原标题:15个工作日的整改时间已满,借贷App还在收集哪些信息?
5月10日,国家互联网信息办公室通报了涉及安全管理、网络借贷等公众大量使用的84款App存在的个人信息违规收集使用情况,其中包括48款网络借贷类App。
这则通报要求,针对检测发现的问题,相关App运营者应当于通报发布之日起15个工作日内完成整改,逾期未完成整改的国家网信办将依法予以处置。现在距离通报已超过15个工作日,那么,这些被点名的网络借贷类App,如何应对监管要求的整改?
wemoney 研究室在48款被点名的网络借贷类App中,选取了银行系、持牌消费金融系、网络小贷类等10余款App进行下载、注册、借款进行实测。
结果显示,被测试网络借贷类App均在下载后,用户第一次点开时立即进行了数据隐私提示。在用户告知方面,都有改进。
针对用户信息的采集维度、这10款网络借贷类App,采集数量以及采集环节等方面各有不同,持牌的金融机构更为规范,采集信息相对更少,非持牌类的APP则更“张扬”,不少采集信息超过10项,并且不给数据就不会放款。
01借款前,需要采集这么多数据?
本次测试,wemoney 研究室将冗杂的步骤,以借款操作为分界线,简单划分为“注册”与“借款”。
测试结果显示,10款网络借贷类App在借款前,均要求用户开通权限或填写个人数据。其中,出镜率最高的项目是定位权限、电话权限。
大部分App在借款前,开通的权限与采集的数据维度都比较简单,而只有还呗与平安消费金融两款App操作复杂。
其中,平安消费金融不仅要求用户开通电话权限,还会要求采集用户设备信息。采集的设备信息主要包括:安装软件列表、硬件序列号、设备MAC地址、唯一设备识别码、蓝牙信息、WIFI信息、IMSI、设备IP。平安消费金融给出的理由是,用于用户的设备与帐号绑定,以保障其账户安全,他们需要收集用户个人的常用设备信息。
比起平安消费金融App的采集内容,还呗App的采集更复杂。需要注意的是,在未点击借款的情况下,还呗对于用户信息采集已经开始。根据wemoney 研究室统计,在这一过程中,还呗App大致要求用户填写或开启共计16项信息或权限,具体包括信息权限、读写设备存续权限、访问位置信息权限、读取已安装应用列表权限、摄像头权限、身份证信息、银行卡、手机号、学历、婚姻状况、公司名称、所在城市、平均月收入以及选填的房屋信息与邮箱等。
02 数据采集集中在借款需求后
大部分测试的App,针对用户数据的采集,集中在用户提出借款需求后。
需要注意的是,各款App所采集的数据维度存在差异。针对用户群体不相同,App要求填写信息各有不同。比如,招贷App中的“小微闪电贷”是针对小微企业用户,它们所采集的数据维度包括企业注册地、纳税人编号、法人身份证号等。
与之相对的是,有关个人贷款产品的App则需要用户交出大量具体数据,从婚姻状态到单位固话都要填写的清清楚楚,才能往下进行。不过,相较于小贷公司的App,持牌消金与银行系的借款App采集数据维度较为简单。比如,招联好期贷、民生易贷采集了只有6个数据维度。
网络借贷类App对用户数据的采集范围,在2021年5月1日施行的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”)已划清界限。
《规定》明确指出,网络借贷类App必要个人信息包括:注册用户移动电话号码;借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
《规定》还表示,App不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。网络借贷类App的基本功能服务为“通过互联网平台实现的用于消费、日常生产经营周转等的个人申贷服务”。
一位数据安全从业者告诉wemoney 研究室,“有些App肯定不能这么快改掉,改动太大,要去掉采集功能,差不多是把代码重新写一遍。”
在本次测试的网络借贷类App测试中,大多数APP采集数据维度都不局限于《规定》所指的五项。
比如,万达贷App借款时,会要求用户填写或开通个人住址、住宅性质、婚姻状况、教育程度等共12项的数据或权限。而这12项中也包括大量详细数据维度,比如,社会身份、单位类别、年收入、单位固话等。
在万达贷、榕树贷款、还呗、平安消费金融等App操作中,用户若不完成数据填写,均无法正常进行下一步操作。也就是,无法使用申贷服务。其中,平安消费金融App界面显示,不提供权限会影响注册或登录,但不影响浏览页面。
在10款被测试的App中,还呗App情况较为特殊。实际上,还呗App在用户注册时,已经收集了用户大量信息。也就是说,在这名用户借款时就不需要重新填写。在还呗App注册的尾声,其App界面会弹出一个用户缴纳会费提示——“审核通过后,扣188的会费,不通过不扣费。”
一位数据从业者告诉wemoney 研究室,很多企业收集大量用户数据也没想好具体做什么,他们只是想将数据收集起来,留作以后使用。