实测“助宝呗”等朋友圈网贷广告：个信遭共享，层层被导流

近期，不少消费者投诉称，点击了微信朋友圈贷款广告后，不仅持续被推荐下载各种网贷A，还遭遇了贷款中介一天好几次的电话“骚扰”。

南都记者调查发现，消费者投诉的这些贷款广告，是由一些资质不太规范的网贷导流平台投放，一方面会将消费者层层导流到不同的网贷平台链接或网贷A，不断推荐新的贷款产品，填写的个人信息也被多次转手共享给其他平台，个人信息泄露风险高。而且其中部分网贷平台背后是高利贷贷款超市，有的甚至是被行业人士称为是“黑网贷”的不良“撸贷”口子。同时另一方面，这些广告还为多个线下贷款中介导流，消费者存在被收取高额手续费的风险。

“3·15”之际，南都与你一同擦亮眼识别微信朋友圈贷款广告，实测网贷平台存在的隐患。

南都记者朋友圈中连续出现了多个类似的网贷平台广告

层层导流跳转多次，用户不知向谁贷了款

“不看职业不催还”“有身份证就能借”……刷着刷着微信朋友圈，突然蹦出来一则贷款广告，广告语很具诱惑。如果消费者点击过这类广告，又会被推送更多这样的广告。近期，此类广告多次在微信朋友圈中出现，有消费者表示被这些广告广告引导去了线下贷款，被收取了高额手续费；还有消费者投诉称被广告引导下载了网贷A，收取了会员费却并没有借到钱。

南都记者对此类广告进行了随机测评。今年2月下旬，点进一则冠名“助宝呗”的平台广告链接后，南都记者被引导关注公众号填写资料、跳转多次后下载了“橙易花”A，进入了贷款导流的循环。在此过程中，广告投放方、推荐的A运营方前后不一。南都记者发现，之前在“助宝呗”公众号填写的个人信息，直接出现在了“橙易花”A的系统记录中。

随后，“橙易花”A首页弹窗推荐新的线上贷款产品“融易贷”。点击申请“融易贷”，需要用户点击授权的个人征信查询授权书等现金借款相关协议超过50份。从该产品展示的协议可以看出，签约主体五花八门，有其他贷款超市、助贷平台、小额贷款公司、融资担保公司、城商行、农商行等。不同的签约主体、不同类别的协议并未分类展示，全部混在一起，不便于查看、阅读；协议文本也多为格式合同，协议效力存疑。

根据借款协议，“融易贷”产品实际上也是“贷款超市”，其导流、合作的其他“贷款超市”包括“桔多多”“分期易”“易花”等，而这些新的“贷款超市”也疑问重重。比如，“桔多多”涉嫌为多家并无贷款资质的现金贷平台导流，其A曾被工信部通报存在违规收集个人信息、违规使用个人信息的问题，同时，“桔多多”还被消费者投诉强制收取会员费，必须购买399元会员，否则无法借款。

网贷广告的“套娃式”导流

点击一条贷款广告，竟然被引导进入网贷“套娃”导流的循环。一位受访的助贷行业人士告诉南都记者，这种现象其实就是“贷款超市”套“贷款超市”，推荐的很多产品就是我们常说的“黑网贷”，多数是长期靠借网贷生活的那些老哥们经常光顾的不良“撸贷”口子。

从实测可以看出，从用户最初看到的打广告的助贷公司，到实际审批贷款的公司，用户已经至少被转手导流了4、5次，用户在整个申请过程中，都未能明确获悉自己是在什么平台上向哪家机构申请了贷款。易观分析金融行业高级分析师苏筱芮指出，这些贷款广告对产品信息披露不清晰、不规范，资金方指向不明确，无法获取金融产品提供者的准确信息，将给金融消费者造成困扰及风险。

将借款人推给多家线下中介，或为收取高额手续费

值得注意的是，点击“助宝呗”广告填写的相关信息还同时被推给了多家线下贷款中介机构。首次点击广告后的近一个月内，南都记者每天遭遇多个不同的贷款中介电话“骚扰”：“姐您在XX平台申请了贷款还记得吗？”

