北京商报讯(记者孟凡霞实习记者刘四红)1月8日,工信部官方微信发布关于侵害用户权益行为的APP(第二批)通报。北京商报记者注意到,第二批发现存在问题且未完成整改的15款APP,所涉问题包括私自收集个人信息、过度索取权限、账号注销难等问题,其中,金融类App飞贷因“不给权限不让用”问题被点名。
对于飞贷所涉问题及整改情况,北京商报记者向飞贷方面进行了采访,对方回应称,“经相关部门落实确认,对于不给权限不让用这一问题,相关部门正在通过咨询电话了解具体问题点,并将在工信部指导及要求下,遵照相关法规要求,完成整改工作。”
与此同时,北京商报记者*载下**飞贷App,体验后发现其确实存在工信部所点名的这一问题。具体表现为:*载下**完成打开App后,该页面会弹出“个人信息保护提示”,并称用户在使用飞贷App时,App将收集使用用户设备信息用于提供相应服务,其中可能会获取用户位置等信息。
值得注意的是,当北京商报记者点击不同意后,该App便无法打开,并出现了闪退情况。
另据飞贷提供的《隐私政策》,北京商报记者注意到,飞贷App收集用户的个人信息包括7大类,其中包括手机号码、身份信息要素(包括登录名、密码、短信校验码、电话号码、手机号码、证件号码及生物识别信息)、个人敏感信息(包括个人电话号码、身份证号码或其他有效证件号码、个人生物识别信息、银行账号、财产信息、精准定位信息)、设备MAC地址、设备型号、操作系统、唯一设备标识符、登录IP地址、软件版本号、接入网络的方式、类型和状态、APP崩溃日志信息等。飞贷称,此类信息是为用户提供服务时必需收集的基础信息。
《隐私条款》还称,用户使用平台申请借款产品或服务时,其会要求用户添加或者授权采集用户个人通讯录及相关的联系人信息;并在获得用户自主选择同意后,获取用户精准定位的信息(GPS信息)。
值得注意的是,飞贷的《隐私条款》中,还涉及到用户对第三方风控公司的授权,其中涉及的公司包括大数据公司同盾、客服系统平台Udesk、数据服务商个推、数据提供商TalkingData。具体来看,《隐私条款》显示,为提高用户使用平台提供服务的安全性,需用户授权平台与合作的第三方风控服务商,可通过SDK(软体开发工具包)的方式共享用户的设备、日志等信息,来综合判断用户账户及交易风险,进行身份验证,检测及防范安全事件。其中包括:同盾SDK会涉及用户的设备型号、设备标识、IP地址、MAC(局域网地址)、IMEI(国际移动设备识别码,即通常所说的手机序列号、手机“串号”)、设备型号、网络信息、设备状态、当前GPS(全球定位系统)坐标等信息;Udesk在线客服会涉及用户手机号、设备标识;个推SDK会涉及用户设备标识、APP应用列表信息、网络信息、位置信息(经纬度)、设备平台、设备厂商、设备型号;TalkingData会涉及用户设备标识、IP地址、MAC、IMEI、设备型号、网络信息等。
“这收集的信息太多了,不授权不让用,一看就是霸王条款。”一位不愿具名的资深金融科技分析人士直言,从《隐私政策》来看,不授权就不能使用服务,规则太密难以阅读,SDK收集信息太多,没有逐条列出信息收集目的而是笼统带过,专业术语太多普通人无法理解,收集手机、身份、银行卡的目的不明确不具体,这些都是飞贷违规的问题点,且飞贷收集的这些信息,保存存储使用都存一定的合规风险。
前述人士进一步称,从违规点来看,飞贷后期整改项将非常多,且难度大。其中,App必须刷新协议,使其可读、简洁、必要性充分,且风控系统也要及时改造,采集信息SDK也应慎用。
值得注意的是,对于后期整改,工信部已划定期限,强调违规APP应在2020年1月17日前完成整改落实工作,逾期不整改的,工信部将依法依规组织开展相关处置工作。工信部称,在此前第一批未按要求完成整改的3家企业,已于2020年1月3日依法组织下架。
据悉,根据此前关于开展APP侵害用户权益专项整治工作的通知要求,工信部正按计划、分阶段、稳步推进APP侵害用户权益专项整治行动。下一步,工信部仍将以此次专项整治行动为契机,持续加强APP监督检查,形成常态化监管机制,切实维护用户权益。