我国《个人信息维护法》于2021年11月1日起实施。法令清晰了个人信息处理活动中的权力义务鸿沟,以“奉告—赞同”为中心准则对途径进行个人信息处理予以标准。
为了解企业在个人信息维护方面的履行状况,南边财经合规科技研究院根据《个人信息维护法》与《App违法违规搜集运用个人信息行为确定办法》的相关条款,对途径的个人信息维护合规进行系列测评。测评含奉告、撤回赞同、第三方处理者独自奉告、个性化引荐、灵敏个人信息、未成年人个人信息、数据可带着权、信息控制权、个人维护信息负责人这9大方面共20个测评项,测评总分为100分。
结合用户量与功用差异等要素,测评选取了20款消费金融类APP(含持牌消费金融公司、互联网小贷公司和供给告贷服务的互联网公司等)进行个人信息维护合规实测。测评成果显现,有钱花得分80分,个人信息维护等级较高;万达普惠、华夏消费金融、闲适花、京东金融、招联金融、携程金融、新浪金融、付出宝等15款APP得分在60分至80分;苏宁金融、够花、好分期、捷信金融得分缺乏60分,个人信息维护有待加强。
撤回赞同、灵敏个人信息维护、个性化引荐、数据可带着权、第三方处理者独自奉告,成为途径的高频合规问题。好分期等6款APP无法直接撤回赞同,无APP撤回赞同快捷,如付出宝需经8个过程封闭授权。灵敏个人信息维护亟待加强,招联金融未经赞同获取相册权限,众安小贷人脸辨认未获独自赞同且未奉告用户权益影响。个性化引荐的挑选权难完成,多款APP未清晰奉告是否供给个性化引荐,且未区别封闭个性化内容及广告引荐,仅4款APP可快捷封闭。第三方SDK同是合规重灾区,仅1款完成个人信息处理的合规奉告,1款APP获取用户的独自赞同。数据可带着权的完成也不尽善尽美,9款APP未提可获取个人信息副本,仅2款APP明示可供给个人信息的搬运服务。
6款无法运用内撤回赞同,付出宝封闭授权需8步
撤回赞同权已成为全球个人信息维护立法的趋势与一致,《个人信息维护法》中也对此进行了回应。第十五条规矩,根据个人赞同处理个人信息的,个人有权撤回其赞同。个人信息处理者应当供给快捷的撤回赞同的办法。
此次测评对撤回赞同聚集于APP内是否供给了用户自主撤回赞同的相关功用选项。测评发现,20款消费金融类APP中,京东金融、捷信金融、闲适花、华夏消费金融等14款能够在APP内或跳转至手机体系设置对相关授权撤回赞同。
分期乐供给体系权限办理
招联金融、好分期、携程金融、众安小贷、万达普惠5款运用需求用户自行前往体系设置中封闭授权,够花虽有“体系设置”办理页面,但未包括对相册权限的运用。够花在隐私方针的设备权限调用阐明中罗列,“拜访相片”会在用户初次运用具体事务场景下弹窗问询,例如更改头像,且能够封闭授权。但在实际操作中,点击替换头像并未弹窗问询是否授权,APP默许用户授权相册功用,且无法封闭该授权。
撤回赞同的快捷性值得重视。《个人信息维护法》二审稿中对撤回赞同添加“快捷”的要求,与欧盟《通用数据维护法令》(GDPR)“撤回赞同应当和表示赞同相同简略”的主旨以及《个人信息安全标准》等相关规矩相照应。
参照国家网信办、工信部、公安部、市场监管总局2019年11月联合拟定的《App违法违规搜集运用个人信息行为确定办法》中,关于“隐私方针等搜集运用规矩难以拜访,如进入App主界面后,需多于4次点击等操作才干拜访到”的规矩,测评将翻开APP后如经过4次点击仍无法封闭相关授权,视为不快捷。
测评成果显现,在供给运用内部封闭授权或跳转体系封闭授权的消费金融类APP中,均不快捷,需超越4次操作过程。以付出宝为例,封闭方位授权需求经过“我的-设置-隐私-体系权限办理-方位-办理方位权限-方位-封闭准确方位”途径进行8次点击。
灵敏个人信息维护缺失,相册、人脸辨认未获独自赞同
《个人信息维护法》设专节对处理灵敏个人信息作出更严厉的约束,清晰灵敏个人信息的界说、处理条件和监管要求等。
根据法令,途径处理灵敏个人信息应获得个人的独自赞同,并应向个人奉告处理灵敏个人信息的必要性以及对个人权益的影响。
依照灵敏个人信息的界说“一旦走漏或许不合法运用,简单导致自然人的人格尊严遭到损害或许人身、产业安全遭到损害的个人信息,包括生物辨认、宗教信仰、特定身份、医疗健康、金融账户、行迹轨道等信息,以及不满十四周岁未成年人的个人信息”,用户的相册中极易包括多类灵敏个人信息,途径是否获取用户的独自赞同尤为重要。测评发现,部分APP存在获取相册权限但并未清晰提示的现象。
