南都金融合规研究课题组通过下载、注册、实操使用等环节，本期专项测评了23个消费金融公司App的情况。结果显示，权限获取和个人信息收集成消金类App问题“重灾区”。超半数App申请权限时未明示目的，超三成所测App强制获取权限，超两成App在隐私政策中未清晰告知申请权限涉及的功能。另有近一半App未清晰说明第三方代码插件（含SDK）的使用情况，还有超四成的App未清晰说明收集个人信息的业务功能、目的、方式和范围，还有极个别App仍在要求用户捆绑授权多项业务功能收集个人信息的请求。

从总分来看，垫底的App分别是湖北消费金融公司旗下的嗨袋App、包银消费金融、盛银消费金融、杭银消费金融旗下的消邦、华融消费金融、晋商消费金融旗下的晋享钱包，总分均在85分以下，而总分超过90分的“相对优秀生”只有苏宁消费金融、马上消费金融公司旗下的安逸花和平安消费金融三个App。

权限获取和个人信息收集成消金类App问题“重灾区”

与前两期测评的对象有所不同，消费金融公司是受银保监会监管的持牌金融机构，在业务合规性方面，或应该有更严格的自我要求。但从测评结果来看，消费金融类App在权限获取和个人信息收集方面都有比较严重的问题。超过半数（52.17%）的消费金融App在权限获取部分的得分在80分以下，90分以上的只有一个App。

根据课题组梳理，扣分项目集中在是否强制获取权限、是否在隐私政策中专门告知权限申请涉及的功能、要求获取的权限是否为基本业务功能为必须、申请权限时是否向用户明示目的等。而在个人信息收集部分，较多被测App都以提升使用体验、个性化服务为由，收集通讯录、通话详单、短信记录等个人信息，还有部分App将上述类目的信息作为信贷业务信息收集范围。具体来看，有七成被测App要获取用户的通讯录权限，读取通讯录信息，仅有平安消费金融、马上金融、安逸花、招联消费金融公司旗下的招联金融、招联好期贷、苏宁消费金融和盛银消费金融不收集通讯录；有四成被测App要获取用户的短信详单；有四分之一以上的被测App要收集用户的通话记录，涉及马上金融、安逸花、中原消费金融、消邦、晋享钱包和嗨袋。

除了权限与个人信息收集，还有App通过捆绑App多项业务功能的方式，要求用户一次性接受并授权同意多项业务功能收集个人信息的请求，海尔消费金融公司旗下的两个款App海尔消费金融和够花就涉嫌强迫用户捆绑签订一揽子协议。根据课题组测评，上述两个App在注册前就要求用户同意“注册及相关协议”，包括《用户注册协议》《消费信贷服务协议》《个人信息使用授权》《用户隐私政策》《CFCA数字证书服务协议》，其中的《个人信息使用授权》《CFCA数字证书服务协议》《消费信贷服务协议》本应该是进入贷款申请业务环节才需要签订的协议，不应该和注册协议、隐私政策等基础协议文件混在一起，混淆用户视听，让用户在未留意到的情况下，一键签署这类协议。

此外，极个别App在隐私政策的基本要求方面出了问题，《自评估指南》对隐私政策的易访问性作出了规定，进入App主功能界面后，通过4 次以内的点击，要能够访问到隐私政策，且隐私政策链接位置突出、无遮挡。但盛银消费金融App的隐私政策除了在注册前可见外，App里面不可访问。

中邮钱包等获取权限均未明示用户

在权限获取方面，本批次测评的App表现不佳，比较大的问题是获取权限未明示用户和强制获取权限。约57%的被测App申请权限时未弹窗明示目的，涉及App包括中邮消费金融公司旗下的中邮钱包、招联好期贷、幸福消费金融公司旗下的幸福花、北银消费金融旗下的易开花、消邦、海尔消费金融、够花、中银消费金融、包银消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋；约35%的被测App强制获取权限，涉及App包括平安消费金融、马上金融、安逸花、中邮钱包、幸福花、够花、空手到、嗨袋；22%左右的被测App未能在隐私政策中清楚说明申请权限所涉及的业务功能，涉及App有平安消费金融、幸福花、易开花、包银消费金融、晋享钱包。

