北京尼尔投资贷款信息提供专业的股票、保险、银行、投资、贷款、理财服务

授权支付宝的贷款平台

本文目录

个人信息保护合规测评⑥丨20款消费金融类APP:支付宝点击8次关闭位置授权,众安小贷人脸识别未获单独同意

我国《个人信息保护法》于2021年11月1日起施行。法律明确了个人信息处理活动中的权利义务边界,以“告知—同意”为核心原则对平台进行个人信息处理予以规范。

为了解企业在个人信息保护方面的落实情况,南方财经合规科技研究院基于《个人信息保护法》与《A违法违规收集使用个人信息行为认定方法》的相关条款,对平台的个人信息保护合规进行系列测评。测评含告知、撤回同意、第三方处理者单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人这9大方面共20个测评项,测评总分为100分。

结合用户量与功能差异等因素,测评选取了20款消费金融类APP(含持牌消费金融公司、互联网小贷公司和提供贷款服务的互联网公司等)进行个人信息保护合规实测。测评结果显示,有钱花得分80分,个人信息保护等级较高;万达普惠、中原消费金融、安逸花、京东金融、招联金融、携程金融、新浪金融、支付宝等15款APP得分在60分至80分;苏宁金融、够花、好分期、捷信金融得分不足60分,个人信息保护有待加强。

撤回同意、敏感个人信息保护、个性化推荐、数据可携带权、第三方处理者单独告知,成为平台的高频合规问题。好分期等6款APP无法直接撤回同意,无APP撤回同意便捷,如支付宝需经8个步骤关闭授权。敏感个人信息保护亟待加强,招联金融未经同意获取相册权限,众安小贷人脸识别未获单独同意且未告知用户权益影响。个性化推荐的选择权难实现,多款APP未明确告知是否提供个性化推荐,且未区分关闭个性化内容及广告推荐,仅4款APP可便捷关闭。第三方SDK同是合规重灾区,仅1款实现个人信息处理的合规告知,1款APP获取用户的单独同意。数据可携带权的实现也不尽如人意,9款APP未提可获取个人信息副本,仅2款APP明示可提供个人信息的转移服务。

6款无法应用内撤回同意,支付宝关闭授权需8步

撤回同意权已成为全球个人信息保护立法的趋势与共识,《个人信息保护法》中也对此进行了回应。第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

此次测评对撤回同意聚焦于APP内是否提供了用户自主撤回同意的相关功能选项。测评发现,20款消费金融类APP中,京东金融、捷信金融、安逸花、中原消费金融等14款能够在APP内或跳转至手机系统设置对相关授权撤回同意。

分期乐提供系统权限管理

招联金融、好分期、携程金融、众安小贷、万达普惠5款应用需要用户自行前往系统设置中关闭授权,够花虽有“系统设置”管理页面,但未包含对相册权限的使用。够花在隐私政策的设备权限调用说明中列举,“访问照片”会在用户首次使用具体业务场景下弹窗询问,例如更改头像,且可以关闭授权。但在实际操作中,点击更换头像并未弹窗询问是否授权,APP默认用户授权相册功能,且无法关闭该授权。

撤回同意的便捷性值得关注。《个人信息保护法》二审稿中对撤回同意增加“便捷”的要求,与欧盟《通用数据保护条例》(GDPR)“撤回同意应当和表示同意一样简单”的宗旨以及《个人信息安全规范》等相关规定相呼应。

参照国家网信办、工信部、公安部、市场监管总局2019年11月联合制定的《A违法违规收集使用个人信息行为认定方法》中,关于“隐私政策等收集使用规则难以访问,如进入A主界面后,需多于4次点击等操作才能访问到”的规定,测评将打开APP后如经过4次点击仍无法关闭相关授权,视为不便捷。

测评结果显示,在提供应用内部关闭授权或跳转系统关闭授权的消费金融类APP中,均不便捷,需超过4次操作步骤。以支付宝为例,关闭位置授权需要通过“我的-设置-隐私-系统权限管理-位置-管理位置权限-位置-关闭精确位置”路径进行8次点击。