这些贷款中介往往以私人手机号拨打电话，自称“银行信贷经理”或“持牌消费金融公司信贷经理”，在询问了基本信息、学历、公积金、工资、贷款金额后，对方声称初审通过，并要求南都记者带着身份证和银行卡去线下网点面审签约，告知的地址均为一些商业写字楼，但并非某银行地址。有来电者在南都记者的多次追问下，改口称自己是“银行合作方”，“为用户申请办理的是银行的资金贷款”。

“一般这样的线下中介刚开始会跟你说利息很低，没有手续费，但在面签的时候就会找各种理由收取费用，一般要收5个点左右，这样算下来贷款利息还是很高。”华南一家股份银行的信贷经理告诉南都记者，“这个其实就是中介利用了部分用户不懂贷款流程的心态，赚取了信息差的钱。特别对于资质较差的用户，业务员就会以提高下款几率为理由而索取额外的提成费用。”

浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林对南都记者指出，“实际上普通人是可以通过正规渠道借到款的，或许利率相对高一些，也比乱收佣金的这种助贷中介成本更低，建议借款人在贷款前注意计算清楚。”

个人信息一次填写数次“共享”

多位受访的行业专家指出，这些广告最大风险点在于个人信息泄露和转售。以“助宝呗”广告为例，其隐私协议中要求借款人同意授权该平台将填写个人信息共享给多个合作平台，而这些平台的合作方并未披露清楚，从其“套娃”式的导流行为来看，数量应该不少，这或将导致消费者个人信息泄露。

当南都记者在“助宝呗”公众号申请页面填完个人信息后，不到两分钟，就开始接到多位“信贷经理”打电话邀约线下面签，加上他的微信后，其发来的后台信息截图中，南都记者填写的姓名、手机号、职业、月工资、公积金数额等个人信息清晰可见。

南都记者注意到，“助宝呗”公众号的申请页面下方，有一行灰色小字称，“本产品联合全国数百家合规机构上万名资深信贷经理为您智能1V1定制最优贷款方案”，也就是说，在广告链接中填写的这一次个人信息，可能将被数百家机构的信贷经手人员查看，这些“合规机构”究竟是哪些完全没有披露，交出了个人信息的用户只能被动地接受各种“信贷经理”的电话推销。

中央财经大学中国互联网经济研究院副院长欧阳日辉指出，个人信息如此公开可见，表明这类平台在个人信息的采集、传输、共享方面存在漏洞。此外，当问及用户资质如何审核时，该“信贷经理”称，“我们平台自己审核就可以了。”对于这样的描述，欧阳日辉对南都记者分析称，这些平台收集客户信用信息，并将信息分享给第三方，却并没有相关牌照，涉嫌违规从事个人征信业务，“央行征信局已经明确要求，网络平台实现个人信息与金融机构的全面‘断直连’，若还存在转售获取利益，则是违反当前的《个人信息保护法》，已经涉嫌违法犯罪。”

金融广告投放监管不断趋严

实际上，互联网平台的贷款广告已经引发监管关注，欧阳日辉在采访中指出，这是近一年以来监管非常重视的领域。去年末，人民银行、工业和信息化部、银保监会、证监会、国家网信办、外汇局、知识产权局七部委联合发布《金融产品网络营销管理办法(征求意见稿)》（以下简称《管理办法》），公开征求意见。“监管已经在探讨，所有从事金融信息展示、从事金融产品网络营销的机构都应该要持牌经营，这实际上也是对助贷行业进一步规范。”

苏筱芮也援引《管理办法》中的规定表示，微信朋友圈等第三方互联网平台经营者为金融机构提供网络空间经营场所，应当建立准入管理机制，对入驻金融机构从资质资格、业务合规、社会声誉等方面进行评估。她认为，贷款广告乱象，应当穿透业务后关注资金来源，如果是持牌金融机构，应当按照上述办法的规范建立准入管理机制，而不是放纵其侵害金融消费者的权益。如果这些平台背后没有明确的资金来源，就应当按照非法金融活动的属性予以取缔。

《管理办法》一出，业内即有热烈讨论，认为金融产品营销即将迎来史上最严监管，但为何金融广告的投放力度却并没有呈现出萎缩？这或许跟展业成本有一定关系。

南都记者联系上一位从事朋友圈广告投放的中介人员咨询贷款广告投放费用，他们对金融产品广告仍来者不拒，并不会因为是金融贷款类广告主而更为谨慎。其介绍称，朋友圈信息流广告成本相对较低，可以按实际曝光情况付费，播放3秒开始计费，几百元就有十万多曝光，点击填写表单不额外收费，转化率也高。

