您的位置 首页 练字问答

从马上金融信息授权协议看数据采集边界|用户有多弱势

不遵循“最小化”采集要求,概括授权的现象依然泛滥。
随着社会各界及监管的日益重视,这场数字整治风暴带来的影响和思考还仅是开局。周公子从多家律所及机构中了解到,近期有不少个人金融服务公司都在修改“个人信息收集授权”相关的条款,以便争取对于公司而言更有利的立场。而大多数点“同意”的用户,根本没看过授权协议,更不知道自己“同意”授权的个人信息采集范围有多大、时间多长,更不会想一旦有什么问题该怎么办。
01
不遵守“最小化”采集要求
根据《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草案)(下简称《规范》),企业收集个人信息应遵循“最少信息”原则,也在一定程度上明确了金融借贷公司采集信息的“最少”范畴。但从具体到的操作层面看,部分企业显然不那么“自觉”。
下图可见,《规范》草案中明确的金融借贷类企业的“最少信息”收集范畴:
再对比下图马上消费金融的个人信息收集授权协议:
马上消费金融的个人信息收集授权条款
对比之下,明显可以看出马上金融对个人信息采集的边界已超出“最少信息采集”范围。值得一提的是,《规范》中明确提到紧急联系人最少采集标准仅为2人,且明确仅用于催款,不得强制读取用户的通讯录,而马上消费金融的信息采集协议中,明显有多处用途均包含了联系人信息(未明确联系人数量,是否指通讯录所有联系人)、手机通讯录、短信记录等,明显超出“最少采集”范畴。
“以上条款在信息数据收集内容以及信息数据共享上的规定不甚明细,如联系人信息是否指借款人的全部通讯录,学籍信息是否必要等,上述规定在获取借款人信息的必要性以及合理性上值得商榷,尤其借款人信息数据授权后如何撤销未有明确路径。”一位专注于金融科技法规研究的资深律师对公子表示,上述条款的确在一定程度上给用户信息安全带来隐患,但此类条款在不少个人金融服务APP中常有。
除了数据采集、共享规定不甚明细之外,而从完整版的协议内容看,公子也的确未能在协议中找出关于授权撤销路径的说明。“在这种偏向概括授权的条款面前,用户或消费者的确常陷入被动,但这是行业的普遍做法。”广州地区另有一名资深律师对公子透露,自上述《规范》披露后,虽然还是草案,但加之近期的数据风波,越来越多个人金融服务类的企业在近期修正关于数据使用、信息收集相关的条款,尤其是涉及与第三方数据公司合作的范畴。
“近期找我们协助修改的小贷公司就有好几家了。”该律师又补充到:“公司出于自身利益出发,修正条款可以避免更多法律风险这可以理解,但对于用户来说,一旦有信息泄露或别的问题出现,通常没有特别有效的维权途径,很多公司也不会明确告知如何撤销授权。”
而马上消费金融相关负责人也回应称,公司近期已修改了上述信息收集的条款,上述协议乃旧版本,目前已经全面停用。但有意思的是,实际情况却与该说法不符,上述协议目前上述协议仍在马上金融的多家合作机构中正常使用(请注意下图的协议签署时间):
协议文末有明确签署时间,该协议仍在多个合作渠道使用
02
信息采集使用边界亟待明晰
虽然个人金融服务领域在保护个人信息和隐私的路上仍需努力,但目前我们已经看到行业在努力。据消金界报道,目前《个人金融信息(数据)保护试行办法(初稿)》已经出炉,并已下发至各银行征求意见中,其初稿中关于信息授权范围的内容也引发业内关注:第十八条规定“金融机构不得以‘概括授权’的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
因此,无论是从上述《规范》的草案内容来看,还是即将出炉的《个人金融信息(数据)保护试行办法(初稿)》来看,明确信息使用和采集的边界,都是努力的方向。
“从实际操作的角度看,最难的就是信息使用和采集的‘边界’如何界定,如果不像上述《规范》中明确标出哪些数据属于‘少量’采集的范畴,每家公司对‘少量’的理解和界定可能都不一样。”一家独角兽公司的大数据总监对公子举例:“就拿催收来说,需要客户联系人的信息是必要的,但是需要2个5个还是全部通讯录的联系人?这些都需要明确的定义,不然对于公司风控的角度来说肯定采集越多越好,但对于用户而言显然是不乐意的。”
广东省小额贷款公司协会常务副秘书长徐北也认为,机构如何确保自身数据使用的安全边界非常重要,比如在与第三方数据公司合作的过程中,如何有效确保第三方公司的使用范围真的只发生在业务需求的边界内?若有超出业务需求或采集边界的范围,用户如何得知,如何保护自身权益,都是行业需要努力的方向。
注:
原创文章,未经授权,请勿转载。
联系周公子请加微信号:zhougongzihenshuai
投资有风险,入市须谨慎,以上观点分享不构成投资建议。
History Review:
Welcome To Link▼

热门文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注