一鍵授權1292家公司誰在網貸協議裡“裸奔”
“我就是辦個貸款,為什麼要同意這麼多協議?”“只是點了下協議,怎麼就授權了1000多家公司查詢信息?”有過貸款經歷的消費者,對相關協議的勾選環節一定不陌生,從註冊到授信,再到支付,短則幾百字、多則上萬字的協議,消費者大都草草略過,事後才發現,很多坑其實就藏於其中。
3月14日,銀保監會發布關於警惕過度借貸營銷誘導的風險提示,也提到一些金融機構、互聯網平台在開展相關業務或合作業務時,以默認同意、概括授權等方式獲取授權,過度收集個人信息,侵害消費者個人信息安全權。
授權協議捆綁1292家公司
近日,北京商報記者在一互聯網平台點擊了一個貸款廣告,經過層層導流和註冊環節後,就發現了一份“內有玄機”的協議。
該協議出自一個名為“愛分期”的平台,其號稱有4萬元預估授信額度,參考年化利率36%。從操作流程來看,領取該額度需要點擊同意愛分期註冊協議和用戶隱私協議。
根據相關協議,愛分期平台是一個移動金融智選平台,也就是業內俗稱的助貸平台,其本身不從事放貸業務,展示的貸款產品將由合作的第三方機構或信貸經理提供。該平台由徐州維夢科技有限公司及其關聯實體運營,並稱相應服務主要是根據用戶貸款申請情況,將用戶個人信息與數據進行審核,通過審核之後再將信息提交至資金放款機構完成放款。
另據隱私協議,愛分期在撮合服務的過程中,用戶需要主動提供姓名、身份證、手機號、信用情況、房產車產、社保公積金等個人信息,這些信息均屬於敏感信息,如果用戶拒絕提供,可能無法正常使用貸款產品申請的功能。
該隱私協議還提到,平台會將用戶個人隱私信息與其他合作方進行信息共享。北京商報記者進一步點擊愛分期貸款合作方列表發現:該平台一攬子信息共享的公司竟達1292家,機構類型除了一些小額貸款公司、消費金融公司、保險公司外,大部分是一些未持有金融牌照的信息科技公司、電子商務公司、商務諮詢公司、金融外包公司等。
為何申請額度勾選協議竟一鍵授權上千家公司?用戶個人隱私信息授權至非持牌金融機構又是何原因?對於多個問題,北京商報記者對愛分期平台方面進行採訪,但截至發稿對方未給出相關回應。
“這一商業模式就是傳統的平台助貸模式。”談及愛分期這一信息授權操作,博通諮詢金融業資深分析師王蓬博說道,“《個人信息保護法》有相關規定,收集信息要考慮最小必要和每個節點都要通知的原則,收集範圍上連帶社保公積金和房產車產,個人覺得這一信息收集明顯過度。另外還有一個嚴重的問題是,其傳播範圍過廣而且鏈條環節過多,涉及1292家機構,也就意味著鏈條上任何一個環節出現問題,個人信息隱私就可能被洩露”。
值得一提的是,自勾選授權後連續多天時間內,北京商報記者每天都收到了多個不知名貸款機構的電話騷擾,還有推銷人員自稱為某銀行信貸審批人員,且已查看過記者的詳細個人資料,獲批額度數万元不等。
可能涉及侵權責任
類似捆綁授權、過度收集用戶個人信息的亂象並不少見。之前就有不少消費者向北京商報記者反饋,在貸款過程中,有平台強制用戶勾選購買“借款人意外傷害保險”協議,否則無法進行下一步操作。在這種情況下,借款人只能勾選確認。
此外,北京商報記者在多次調查中發現,有不少互聯網平台導流的一些助貸公司或者小貸機構,在收集用戶個人信息方面,勾選方式亦存在概括授權、捆綁授權等情況,一鍵授權多家機構的模式並不少見。
這也引起了監管的注意。3月14日,銀保監會發布關於警惕過度借貸營銷誘導的風險提示,其中就強調了過度收集個人信息,侵害消費者個人信息安全權的問題。銀保監會稱,一些金融機構、互聯網平台在開展相關業務或合作業務時,對消費者個人信息保護不到位,比如以默認同意、概括授權等方式獲取授權;未經消費者同意或違背消費者意願將個人信息用於信用卡業務、消費信貸業務以外的用途;不當獲取消費者外部信息等。
北京市中聞律師事務所律師李亞在接受北京商報記者採訪時指出,《個人信息保護法》第二十三條規定,個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類,並取得個人的單獨同意。這樣規定的目的在於保護公民個人信息的安全。在他看來,合作方信息授權一攬子捆綁多家公司,對於用戶來說存在個人信息洩露等巨大風險。
“平台如果洩露用戶私人信息的,民事責任層面,平台可能需要承擔侵權責任;行政責任層面,根據具體情節,平台可能面臨警告、罰款等行政處罰。”李亞說道。
易觀分析金融行業高級分析師蘇筱芮同樣稱,合作方信息授權一攬子捆綁的行為也不利於平台如實、詳細對金融消費者披露各類信息,其中可能存在少披露、不披露等情形,會加劇個人信息面臨的風險,也不符合“斷直連”相關規範,在個人信息的採集、傳輸、共享方面存在漏洞。
數據安全是監管底線
其實,監管部門曾多次強調,未經申請和審批通過的任何單位和個人不得經營個人徵信業務;此外,打著大數據公司、金融科技公司等旗號,未經批准擅自從事個人徵信業務的行為,均屬於違法行為。
2021年7月,監管就網絡貸款業務再次強調,在助貸領域需實現個人信息與金融機構全面“斷直連”,按照整改工作要求,需要遵循監管關於“斷直連”的規定,在個人徵信業務管理的整體框架下,按照“平台-徵信機構-金融機構”的業務合作流程進行整改。
此外,最新公佈的《金融產品網絡營銷管理辦法(徵求意見稿)》指出,數據安全是監管底線,平台應當採取必要的技術安全措施,與其合作的持牌金融機構共同保障數據傳輸的保密性、完整性。
對於市場機構相關行為,李亞指出,平台應該嚴格遵守《個人信息保護法》等相關法律規定及金融管理部門的政策規定。在個人信息處理過程中,應遵循合法、正當、必要原則,不得過度處理。
冰鑑科技研究院高級研究員王詩強則稱,目前,個人隱私監管較為嚴格,處罰力度也越來越大,建議相關金融從業機構謹慎共享客戶信息,即使需要共享也是一家一家單獨授權、直接授權。此外建議相關金融機構不要與一些非持牌機構合作助貸導流業務,以防客戶隱私洩露或者被高利貸平台拖累而被監管處罰。
銀保監會則提醒消費者,在消費過程中提高保護自身合法權益的意識。認真閱讀合同條款,不隨意簽字授權,注意保管好個人重要證件、賬號密碼、驗證碼、人臉識別等信息。不隨意委託他人簽訂協議、授權他人辦理金融業務,避免給不法分子可乘之機。一旦發現侵害自身合法權益行為,要及時選擇合法途徑維權。北京商報記者 劉四紅