出品：南都数字金融创新及合规研究课题组

采写：南都记者熊润淼

透支明天的网贷 你还好吗？

透支明天的网贷

“还清了网贷，一定不再碰了，远离这害人的东西”。

“错把额度当存款，追悔莫及误华年”。

本文也不再说教，而是回忆一下自己的经历吧。本是羞耻的事情，但有好友看到后，引以为戒，作为反面教材，停止吸食这金融DPi，也是欣慰。

2018年银行给我释放了非常大的额度，。我开始忘乎所以，忘了初心。加上虚荣心、攀比等原因就开始频频从里面借款。然而，仅仅三年时间，就债台高筑，走上了还款的不归路。而为之付出的代价，几乎要在未来5-6年内，卖力工作，方能还上。

网贷网络图

最痛苦的时候，是每个月拆东补西的时候，月收入远远低于当期应还款项，绞尽脑汁地想从哪里能借到钱。还想着能保一下征信。其实现在才明白，征信就是资本家对付穷人的东西。

“有钱要征信作什么？没钱要征信作什么？”

现在才明白，人世间最舒服的事情，是“无债一身轻”，最好的状态是不需要贷款。

要是早点下定决心逾期就好了，也不至于搞到现在这样多。不过亡羊补牢吧。记得逾期前一个月，银行没得借了，网贷也没得借了。我居然伸手去向周围的人借钱，我真是害了自己又害了友人。

好在我及时醒悟了。我妈帮了我几次。我也不忍心了，我渐渐也还给她了一些。后面我再找我妈，她说不行了。我似乎有点醒悟了。我开始朝老同事借了3000元。但我不想把人拖下水，开始努力还，第一次1500，第二次1000，第三次500。我决定不再借周围人的钱了。决定开始逾期。

逾期至今，也被起诉，即将成为失信限高之人。想来这几年乃至后几年的人生，皆为蹉跎浪费。家庭也破碎。

而让我心惊胆战的，是那段借网贷的日子。

网络是一把双刃剑。现在支付便捷了，可资本家还要想着怎么来钱更快，所以互联网的尽头都是网贷。本来网贷机构自己没有多少钱，就开始动脑筋。有的做银行的皮条客，撮合一对是一对，从中增加利息高达35.99%。有的还要想方设法收取会员费、保险费、担保费等等各种费用。有的开始打包债权，再次融资卖钱，然后再来房贷；有的还想着把放贷款做上市，做大做强，再创辉煌。

网贷的潘朵拉盒子一打开，灾难就开始了。一开始网贷很好申请。在印象中，

金东金条额度7万。后面拆东墙还完后，额度丧失，取而代之的是下面一堆网贷推荐给你；

金条

金东白条：这个本来是没法当钱花的。但有段时间，推出一个和上海银行合作的，金东白条也能当钱花，我又从里面搞了1万出来。巅峰的时候，欠到3万多。艰难的还款到今天，还有1.3万元。