《数据安全管理办法》明确指出，“不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务”，而课题组监测发现，本轮被测App强制获取授权的表现就是当用户拒绝授权后，无法使用App。比如中邮钱包，拒绝授权后立马闪退，必须要开启要求的权限后，才能使用App。而幸福花则是拒绝授权后App功能几乎完全不能使用，需要同时打开手机设备、位置和存储后，App才恢复正常运行。晋享钱包虽然没有在拒绝权限时禁止用户进入App，但是在当需要激活额度时，强制获取设备位置信息、访问通讯录和访问手机通话记录权限，用户必须同意上述几项授权，否则就进入不了下一步。

《自评估指南》要求，当App 打开系统权限时（不包括用户自行在系统设置中打开权限的情况），App 应当说明该权限将收集个人信息的目的。但测评中我们发现，被测App往往只在隐私政策中有说明，并未在App中以弹窗等方式明确告知用户需要打开某一权限的目的，也未解释清晰所对应的是使用哪一个业务功能。这一方面可参考马上金融、安逸花App，对所需获取的权限在开屏时就进行弹窗提示，或参考招联金融、招联好期贷两个App的做法，在用户拒绝授权后弹窗提示用户，根据何种条款的要求、根据何种业务功能的需求，需要获取该项授权。

中原消金等收集个人信息规则模糊不清

获取权限之外，收集个人信息也是消金类App问题较为严重的部分。有近一半App未清晰说明第三方代码插件（含SDK）的使用情况，涉及App包括中原消费金融、幸福花、金美信金融、易开花、消邦、包银消费金融、华融消费金融、长银消费金融、盛银消费金融、晋享钱包、嗨袋。其中有82%的App是完全没有提及任何关于第三方插件或SDK包的使用情况。而最新的《网络安全标准实践指南——移动互联网应用程序（App）个人信息安全防范指引》（征求意见稿）中规定，需要对嵌入的收集用户个人信息的第三方SDK 进行披露，告知第三方SDK类型，及收集使用的个人信息的目的、方式和范围，如存在第三方SDK 将个人信息传输至境外的，也需说明跨境传输个人信息的目的、类型和接收方等。

而马上金融、安逸花、招联金融、招联好期贷、海尔消费金融、够花和空手到等App在第三方SDK的披露上做得比较好，以表格形式将设备类型、嵌入SDK名称、第三方机构名称、场景描述、个人信息类型、个人信息字段和数据是否去标识化传输等信息一一对应地披露给用户，易读性也较强。但值得注意的是，海尔消费金融在使用SDK表格中披露，使用了魔蝎科技提供的SDK技术获得公积金信息。据公开报道显示，2019年9月起，公安机关在“净网2019”行动中重点打击了一批大数据风控公司，这些公司运用爬虫技术为银行、消费金融公司、网贷平台提供用户的个人信息数据，其中就包括魔蝎科技。据业内人士介绍，目前大数据风控公司的公积金数据基本上都是利用爬虫技术从公积金网站上抓取，实际上并不合规。

此外，还有超四成的App未清晰说明收集个人信息的业务功能、目的、方式和范围。比如中原消费金融并未按照核心业务功能来说明需要用户提供的个人信息，而是以“提升服务体验、改进服务质量、防范风险”为由，请用户同意“收集您的通讯录列表、通讯记录、相机/相册权限”等重要个人信息。华融消费金融在隐私政策中的表述也十分笼统，各项业务范围不清晰，使用“产品/服务”来大范围概括业务内容，其描述称：“您在使用我们的产品与/或服务时，我们会使用您的个人信息及其他在具体业务开展过程中基于您的同意而采集的信息进行资格审核、风险管理及控制，检测、预防及/或修复欺诈或其他潜在的非法活动。” 

出品：南都财经新闻部

测评&数据采集分析：南都记者 熊润淼 

实习生 陈琪琦

制图：林泳希

编辑：熊润淼

更多报道请看专题：2020财经半年报

本文作者

熊润淼

5154W

南方都市报记者

林泳希

6695W

南方都市报编辑