以招联金融为例,其隐私方针显现,在用户运用IOS体系时,APP或许会恳求权限拜访相片库,以便用户运用修正头像及其他会上传相片或视频的相关服务。回绝授权后,前述功用或服务或许无法运用。但在运用招联金融替换用户头像时,APP并未弹窗恳求获取相册权限,即可直接进入相册页面挑选相片。
人脸信息作为生物辨认信息也应得到更高强度的维护。不少金融消费类APP均为人脸辨认功用供给独自授权页面并设专有规矩,如度小满供给《面庞验证付出协议》、付出宝供给《生物辨认服务通用规矩》、分期乐供给《个人灵敏信息授权书》等。
付出宝获取人脸辨认页面
部分APP则将人脸辨认的独自赞同与相机功用设为同一授权,在人脸辨认的维护机制上有待加强。例如,众安小贷在隐私方针中说到,在额度评价流程内,身份认证及人脸辨认功用需运用相机,运用时会引发相机权限。实测发现,众安小贷在获得相机权限后,搜集人脸信息时并未获得用户的独自赞同,直接进入人脸辨认环节。一起,众安小贷在隐私方针中仅提及进行人脸辨认的必要性和主要用处,但未标明对个人权益的影响。
个性化内容及广告引荐封闭不清楚,仅4款封闭快捷
《个人信息维护法》从一审稿到成文,在不断强化对自动化决议计划的规制。第二十四条要求,经过自动化决议计划办法向个人进行信息推送、商业营销,应当一起供给不针对其个人特征的选项,或许向个人供给快捷的回绝办法。经过自动化决议计划办法作出对个人权益有严重影响的决议,个人有权要求个人信息处理者予以阐明,并有权回绝个人信息处理者仅经过自动化决议计划的办法作出决议。
关于消费金融类运用而言,搜集用户的阅读记载、查找记载、买卖信息等进行算法的自动化决议计划机制剖析构成直接用户画像,用认为用户供给更具有个性化需求的内容或广告服务。
针对个性化引荐,途径是否设置了封闭个性化内容引荐及个性化广告引荐的功用、是否供给快捷的回绝办法、封闭个性化引荐后是否会影响产品运用,这三项内容成为合规焦点。
20款消费金融类APP供给的个性化引荐服务纷歧。在清晰说到会供给个性化内容与个性化广告引荐的运用中,京东金融、携程金融、付出宝3款在运用内对两种引荐别离供给封闭按钮。
京东金融供给别离供给个性化内容、广告引荐办理
其他多款运用未在功用设置上未对封闭个性化广告引荐和封闭个性化内容引荐进行清晰区别,如好分期、够花、分期乐等APP需经过体系设置的“告诉”选项等进行封闭,苏宁金融仅供给“个性化内容和广告引荐”的一致封闭按钮。
在仅供给个性化内容或广告一种引荐服务的运用中,不少APP供给清晰封闭按钮,如捷信金融有封闭个性化广告功用,天星金融供给个性化内容引荐封闭选项。有APP的封闭选项不太清晰,如国美易卡的隐私办理中包括“非定向推送信息权限”的办理,提示能够制止途径运用某些类别的信息向用户展现更相关的推送,但此选项没有显现“封闭”的按钮,只要“去设置”和“已答应”,点击“去设置”也未显现“已封闭”或跳转至其他页面封闭,无法判别是否已封闭该权限。
新浪金融、招联金融、拍拍贷告贷、众安小贷、中邮钱包5款APP的隐私方针中均未提及会搜集用户个人信息用于个性化引荐的相关内容,无个性化封闭按钮。
苏宁金融为个性化引荐供给运用场景及功用列表
在“是否供给快捷的回绝办法”上,测评相同参照《App违法违规搜集运用个人信息行为确定办法》,翻开APP后如经过4次点击仍无法封闭个性化引荐,则视为不快捷。
成果显现,在供给个性化引荐的15款APP中仅4款APP在所供给的引荐服务上彻底完成了不超越4次点击即可封闭,包括国美易卡、华夏消费金融、有钱花、万达普惠。
第三方SDK奉告不全,仅1款获独自赞同
《个人信息维护法》第二十三条规矩,个人信息处理者向其他个人信息处理者供给其处理的个人信息的,应当向个人奉告接收方的称号或许名字、联络办法、处理目的、处理办法和个人信息的品种,并获得个人的独自赞同。接收方应当在上述处理目的、处理办法和个人信息的品种等规模内处理个人信息。
APP内通常会接入多个SDK(软件开发工具包),运用SDK技能为用户供给多样化的服务。现在,所测20款消费金融类APP都在隐私方针中明示了接入相关合作方SDK的目录,但因具体度不同而存在必定合规问题。
根据法令要求,APP应向个人奉告第三方的“称号或许名字、联络办法、处理目的、处理办法和个人信息的品种”。测评发现,仅分期乐完成了合规奉告,15款APP未奉告第三方SDK对个人信息的处理办法,9款APP未奉告第三方SDK的联络办法。
