网络借贷类APP隐私政策调查研究

2021-11-28 02:21朱宇辰
时代人物 2021年32期
关键词:借贷个人信息信息安全

朱宇辰

(湘潭大学公共管理学院 湖南湘潭 411105)

研究背景

网络借贷类APP也随之兴起,这类APP虽然满足了部分用户小额借贷的需求,但是因为网络安全环境复杂和涉及用户财务敏感信息等特点留下了相当大的安全隐患。如今各种借贷类App也开始争先恐后地收集用户的个人隐私,然而其中不乏违反法律的行为。

2018年中国消费者协会发布的100款APP调查报告中金融类APP得分最低仅有28分。2020年的315晚会曝光了一批手机APP名单,名单中的APP暴露了未征得用户同意违规收集信息的行为。其中信用金库、秒贷钱包、来闪贷等借贷类app占据着名单的半壁江山。2017年12月国家标准化管理委员会颁布《信息安全技术个人信息安全规范》,明确了对个人信息控制者在信息收集、保存、使用、共享、转让和披露等方面行为的规范,同时也提供了模板,为网络借贷类APP完善隐私保护政策提供依据。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》在全国范围组织开展APP违法违规收集使用个人信息专项治理,并成立APP违法违规收集使用个人信息专项治理工作组。2020年7月22日工信部展开行动重点对APP、SDK违规处理用户个人信息方面、欺骗误导用户方面等方面展开治理。如今,手机APP的个人信息保护已经步入深水区,针对不同种类的APP隐私政策采取有针对性的深入调查是有现实需求的。

国内学者关于手机APP隐私政策和网络贷款的相关研究

手机APP隐私政策是“隐私政策”是指网站在收集、传递、共享、利用、发布个人信息的过程中,所制定的应当承担保护个人信息合法权益的责任和义务,以及非网站原因造成信息泄露的免责声明。完善的隐私政策可以督促经营方优化自身处理用户数据的方案,也可以提高用户对于经营方的信任。相反,一个漏洞百出的隐私政策则会持续地威胁着用户的隐私安全,也不利于经营方的持续发展。2006年谈咏梅、钱小平认为通过强调隐私政策的合同条款性质对网站的隐私权保护政策加以完善[1];2019年李延舜通过考察49例隐私政策文本得出应该以“克服集体行动难题”“问责”以及“行政监管与公司治理、行业自治相结合”3个方面入手完善软件隐私政策[2];2020年马骋宇、刘乾坤等人通过构建综合评价指标体系对医疗健康类隐私政策的内容进行系统评价,并提出建议优化隐私政策设计[3]。

秦成德(2015)介绍了网络借贷的内涵与兴起,他指出我国网络借贷的信息管理和信息审核存在漏洞,并在立法完善、个人信用体系完善、建立个人信息保护制度等方面给出相关建议[3];江上,刘亚娟(2015)分析了网络借贷的特征,指出了个人信息安全由于部分平台行业不自律、相关法律法规不完善、用户信息安全意识薄弱所导致;[4];蔡定坤(2020)阐述了网络借贷个人信息概述,指出了网络借贷法律规范较为松散缺乏统一性、网贷平台自律监管不到位、法律救济机制不完善等问题,并提出了相应个人信息保护的应对措施[5]。

国内无论关于APP隐私的研究还是网络借贷的研究都颇多,但是专注于网络借贷类APP隐私政策的研究较少。

网络借贷类APP隐私政策分析

笔者收集权威数据网站艾媒北极星发布的APP榜单中10款网络借贷类APP的隐私政策文本,然后基于国家标准《个人信息安全规范》《信息安全技术个人信息安全规范》和行业中的APP隐私政策标准以及网络借贷个人信息保护的特点逐一分析文本内容。这些隐私政策主要包括一般项目、个人的信息收集与使用、Cookie及同类技术的使用、个人信息存储等五大方面。

隐私政策的一般项目。隐私政策的一般项目包括隐私政策位置、隐私政策的完整性、隐私政策的可读性、隐私政策的更新生效时间。隐私政策位置的显著与隐蔽直接影响了用户是否能快速找到并阅读APP的隐私政策,其中360借条、平安普惠等7款程序在用户第一次启动时会出现弹窗并使用加深颜色字体提醒用户阅读隐私政策,快贷和用钱宝并使用弹窗提醒,人人贷需要用户二次点击寻找隐私政策;隐私政策的完整性要求各程序隐私政策的目录完整,在这一方面各平台表现较好,基本都在隐私政策中列举了7至11条目录;隐私政策的可读性要求隐私政策具有适当的名词解释,以此来降低用户的阅读成本。其中360借条、拍拍贷等5款给出5条以上的名词解释,宜人贷、还呗给出了个人信息、敏感信息举例和附表;所有的程序都给出更新生效时间,并且更新生效的时间都在处于3个月以内。

