金融APP收集用户信息超过一半的网友从未仔细看过协议条款

新快报记者调查发现，超过一半的网友从未仔细看过协议和条款。

大数据快速发展的背后，不断暴露的数据隐私和安全问题再次成为焦点。近日，金融标准化委员会发布了《个人金融信息保护技术规范》(以下简称《规范》)，不仅从敏感程度上对个人金融信息进行了分类，还对个人金融信息的采集、传输、存储、使用、删除、销毁等各个环节的安全保护提出了要求。新快报记者调查了多个理财app后发现，每个app的隐私条款字数从十几页到几十页不等。大部分用户匆匆翻了一下，勾选了“同意”，也不知道这里面有没有“坑”。记者的一项网络调查显示，超过一半的网民在注册理财APP前“从未仔细阅读隐私条款”。

新快报记者徐丽珍

你的个人财务信息是什么？

去年以来，监管多次打击金融app收集用户个人金融信息的乱象。这背后，根本原因在于用户和企业之间严重的信息不对称。在新快报记者近期发起的一项关于个人理财信息的网络调查中，超过两成的网民表示，注册理财app后经常接到骚扰电话；近两成网友表示不知道会抓取哪些信息，抓取后会如何应用？是否授权给第三方？他们基本上对这些信息一无所知。

“直接点击同意，我还没注意到协议的条款。”有用户告诉新快报记者。但是每次下载金融APP后，《用户协议》和《隐私条款》规定了很多关于个人信息使用的规范和原则。如果用户不仔细阅读，很有可能自己的个人信息会被“出售”。

对于很多用户来说，“盲查”就是连个人财务信息是什么都不知道。

《规范》对个人财务信息进行了详细分类，按照敏感度从高到低分为C3、C2、C1。其中，C3类别信息主要是“用户认证信息”，即如何证明“你是你”？包括银行卡数据、卡片验证码、银行卡密码、账户登录密码、账户交易密码，以及指纹等识别用户的生物特征信息。这类信息一旦被擅自查看，将对人身财产安全造成最严重的危害；C2类别信息是识别用户身份和财务状况的个人信息，如支付账号、证件信息、手机号码、家庭信息和个人财产信息，以及动态密码、短信验证码等用户认证辅助信息。C1类别信息主要是组织内部使用的个人信息。相对于以上两种，这类个人信息的敏感度较低，比如开户时间、开户机构等。

“个人金融信息的分类有利于行业对用户关键敏感信息的使用和处理，也为消费者的隐私和安全提供了证据。”有业内人士表示。然而，新快报记者在调查中发现，大部分理财app并没有对个人财务信息进行分类，少数app简单粗暴地将个人财务信息分为“一般个人信息”和“敏感个人信息”。

“个人财务信息在其中的作用，未经授权的查看或未经授权的更改可能造成的影响和危害，要在具体的场景中进行评估。”馆陶中茂(上海)律师事务所合伙人吴律师说，比如《规范》，数据挖掘等技术对几个低敏感度的数据进行组合、关联、分析后，可能会产生高敏感度的信息，所以要对融合后的个人财务信息进行重新识别，确定类别。所以个人财务信息要看具体的使用场景，也存在低敏感信息经过大数据分析后转化为高敏感信息的可能性。

遵循“最低限度和必要”的原则

用户在注册各类金融app之前，需要同意《用户协议》和《隐私条款》。只要勾选了“同意”，就意味着条款中关于个人信息的获取和使用的各种规则。“2019年是个人金融信息监管元年，今年可以说是合规元年。”有业内人士告诉新快报记者。

事实上，去年因APP超范围采集信息而被监管点名的金融机构和互联网金融公司不在少数。去年底，央行向部分金融机构下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理通知》号文，规定“在收集和使用个人金融信息时，不得以默认、绑定、停止安装使用等方式强制用户变相授权，不得收集与提供金融服务无关的个人金融信息。”

此前，北京盈科(广州)律师事务所律师徐金伟对新快报记者表示，个人信息的分享应遵循最低限度和必要的原则，否则不会被收集和查询。《规范》还提到，个人信息收集应采取“至少够用”的原则。工行广东省分行相关负责人也对新快报记者表示，按照“事先取得客户书面授权”和“最小限度的必要知情授权”的原则，依法合规收集、保存和使用客户个人信息。“尽量减少个人信息在APP停留的时间，降低个人信息泄露的风险。”知情人说。

