網絡借貸類APP隱私政策調查研究

朱宇辰

（湘潭大學公共管理學院 湖南湘潭 411105）

研究背景

網絡借貸類APP也隨之興起，這類APP雖然滿足了部分用戶小額借貸的需求，但是因為網絡安全環境復雜和涉及用戶財務敏感信息等特點留下了相當大的安全隱患。如今各種借貸類App也開始爭先恐后地收集用戶的個人隱私，然而其中不乏違反法律的行為。

2018年中國消費者協會發布的100款APP調查報告中金融類APP得分最低僅有28分。2020年的315晚會曝光了一批手機APP名單，名單中的APP暴露了未征得用戶同意違規收集信息的行為。其中信用金庫、秒貸錢包、來閃貸等借貸類app占據著名單的半壁江山。2017年12月國家標準化管理委員會頒布《信息安全技術個人信息安全規范》，明確了對個人信息控制者在信息收集、保存、使用、共享、轉讓和披露等方面行為的規范，同時也提供了模板，為網絡借貸類APP完善隱私保護政策提供依據。2019年1月，中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布《關于開展APP違法違規收集使用個人信息專項治理的公告》在全國范圍組織開展APP違法違規收集使用個人信息專項治理，并成立APP違法違規收集使用個人信息專項治理工作組。2020年7月22日工信部展開行動重點對APP、SDK違規處理用戶個人信息方面、欺騙誤導用戶方面等方面展開治理。如今，手機APP的個人信息保護已經步入深水區，針對不同種類的APP隱私政策采取有針對性的深入調查是有現實需求的。

國內學者關于手機APP隱私政策和網絡貸款的相關研究

手機APP隱私政策是“隱私政策”是指網站在收集、傳遞、共享、利用、發布個人信息的過程中，所制定的應當承擔保護個人信息合法權益的責任和義務，以及非網站原因造成信息泄露的免責聲明。完善的隱私政策可以督促經營方優化自身處理用戶數據的方案，也可以提高用戶對于經營方的信任。相反，一個漏洞百出的隱私政策則會持續地威脅著用戶的隱私安全，也不利于經營方的持續發展。2006年談詠梅、錢小平認為通過強調隱私政策的合同條款性質對網站的隱私權保護政策加以完善[1]；2019年李延舜通過考察49例隱私政策文本得出應該以“克服集體行動難題”“問責”以及“行政監管與公司治理、行業自治相結合”3個方面入手完善軟件隱私政策[2];2020年馬騁宇、劉乾坤等人通過構建綜合評價指標體系對醫療健康類隱私政策的內容進行系統評價，并提出建議優化隱私政策設計[3]。

秦成德(2015)介紹了網絡借貸的內涵與興起，他指出我國網絡借貸的信息管理和信息審核存在漏洞，并在立法完善、個人信用體系完善、建立個人信息保護制度等方面給出相關建議[3]；江上，劉亞娟（2015）分析了網絡借貸的特征，指出了個人信息安全由于部分平臺行業不自律、相關法律法規不完善、用戶信息安全意識薄弱所導致；[4]；蔡定坤（2020）闡述了網絡借貸個人信息概述，指出了網絡借貸法律規范較為松散缺乏統一性、網貸平臺自律監管不到位、法律救濟機制不完善等問題，并提出了相應個人信息保護的應對措施[5]。

國內無論關于APP隱私的研究還是網絡借貸的研究都頗多，但是專注于網絡借貸類APP隱私政策的研究較少。

網絡借貸類APP隱私政策分析

筆者收集權威數據網站艾媒北極星發布的APP榜單中10款網絡借貸類APP的隱私政策文本，然后基于國家標準《個人信息安全規范》《信息安全技術個人信息安全規范》和行業中的APP隱私政策標準以及網絡借貸個人信息保護的特點逐一分析文本內容。這些隱私政策主要包括一般項目、個人的信息收集與使用、Cookie及同類技術的使用、個人信息存儲等五大方面。

隱私政策的一般項目。隱私政策的一般項目包括隱私政策位置、隱私政策的完整性、隱私政策的可讀性、隱私政策的更新生效時間。隱私政策位置的顯著與隱蔽直接影響了用戶是否能快速找到并閱讀APP的隱私政策，其中360借條、平安普惠等7款程序在用戶第一次啟動時會出現彈窗并使用加深顏色字體提醒用戶閱讀隱私政策，快貸和用錢寶并使用彈窗提醒，人人貸需要用戶二次點擊尋找隱私政策；隱私政策的完整性要求各程序隱私政策的目錄完整，在這一方面各平臺表現較好，基本都在隱私政策中列舉了7至11條目錄；隱私政策的可讀性要求隱私政策具有適當的名詞解釋，以此來降低用戶的閱讀成本。其中360借條、拍拍貸等5款給出5條以上的名詞解釋，宜人貸、還唄給出了個人信息、敏感信息舉例和附表；所有的程序都給出更新生效時間，并且更新生效的時間都在處于3個月以內。