仅万达普惠的第三方SDK完成了“获得个人的独自赞同”,在下载运用后的初次弹窗中,包括对外部SDK的简介。
万达普惠独自弹窗第三方SDK的简介
多款APP虽在初次弹窗中说到“未经您的授权赞同,咱们不会将上述信息同享给第三方或用于您未授权的其他用处”,但第三方SDK的具体信息需求APP内的隐私办理中查阅。
9款未提个人信息仿制权,仅2款供给个人信息搬运
数据可带着权是《个人信息维护法》三审新增的一项权力。第四十五条规矩:“个人有权向个人信息处理者查阅、仿制其个人信息;有本法第十八条第一款、第三十五条规矩景象的在外。”
可带着权分为两个维度:其一,个人恳求查阅、仿制其个人信息的,个人信息处理者应当及时供给,即个人可获得个人信息副本;其二,个人恳求将个人信息搬运至其指定的个人信息处理者,契合国家网信部分规矩条件的,个人信息处理者应当供给搬运的途径。
测评发现,9款APP未清晰提及可供给个人信息仿制服务,仅京东金融、好分期、闲适花、中邮钱包、万达普惠、众安小贷、够花、分期花、有钱花、360借单、招联金融11款APP能够供给个人信息的副本。以京东金融为例,获取个人信息副本,能够经过拨打客服热线,人工客服进行身份核验后,可将个人信息副本提交给用户。
但可带着权的另一维度——个人信息的搬运服务,履行的状况则不容乐观。仅闲适花、携程金融2款APP说到了用户“搬运个人信息”的权力遭到保证,能够经过联络途径方完成。
南财合规主张
1、关于相机、方位信息、麦克风等授权的撤回赞同,APP内可设权限办理专区,并清晰在何种场景下运用及用以哪些目的等。为完成快捷性的要求,封闭授权的点击过程不该超越4次,主张在运用内可直接封闭。
2、消费金融类APP常见对灵敏个人信息的搜集处理,如经过人脸辨认供给长途开户、绑卡核身、账户登录、分期购物、人脸付出等服务,应在相关场景供给专有协议或规矩,奉告用处和或许危险,并清晰获得用户独自赞同,保证用户知情权与挑选权。一起,当用户不想再持续授权运用其人脸数据时,APP有必要供给“退出”或“删去”途径,保证用户的删去权。
3、在个性化引荐问题上,企业除了《个人信息维护法》,还应参照《互联网信息服务算法引荐办理规矩(征求意见稿)》等关于算法机制的要求。在隐私方针中,应清晰奉告用户是否进行了个性化内容引荐与个性化广告引荐,体现是搜集的信息类型、目的目的、运行机制等。如个性化内容与广告引荐均有,则应为用户别离供给独自的封闭按钮,并奉告封闭后的影响。为完成用户的快捷封闭,应将敞开或封闭选项设于APP“设置”页面的明显方位,点击过程不该超越4次。
4、第三方独自奉告问题方面,现在大多数APP供给了第三方SDK信息搜集的独自列表,应对当时未履行的联络办法、处理办法进行清晰奉告。在获得个人的独自赞同上,可在初次敞开APP的弹窗中规划。
5、关于用户的个人信息可带着权,APP应在隐私方针清晰列明《个人信息维护法》中赋予用户的权力,并供给完成途径。企业应为此供给专门的联络办法获取或在APP内规划直接获取导出按钮。
测评弥补阐明
测评时刻:11月18日至25日
APP所测版别(括号内为隐私方针更新或收效时刻):
IOS版:京东金融6.2.50(2021.10.04),捷信金融34.24.1(2021.8.24),招联金融6.1.0(2021.11.10),好分期v7.3.1(2021.9.29),闲适花3.4.57(2021.11.12),付出宝10.2.36(2021.3.8),携程金融2.4.10(2021.10.31),万达普惠4.1.9(2021.8.9),够花3.6.4(2021.5.31),国美易卡5.3.3(2021.11.17),分期乐6.11.0_6(2021.11.1),有钱花5.5.0(2021.10.28)
Android版:华夏消费金融4.0.1(2021.10.28),中邮钱包2.9.26build336(P1)(2021.11.18),天星金融v.4.0(2021.10.29),苏宁金融6.8.5(2021.11.28),新浪金融3.9.25(2021.11),360借单1.9.9(2021.11.18),拍拍贷告贷9.10.4(2021.11.1),众安小贷1.9.4(2021.8.22)
出品:南边财经合规科技研究院
统筹:曹金良
研究员:张雅婷,吴霜,李润泽子,郭美婷
