“我就是办个贷款,为什么要同意这么多协议?”“只是点了下协议,怎么就授权了1000多家公司查询信息?”有过贷款经历的消费者,对相关协议的勾选环节一定不陌生,从注册到授信,再到支付,短则几百字、多则上万字的协议,消费者大都草草略过,事后才发现,很多坑其实就藏于其中。
3月14日,银保监会发布关于警惕过度借贷营销诱导的风险提示,也提到一些金融机构、互联网平台在开展相关业务或合作业务时,以默认同意、概括授权等方式获取授权,过度收集个人信息,侵害消费者个人信息安全权。
授权协议捆绑1292家公司
近日,北京商报记者在一互联网平台点击了一个贷款广告,经过层层导流和注册环节后,就发现了一份“内有玄机”的协议。
该协议出自一个名为“爱分期”的平台,其号称有4万元预估授信额度,参考年化利率36%。从操作流程来看,领取该额度需要点击同意爱分期注册协议和用户隐私协议。
根据相关协议,爱分期平台是一个移动金融智选平台,也就是业内俗称的助贷平台,其本身不从事放贷业务,展示的贷款产品将由合作的第三方机构或信贷经理提供。该平台由徐州维梦科技有限公司及其关联实体运营,并称相应服务主要是根据用户贷款申请情况,将用户个人信息与数据进行审核,通过审核之后再将信息提交至资金放款机构完成放款。
另据隐私协议,爱分期在撮合服务的过程中,用户需要主动提供姓名、身份证、手机号、信用情况、房产车产、社保公积金等个人信息,这些信息均属于敏感信息,如果用户拒绝提供,可能无法正常使用贷款产品申请的功能。
该隐私协议还提到,平台会将用户个人隐私信息与其他合作方进行信息共享。北京商报记者进一步点击爱分期贷款合作方列表发现:该平台一揽子信息共享的公司竟达1292家,机构类型除了一些小额贷款公司、消费金融公司、保险公司外,大部分是一些未持有金融牌照的信息科技公司、电子商务公司、商务咨询公司、金融外包公司等。
为何申请额度勾选协议竟一键授权上千家公司?用户个人隐私信息授权至非持牌金融机构又是何原因?对于多个问题,北京商报记者对爱分期平台方面进行采访,但截至发稿对方未给出相关回应。
“这一商业模式就是传统的平台助贷模式。”谈及爱分期这一信息授权操作,博通咨询金融业资深分析师王蓬博说道,“《个人信息保护法》有相关规定,收集信息要考虑最小必要和每个节点都要通知的原则,收集范围上连带社保公积金和房产车产,个人觉得这一信息收集明显过度。另外还有一个严重的问题是,其传播范围过广而且链条环节过多,涉及1292家机构,也就意味着链条上任何一个环节出现问题,个人信息隐私就可能被泄露”。
值得一提的是,自勾选授权后连续多天时间内,北京商报记者每天都收到了多个不知名贷款机构的电话骚扰,还有推销人员自称为某银行信贷审批人员,且已查看过记者的详细个人资料,获批额度数万元不等。
可能涉及侵权责任
类似捆绑授权、过度收集用户个人信息的乱象并不少见。之前就有不少消费者向北京商报记者反馈,在贷款过程中,有平台强制用户勾选购买“借款人意外伤害保险”协议,否则无法进行下一步操作。在这种情况下,借款人只能勾选确认。
此外,北京商报记者在多次调查中发现,有不少互联网平台导流的一些助贷公司或者小贷机构,在收集用户个人信息方面,勾选方式亦存在概括授权、捆绑授权等情况,一键授权多家机构的模式并不少见。
这也引起了监管的注意。3月14日,银保监会发布关于警惕过度借贷营销诱导的风险提示,其中就强调了过度收集个人信息,侵害消费者个人信息安全权的问题。银保监会称,一些金融机构、互联网平台在开展相关业务或合作业务时,对消费者个人信息保护不到位,比如以默认同意、概括授权等方式获取授权;未经消费者同意或违背消费者意愿将个人信息用于信用卡业务、消费信贷业务以外的用途;不当获取消费者外部信息等。
北京市中闻律师事务所律师李亚在接受北京商报记者采访时指出,《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。这样规定的目的在于保护公民个人信息的安全。在他看来,合作方信息授权一揽子捆绑多家公司,对于用户来说存在个人信息泄露等巨大风险。
“平台如果泄露用户私人信息的,民事责任层面,平台可能需要承担侵权责任;行政责任层面,根据具体情节,平台可能面临警告、罚款等行政处罚。”李亚说道。
易观分析金融行业高级分析师苏筱芮同样称,合作方信息授权一揽子捆绑的行为也不利于平台如实、详细对金融消费者披露各类信息,其中可能存在少披露、不披露等情形,会加剧个人信息面临的风险,也不符合“断直连”相关规范,在个人信息的采集、传输、共享方面存在漏洞。
数据安全是监管底线
其实,监管部门曾多次强调,未经申请和审批通过的任何单位和个人不得经营个人征信业务;此外,打着大数据公司、金融科技公司等旗号,未经批准擅自从事个人征信业务的行为,均属于违法行为。
2021年7月,监管就网络贷款业务再次强调,在助贷领域需实现个人信息与金融机构全面“断直连”,按照整改工作要求,需要遵循监管关于“断直连”的规定,在个人征信业务管理的整体框架下,按照“平台-征信机构-金融机构”的业务合作流程进行整改。
此外,最新公布的《金融产品网络营销管理办法(征求意见稿)》指出,数据安全是监管底线,平台应当采取必要的技术安全措施,与其合作的持牌金融机构共同保障数据传输的保密性、完整性。
对于市场机构相关行为,李亚指出,平台应该严格遵守《个人信息保护法》等相关法律规定及金融管理部门的政策规定。在个人信息处理过程中,应遵循合法、正当、必要原则,不得过度处理。
冰鉴科技研究院高级研究员王诗强则称,目前,个人隐私监管较为严格,处罚力度也越来越大,建议相关金融从业机构谨慎共享客户信息,即使需要共享也是一家一家单独授权、直接授权。此外建议相关金融机构不要与一些非持牌机构合作助贷导流业务,以防客户隐私泄露或者被高利贷平台拖累而被监管处罚。
银保监会则提醒消费者,在消费过程中提高保护自身合法权益的意识。认真阅读合同条款,不随意签字授权,注意保管好个人重要证件、账号密码、验证码、人脸识别等信息。不随意委托他人签订协议、授权他人办理金融业务,避免给不法分子可乘之机。一旦发现侵害自身合法权益行为,要及时选择合法途径维权。