微粒贷，这是比较早的老牌网贷了。微信的用户可是数以亿计啊。记得额度是7万元。全部用光，然后最早抽贷。也艰难的还清。

支付宝借呗，这个就是专业干这个事情了，借呗额度最高的时候能有1.5万，也是用的精光，但借呗的额度是天天看着它降低，到最后只有500元。也艰难的换掉了。

支付宝花呗，花呗就没有那样幸运了。花呗额度6万元。逾期后，还有5.6万元。且利息罚息不停的涨，也是掩耳盗铃，不去看APP了。

这是前期能想到的，能看到的。

为了能撑下去，我又去打其他网贷的主意。

这个时候滴滴的滴水贷，给了1.6万的额度；携程金融给了2.3万的额度。也被用的差不多了。我还不知道，这深渊刚刚开始。

现在想来，胆子真是大，居然敢去碰马上花这样的狠角色。实在没招了。

马上花也不含糊，立马给了2.2万元额度，中间还给了一个2万元临时额度，我居然都抓住了机会。借过几次，马上花就再也无法所以的循环额度了，只能还，不能借。

日子往前多过一天，这日子就难过一天。

有一天我正在为去哪里借款发愁。这些苍蝇一般的贷款电话来了。给了抛了一根稻草，我就想一个快要淹死的人，不管不顾的去抓了。

电话那头装腔作势的问了一些问题，比如欠了多少，有没有社保，公积金，有没有工作，想贷多少。他给了我一个地址，我像一只饿极了的疯狗，是坨屎就去吃。

“有网友骂：还不起就不要借。”这话骂醒了我这条疯狗。

他们的地址，办公室居然在南京珠江路上的写字楼。我去，得有多挣钱。我原以为他们就是放贷的，万万没想到，他们的本事。

上楼后，有个人接待，然后就问了一些基本问题。问他们收费多少，他们就说，很便宜，每笔就几百元。接下来就是让人这辈子难以忘怀的操作了。首先花个19块，查个什么征信。然后被他们带到一个房间。

这个房间有一排长条桌子。中间是搁板。靠里侧是所以帮你贷款的人员，一般是2个对1个贷款的。想要贷款的人就坐在外侧。手机交给了里侧的两个人操作。而他们在手机上怎么操作，他们不会给贷款的人看。为了所谓的操作方便，一些密码，验证码，银行卡号，都要写在纸上。

等到操作到一定步骤，他们就会把手机举起来，让人对着屏幕进行面部认证；过一会儿，又会重复面部认证，重复很多次。当时是从下午3点一直搞到晚上7点。在搞的过程中，他们必定会说，某笔贷款申请有难度，需要花钱加件。注意这个花钱加件。

才晓得，他们是拿着借款人的手机，疯狂地申请网贷。为什么说是疯狂的。因为手机上多出来，非常多的APP，还不算他们申请失败悄悄删除了。这个骚操作真是一个字“绝”。直到后来我看发现，点开那个公积金网贷APP，我还有很多什么金桔贷、好享贷之类的，十几个，显示是申请失败。

折腾一下午的结果是，放下来的额度5.6万。是几个网贷一起凑的。成功放款的有小赢卡贷1.8万元。这个1.8万元，是1万元的基础贷，和8千元的权益贷组成的。贷款到账后，手机在他们手上，他们就将这1.8万元，全部转到他们的账户。好在不敢当面诈骗。离开的时候，他们扣押了8千元，说是后续贷款万一成功了的手续费。我说进门不是说一笔贷款几百吗，他们说中途要加钱确保申请成功，这都是骗人的。还有一个成功的是转转，转转我后来才知道是一个做二手货交易的平台，也放贷。转转大约借了8000元。就这2.6万元，他们收取了4000元的手续费。好在其他几个放款失败，将余下的4千退了回来。

网贷网络图

这下，网贷又多了两个。

大数据真是牛，知道你缺钱了，疯狂地推送广告。于是什么桔多多、中原消费金融，都去搞。最多的时候有11个网贷。半年时候不到，除了银行的，网贷就欠下了10几万。每个月光新增网贷就要1万多元去还。

这谁扛得住。

当交通银行断贷之后，我索性决定不去借了。于是开始了逾期的日子。短短半年，这10几万的新增网贷我也处理得剩下1.3万元了。这期间催收的辱骂、嘲讽、疯狂施压，让人心如死水。多少次漫无目的地瞎走。这是怎样的一段屈辱历史啊。比如催收说，你是不是把这钱拿去吸毒了。穷鬼，几百块都没有了吧。有一次，一个催收说，你离婚了是不，你但凡有点钱，不至于今天家破。那次我和这个催收狠狠吵了一架，我根本不听他骂我的话，像一个失控的疯子一样，把这段时间的情绪全部发泄，我重复一句话去骂他，直到他挂断了电话。

所以余生，我只恨一人，唯催收耳。没有人不爱自己诚信的羽毛。你永远想不到催收的话有多毒辣。所以最好是不要接他们的电话。

还债的路，我还要走很久。但也一定要走下去。逾期后的时光，我连一个情绪抒写的口子都没有。朋友圈是决计不能发负面的，还要这张狗脸。无意中发现了头条，我就开始分享，交流。

陌生人让我更加觉得有安全感。朋友圈熟悉的让人可怕。所以我一般只在朋友圈说些歌舞升平的东西。在头条吐露心情。也有很多同样处境的朋友，大家取暖前行。不认识，就是最好的尊重。

