想贷款就要乖乖交出通讯录?金融借贷APP读取通讯录的行为合法合规吗?
日前,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》),为移动互联网应用收集个人信息提供指引。
《规范》指出,移动互联网应用在收集个人信息时应遵循最少够用原则,金融借贷APP可收集两位常用联系人的联系方式,仅用于金融机构在借贷人逾期不还款时进行催款,应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制读取用户的通讯录。
但人民网记者近日随机抽查手机应用商城中排名靠前的多个金融借贷APP发现,不少APP在借款前或借款过程中需用户允许“读取通讯录”,否则无法进行下一步借款流程,还有APP在无任何请求状态下,即默认读取借款人的通讯录。
多个金融借贷APP“强读”用户通讯录
记者在抽查过程中发现,多数款金融借贷APP都存在不同程度的以不同的形式要求读取用户通讯录的现象,主要分为三类:
一类是用户下载APP后首次打开时,页面即出现类似“请允许访问通讯录”的操作框,否则无法进行下一步操作。如移动手机贷、榕树贷款等;
还有一类是在用户申请贷款过程中,出现相关提示,如提请用户允许APP访问其通讯录,否则无法进行后续借贷操作等。此种情况较为普遍,包括原百度金融信贷服务品牌有钱花、苏宁金融任性贷、国美易卡、小米贷款、海尔消费金融的够花、360借条等;
再有一类则是在用户点击输入紧急联系人信息时,在未收到明确提示的情况下,APP默认打开其通讯录。此类APP包括拉卡拉、招联金融等。值得注意的是,打开招联金融APP后,借款人虽然可看到“用户隐私保护提示”,但其内容并未就读取用户通讯录单独进行明确解释或征求意见。
多款金融借贷APP均以不同形式要求访问用户个人通讯录。(制图/申佳平)
《规范》明确指出,移动互联网应用在收集个人信息时应遵循最少够用原则,不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。
具体到金融借贷APP,《规范》强调,“账号信息”、“身份信息”、“手机号码”、 “银行账户信息”、“个人征信信息”、“紧急联系人信息”、“借贷交易记录”等7项为金融借贷APP可收集的必要信息。其中,“紧急联系人信息”即用户的两个常用联系人的联系信息,仅供金融机构用于在借款人未能偿还贷款时进行催款,且应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制允许读取用户的通讯录。
对于以上做法,行业律师崔咪指出,前两类操作模式比较常见,也是APP认为已获取用户同意的重要方式。该类操作在APP内置合同中一般也有用户的承诺条款,承诺同意APP获取通讯录。这种方式,一般不认为是“强制”,但不意味着就完全合法;而第三种做法则涉嫌窃取他人隐私信息,违法特征明显。
个人通讯录或已成暴力催收“杀手锏”“精神匕首”
《规范》强调,移动互联网应用在收集个人信息时应遵循目的明确原则,即向用户明示收集使用个人信息的目的、方式和范围,收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。
记者在调查时发现,这些平台宣称读取用户通讯录的目的不尽相同。大多数APP将其归结为风控和贷后管理。例如,榕树贷款平台隐私中明确写到,“为进行风险评估,我们可能获取您的通讯录信息、通信记录往来信息、位置信息……平台合作方可能将前述信息用于风控、贷款、贷后管理等风控相关服务。”
有的金融借贷APP将“读取通讯录”与授信额度挂钩。例如给你花APP称,“为获取更高授信额度,‘给你花’需要访问您的通讯录。”
还有的APP则表示“读取通讯录”是出于提高用户体验。如小米贷款在访问通讯录的提示页面上写道“为方便填写联系人信息,请允许小米贷款访问您的通讯录。”
而在许多借款人看来,金融借贷APP要求“读取用户通讯录”的真正目的是将通讯录用作催收的“杀手锏”——一旦借款人逾期无法还款,贷款平台就会通过“爆通讯录”的方式进行骚扰、威胁甚至辱骂借款人及其通讯录中的亲朋好友。本该属于借款人隐私的手机通讯录,已成为某些APP暴力催收的“精神匕首”。
借款人菲菲说,“逾期9天被爆打通讯录,骚扰朋友,威胁家人,侵犯个人隐私,工作也丢了,我该怎么办?”;
借款人阿力说,“714网贷原来不只是爆通讯录这么简单,而是通讯录背后的强大精神压力。面子=压力,它们也就是为什么要爆通讯录的原因。如果没有效果他们会P图发短信到通讯录进一步施压,造成连锁反应。它比赌博更可怕。”
另外,记者发现,中国互联网金融举报信息平台已经明确地把“不良催收”“侵犯个人隐私”作为现金贷业务的默认投诉选项之一。
中国互联网金融举报信息平台关于现金贷业务的举报信息登记表。(制图/申佳平)
中国银行法学研究会理事肖飒告诉记者,“手机通讯录中的信息,若仅供自己联络,是法律允许的,但如果出售或者提供给手机号使用人之外的其他人,则涉嫌构成侵犯公民信息行为。”
“某些平台辩称取得用户的通讯录,目的是为了大数据风控等,虽然其目的合法,但也并不能掩盖其手段违法。”肖飒表示。
保护维护借款人个人信息安全仍有提升空间前景可期
近年来,我国不断加强对互联网应用中个人信息的保护,其中针对金融类APP出台了多项规定。
2017年12月1日,互联网金融风险专项整治、P2P网贷风险专项整治工作领导小组办公室下发《关于规范整顿“现金贷”业务的通知》,强调“各类机构应当加强客户信息安全保护,不得以“大数据”为名窃取、滥用客户隐私信息,不得非法买卖或泄露客户信息。”今年年初,中央网信办、工信部、公安部、市场监管总局四部门决定自今年1月至12月,在全国范围组织开展APP违法违规收集使用个人信息专项治理。
崔咪表示,“近年来,不管是通过行政法律规范,还是刑事司法解释,我国对公民信息保护的力度逐步加大。前些时日,《密码法》更是引发热议。未来金融借贷APP读取通讯录的行为势必将得到规制,并逐步向规范性发展。”
中国人民大学重阳金融研究院副院长董希淼也表示,“市场上合规性较差、野蛮生长的平台将会慢慢被淘汰,而那些内部合规、风控处理地较好的平台则将在获得资质后迎来更好地发展,良币驱除劣币,市场的‘马太效应’将会更加突出,整个金融借贷生态也会越来越健康。”
对于平台自身,肖飒强调,金融借贷APP在收集数据时,应明确收集用户信息的时间节点,即当用户知悉收集使用规则并明确同意后。“可以预见,征求用户明确同意的弹框或按钮很可能会出现在下载APP刚刚完成的时刻,此时,为了客户体验,产品经理往往会压缩‘阅读时间’,但从‘格式条款’的角度理解,我们建议尽量延长‘阅读时间’,给大家一个标准,不要低于一般网民的阅读速度和用时。”
不过,董希淼也指出,“目前,不少金融借贷APP在信息安全、客户隐私保护以及信息获取方面都或多或少存在不规范甚至是违法行为。要改善这种情况,除了借款人加强自我保护意识之外,还应该做好‘源头整治’”,即加强多方监管,加大对金融借贷平台违法、违规行为的打击力度,提高不良平台违法成本,减少侵犯借款人权益的行为。”
东辽融媒发布
编辑:苏悦明