敏感个人信息保护缺失,相册、人脸识别未获单独同意

《个人信息保护法》设专节对处理敏感个人信息作出更严格的限制,明确敏感个人信息的定义、处理前提和监管要求等。

依据法律,平台处理敏感个人信息应取得个人的单独同意,并应向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

按照敏感个人信息的定义“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”,用户的相册中极易包含多类敏感个人信息,平台是否获取用户的单独同意尤为重要。测评发现,部分APP存在获取相册权限但并未明确提示的现象。

以招联金融为例,其隐私政策显示,在用户使用IOS系统时,APP可能会申请权限访问照片库,以便用户使用修改头像及其他会上传照片或视频的相关服务。拒绝授权后,前述功能或服务可能无法使用。但在使用招联金融更换用户头像时,APP并未弹窗申请获取相册权限,即可直接进入相册页面选择照片。

人脸信息作为生物识别信息也应得到更高强度的保护。不少金融消费类APP均为人脸识别功能提供单独授权页面并设专有规则,如度小满提供《面容验证支付协议》、支付宝提供《生物识别服务通用规则》、分期乐提供《个人敏感信息授权书》等。

支付宝获取人脸识别页面

部分APP则将人脸识别的单独同意与相机功能设为同一授权,在人脸识别的保护机制上有待加强。例如,众安小贷在隐私政策中提到,在额度评估流程内,身份认证及人脸识别功能需使用相机,使用时会唤起相机权限。实测发现,众安小贷在获得相机权限后,收集人脸信息时并未获得用户的单独同意,直接进入人脸识别环节。同时,众安小贷在隐私政策中仅提及进行人脸识别的必要性和主要用途,但未表明对个人权益的影响。

个性化内容及广告推荐关闭不明晰,仅4款关闭便捷

《个人信息保护法》从一审稿到成文,在不断强化对自动化决策的规制。第二十四条要求,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

对于消费金融类应用而言,收集用户的浏览记录、搜索记录、交易信息等进行算法的自动化决策机制分析形成间接用户画像,用以为用户提供更具有个性化需求的内容或广告服务。

针对个性化推荐,平台是否设置了关闭个性化内容推荐及个性化广告推荐的功能、是否提供便捷的拒绝方式、关闭个性化推荐后是否会影响产品使用,这三项内容成为合规焦点。

20款消费金融类APP提供的个性化推荐服务不一。在明确提到会提供个性化内容与个性化广告推荐的应用中,京东金融、携程金融、支付宝3款在应用内对两种推荐分别提供关闭按钮。

京东金融提供分别提供个性化内容、广告推荐管理

其他多款应用未在功能设置上未对关闭个性化广告推荐和关闭个性化内容推荐进行明确区分,如好分期、够花、分期乐等APP需通过系统设置的“通知”选项等进行关闭,苏宁金融仅提供“个性化内容和广告推荐”的统一关闭按钮。

在仅提供个性化内容或广告一种推荐服务的应用中,不少APP提供明确关闭按钮,如捷信金融有关闭个性化广告功能,天星金融提供个性化内容推荐关闭选项。有APP的关闭选项不太明确,如国美易卡的隐私管理中包含“非定向推送信息权限”的管理,提示可以禁止平台使用某些类别的信息向用户展示更相关的推送,但此选项没有显示“关闭”的按钮,只有“去设置”和“已允许”,点击“去设置”也未显示“已关闭”或跳转至其他页面关闭,无法判断是否已关闭该权限。

新浪金融、招联金融、拍拍贷贷款、众安小贷、中邮钱包5款APP的隐私政策中均未提及会收集用户个人信息用于个性化推荐的相关内容,无个性化关闭按钮。

苏宁金融为个性化推荐提供应用场景及功能列表

在“是否提供便捷的拒绝方式”上,测评同样参照《A违法违规收集使用个人信息行为认定方法》,打开APP后如经过4次点击仍无法关闭个性化推荐,则视为不便捷。

结果显示,在提供个性化推荐的15款APP中仅4款APP在所提供的推荐服务上完全实现了不超过4次点击即可关闭,包括国美易卡、中原消费金融、有钱花、万达普惠。

第三方SDK告知不全,仅1款获单独同意

《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。

APP内通常会接入多个SDK(软件开发工具包),利用SDK技术为用户提供多样化的服务。目前,所测20款消费金融类APP都在隐私政策中明示了接入相关合作方SDK的目录,但因详细度不同而存在一定合规问题。

