5月12日,国家网络安全通报中心发布《国家计算机病毒应急处理中心检测发现65款违法违规收集使用个人信息的移动应用》。
其中,助贷平台“极融借款”App被通报存在两项违规:一是“未向用户提供撤回同意收集个人信息的途径、方式;个人信息处理者未提供便捷的撤回同意的方式。”;二是“隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。”
极融借款App和你我贷APP的运营方为极融云科信息技术有限公司,母公司为美股上市公司嘉银科技。
此前,极融借款和你我贷均被媒体披露存在过度收集个人信息问题。用户在申请贷款时,表面上只授权了5份主协议,但实际触发超过700份第三方授权文件,涉及近30家金融机构与20余个助贷平台。
截至发稿时,极融借款App仍未对此做出调整。
通过一键点击,一揽子授权几百份用户协议,这一方式被称为“套娃式”协议。“e看法”实测发现,存在“套娃式”协议的助贷APP不止极融借款一家。在方便机构的同时,却给用户带来隐患。
业内专家对“e看法”表示,一键授权多家机构合同属于行业通病,并不符合个人信息领域的“最小、必要”原则,涉嫌过度收集用户个人信息,同时也加剧了金融消费者个人信息面临的风险。
多个平台均存在“套娃式”协议
“e看法”下载极融借款App实测发现,在申请借款时,需勾选阅读并同意《电子签名委托授权协议》《风险告知书及个人信息授权书》《征信协议》《合作方借款及相关授权服务协议》共4项协议。
然而,实际上用户勾选的并非仅仅4份协议,这几份协议中“另有乾坤”。
借款页面
点开《合作方借款及相关授权服务协议》,会出现极融借款各个合作方的相关协议,包括桔多多、豆豆钱、信用飞、哈啰等平台,每个合作方又有相应的合作协议,包括征信查询授权书、个人信息授权书等,据“e看法”不完全统计,该页面内含73套协议。
豆豆钱涉及到的协议
而在该页面的下一级页面中,又暗嵌更多协议,如点击此协议列表中的合作方“豆豆钱”的授信相关合同,会发现虽为一个内容较长的页面,却内含15份合同,其中涉及到用户与豆豆钱的个人信息授权书、与包括融担机构、保险机构等金融机构的个人信息授权书、个人征信授权书等。
风险告知书及个人信息授权书
此外,若点击《风险告知书及个人信息授权书》,则会出现包含《个人信息授权书》《嘉喜融担个人信息授权书》在内的6份协议。
粗略统计,用户虽表面上仅勾选了4项协议,却实际上“一键式”授权了上百份协议。
极融借款客服回应
对此,极融借款客服回应称,此举是授权平台的合作方核实资质以便于用户借款,仅在申请某具体合作方的借款时才会进行相关授权,且在用户最终确认借款的界面也会再次让用户进行确认。
当“e看法”询问客服“预先准备上百份协议是否考虑到用户并无能力逐一阅读,为何不在确认资金出借方时再与用户进行相关授权”的问题,该客服则表示造成的不便还请见谅。
不仅如此,同为嘉银科技旗下助贷平台的你我贷亦同样存在一揽子协议。此前,曾有媒体报道,用户在你我贷平台借款,须授权500多份协议,涉及到个人信息授权的各项协议内嵌在4份协议之中,不易被用户发现。
“e看法”实测还发现,和极融借款存在合作关系的桔多多也存在一键授权上百份协议的问题。
协议内容
根据《用户授权协议》,除姓名、手机号、身份证号照片等基本信息外,桔多多还会自行或委托关联方向第三方共享用户活体识别影像照、学历信息、婚姻状况、单位信息(单位名称、单位地址、行业、单位电话、职务、职业)、车牌号简称、车牌号、车辆型号、所在(工作)城市以及购车方式、车辆是否有抵押/贷款、关联企业信息等。
至于所谓的第三方,桔多多的表述为“包括但不限于金融机构或/及其合作平台”,并不十分明确。
