随着客户获取、运营和风险成本的不断上升,仍有金融贷款应用在收集个人信息时明显不遵循最低收集原则,如非法收集和使用借款人的个人信息、强制或直接违约阅读通讯录等。< br>
据相关律师事务所介绍,中国目前有近40部法律和30多部个人信息保护法规。其中,《网络安全法》明确规定,网络经营者收集和使用个人信息应当遵循合法、合法、必要的原则,不得收集与其提供的服务无关或者违反法律、行政法规规定的个人信息。< br>
然而,如何收集用户信息是合法和必要的,而什么样的信息与服务无关仍处于法律规定的模糊领域。< br>
当然,金融机构不会盲目遵循最低和必要的数据收集原则。所有这些都是基于对数据应用替代的“必要性”,以及对金融机构风险应用的充分理解,从而真正区分收集的数据是否必要。< br>
在这一级,为了避免合理收集必要数据的限制,金融机构和监管机构之间充分沟通和解释也非常重要。《信息安全技术移动互联网应用个人信息收集基本规范(草案)》于今年10月25日发布,规定了金融贷款机构(包括银行、消费金融公司、小额贷款公司和其他点对点贷款服务机构)法律法规要求的最低个人信息要求,以及实现服务所需的最低个人信息要求。具体最低信息如下表所示:
自那以后,11月6日,工业和信息化部再次增加了其代码,发布了“应用程序侵犯用户权利专项整治工作”,引起了社会各界的持续关注。< br>
此治理包括八种应用违规,包括“私下收集个人信息”、“收集超出范围的个人信息”、“私下与第三方共享”、“强制用户使用定向推送功能”、“不向用户授予权限”、“频繁申请权限”、“越权申请权限”和“设置用户账户取消障碍”< br>
事实上,2019年初,中央互联网信息办公室、工业和信息化部、公安部和国家市场监管总局等四个部门决定从2019年1月至12月组织一次全国性的利用App非法收集和使用个人信息的活动现在,这次整顿行动已经接近尾声,金融应用已经成为非法收集个人信息的重灾区。
观察发现,70.22%的金融行业应用程序存在高风险漏洞。黑客可以利用这些漏洞窃取用户数据,进行应用伪造,植入恶意程序,攻击服务等。,这对应用程序安全构成了严重威胁。其中一些高风险漏洞甚至有导致应用程序数据泄漏的风险。作为回应,北京金融科技学院院长谢平在11月18日关于金融应用监管的论坛上表示,“目前,金融机构应用不受监管,可以通过挂在安卓或苹果商店上下载。”“然而,我最近注意到教育和医疗应用程序受到一些人的监管。教育部教育应用将对其进行规范,有些内容不能纳入其中。我听说监管机构也在讨论对金融应用的监管。”“< br>
但是,除了需要监管机构及时更换之外,金融应用的个人信息保护还需要考虑企业的困难。
app governance工作组专家何艳哲最近表示,如何展示隐私政策、如何告知授权目的以及如何建立取消机制是企业合规整改中常见的三个问题。如何解决上述问题以满足用户、企业和监管者的需求变得非常困难。何艳哲认为,通过金融应用收集个人信息的最大困难是公开透明。用户不一定接受金融应用的开放性和透明性,也不一定相信企业收集个人信息是为了保护安全。公开透明的个人信息收集规则是否会帮助黑灰色生产者进行攻击带来新的安全问题也需要考虑。对于监管而言,透明度和公开性是有价值的,但对风力控制的影响以及风力控制要求与现实之间的差距也值得思考。< br>
但何艳哲仍然建议,企业在利用数据制定创新和盈利计划之前,必须有风险意识并反复评估和考虑。他建议,企业应该制定一个计划B,以确保业务连续性,面对突然的合规要求。< br>
换句话说,金融应用至少应该开始寻找“最低”和“必要”的个人信息项目,并告别以前获取用户信息的大规模操作< br>
刘欣财务从一家注册消费电子公司的产品运营部了解到,根据上述规范,大多数公司将调整其应用产品,从而增加相应的运营费用,进而影响企业的盈利能力然而,毫无疑问,合规是公司目前面临的最重要的问题。