依据法律要求,APP应向个人告知第三方的“名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”。测评发现,仅分期乐实现了合规告知,15款APP未告知第三方SDK对个人信息的处理方式,9款APP未告知第三方SDK的联系方式。

仅万达普惠的第三方SDK实现了“取得个人的单独同意”,在下载应用后的首次弹窗中,包含对外部SDK的简介。

万达普惠单独弹窗第三方SDK的简介

多款APP虽在首次弹窗中提到“未经您的授权同意,我们不会将上述信息共享给第三方或用于您未授权的其他用途”,但第三方SDK的详细信息需要APP内的隐私管理中查阅。

9款未提个人信息复制权,仅2款提供个人信息转移

数据可携带权是《个人信息保护法》三审新增的一项权利。第四十五条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。”

可携带权分为两个维度:其一,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供,即个人可获得个人信息副本;其二,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

测评发现,9款APP未明确提及可提供个人信息复制服务,仅京东金融、好分期、安逸花、中邮钱包、万达普惠、众安小贷、够花、分期花、有钱花、360借条、招联金融11款APP可以提供个人信息的副本。以京东金融为例,获取个人信息副本,可以通过拨打客服热线,人工客服进行身份核验后,可将个人信息副本提交给用户。

但可携带权的另一维度——个人信息的转移服务,执行的情况则不容乐观。仅安逸花、携程金融2款APP提到了用户“转移个人信息”的权利受到保障,可以通过联系平台方实现。

南财合规建议

1、对于相机、位置信息、麦克风等授权的撤回同意,APP内可设权限管理专区,并明确在何种场景下使用及用以哪些目的等。为实现便捷性的要求,关闭授权的点击步骤不应超过4次,建议在应用内可直接关闭。

2、消费金融类APP常见对敏感个人信息的收集处理,如通过人脸识别提供远程开户、绑卡核身、账户登录、分期购物、人脸支付等服务,应在相关场景提供专有协议或规则,告知用途和可能风险,并明确获得用户单独同意,保障用户知情权与选择权。同时,当用户不想再继续授权使用其人脸数据时,APP必须提供“退出”或“删除”渠道,确保用户的删除权。

3、在个性化推荐问题上,企业除了《个人信息保护法》,还应参照《互联网信息服务算法推荐管理规定(征求意见稿)》等关于算法机制的要求。在隐私政策中,应明确告知用户是否进行了个性化内容推荐与个性化广告推荐,体现是收集的信息类型、目的意图、运行机制等。如个性化内容与广告推荐均有,则应为用户分别提供单独的关闭按钮,并告知关闭后的影响。为实现用户的便捷关闭,应将开启或关闭选项设于APP“设置”页面的显著位置,点击步骤不应超过4次。

4、第三方单独告知问题方面,目前大多数APP提供了第三方SDK信息收集的单独列表,应对当前未落实的联系方式、处理方式进行明确告知。在取得个人的单独同意上,可在首次开启APP的弹窗中设计。

5、对于用户的个人信息可携带权,APP应在隐私政策明确列明《个人信息保护法》中赋予用户的权利,并提供实现路径。企业应为此提供专门的联系方式获取或在APP内设计直接获取导出按钮。

测评补充说明

测评时间:11月18日至25日

APP所测版本(括号内为隐私政策更新或生效时间):

IOS版:京东金融6.2.50(2021.10.04),捷信金融34.24.1(2021.8.24),招联金融6.1.0(2021.11.10),好分期v7.3.1(2021.9.29),安逸花3.4.57(2021.11.12),支付宝10.2.36(2021.3.8),携程金融2.4.10(2021.10.31),万达普惠4.1.9(2021.8.9),够花3.6.4(2021.5.31),国美易卡5.3.3(2021.11.17),分期乐6.11.0_6(2021.11.1),有钱花5.5.0(2021.10.28)

Ai版:中原消费金融4.0.1(2021.10.28),中邮钱包2.9.26i336(P1)(2021.11.18),天星金融v.4.0(2021.10.29),苏宁金融6.8.5(2021.11.28),新浪金融3.9.25(2021.11),360借条1.9.9(2021.11.18),拍拍贷借款9.10.4(2021.11.1),众安小贷1.9.4(2021.8.22)

出品:南方财经合规科技研究院

统筹:曹金良

研究员:张雅婷,吴霜,李润泽子,郭美婷

更多内容请下载21财经APP

“升级”了一波骗术!利用“支付宝备用金”设置陷阱骗取钱财!