“醉酒不解真愁”。能救我们出来的，只有自己。我以自己的屈辱经历，和大家交心言，宁可立即逾期，不可再去扩大网贷。网贷就是金融毒品，需断之，切记。

这些披着华美外衣广告的网贷就是，美丽的食人花，你去舔那花瓣上的蜜汁，殊不知，马上带刺的花瓣就会一把把人夹住，融化之，吞噬之。追回之莫及也。

某个互联网大厂，创始人喜欢金庸的武侠，让员工起了很多艺名，自己叫风清扬啥的。崇尚里面的侠义。可看这些放贷之事，如何配得上侠义二字。云泥之别。

侠之大者，为国为家耳。绝不是与民争利，从民搜刮。可看看现在的百度、今日头条、携程、金东、滴滴、小米、海尔……无一不放贷啊。呜呼哀哉。

随处可见的贷款广告

阿弥陀佛。善哉善哉。天若有情天亦老，人间正道是沧桑。

愿我们早日上岸，诀别过去。

希望（头条正版图片）

互金App捆绑授权几十份协议、诱导获客，还呗、省呗等在列

随着一批批移动金融A备案名单出炉，规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律，尤其密码防护、个人信息安全等方面，是治理的聚焦点。为给金融A治理工作进一步提供参考，南都金融合规研究课题组从消费者角度，针对一批主流移动金融A进行实测评分，本阶段主要聚焦移动金融A个人信息安全合规。

上一期，我们以35个互联网公司旗下平台为样本，今天则推出针对24个金融科技公司旗下互金A的测评，即“2020财经半年报”之移动金融A个人信息安全合规榜第二期。测评标准以《A违法违规收集使用个人信息行为认定方法》、《A违法违规收集使用个人信息自评估指南》和《网络安全标准实践指南》为依据，测评指标围绕A手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度、48个分项展开。

南都金融合规研究课题组通过下载、注册、实操使用等环节，本期专项测评了24个金融科技公司旗下互金A的情况。结果显示，近四成所测A申请权限时未明示目的，四分之一的所测A在隐私政策中未清晰告知申请权限涉及的功能，还有近三成A强制获取权限。另有约三成A未清晰说明第三方代码插件（含SDK）的使用情况，还有近四成的A则都在向第三方借贷平台导流时存在诱导行为。

从总分来看，还呗、豆豆钱、维信卡卡贷、省呗和及贷5个A总体评分垫底。

权限获取方面不合规问题较多

金融科技公司是参与互联网金融业务的主力军，以科技赋能普惠金融，以大数据手段让金融服务更下沉。数据资产是金融科技赖以生存的武器，但大数据信息的滥用，也将直接伤害消费者个人信息安全。

课题组本次测评中选取的24个金融科技公司旗下互金A，下载量大多都在千万级别。结果显示，金融科技公司旗下互金A在权限获取方面存在问题较多，所测A中有三成的权限获取部分评分在80分以下（未算权重前，100分制），而在隐私政策部分和个人信息收集部分，评分在80分以下（未算权重前，100分制）的A占比分别为16.7%、12.5%。其中，及贷A在三个部分的低分区均榜上有名，隐私政策部分得分低于70分。

根据《自评估指南》要求，当A打开系统权限时，A应当说明该权限将收集个人信息的目的。但在本次测评中，37.5%的A申请获取权限都未在打开时明示目的，涉及A有人人贷借款、我来数科、省呗、你我贷借款、维信卡卡贷、豆豆钱、借贷宝、飞贷、小花钱包；而四分之一的A未在隐私政策中告知申请权限涉及的功能及目的；还有四分之一的A存在强制获取部分权限的现象，若用户不打开该项要求的权限，无法进入A，涉及A有分期乐、来分期、你我贷借款、拍拍贷借款、维信卡卡贷、豆豆钱、借贷宝。

A专项治理组曾指出，权限获取和个人信息收集都需要遵循“最小够用”原则，放到权限获取的具体语境中，即是说如果把某一项A需要的权限给拿掉，不影响A的正常功能，那么这个权限实际上就不应该获取。此外，《信息安全技术移动互联网应用程序（A）收集个人信息基本规范》中明确了金融借贷手机信息的范围，并未将通讯录、通话和短信详单纳入其中。但是，经课题组排查，67%的A要求获取读取通讯录功能，45%以上的A都要求获取读取通话记录权限，25%的A要求获取读取短信列表权限。其中，要求读取通话记录的A有分期乐、乐卡、还呗、省呗、玖富万卡、拍拍贷借款、你我贷借款、人人贷借款、豆豆钱、小花钱包。