套娃式协议
在《用户授权协议》的最下方有一名为《借款相关协议》的附件。点击后可以看到,这里面包含长银消费金融、中邮消费金融、蓝海银行、百信银行等数十家资金方,涉及到的协议有几十份。
无独有偶, 2024年,有媒体报道,喜马拉雅先前上线的“听小贝”借钱服务亦存在此类问题,于该入口借款时,其要求用户同意签署授信申请授权、个人信息处理授权等相关协议。虽协议从表面上看是一键签署四份协议,而实际上点开授权协议可发现,内嵌的借贷平台多达17家,授权协议超80份。
此外,手机品牌推出的助贷平台也有一键授权之举。曾有媒体报道,vivo旗下助贷平台丰融借钱也存在“套娃式”协议,用户在该平台借钱时,“一键”签署了包括身份信息、财产信息、代扣服务、融资担保、征信查询等各类用户授权及相关协议,根据不完全统计,在丰融借钱上,诸如此类协议达60份。
由此可见,极融借款、你我贷、桔多多的问题已是行业普遍现象。借款时,用户很难注意到这些授权协议中“内有乾坤”,纵然用户注意到了这一揽子协议,阅读上百份相关协议也存在一定困难,且对用户的个人信息保护存在隐患。
浙江省法学会网络法治研究会理事、北京观韬(杭州)律师事务所律师卢鑫认为,该行为属于典型的“概括授权”操作,其本质是通过协议嵌套技术手段规避《个人信息保护法》要求的“单独同意”原则。从法律角度看,助贷平台通过“套娃式”协议设计实现“一键授权”上百份协议的行为,涉嫌违反《个人信息保护法》、《网络安全法》的核心原则,尤其是知情同意原则和最小必要原则。
“一键授权”侵犯个人信息安全
然而,“一键授权”的风险不止于此。
素喜智研高级研究员苏筱芮向“e看法”表示,一键授权多家机构合同除了不符合个人信息领域的“最小、必要”原则,涉嫌过度收集用户个人信息,同时也加剧了金融消费者个人信息面临的风险。
苏筱芮分析,“一键授权”等问题为行业通病,主要是由于互联网贷款领域存在“资金路由”模式,由助贷方对接多个放款方,但每家准入门槛、风控模式均存在差异,因此“资金路由”会根据客户属性、借款要素、地域、渠道等属性,自动匹配出符合借款用户最优质的资金方,从而在减少用户感知的同时提升放款效率,但该模式显然以牺牲用户个人隐私为代价,涉嫌侵犯金融消费者的知情权与选择权。
苏筱芮指出,此类问题高发于互联网助贷领域,以本次案例来看,助贷方为嘉银科技,长银消费金融、中邮消费金融等为持牌放款方。从近年来的监管风向看,个人信息、合作机构管理成为持牌金融机构“踩坑”的高发区。
谈及“一键式”授权行为对行业造成的负面影响,卢鑫认为,其将在一定程度上破坏市场秩序与监管公信力:超百家机构的交叉授权链条极大增加信息泄露风险,形成“数据黑市”;平台通过降低用户授权门槛获取竞争优势,可能引发行业“劣币驱逐良币”效应;个人信息滥用可能诱发诈骗、骚扰等下游犯罪,甚至影响金融信贷市场稳定性;隐蔽的协议设计增加执法成本,导致违法行为难以及时查处。
此前,针对“套娃式”授权合同问题,监管层面就曾发布过相关警示。
2022年3月14日,银保监会发布关于警惕过度借贷营销诱导的风险提示,也提到一些金融机构、互联网平台在开展相关业务或合作业务时,以默认同意、概括授权等方式获取授权,过度收集个人信息,侵害消费者个人信息安全权。
在行业加速洗牌的当下,诸如此类的合规问题都应得到整改,才能让企业形成良性发展。苏筱芮建议,基于助贷新规中的持牌机构主体责任,后续持牌机构一方面需要审选择助贷合作方,对于获客质量不佳、合规性低下的助贷机构及时清理出合作名单;另一方面也需要厘清与助贷机构就个人信息保护的各项权责。而从助贷机构角度看,需要在把控客群质量的同时,做好助贷领域合规以及金融消保工作,从源头防范被持牌机构踢出合作名单。