相信很多喜欢网上购物的朋友

都经历过购买的商品有质量等

需要退货的问题

最近骗子们又对此“升级”了一波骗术

利用“支付宝备用金”设置陷阱骗取钱财

备用金是一款支付宝借贷产品,里面的钱不是骗子“转”给你的钱,而是支付宝“借”给你的钱。

卖家的理赔款是不可能转到支付宝“备用金”账户。骗子就是抓住许多人不了解支付宝“备用金”功能,被他们钻了漏洞!

真实案例

2022年5月7日晚上,家住宜春万载县三兴镇的L先生在淘宝上购买了一个价值38元的紫砂锅。5月10日上午,他接到一个00开头的陌生来电,电话中的女子自称是“快递客服”,她告诉L先生这个紫砂锅由于在运输途中不慎损坏,L先生可以选择赔付,赔付金额是249元。

L先生信以为真,便按照对方的要求,添加了“快递客服”的QQ号,之后这个“快递客服”就教L先生到支付宝备用金里面把钱取出来。L先生在支付宝备用金里取了500元,然后对方称只能赔付249元,但L先生领了500元,多余的251元要退还给对方,不退回去要承担法律责任。

L先生觉得有点害怕,于是又在对方指导下添加了“支付宝客服”的微信,对方说退钱要先激活代码,需要8800元,激活之后这8800元会返回给L先生。L先生按照要求转了8800元过去,对方又称这个代码没有激活成功,激活的话还需要打钱过去,随后L先生又陆续发了23笔200元的微信红包给对方。在转账的过程中L先生发觉不妥,于是向警方报案,经统计L先生共计被骗13400元。

你知道什么是备用金吗

备用金其实是和蚂蚁借呗的原理差不多,最大的区别是额度不同,备用金最高的额度是500元,7天自动归还,这7天内不需要任何利息和手续费。备用金能否开通是由支付宝系统综合评估所得,只要是支付宝的芝麻信用度高的活跃用户都具备开通条件。

接下来

为你揭开这种骗局的真面目

步骤一

诈骗分子冒充网络购物平台商家,通过拨打电话的方式谎称受害人在其网店内购买的商品存在质量问题,由此来与受害人协商给受害人退款赔偿;或是诈骗分子冒充快递员,谎称受害人的快递在运输途中丢失,同样地由此来与受害人协商给受害人退款赔偿。

↪请谨记!您一旦接到了电话并听信的电话内容,便是被骗的第一步。一般骗子所用的电话号码相比于日常电话号码来说是较不规范的号码,所以当大家看到这样不规范的以及异地呼入的号码,都要加以警惕!

步骤二

骗子会以退款为由,向受害人索要支付宝账号,随后告知受害人已退款,但其实受害人并未真正收到钱。这时骗子会表示受害人没有开通“快速理赔通道”,或者信用不够等理由,导致退款无法到账,并引导受害人添加指定客服进行退款操作。

↪请谨记!任何陌生人向您索要关乎资金方面的账号信息的,一定要三思而后行!