個人信息的收集與使用。借貸平臺在收集用戶信息時需要表明信息收集原則以及收集信息的種類。網絡借貸類APP與其他類APP主要一個區別在于網絡借貸類APP會大量地收集用戶的諸如個人財產信息、個人生物識別信息等個人敏感信息，然而平臺在收集個人敏感信息的過程中會不可避免的出現種種違規行為。在國家標準《信息安全技術 移動互聯網應用程序（App）收集個人信息基本規范》(下文稱《信息安全技術》）中明確表示當個人信息主體同意 App 收集某服務類型的最小必要信息時，App 運營者不得因個人信息主體拒絕提供最小必要信息之外的個人信息而拒絕提供該類型服務。360借貸等6款程序明確表示了會拒絕提供核心的借貸服務當用戶拒絕提供某些最小必要信息之外的信息或者權限時，例如“你我貸”要求用戶需要提供通話記錄權限和日歷權限后方可享受借貸服務；《信息安全技術》中指出 App 運營者不得收集不可變更的設備唯一標識，用于保障網絡安全或運營安全的除外。但是仍然有大量的借貸程序違規收集用戶設備唯一標識用于注冊、風險審核等其他安全以外的服務；《信息安全技術》中指出當 App運營者擬收集的個人信息超出服務類型的最小必要信息時，對于超出部分的個人信息，App 運營者應征得個人信息主體的授權同意。涉及個人敏感信息的，應逐項征得個人信息主體的明示同意。此部分是網絡借貸平臺的重災區，由于借貸服務的特殊性，借貸平臺為了保證借貸業務的安全性會大量收集用戶的個人信息和個人敏感信息，這其中不免有違規收集的情形。《信息安全技術》明確指出金融機構提供借貸服務時需要兩位常用聯系人的聯系方式，但是調查中大部分借貸平臺并未表明常用聯系人人數，并且大肆索要用戶家屬朋友的聯系方式，嚴重者則會直接索取通訊錄信息；第三方SDK合規的信息收集是隱私政策合規性的要求之一。根據調查，人人貸、拍拍貸、等3款應用程序未列出詳細第三方SDK采集信息說明。

Cookie及同類技術的使用。應用程序為了確保自身的正常運轉，通常會在用戶的計算上存儲名為Cookie或是其他同等類型的小數據文件。平臺方借助于Cookie存儲用戶的偏好或是購物數據以便于產品與廣告的推送。合格的隱私政策應該告訴用戶以下幾點：Cookie類技術方式說明、Cookie類技術使用標準、Cookie類技術使用安全性、Cookie類技術發生安全事件時的保護。本次調查的借貸類APP都列舉自身所使用的Cookie類技術，但是關于其技術使用標準、安全性以及發生安全事件時的保護則是寥寥幾筆，或者是沒有提及。

個人信息存儲。合規的隱私政策在個人存儲方面應當表明信息存儲內容、信息存儲保護標準、信息存儲地域、信息存儲時限、當個人信息主體關閉某服務類型后，App 運營者應終止該服務類型收集個人信息的活動，并對僅用于該服務的個人信息進行刪除或匿名化處理。本次調查中發現只有2款APP明確表明將會存儲用戶的信息達5年，其他APP均為未明確說明存儲事件或是對于存儲時間的模糊說明。

未成年人信息保護。合規的隱私政策應當具有有效的未成年人信息保護條款。由于借貸類APP提供特殊的借貸功能，這要求其應當出臺更加嚴格的未成年人保護條款。隱私政策需表明是否為未成年人提供服務、是否需要取得未成年人法定監護人的同意、發生擅自收集未成年人信息的情況的處理辦法等多項保護條款。本次調查的隱私政策樣本中平安普惠和省唄不為未成年人提供服務，并且除了還唄均有專門的未成年人保護條款。多款隱私政策也表明需要未成年人法定監護人才可收集未成年人信息。未成年信息誤收集的補救措施多為刪除或者停止收集。

完善網絡借貸類APP隱私政策的建議

根據本次對于借貸類APP隱私政策本文的調查研究，本文給出一下幾方面建議用于隱私政策的完善。

優化隱私政策。對于平臺方而言，應該優化自身隱私政策。從調查中得知，大部分借貸類APP隱私政策給出的名詞解釋都較少，借貸類APP由于涉及到網絡應用和借貸服務兩項領域，應該給出用戶更多的專業性名詞解釋；隱私政策進一步遵守信息收集最小化原則，減少對于提供借貸服務非必要的敏感信息如“住宿信息”“健康生理信息”等；隱私政策的制定也應該重視Cookie類技術的表明，增加豐富關于Cookie類技術使用標準與安全性的條款；隱私政策在個人信息存儲一欄應當明確個人信息的存儲時間而非模糊告知。

完善法律支持。網絡借貸類APP隱私保護的改善更多的依賴于各種法律規范的支持。本次調查中發現由于《信息安全技術》關于信息收集最小化原則中關于“償債能力”這一信息沒有詳細定義與邊界，這導致大部分借貸平臺毫無顧忌地借由考察用戶償債能力一理由大肆收集用戶的敏感信息。對于此類迷糊定義的詞匯的詳細解釋將會有利于平臺方制定出合規的隱私政策。

加強用戶教育。部分平臺為了弱化用戶對于隱私政策的關注度，特意會多次設置鏈接來隱藏隱私政策。相關部門應當通過網絡宣傳等多種手段加強宣傳隱私政策的重要性，培養用戶的隱私重視度。

隨著移動互聯網借貸服務的發展，網絡借貸的隱私保護問題會越發的出現各種問題，隱私政策的重要性也會體現出來。總之，良好的隱私政策能夠為優良的互聯網金融借貸服務保駕護航，所以制定優秀隱私政策也是不可或缺的。