个人信息的收集与使用。借贷平台在收集用户信息时需要表明信息收集原则以及收集信息的种类。网络借贷类APP与其他类APP主要一个区别在于网络借贷类APP会大量地收集用户的诸如个人财产信息、个人生物识别信息等个人敏感信息,然而平台在收集个人敏感信息的过程中会不可避免的出现种种违规行为。在国家标准《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(下文称《信息安全技术》)中明确表示当个人信息主体同意 App 收集某服务类型的最小必要信息时,App 运营者不得因个人信息主体拒绝提供最小必要信息之外的个人信息而拒绝提供该类型服务。360借贷等6款程序明确表示了会拒绝提供核心的借贷服务当用户拒绝提供某些最小必要信息之外的信息或者权限时,例如“你我贷”要求用户需要提供通话记录权限和日历权限后方可享受借贷服务;《信息安全技术》中指出 App 运营者不得收集不可变更的设备唯一标识,用于保障网络安全或运营安全的除外。但是仍然有大量的借贷程序违规收集用户设备唯一标识用于注册、风险审核等其他安全以外的服务;《信息安全技术》中指出当 App运营者拟收集的个人信息超出服务类型的最小必要信息时,对于超出部分的个人信息,App 运营者应征得个人信息主体的授权同意。涉及个人敏感信息的,应逐项征得个人信息主体的明示同意。此部分是网络借贷平台的重灾区,由于借贷服务的特殊性,借贷平台为了保证借贷业务的安全性会大量收集用户的个人信息和个人敏感信息,这其中不免有违规收集的情形。《信息安全技术》明确指出金融机构提供借贷服务时需要两位常用联系人的联系方式,但是调查中大部分借贷平台并未表明常用联系人人数,并且大肆索要用户家属朋友的联系方式,严重者则会直接索取通讯录信息;第三方SDK合规的信息收集是隐私政策合规性的要求之一。根据调查,人人贷、拍拍贷、等3款应用程序未列出详细第三方SDK采集信息说明。

Cookie及同类技术的使用。应用程序为了确保自身的正常运转,通常会在用户的计算上存储名为Cookie或是其他同等类型的小数据文件。平台方借助于Cookie存储用户的偏好或是购物数据以便于产品与广告的推送。合格的隐私政策应该告诉用户以下几点:Cookie类技术方式说明、Cookie类技术使用标准、Cookie类技术使用安全性、Cookie类技术发生安全事件时的保护。本次调查的借贷类APP都列举自身所使用的Cookie类技术,但是关于其技术使用标准、安全性以及发生安全事件时的保护则是寥寥几笔,或者是没有提及。

个人信息存储。合规的隐私政策在个人存储方面应当表明信息存储内容、信息存储保护标准、信息存储地域、信息存储时限、当个人信息主体关闭某服务类型后,App 运营者应终止该服务类型收集个人信息的活动,并对仅用于该服务的个人信息进行删除或匿名化处理。本次调查中发现只有2款APP明确表明将会存储用户的信息达5年,其他APP均为未明确说明存储事件或是对于存储时间的模糊说明。

未成年人信息保护。合规的隐私政策应当具有有效的未成年人信息保护条款。由于借贷类APP提供特殊的借贷功能,这要求其应当出台更加严格的未成年人保护条款。隐私政策需表明是否为未成年人提供服务、是否需要取得未成年人法定监护人的同意、发生擅自收集未成年人信息的情况的处理办法等多项保护条款。本次调查的隐私政策样本中平安普惠和省呗不为未成年人提供服务,并且除了还呗均有专门的未成年人保护条款。多款隐私政策也表明需要未成年人法定监护人才可收集未成年人信息。未成年信息误收集的补救措施多为删除或者停止收集。

完善网络借贷类APP隐私政策的建议

根据本次对于借贷类APP隐私政策本文的调查研究,本文给出一下几方面建议用于隐私政策的完善。

优化隐私政策。对于平台方而言,应该优化自身隐私政策。从调查中得知,大部分借贷类APP隐私政策给出的名词解释都较少,借贷类APP由于涉及到网络应用和借贷服务两项领域,应该给出用户更多的专业性名词解释;隐私政策进一步遵守信息收集最小化原则,减少对于提供借贷服务非必要的敏感信息如“住宿信息”“健康生理信息”等;隐私政策的制定也应该重视Cookie类技术的表明,增加丰富关于Cookie类技术使用标准与安全性的条款;隐私政策在个人信息存储一栏应当明确个人信息的存储时间而非模糊告知。

完善法律支持。网络借贷类APP隐私保护的改善更多的依赖于各种法律规范的支持。本次调查中发现由于《信息安全技术》关于信息收集最小化原则中关于“偿债能力”这一信息没有详细定义与边界,这导致大部分借贷平台毫无顾忌地借由考察用户偿债能力一理由大肆收集用户的敏感信息。对于此类迷糊定义的词汇的详细解释将会有利于平台方制定出合规的隐私政策。

加强用户教育。部分平台为了弱化用户对于隐私政策的关注度,特意会多次设置链接来隐藏隐私政策。相关部门应当通过网络宣传等多种手段加强宣传隐私政策的重要性,培养用户的隐私重视度。

随着移动互联网借贷服务的发展,网络借贷的隐私保护问题会越发的出现各种问题,隐私政策的重要性也会体现出来。总之,良好的隐私政策能够为优良的互联网金融借贷服务保驾护航,所以制定优秀隐私政策也是不可或缺的。

猜你喜欢
借贷个人信息信息安全
个人信息保护进入“法时代”
民间借贷纠纷频发 诚信为本依法融资
敏感个人信息保护:我国《个人信息保护法》的重要内容
信息安全不止单纯的技术问题
计算机网络信息安全技术研究
主题语境九:个人信息(1)
民法典应进一步完善侵害个人信息责任规定
让民间借贷驶入法治轨道
一张图看懂民间借贷“防火墙”
民间借贷年利率超过36%无效