同时，还要求收集的个人信息类型应与产品或服务的业务功能直接相关。比如Lacarra APP 《隐私政策》显示“信贷业务需要位置信息、设备信息等必要信息来完成交易”。但是，位置信息和设备信息与信贷业务没有业务关系，即使没有位置信息和设备信息，也不会影响正常的信贷业务。

此外，新快报记者发现，大型集团公司子公司之间共享个人信息很正常。比如小米金融APP 《隐私协议》会和群里分享信息。“我们可能会向小米生态系统公司披露您的个人信息.小米生态系统公司可能会不定期与小米金融分享与我们产品相关的数据。”根据国家标准化委员会近期发布的《信息安全技术个人信息安全规范》，“不得通过捆绑产品或者服务的业务功能，要求个人信息主体对其未申请或者未一次性使用的业务功能接受并授权收集个人信息的请求。”有业内人士告诉新快报记者，“这意味着通过一个APP，集团公司可以一次性获得用户信息授权，并可以应用到集团的多个子公司。”

第三方不能随便收集用户信息。

在金融APP的《用户协议》中授权第三方收集使用个人金融信息是常见的做法，也是存在个人信息安全隐患的“重灾区”。

根据《规范》的要求，企业不得委托或授权无个人征信牌照的大数据公司或征信公司采集C2、C3信息。因为这两类信息涉及用户身份识别和账户安全，比较敏感，所以排除了没有金融资质的机构。

新快报记者在调查中发现，很多理财APP 《隐私条款》含糊其辞。例如，在中国邮政钱包APP 《隐私条款》的授权第三方部分，表示“与合作伙伴分享您的部分必要个人信息”。到底什么是“一些必要的个人信息”，一直没有解释清楚。“如果涉及C2和C3类别的信息，一旦与不正规的第三方合作，就会存在数据隐私泄露和滥用等很大的安全隐患。”有业内人士分析认为。

也有很多金融app更新了相关规定。在京东金融2020年1月9日更新的《隐私条款》中，“我们只会分享提供服务所必需的个人信息，任何第三方无权将分享的个人信息用于其他目的。”

从大数据行业的角度来看，这一规定也意味着各种

“未来，金融机构将加强对第三方合作机构的资质审查，避免与非持牌机构开展涉及个人金融信息的业务合作，如征信、催收等。”业内人士对新快报记者分析。

互连

保护您个人财务信息的安全。

一个

防止信息被过度收集，关闭不必要的权限。

一般来说，金融类app都是向用户申请开通权限来收集相应的个人信息。例如，“相机”权限用于拍摄照片和视频、面部识别等。“位置”权限可以获得准确的地理位置，基于位置的智能推荐等等。APP在申请开通权限时，可以根据其对用途的介绍或相关业务功能的特点，简要分析判断该权限是否与特定功能相关。如果没有关联，可以选择不开放权限。如果APP强制用户提供无关权限，你需要考虑是否继续使用APP，防止个人信息被过度收集。

2

不使用财务APP时及时注销。

新快报记者在线调查显示，不到10%的网民在不使用理财APP后会及时注销。由于很多用户在没有使用金融APP后没有及时注销账户，个人数据一直“躺”在账户里。一般来说，金融APP的“设置”功能里有销户功能。同时要注意需要点击删除账户数据，确保及时删除个人财务信息。

三

不要随意丢弃个人财务信息

广发信用卡相关人士提醒，用户要注意不要轻易泄露个人信息，不要随意在网上拍照、发地理位置；不要丢弃购物单、取款单、信用卡对账单等。如果财务业务单据书写错误或作废，应及时用碎纸机切碎或销毁。不要随意丢弃，防止犯罪分子捡到后查看、复制、破译个人财务信息。此外，在为各项业务提供个人身份证件复印件时，应在复印件上注明使用目的，如“仅用于申报信用卡”，防止身份证复印件被挪作他用。

责任编辑：李思阳