7月4日,广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中,借贷类app“合众e贷财富”、“神舟好易贷”因读取用户联系人、超权限使用用户设备麦克风被点名。
无独有偶,日前工信部发布2019年第一季度电信服务质量通告,通告指出布丁小贷、九秒贷、麦芽贷、水象分期等金融借款app以及暴风金融、51人品贷、融360等互联网企业存在违规收集使用用户个人信息、未提供账号注销服务等问题。目前上述4款软件已被下架处理,3家互联网企业被责令整改。
近年来,我国不断加强对互联网应用中个人信息的保护,针对金融类APP出台了多项规定。但获客、运营、风险成本水涨船高,如何获得低成本的流量成了所有平台需要面对的问题。实际上,多数金融借贷APP在收集个人信息时并未遵循最少够用原则,仍存在违规收集使用借款人个人信息,强制或直接默认读取通信录等现象。贷款超市中,类似的情况更加严重,甚至有贷款超市利用非法导流链接非法获客,中介兜售网贷客户信息现象也是愈发猖獗。各种迹象显示,金融借贷App已经成为个人信息泄露的重灾区。
多个借款类app被点名
日前,全国信息安全标准化技术委员会发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(下称《规范》),为移动互联网应用收集个人信息提供指引。
《规范》明确指出,移动互联网应用在收集个人信息时应遵循最少够用原则,不收集与其提供的服务无关的个人信息,不申请打开可收集无关个人信息的权限。此外,《规范》强调,移动互联网应用在收集个人信息时应遵循目的明确原则,即向用户明示收集使用个人信息的目的、方式和范围,收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。
然而,近日仍有多款借款类app因违规收集使用用户信息被工信部点名,并被要求下架及整改。
7月2日,工信部信息通信管理局发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》(下称“通告”)。
通告指出,一季度,工信部组织对100家互联网企业106项互联网服务进行抽查,发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。同时组织对50家手机应用商店的应用软件进行技术检测,发现违规软件33款,涉及违规收集使用用户个人信息、强行捆绑推广其他应用软件等问题。
其中,水象分期、布丁小贷、九秒贷、麦芽贷等多款金融APP因未经用户同意收集、使用用户个人信息被点名。此外,暴风金融、51人品贷、融360等3家互联网企业还被指存在未经用户同意收集个人信息、未公示用户个人信息收集使用规则、未提供账号注销服务等问题。据通告,已责令上述3家互联网企业整改,4款软件已被进行下架处理,并责令企业整改。
7月4日,广东省公安厅公布2019年第二季度监测发现存在违规行为的42款APP名单。其中,借贷类app“合众e贷财富”、“神舟好易贷”被点名。
公告信息显示,“神舟好易贷”等42款APP,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风等突出安全问题。目前,有关监测情况已上报公安部通报属地公安机关开展清理整治。
违规收集用户信息现象普遍
据悉,关于金融借贷APP的个人信息收集,《规范》规定,借贷类app仅可收集7项必要信息,即“账号信息”、“身份信息”、“手机号码”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”、“借贷交易记录”等。其中,“紧急联系人信息”即用户的两个常用联系人的联系信息,仅供金融机构用于在借款人未能偿还贷款时进行催款,且应允许用户在金融借贷应用中手动输入紧急联系人信息,而不应强制允许读取用户的通讯录。
不过,新金融头条查看多个借贷APP看到,目前仍不少应用在借款前或借款过程中要求用户允许“读取通讯录”,否则无法借款。
以榕树贷款为例,用户下载APP后首次打开时,页面即出现允许访问通讯录的操作框,不同意就无法进行下一步操作。对此,榕树贷款宣称读取用户通讯录的目的是风控评估和贷后管理。榕树贷款平台隐私显示,“为进行风险评估,我们可能获取您的通讯录信息、通信记录往来信息、位置信息……平台合作方可能将前述信息用于风控、贷款、贷后管理等风控相关服务。”
