今年315晚会,手机APP窃取用户隐私的情况再度出现。根据央视报道称,由于手机APP中插入的SDK包存在未经过客户授权窃取用户信息的状况,受到相关影响的APP中,不少是互联网金融借贷平台,如国美旗下国美易卡、麦芽贷等。
业内人士向财联社记者表示,这些信息实际上十分敏感,如果截流了如开卡、办理贷款等的短信,以及如身份信息等敏感信息,则有可能出现被贷款等风险,还可能引发诈骗等行为。
实际上,此前贷款类APP截流信息的事情十分普遍。财联社记者采访中发现,尽管监管一再强调个人隐私保护,但在现实中依然屡见不鲜,“暴通讯录”、盗用信息查询征信记录等行为仍在时刻发生。业内人士认为,整治个人信息被滥用,仍需要监管进一步的细化政策,以规范技术发展所引发的“风险”。
无授权能查征信?
APP截流信息仍普遍存在
根据央视曝光显示,上述两家提供的SDK插件,看似是一个看似普通的插件,但是因为它对所有的手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,“会未经用户同意,收集用户的联系人、短信、位置、设备信息等等一旦用户有网络交易的验证码被获取。”
值得注意的是,在贷款类APP上,这样的事情是上并不少见。一位网友在腾讯新闻热点话题中留言称,他曾在国美易卡借款,还款剩下1万左右出现逾期后,国美易卡的相关催收人员催收可以明确说出借款人所有负债情况,这不仅包括借款人在该平台的借款情况,还一包括其在银行的授信额度、负债额度等。
“但我此前并没有授权过平台可以反复查询征信。”该人士怀疑,是否正式因为类似的SDK插件,帮助相关APP盗取信息。目前尚未有定论。
实际上,不仅仅是上述借款人,在各类投诉平台中借款人通讯录被平台获取等现象屡屡发生。一位互金平台相关人士向财联社记者表示,平台读取借款人通讯录是普遍存在的,如果借款人出现拖欠等行为,平台希望以此来给借款人施加压力,并催促其还款。
科技还是盗取?
监管整治个人信息被滥用仍需细化
“暴电话等的方式用于催收的效果可能并不明显。”上述互金业内人士表示,但对于一些大数据公司而言,这些数据则可能会有利于其业务发展,此前不少大数据公司“爬虫”业务也是类似,公司收集了大量个人信息之后,很可能变成其“科技”的一部分,用以赚钱。“如果这样的话,那么这些个人隐私可能被违规使用,甚至有可能出现被贷款等风险,还可能引发诈骗等行为。”
不过,氪信科技在今日的回应中表示,SDK技术是一个互联网常用的技术,但经过氪信科技内部评估,该技术有被滥用的风险。因此,在2019年年底前,氪信科技已经完全停用该技术。与此同时,氪信科技还表示,就这一问题的影响已经成立调查小组,内部启动调查。
值得注意的是,监管层日益重视金融科技之下的个人隐私保护,其中,手机APP违规收集用户信息已是监管整治的重点工作之一。此前,工信部就曾开展信息通信领域APP侵害用户权益专项整治行动,重点针对违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍四个方面的八类问题进行规范整改。
与此同时,在今日发布的《商业银行互联网贷款管理暂行办法》中也提到,商业银行如果需要从合作机构获取借款人风险数据,应通过适当方式确认合作机构的数据来源合法合规、真实有效,对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。
柒财智库高级分析师毕研广认为,金融科技正处在发展的初期阶段,任何以获取他人隐私数据、侵犯个人隐私为前提的科技,都不应该成为科技,更像是“盗窃工具”。这也确实需要监管进一步的细化政策,规范技术发展所引发的“风险”。
