近日,南都个人信息保护研究中心发布了《移动金融用户个人信息安全测评报告》。研究中心选取了公众使用最为频繁的200款移动金融交互类APP,从隐私政策、敏感权限获取、财产身份信息收集告知等3个角度,对个人信息保护水平进行了测评。报告显示,在隐私政策合规方面,九成APP的隐私政策合规度低,其中20款更是无任何隐私条款,在测评中获得0分。

报告发布后,研究中心再次测评上述20款0分APP的隐私政策发现,中国银行、趣店、珠宝贷、绿化贷4款APP已经添加了隐私保护相关条款,但仍有16款APP没有隐私政策,任由用户隐私“裸奔”。

1、实体银行的线上产品也应提供用户协议和隐私政策

“隐私政策”,是企业与用户之间规定基本权利义务的文件,用以告知用户个人信息如何被收集、使用以及如何与第三方共享。它不仅是对企业的束缚,也是企业提示用户自主、自愿、合理提供和处理个人信息,并区分与用户责任的依据。而用户通过与企业签署隐私政策协议,可以使自己的个人信息得到更好的保护。

不提供隐私政策,就意味着APP在收集用户实名信息、银行卡信息、信用信息等敏感信息的时候,没有任何保护这些用户个人信息的承诺文本。用户作为弱势的一方,被完全暴露在信息泄露的风险中。

在新增了隐私条款的4款APP中,中国银行作为实体银行的线上应用平台,是较为特殊的一个。南都记者从中国银行了解到,用户在线下柜台开户时,就已签署相关风险提示和电子银行服务的纸质协议,而协议涵盖了用户信息保护条款。因此有观点称,实体银行的线上产品无需再提供用户协议和隐私政策。

但是,研究中心认为,在收集个人信息上,无论是收集内容、存放方式还是保护措施,线上线下都有很大不同,因此实体银行的线上产品也应提供专门的隐私政策。

报告发布后,南都记者注意到,中国银行APP在登录页面新增了《中国银行电子银行客户安全服务保障须知》,明确告知用户将采集地理位置、设备等信息,并且仅用于评估交易风险,同时将保护用户资金安全。

2用户信息可用于催款?律师:惩戒失信行为须合规

经过研究中心的再次测评,除中国银行外,趣店、珠宝贷以及绿化贷三款此前为0分的APP也已经添加了隐私条款,对于报告与用户的关切,反应可称及时。

但经过南都测评,新添加的隐私条款得分并不高,它们在隐私政策透明度上的得分分别为:趣店33分,珠宝贷33分,绿化贷26分。可以看出,它们依然处于透明度低的层级。

南都记者梳理发现,3款APP的隐私条款有一个共同点:都不是独立的隐私政策,而是作为用户协议的其中一个章节。一般来说,用户协议可以看作是制约用户滥用违法的手段干扰网站运行的手段。相比隐私政策专注于用户个人信息,其实两者内容差异很大。但事实上,研究中心测评过的APP中大部分都将隐私条款置于用户协议之中,同时这些隐私条款也极为简单和不完整。

其中绿化贷虽然在用户提供手机号之后,提供了用户协议和隐私政策的链接,但点进去却是空白页面。南都记者完成注册之后,才在其他页面找到了含有隐私条款的“平台协议”。出现无效链接的情况并不少见,也许APP提供商深谙只有极少数用户才会在注册时点开这些协议的心理。

更为重要的是,无论是用户协议还是隐私政策,都应该在用户未提供任何个人信息的时候做出,在充分享有知情权后再决定是否要输入个人信息。

根据推荐性国家标准《个人信息安全规范》的模板,隐私政策应该包括如何收集和使用用户的个人信息,如何使用Cookie等同类技术,如何共享、转让、公开披露个人信息,如何保护个人信息,如何处理儿童的个人信息、如何在全球范围转移个人信息,以及政策如何更新。

此外,《个人信息安全规范》的隐私政策模板还有专门的一个章节,告知用户自己拥有哪些权利。然而,用户权利在隐私政策透明度中等及以下的所有APP中几乎从未被提及过,更不用说处于最低层级的趣店、珠宝贷和绿化贷了,平台往往更倾向于用大篇幅描述自己拥有的权利,甚至堂而皇之列出一些“霸王条款”。

比如趣店的隐私条款中写道:“您同意,趣店有权使用您的注册信息、用户名、密码等信息,登陆进入您的注册账户,进行证据保全,包括但不限于公证、见证、协助司法机关进行调查取证等。”如果APP提供商真的可以不受任何约束,随意进入用户的账户的话,用户哪里还有隐私可言?

珠宝贷的隐私条款则提到,如果“您严重违反平台的相关规则,平台有权对您提供的及平台自行收集的您的信息和资料编辑入平台黑名单,并将该黑名单对第三方披露,且平台有权将您提交或平台自行收集的您的资料和信息与任何第三方进行数据共享,以便平台和第三方催收逾期借款及对您的其他申请进行审核之用”。

对此,北京玺泽律师事务所高级合伙人程贞向南都记者表示,用户的资料和信息必然包括姓名、身份证号、住址等,这样的公布范围涉嫌侵犯被公布人的隐私权。她引用《民事诉讼法》第255条和《最高人民法院关于公布失信被执行人员名单信息的若干规定》表示,对失信被执行人员的执法主体应该是人民法院,而不是其他组织或民间机构。“对失信行为进行惩戒,也要依法合规”。

文/蒋琳

编辑:李玲

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。