据人民网近日报道,移动手机贷、有钱花、苏宁金融任性贷、国美易卡、小米贷款、海尔消费金融的够花、360借条、拉卡拉、招联金融等多款款金融借贷APP都存在不同程度的以不同的形式要求读取用户通讯录的现象。
除了借贷平台本身,为借贷平台导流的贷款超市也存在违规收集用户个人信息的现象,手法更加猖狂。
2017年伊始,大量贩卖流量的现金贷导流平台异军突起,“贷款超市”成了现金贷平台的主要获客渠道。据悉,贷款超市在与放贷平台合作的过程中,收集、获取用户数据一般通过API的方式,即双方通过系统进行对接,贷款超市通过系统接口向放贷平台传输用户数据。不过,API合作模式下,贷款超市收集、共享用户数据的过程是否安全合规成为考验。
某持牌金融机构旗下舆情监控系统发现,“714”网贷超市“鑫晟之家”以“黑户也能下款”为噱头,在各渠道发布广告推广某些头部金融平台的“官方链接”。但用户点击后跳转的是被私自加工过的非法链接,申请人在此会被要求进行微信或者QQ身份授权,授权后再以申请为由诱导客户继续填写姓名、手机号、身份证号等信息,填写完毕后跳转至官方申请链接。这些链接页面不仅模仿的以假乱真,还增加了图形验证,同时能对申请人的姓名、手机号,甚至是身份证号进行实时校验。
据该机构监测,招联、京东等知名平台均存在被其非法导流的情况。为诱骗申请人点击,这类链接往往还被包装成“内部申请通道”、“VIP特权通道”、“限量申请通道”等。收集到的用户信息,被贷款超市用于自身非法获客,以及信息贩卖。
个人信息泄露风险丛生
有统计数据显示,App违法违规收集使用个人信息举报平台共收到网民举报信息6000余条,涉及1900余款App,其中与金融借贷类App相关的举报信息有1800余条,占比超过30%,涉及的App达800余款,无疑金融借贷App已经成为个人信息泄露的重灾区。
有业内人士向新金融头条透露,此前隐身于“幕后”的中介开始走到“前台”,在多个渠道公开兜售网贷客户信息。其接触到的一位中介自称手上有多家互金机构及上市P2P公司的内部客户资料。对方向其提供的部分信息显示,这些资料均为线上申请客户。按不同等级分为实时申请的客户、隔夜申请的客户、实时贷款的手机号码、周数据或历史数据等,售价不一。
金融借贷平台非法获取用户个人信息的现象已然泛滥猖獗。个人信息一旦泄露,很有可能成为不法分子违法犯罪的武器。以金融借贷APP以各种理由要求读取的用户通讯录为例,一旦借款人逾期无法还款,贷款平台就会通过“爆通讯录”的方式将不停骚扰甚至辱骂借款人及其通讯录中的亲朋好友,威胁借款人还款。这种软暴力方式一度成为套路贷平台催收的杀手锏。
APP“甜兔”便是其中之一。这款应用表面是菜谱类APP,实际是一个“714”高炮借贷平台,曾在315晚会上被央视点名。目前,公安机关已对该平台背后的犯罪团伙进行抓捕,218名犯罪嫌疑人落网。
经侦查,自2018年5月至今年3月,该犯罪集团开发、利用1317个手机APP,建立“甜兔”“雏鹰”“闪电虎”“红番茄”“米猪”等24个网贷平台,通过40多个壳公司与受害人签订合同。警方对“甜兔”进行恶意代码检测后发现,一旦安装后,软件会强制获取通讯录、通话记录、摄像头等权限,且没有任何提示。这些信息最终到了外包的24家催收公司手中,这些催收公司几乎无一例外地采取了威胁、恐吓、“爆通讯录”等暴力催收手段。
据人民日报报道,该犯罪集团累计非法获取1197.6万余人的个人信息,在不到8个月的时间内,诱骗47.5万余人贷款,累计放款59.75亿元、收回91.16亿元,非法获利31.41亿元。
信息的泄露贩卖还是电信诈骗猖狂的一大诱因。回顾此前频发的电信诈骗案,骗子往往能准确说出被害人的各种身份信息来获取被害人信任,实施诈骗。那么这些身份信息从何而来,或许非法收集用户信息的网贷平台就是其中一个输出端口。
据悉,今年年初,中央网信办、工信部、公安部、市场监管总局四部门决定自今年1月至12月,在全国范围组织开展APP违法违规收集使用个人信息专项治理。但目前仍有不少金融借贷APP在用户信息获取方面都存在不规范甚至是违法行为。有业内人士指出,要改善这种情况,除了借款人加强自我保护意识之外,还应该做好‘源头整治’”,即加强多方监管,加大对金融借贷平台违法、违规行为的打击力度,提高不良平台违法成本,引导行业逐步向规范性发展。