x

多款借贷app违规收集用户信息被点名 信息泄漏严峻

分类:热点观察| 作者:新金融深度| 2019-07-06 15:10:02| 2632人阅读
摘要
近年来,我国不断加强对互联网应用中个人信息的保护,针对金融类APP出台了多项规定。但获客、运营、风险成本水涨船高,如何获得低成本的流量成了所有平台需要面对的问题。

7月4日,广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中,借贷类app“合众e贷财富”、“神舟好易贷”因读取用户联系人、超权限使用用户设备麦克风被点名。

无独有偶,日前工信部发布2019年第一季度电信服务质量通告,通告指出布丁小贷、九秒贷、麦芽贷水象分期金融借款app以及暴风金融、51人品贷融360等互联网企业存在违规收集使用用户个人信息、未提供账号注销服务等问题。目前上述4款软件已被下架处理,3家互联网企业被责令整改。

近年来,我国不断加强对互联网应用中个人信息的保护,针对金融类APP出台了多项规定。但获客、运营、风险成本水涨船高,如何获得低成本的流量成了所有平台需要面对的问题。实际上,多数金融借贷APP在收集个人信息时并未遵循最少够用原则,仍存在违规收集使用借款人个人信息,强制或直接默认读取通信录等现象。贷款超市中,类似的情况更加严重,甚至有贷款超市利用非法导流链接非法获客,中介兜售网贷客户信息现象也是愈发猖獗。各种迹象显示,金融借贷App已经成为个人信息泄露的重灾区。

多个借款类app被点名

日前,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》),为移动互联网应用收集个人信息提供指引。

《规范》明确指出,移动互联网应用在收集个人信息时应遵循最少够用原则,不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。此外,《规范》强调,移动互联网应用在收集个人信息时应遵循目的明确原则,即向用户明示收集使用个人信息的目的、方式和范围,收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。

然而,近日仍有多款借款类app因违规收集使用用户信息被工信部点名,并被要求下架及整改。

7月2日,工信部信息通信管理局发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》(下称“通告”)。

通告指出,一季度,工信部组织对100家互联网企业106项互联网服务进行抽查,发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。同时组织对50家手机应用商店的应用软件进行技术检测,发现违规软件33款,涉及违规收集使用用户个人信息、强行捆绑推广其他应用软件等问题。

其中,水象分期、布丁小贷、九秒贷、麦芽贷等多款金融APP因未经用户同意收集、使用用户个人信息被点名。此外,暴风金融、51人品贷、融360等3家互联网企业还被指存在未经用户同意收集个人信息、未公示用户个人信息收集使用规则、未提供账号注销服务等问题。据通告,已责令上述3家互联网企业整改,4款软件已被进行下架处理,并责令企业整改。

7月4日,广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中,借贷类app“合众e贷财富”、“神舟好易贷”被点名。

公告信息显示,“神舟好易贷”等42款APP,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风等突出安全问题。目前,有关监测情况已上报公安部通报属地公安机关开展清理整治。

违规收集用户信息现象普遍

据悉,关于金融借贷APP的个人信息收集,《规范》规定,借贷类app仅可收集7项必要信息,即“账号信息”、“身份信息”、“手机号码”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”、“借贷交易记录”等。其中,“紧急联系人信息”即用户的两个常用联系人的联系信息,仅供金融机构用于在借款人未能偿还贷款时进行催款,且应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制允许读取用户的通讯录。

不过,新金融头条查看多个借贷APP看到,目前仍不少应用在借款前或借款过程中要求用户允许“读取通讯录”,否则无法借款。

以榕树贷款为例,用户下载APP后首次打开时,页面即出现允许访问通讯录的操作框,不同意就无法进行下一步操作。对此,榕树贷款宣称读取用户通讯录的目的是风控评估和贷后管理。榕树贷款平台隐私显示,“为进行风险评估,我们可能获取您的通讯录信息、通信记录往来信息、位置信息……平台合作方可能将前述信息用于风控、贷款、贷后管理等风控相关服务。”

据人民网近日报道,移动手机贷、有钱花、苏宁金融任性贷、国美易卡、小米贷款海尔消费金融的够花、360借条、拉卡拉、招联金融等多款款金融借贷APP都存在不同程度的以不同的形式要求读取用户通讯录的现象。

除了借贷平台本身,为借贷平台导流的贷款超市也存在违规收集用户个人信息的现象,手法更加猖狂。

2017年伊始,大量贩卖流量的现金贷导流平台异军突起,“贷款超市”成了现金贷平台的主要获客渠道。据悉,贷款超市在与放贷平台合作的过程中,收集、获取用户数据一般通过API的方式,即双方通过系统进行对接,贷款超市通过系统接口向放贷平台传输用户数据。不过,API合作模式下,贷款超市收集、共享用户数据的过程是否安全合规成为考验。

某持牌金融机构旗下舆情监控系统发现,“714”网贷超市“鑫晟之家”以“黑户也能下款”为噱头,在各渠道发布广告推广某些头部金融平台的“官方链接”。但用户点击后跳转的是被私自加工过的非法链接,申请人在此会被要求进行微信或者QQ身份授权,授权后再以申请为由诱导客户继续填写姓名、手机号、身份证号等信息,填写完毕后跳转至官方申请链接。这些链接页面不仅模仿的以假乱真,还增加了图形验证,同时能对申请人的姓名、手机号,甚至是身份证号进行实时校验。