一般而言，获取通讯录权限的A都是为了方便用户在借款过程中键入联系人信息，及辅助进行贷后管理，大部分A也未做强制性要求，但亦有例外。比如小赢分期A，在贷款申请过程中，就会强制获取用户的通讯录，如果不同意，就无法进行下一步操作。对此，该A在隐私政策中虽对此有说明解释称：“收集这类信息是为了反欺诈识别，以及辅助识别不符合金融监管规定的借款人”，不过，业内研究者持有不一样的观点。宁人律师事务所金融与科技委员会副主任马军对南都记者表示，从合理角度看，添加联系人并不是借贷功能所必须，是否需要强制收集值得商榷。

还呗、省呗“捆绑式”一键授权几十份征信查询书

课题组发现，“捆绑式”一键授权的现象在本批次所测A中比较突出，其中还呗A和省呗A的做法较夸张。公开资料显示，还呗是数禾科技旗下主打品牌，其大股东是分众传媒全资子公司，还呗于2016年6月进入市场，是一款信用卡账单分期A，核心团队主要来自有“零售之王”之称的招商银行信用卡中心及其他知名金融机构，放贷资金方主要是拥有互联网小贷牌照的数禾科技全资子公司重庆市分众小贷及银行、消费金融公司等。而省呗也是信用卡综合服务产品，隶属于深圳萨摩耶互联网金融服务有限公司，成立于2015年，创始团队也主要来源于招商银行信用卡中心。

据实测，当南都记者首次打开还呗A，输入手机验证码完成注册后，并不能直接进入A，还需要在A引导下录入面容ID进行人脸识别。南都记者注意到，这一步涉及收集用户个人信息中敏感度较高的生物识别信息，但并未给予用户签署授权同意采集的专有协议。不仅如此，还同时要求用户勾选同意一系列“征信查询相关授权协议”。经翻阅，这部分协议共40余份，涉及签约主体20余个，包含的类型包括“消费信贷服务协议”“电子签名授权委托书”“自动还款协议”“征信授权书”“隐私协议”“客户知情确认书”“循环额度合同”“开户协议”“个人消费贷款合同”“承诺函”等涉及多种不同业务功能环节的协议，超过一半都是征信查询授权书。经南都记者查阅，协议均以空白合同为主，部分协议排版显得很随意，而且不同类型的协议打乱混在一起，很多协议从列表标题上根本无法判断是需要跟哪家公司签署协议，给用户造成了极大的阅读障碍。

况且，这些协议的签订，本应该是在用户自主点击申请贷款时要求的，一般用于A借贷业务的资格、信用及偿付能力审核功能。但还呗A却要求用户在进入A前就一次性授权同意，否则连A的浏览功能都无法使用，属于通过捆绑A多项业务功能的方式，要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。按照《自评估指南》的相关要求判定，还呗A在实际收集个人信息的时候，业务功能环节与签署协议并没有对应。

对于这种粗暴的“捆绑式”授权要求，马军律师直言“不合理”。他表示征信授权虽然是业务贷款所需，如果涉及多方征信授权，应当思考，是否符合“最小够用”原则，一个够不够。“并且每份合同或授权都应当单独获得个人的同意，而非一次性授权。”他直言“在这种情况下，用户根本不可能看授权书或合同，可能会导致一次性授权收集大量的个人信息，不利于保护个人信息。”

京衡律师事务所律师张豪作出了补充解释，通过所谓的“一次性授权”的方式诱使用户签订批量贷前空白合同，过度处理个人信息，违反正当、必要原则，将对用户的征信造成一定的负面作用。

省呗也存在同样的问题，只是程度稍轻，需要一次性授权签署20余份协议。值得注意的是，省呗、还呗A在隐私政策文本部分获得的评分是相对高的，都在80分以上，这暴露出部分A只花心思做好了表面功夫，实际的信息收集行为依然我行我素。据公开报道显示，省呗A所隶属的萨摩耶金服在去年曾被曝借用探针盒子的方式，在商场等地方自动收集消费者信息，以此渠道进行获客。

