7月4日，广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中，借贷类app“合众e贷财富”、“神舟好易贷”因读取用户联系人、超权限使用用户设备麦克风被点名。

　　无独有偶，日前工信部发布2019年第一季度电信服务质量通告，通告指出布丁小贷、九秒贷、麦芽贷、水象分期等金融借款app以及暴风金融、51人品贷、融360等互联网企业存在违规收集使用用户个人信息、未提供账号注销服务等问题。目前上述4款软件已被下架处理，3家互联网企业被责令整改。

　　近年来，我国不断加强对互联网应用中个人信息的保护，针对金融类APP出台了多项规定。但获客、运营、风险成本水涨船高，如何获得低成本的流量成了所有平台需要面对的问题。实际上，多数金融借贷APP在收集个人信息时并未遵循最少够用原则，仍存在违规收集使用借款人个人信息，强制或直接默认读取通信录等现象。贷款超市中，类似的情况更加严重，甚至有贷款超市利用非法导流链接非法获客，中介兜售网贷客户信息现象也是愈发猖獗。各种迹象显示，金融借贷App已经成为个人信息泄露的重灾区。

　　多个借款类app被点名

　　日前，全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（下称《规范》），为移动互联网应用收集个人信息提供指引。

　　《规范》明确指出，移动互联网应用在收集个人信息时应遵循最少够用原则，不收集与其提供的服务无关的个人信息，不申请打开可收集无关个人信息的权限。此外，《规范》强调，移动互联网应用在收集个人信息时应遵循目的明确原则，即向用户明示收集使用个人信息的目的、方式和范围，收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。

　　然而，近日仍有多款借款类app因违规收集使用用户信息被工信部点名，并被要求下架及整改。

　　7月2日，工信部信息通信管理局发布《工业和信息化部关于电信服务质量的通告（2019年第2号）》（下称“通告”）。

　　通告指出，一季度，工信部组织对100家互联网企业106项互联网服务进行抽查，发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。同时组织对50家手机应用商店的应用软件进行技术检测，发现违规软件33款，涉及违规收集使用用户个人信息、强行捆绑推广其他应用软件等问题。

　　其中，水象分期、布丁小贷、九秒贷、麦芽贷等多款金融APP因未经用户同意收集、使用用户个人信息被点名。此外，暴风金融、51人品贷、融360等3家互联网企业还被指存在未经用户同意收集个人信息、未公示用户个人信息收集使用规则、未提供账号注销服务等问题。据通告，已责令上述3家互联网企业整改，4款软件已被进行下架处理，并责令企业整改。

　　7月4日，广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中，借贷类app“合众e贷财富”、“神舟好易贷”被点名。

　　公告信息显示，“神舟好易贷”等42款APP，存在超范围读取用户通话记录、短信或彩信，收集用户通讯录、用户设备上已知账号，超权限使用用户设备麦克风等突出安全问题。目前，有关监测情况已上报公安部通报属地公安机关开展清理整治。

　　违规收集用户信息现象普遍

　　据悉，关于金融借贷APP的个人信息收集，《规范》规定，借贷类app仅可收集7项必要信息，即“账号信息”、“身份信息”、“手机号码”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”、“借贷交易记录”等。其中，“紧急联系人信息”即用户的两个常用联系人的联系信息，仅供金融机构用于在借款人未能偿还贷款时进行催款，且应允许用户在金融借贷应用中手动输入紧急联系人信息，而不应强制允许读取用户的通讯录。

　　不过，新金融头条查看多个借贷APP看到，目前仍不少应用在借款前或借款过程中要求用户允许“读取通讯录”，否则无法借款。

　　以榕树贷款为例，用户下载APP后首次打开时，页面即出现允许访问通讯录的操作框，不同意就无法进行下一步操作。对此，榕树贷款宣称读取用户通讯录的目的是风控评估和贷后管理。榕树贷款平台隐私显示，“为进行风险评估，我们可能获取您的通讯录信息、通信记录往来信息、位置信息……平台合作方可能将前述信息用于风控、贷款、贷后管理等风控相关服务。”

　　据人民网近日报道，移动手机贷、有钱花、苏宁金融任性贷、国美易卡、小米贷款、海尔消费金融的够花、360借条、拉卡拉、招联金融等多款款金融借贷APP都存在不同程度的以不同的形式要求读取用户通讯录的现象。

