行业罚款不断被用户忽略的消费金融用户隐私协议

来源：《财经》新媒体发布时间：2022-05-17 09:11:14

日前，锦程消费金融因违反信用信息采集、提供、查询及相关管理规定，被央行成都分行罚款22.6万元。

《财经》新媒体注意到，锦程消费金融公众号的用户隐私协议的更新时间还停留在2020年10月20日，而多数持牌消金机构的用户隐私协议已更新至2022年以后的版本。从该份隐私协议内容来看，锦程消费金融通过3个核心业务功能和2个附加业务功能累计收集用户具体数据维度超过40项。

不过，收集40项具体用户信息并不罕见，由于金融风控等场景需求的特殊性，消费金融机构在收集用户信息层面会比其他行业更为具体。

但从监管层面来看，要求却日趋严格，对数据采集、使用、管理等方面都提出了具体要求。按照《个人信息保护法》《网络数据安全条例(征求意见稿)》《常见类型移动互联网应用程序必要个人信息范围规定》等监管文件的规定，金融行业在开展业务活动中，应当遵循个人信息处理的合法、正当、必要、诚信原则与公开透明原则，确保个人信息的处理具有明确、合理目的，落实最小必要原则。

《财经》新媒体发现，部分消费金融机构在用户信息采集、处理等方面或存有瑕疵，如采集用户数据的具体维度含糊不清晰、采集数据维度的必要性存疑等。

在数据从业者看来，消费金融机构采集数据是为业务支撑，有用户数据就可以一直挖掘用户需求、精准获客。不过，现在的数据采集和业务开展之间面临着合规难题。

01数据强监管

因违反信用信息采集等数据相关问题被处罚的消费金融机构不只有锦程消金，仅2021年就有4家持牌消费金融机构因信息采集相关问题被监管通报，其中包括平安消金、中原消金、招联金融等。

针对消费金融机构数据方面的处罚多集中在两个方面：一是收集与其提供服务无关的个人信息;二是未经用户同意收集使用个人信息等。早在2018年，种种关于金融用户信息层面的监管趋于严格。

某金融机构数据从业者罗文娟表示，目前，很多应用市场都在筛查金融类App等线上产品的数据采集情况，一经发现存在不合规采集就会下架。

同时，不少金融机构都建立了专门的数据部门，并且设立首席安全官。罗文娟表示，“从数据安全角度而言，一定会有主责部门，很多金融机构都是科技信息部管数据安全，也有些机构放在科技相关部门。”

从实际采集的操作来看，消费金融机构收集用户信息的场景可概括为：注册及登录、申请消费贷款等金融服务、贷款管理及逾期催收、还款、客服与反馈、其他服务、反欺诈和安全管理、与第三方合作、产品改进等。通常情况下，消费金融机构会在用户首次打开其App时弹窗“用户隐私协议”链接并且获取用户的授权。

“不点开链接，用户看不到隐私协议的具体内容。实际上，很少用户会仔细看用户隐私协议，基本都是直接点同意”，罗文娟表示，可是在这些被用户忽略的隐私协议隐藏着一些问题。

一是部分消费金融机构采集用户信息的具体维度表述不清晰。

有消费金融机构的用户隐私协议中，对部分场景采集与使用的信息并未指明信息的具体维度，只显示“部分个人信息”。对此，数据安全资深工程师张乔认为，这样表述明显存在问题，用户隐私协议太过粗略，根据相关的法规，机构数据采集要明确数据采集的范围、频度、类型、用途等。

(某持牌消费金融机构用户隐私协议截图)

实际上，为了用户隐私协议更详细，“大部分消费金融公司的用户隐私协议都万字起步，不仅有分支还会跳转到其他页面”，张乔表示。如招联金融的用户隐私协议字数在2.2万字以上，中银消费金融的用户隐私协议也接近1.5万字。

二是部分消费金融机构采集个人信息维度的必要性存疑。

张乔表示，因为风控等业务层面的需要，金融公司采集数据的维度会比其他类型公司多。不过，2021年5月1日正式施行的《常见类型移动互联网应用程序必要个人信息范围规定》要求，网络借贷类App必要个人信息包括：注册用户移动电话号码、借款人姓名、证件类型和号码、证件有效期限、银行卡号码。

《财经》新媒体对比5家消费金融公司的用户隐私协议发现，目前，消费金融机构采集用户数据的维度依旧非常丰富，除了姓名、手机号、证件类型、银行卡号等网络借贷类App必要个人信息，还包括设备信息、地址信息、安装列表、Wi-Fi状态等用户信息，甚至在注册与登录场景就已采集了大部分的用户信息。

如中银消费金融在注册与登录环节就收集了手机号码、地理位置信息、电子设备信息等，其中电子设备信息囊括了用户的移动设备、网页浏览器或用于接入其服务的其他程序所提供的配置信息、IP地址、无线网络接入信息和移动设备的版本和设备识别码、设备型号、操作系统等十余项具体数据维度。蒙商消费金融也在注册与登录场景采集了用户的安装软件列表(安卓版本)等多个数据维度。