与上述A的做法相比，平安普惠在贷款申请环节收集个人信息时的做法或值得参考，其将过程中需要授权的协议拆分成为几个步骤一一请示用户的同意，且并非使用传统的“点击按钮同意”方式，需要用户在屏幕上进行手写签名，这一过程虽然麻烦，但却将主动权交还给了用户。符合《自评估指南》中“以用户主动填写、点击、勾选等自主行为，作为产品或服务的业务功能开启或开始收集个人信息的条件”的要求。

及贷、我来数科超范围收集个人信息

上期测评报告中，未披露第三方代码插件（含SDK）使用情况、未清晰说明收集个人信息与业务功能的对应关系成为A不合格的重灾区。本期测评的A也存在这样的问题，三成A未披露第三方代码插件（含SDK）使用情况，涉及A有众安小贷、及贷、维信卡卡贷、豆豆钱、借贷宝、喜鹊快贷、小花钱包；17%的A未清晰说明收集个人信息与业务功能的对应关系，涉及A有拉卡拉金融、还呗、维信卡卡贷、豆豆钱。

在上期测评报告中，课题组曾披露了互金平台浪小花和微博借钱超范围收集个人信息的情况，这种现象在本期测评的24个A中亦有出现。

比如我来数科在其隐私政策中表示，需要收集公积金、支付宝、京东、淘宝、社保卡、信用卡和个人征信账户、网络社交账户的账号和密码。及贷A更是在收集用户基本信息前，要求用户同意《隐私保护及信息授权协议》，其中要求收集用户的“信用卡、银行储蓄卡、网银等账户信息，包括但不限于卡号、户名、额度、账单在内的各类信息”；“淘宝网、支付宝、京东、美团、饿了么账户以及其他支付、交易工具、电商平台、外卖服务平台等账户信息，包括但不限于账户、交易记录在内的各类信息。”值得注意的是，该协议提及，“在收集其中部分信息时，还需要您同时提供相关账户、密码、验证码信息。”这意味着，用户需要在A提供的页面中输入上述多种私密性较强的账户密码，如果平台技术不过关，或有意缓存此类信息，用户的隐私安全将面临极大的风险。

一位业内人士对南都记者分析称，部分金融科技公司由于自身基因的原因，缺乏用户消费场景和大数据，又无法同数据量丰富的电商平台达成数据共享合作，所以才要求用户自主登陆上这些账户提供给平台机会读取相关信息。部分金融科技公司对外宣称自身平台的风控数据维度详细，具有很精准的研判能力，实际上是通过爬虫技术大量爬取用户各类账户信息，个人偏好信息等而来的。在具体情况中，这些数据来源是否合法合规，是否存在违规超范围收集处理用户个人信息的情况，值得深究。

对此，张豪律师指出，对于借贷业务而言，信用判断类的必要性数据应限定于直接判断一个人信用状况的信息或者有利于直接防范信用违约损失的信息是必要的信息。但鉴于互联网贷款的特殊性，金融科技基于大数据的发展，很多表面上与判定信用状况无关的弱关系数据或非结构化数据在信用判定具有一定的价值。上述平台要求用户提供的这些第三方电商平台的交易数据，在一定程度上或许能够作为补充的判定依据维度。但是，粗暴地要求用户进行一揽子授权，同意主动交出密码，其中的操作风险如何规避，也应该是平台需要审慎考虑的问题。

南都记者实测发现，不少金融科技公司旗下互金A的确比较依赖支付宝、京东金融、微信支付等金融科技头部玩家对用户的画像作为评估参考，目前，已有少数被测A有意识地规避获取此类信息的操作风险，避免直接要求用户输入密码，比如要求用户在页面上传支付宝A中个人信息页面及芝麻分页面、京东A实名认证页面及小白信用页面、微信A中账号与安全页面及支付分的截图信息。这些A将获取的截图信息共享至合作方，合作金融机构或担保公司通过识别截图中的个人信息数据来进行信用评估。