　　除了借贷平台本身，为借贷平台导流的贷款超市也存在违规收集用户个人信息的现象，手法更加猖狂。

　　2017年伊始，大量贩卖流量的现金贷导流平台异军突起，“贷款超市”成了现金贷平台的主要获客渠道。据悉，贷款超市在与放贷平台合作的过程中，收集、获取用户数据一般通过API的方式，即双方通过系统进行对接，贷款超市通过系统接口向放贷平台传输用户数据。不过，API合作模式下，贷款超市收集、共享用户数据的过程是否安全合规成为考验。

　　某持牌金融机构旗下舆情监控系统发现，“714”网贷超市“鑫晟之家”以“黑户也能下款”为噱头，在各渠道发布广告推广某些头部金融平台的“官方链接”。但用户点击后跳转的是被私自加工过的非法链接，申请人在此会被要求进行微信或者QQ身份授权，授权后再以申请为由诱导客户继续填写姓名、手机号、身份证号等信息，填写完毕后跳转至官方申请链接。这些链接页面不仅模仿的以假乱真，还增加了图形验证，同时能对申请人的姓名、手机号，甚至是身份证号进行实时校验。

　　据该机构监测，招联、京东等知名平台均存在被其非法导流的情况。为诱骗申请人点击，这类链接往往还被包装成“内部申请通道”、“VIP特权通道”、“限量申请通道”等。收集到的用户信息，被贷款超市用于自身非法获客，以及信息贩卖。

　　个人信息泄露风险丛生

　　有统计数据显示，App违法违规收集使用个人信息举报平台共收到网民举报信息6000余条，涉及1900余款App，其中与金融借贷类App相关的举报信息有1800余条，占比超过30%，涉及的App达800余款，无疑金融借贷App已经成为个人信息泄露的重灾区。

　　有业内人士向新金融头条透露，此前隐身于“幕后”的中介开始走到“前台”，在多个渠道公开兜售网贷客户信息。其接触到的一位中介自称手上有多家互金机构及上市P2P公司的内部客户资料。对方向其提供的部分信息显示，这些资料均为线上申请客户。按不同等级分为实时申请的客户、隔夜申请的客户、实时贷款的手机号码、周数据或历史数据等，售价不一。

　　金融借贷平台非法获取用户个人信息的现象已然泛滥猖獗。个人信息一旦泄露，很有可能成为不法分子违法犯罪的武器。以金融借贷APP以各种理由要求读取的用户通讯录为例，一旦借款人逾期无法还款，贷款平台就会通过“爆通讯录”的方式将不停骚扰甚至辱骂借款人及其通讯录中的亲朋好友，威胁借款人还款。这种软暴力方式一度成为套路贷平台催收的杀手锏。

　　APP“甜兔”便是其中之一。这款应用表面是菜谱类APP，实际是一个“714”高炮借贷平台，曾在315晚会上被央视点名。目前，公安机关已对该平台背后的犯罪团伙进行抓捕，218名犯罪嫌疑人落网。

　　经侦查，自2018年5月至今年3月，该犯罪集团开发、利用1317个手机APP，建立“甜兔”“雏鹰”“闪电虎”“红番茄”“米猪”等24个网贷平台，通过40多个壳公司与受害人签订合同。警方对“甜兔”进行恶意代码检测后发现，一旦安装后，软件会强制获取通讯录、通话记录、摄像头等权限，且没有任何提示。这些信息最终到了外包的24家催收公司手中，这些催收公司几乎无一例外地采取了威胁、恐吓、“爆通讯录”等暴力催收手段。

　　据人民日报报道，该犯罪集团累计非法获取1197.6万余人的个人信息，在不到8个月的时间内，诱骗47.5万余人贷款，累计放款59.75亿元、收回91.16亿元，非法获利31.41亿元。

　　信息的泄露贩卖还是电信诈骗猖狂的一大诱因。回顾此前频发的电信诈骗案，骗子往往能准确说出被害人的各种身份信息来获取被害人信任，实施诈骗。那么这些身份信息从何而来，或许非法收集用户信息的网贷平台就是其中一个输出端口。

　　据悉，今年年初，中央网信办、工信部、公安部、市场监管总局四部门决定自今年1月至12月，在全国范围组织开展APP违法违规收集使用个人信息专项治理。但目前仍有不少金融借贷APP在用户信息获取方面都存在不规范甚至是违法行为。有业内人士指出，要改善这种情况，除了借款人加强自我保护意识之外，还应该做好‘源头整治’”，即加强多方监管，加大对金融借贷平台违法、违规行为的打击力度，提高不良平台违法成本，引导行业逐步向规范性发展。