步骤三

之后,诈骗分子会让受害人在支付宝中搜索“备用金”,并引导受害人开启该功能。以“商家退款理赔资金”为幌子,要求受害人从“备用金”中提取金额。受害人在“备用金”界面,按照指引,准备提取赔付的200或300元,但实际上并没有输入金额的地方,点击申请后,500元备用金会直接转到支付宝余额。

↪请谨记!支付宝的“备用金”功能为方便用户紧急用钱而设置的短期小额借贷项目,一次只能借500元,还款期限为七天,这500元为支付宝用户自己的额度,并不是别人转给自己的任何形式的赔偿通道。

步骤四

按骗子的指示操作支取备用金金额后,骗子会表示多取的赔付资金会影响受害人信用,需要将差价提现到银行卡退回,更可怕的是,骗子还会称理赔通道没有成功关闭,造成的原因是芝麻分低、系统检测超时、卡单等,要求受害人继续关闭理赔通道。关闭的方式则为开通蚂蚁借呗、微信粒粒贷、平安消费金融APP等贷款应用额度,或者提供个人银行卡余额、卡号及验证码,并将所贷资金或银行卡余额转给骗子,骗子甚至还会洗脑引导受害人下载可远程操控的APP,真是细思极恐!

↪请谨记!任何涉及到银行卡、借贷产品的金钱交易,万万不可轻易相信!

宜春网警提醒

➡备用金功能没有任何人为手段能够强制开通,如有“客服”声称能够通过缴纳手续费或者押金等方式开通此功能的,都是骗子,请千万不要轻易转账。

➡凡是提到“开通备用金领理赔款”的,不用犹豫,都是骗人的!

来源:宜春网警巡查执法

网友:请蚂蚁金服提供其委外的福州催收公司合法的主体信息

“蚂蚁金服作为国内的一家金融机构,在其委外第三方福州催收公司“主体不明”的情况下,私自非法转让或出售公民个人隐私,而其委外第三方福州催收公司在拨打电话的时候,在不了解当事人事情情况,是否他们找的人的情况下,肆意辱骂以及侵权行为让我们觉得,作为一个金融机构也太无耻了。”

今天下午16:42分左右,我接到了一个号码为0591631**45804的催收电话,在通话的过程中,对方自称为是蚂蚁金服花呗委外的第三方催收公司,但当我要求对方提供身份信息核实的时候,对方不仅拒绝了我的要求,甚至于还在电话中辱骂我,这让我感觉到非常的生气。

生气的主要原因是,蚂蚁金服作为一家金融机构,将我们的个人隐私非法转让给福州一家“主体不明”的催收公司,而且还是未经我们授权的情况下非法转让的,而在接到这样一个“软暴力”讨债电话之后,我拨打了蚂蚁金服的客服电话,但是在选择项方面我为难了,因为我压根没有支付宝,能经常接到蚂蚁金服的催债电话我也非常疑惑。

更让我疑惑的是,我没有注册过支付宝,也没有在相关的金融产品上借过贷款这是事实,因为为了了解我身份信息是否在支付宝有贷款或其他金融产品,我多次致电支付宝客服核实情况,但是,得到的结果均没有注册的相关信息,既然没有注册的相关信息,那么我我们会接到蚂蚁金服的催债电话呢?

说来也非常奇怪,福州这家自称为蚂蚁金服委外的第三方催收公司到底是不是合法的催收公司这一点也让我感觉到非常奇怪,因为如果蚂蚁金服委外的福州催收公司合法的话,他们为什么为了逃避监管而拒绝向我们提供相关的主体信息呢?

但是,如果蚂蚁金服委外的福州这家催收公司不合法的话,那么蚂蚁金服的用户个人隐私他们又是如何获取的呢?

天天说反催收,就连央视都在揭露“反催收”骗局,但是,如果没有这些“身份不明”的催收,受害者如何会上“反催收”骗局的当呢?看看这些自称为自己是某某金融机构委外的催收,但是,当我们向涉及到的金融平台核实相关信息的时候,涉及到金融平台为什么不承认他们的存在呢?

从客观的角度来讲,这些自称为蚂蚁金服委外的第三方真的是合法的催收公司,如果是合法的催收公司,为何如此惧怕当事人知道他们的主体信息,如果不是合法的催收公司,他们是如何获取的公民个人信息呢?

天天有人说“反催收”是违法行为,那么又有谁能担保这些每天拨打的骚扰电话的“身份不明”人员是合规的催收人员呢?

其实,我认为的“反催收”的认定是首先得先证明这些“身份不明”人员具备一个合法的催收身份,更要先证明他们不是犯罪分子,而切实是一个催收公司的,但是,现在又如何证明呢?

分享:
扫描分享到社交APP