诱导式获客？向第三方引流未明示用户

借贷引流类业务是多数金融科技公司旗下A都有搭载的一个业务板块，在此过程中，平台本身虽然不进行贷款审核，但却通过大数据算法，对用户进行了画像，将带有某些身份标签的用户推送给了适合的第三方借贷平台，这一过程中也涉及用户信息的共享和传输，这些接收信息的平台应当被定义为原A的第三方合作机构。《自评估指南》中规定，隐私政策中应说明接收方类型或身份；如果将个人信息传输至第三方服务器，应通过弹窗提示等方式明确告知用户。

在上一期测评中，爱奇艺、同程旅行、微博借钱、360借条、搜狗借钱、58好借等平台都有这样的“借贷引流”业务，而在本期测评中，分期乐、众安小贷、玖富万卡、融360、我来数科、及贷、还呗、省呗、小花钱包几个A上都搭载了向第三方借贷平台引流的端口，且上述平台存在诱导用户点击跳转到第三方平台的行为。南都记者测试发现，上述平台在其中一些第三方平台的跳转页面自动勾选了“同意授权”，使用户可能在无意中就泄露了自己的手机号码、姓名等信息，由于这些跳转页面大多是注册页面，所以即使用户意识到了被诱导，但也已经被迫在一些平台上发生了注册行为。根据工信部7月24日的《关于侵害用户权益行为的APP通报》显示，上述A中小花钱包、还呗已有“前科”，皆因“私自共享给第三方”被通报。

比如众安小贷A，当南都记者完成注册后，就被A引导上传身份证，上传后就提示“审批不通过”。紧接着便弹出窗口表示，匹配了专属产品“榕树容易借”，在页面中用“新口子”“超低门槛”、“本周放款王”、“剩余名额9%”等宣传语对消费者进行诱导。进入榕树贷款页面时，并没有对消费者进行提醒，也并未提示消费者要阅读第三方平台的隐私政策。据测评，隐私政策、注册协议的文字使用了整个页面字号最小、颜色最浅的字体，没有留出让用户主动勾选的位置，页面中间最大字号和颜色最显眼的是“查看额度”按钮。只要消费者输入手机号码点击“查看额度”按钮，就会被第三方平台收集信息。

马军律师指出，嵌入式的服务本身就有泄露数据的技术风险，如果A要共享个人信息到第三方借贷平台必须征得个人的同意，否则视为非法对外提供。南都记者排查近期收到的垃圾营销短信发现，不少短信正是来源于这些仅仅点了几下的第三方平台。

这样霸道式营销存在哪些问题？张豪律师认为，鉴于我国已全面实行手机实名制，且手机号码具有专属性和私隐性，在从严惩治侵犯公民个人信息类犯罪的法治环境下，没有机主姓名信息的单独手机号码，倾向于被认定为构成刑法意义上的公民个人信息。因此，个别团伙将没有机主姓名信息的单独手机号码滥用于金融借贷的精准营销，涉嫌构成侵犯公民个人信息罪。

【测评标准说明】

本次测评，设定了手机权限获取、隐私政策文本和收集使用个人信息行为3个一级维度。满分100分，计分权重分别占比20%、50%和30%。

在“手机权限获取”维度中，涉及用户进入A时，是否弹窗申请权限、是否强制获取权限、是否默认获取权限、申请权限是否明示目的等12个具体指标。其中，南都金融合规研究课题组重点考查了A在强制获取权限、申请权限是否明示目的、在隐私政策中是否明确告知申请权限涉及的功能等情况。

在“隐私政策文本”维度下设隐私政策的独立性、易读性，清晰说明各项业务功能及所收集个人信息类型，清晰说明个人信息处理规则及用户权益保障，隐私政策等文件是否存在免责等不合理条款4个二级维度、26个具体指标，计分权重分别占比10%、50%、30%和10%。按一级维度权重算，满分50分。南都金融合规研究课题组重点考查了隐私政策中对个人信息收集规则、第三方代码插件和权限申请的相关问题。

在“收集使用个人信息行为”维度中，主要测评了个人信息传输至第三方服务器时，是否通过弹窗提示等方式明确告知用户、收集个人信息前是否提供由用户主动选择同意或不同意的选项，是否由用户主动填写、点击、勾选等自主行为作为产品或服务的业务功能开启或开始收集个人信息的条件等10个具体指标。

出品：南都财经新闻部

测评数据采集分析：南都记者熊润淼

实习生陈琪琦

制图：杨晨悦