来源 | 零壹智库
“前三季度数据安全相关投诉量达到7.27万笔,每月投诉占比也超过13%,且有持续走高的趋势,最近三个月均超过17%。”
这是零壹智库与北京市互联网金融行业协会联合发布的《中国金融消费者投诉指数(第二期)》统计的数据,其中的“投诉占比”是指数据安全相关投诉占投诉总量的比例(数据统计自:黑猫投诉、北京市互联网金融行业协会投诉平台)。
从投诉信息来看,数据安全中,有一个备受诟病,且与普通人息息相关的问题,就是在催收中,用户通讯录被“爆”。
在2024年1-10月北京市互联网金融行业协会投诉平台的投诉信息中,约有10%的投诉直接表示被“爆”通讯录,加上骚扰朋友、家人等内容,占比超过25%。
不可忽视的通讯录
移动互联网时代,手机APP已成为我们工作和生活不可或缺的工具。一项调查报告显示,全世界范围内平均每个用户每部手机安装的APP约为80个,每天使用APP的数量为9个。
而APP过度获取数据,侵犯用户隐私,早已是公开的秘密。
奇安信发布的《2023年度APP侵害用户权益检测报告》显示,违规收集个人信息的APP中有58.8%的APP存在高频次收集个人信息的情况。这些信息包括个人手机号、地理位置、通讯录等。
通讯录不仅仅是姓名和电话号码,还藏着丰富的社交、社会关系,在信息安全保护中扮演着至关重要的角色。
通讯录通常包含姓名、昵称、电话号码、公司、职位等多维度信息,不仅体现出亲朋好友的社交关系,还可能涉及工作伙伴和重要业务联系人。一旦这些信息被非法获取或泄露,不仅个人隐私受到侵犯,还可能导致骚扰、诈骗甚至更严重的后果。
2024年6月,据中国法院网报道,被告人廖某某通过网络购买源代码,编辑“艺秀”“化蝶直播”等软件,这些软件具有强制获取他人通讯录、短信等个人信息的功能,被用于实施敲诈勒索等违法犯罪活动。
通讯录属于个人隐私,且为敏感信息,相关法规或制度对此有着严格的规定。
《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
2020年10月1日实施的《信息安全技术——个人信息安全规范》附录B.1明确,个人敏感信息包括通信录、好友列表、群组列表等。
“收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”。
“制定个人信息保护政策,涉及个人敏感信息的,需明确标识或突出显示”。
“对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。”
“共享、转让个人敏感信息前,应事先征得个人信息主体的明示同意”。
2021年5月实施的《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类常见类型App的必要个人信息范围。
2021年11月1日施行的《个人信息保护法》第十三条规定,处理个人信息应当取得个人的同意,并且该同意应当是由个人在充分知情的基础上自愿、明确作出的。即将生效的《网络数据安全管理条例》也用单独的章节规定了个人信息保护的原则。
今年7月施行的《中华人民共和国消费者权益保护法实施条例》,明确规定经营者应当依法保护消费者的个人信息。“经营者在提供商品或者服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。”
近年来,在相关部门日趋严格的监管下,工信部、各地通信管理局、网信办、国家计算机病毒应急处理中心、中国互联网金融协会等机构,多次通报APP违规收集个人信息的行为。
尽管如此,APP过度收集通讯录等个人信息的情况仍然普遍存在,且往往不易发觉。常见的方式是弹窗广告,以及通过冗长的注册协议或用户隐私条款、打包授权、默认勾选、缩小文字等方式索取用户权限。
国家计算机病毒应急处理中心发布的《移动互联网应用安全统计分析报告(2024)》显示,27.11%的移动互联网应用存在“超范围收集个人信息”的情况。11月13日,工信部通报的27款侵害用户权益行为的APP(SDK)中,三分之二的APP存在违规收集个人信息或强制、频繁、过度索取权限的问题。
为什么总有APP“硬刚”呢?其背后的商业逻辑很容易理解:通过收集通讯录等个人信息,绘制用户画像或建立社交关系,从而实现营销推广、增进互动或做好风控。
此外,即使通讯录与本身业务无必然关系,但信息收集和数据沉淀越多,也可能为其他业务提供“素材”。
“爆通讯录”与暴力催收
在网络借贷中,由于通讯录泄露,导致借款人自身及家人、朋友或同事被频繁骚扰的情况屡见不鲜。通讯录泄露也是暴力催收频发的关键因素,部分平台通过第三方催收公司打爆通讯录,是其最常见的催收手段。
首都经济贸易大学法学院企业合规研究中心主任高洁在接受媒体采访时表示,部分网贷平台为了保证成功催收,会收集借贷人的通讯录信息,后者为了获得借款而不得不同意提供,或在不注意的情况下进行了授权,或完全不知情。当借款逾期后,部分网贷平台将通讯录提供给第三方机构进行催收。
但是,《常见类型移动互联网应用程序必要个人信息范围规定》明确指出,无论是网络借贷、投资理财或手机银行,均未要求获取用户本人之外的通讯录信息。
对于金融借贷类平台来说,出于风控需求,平台可以收集借款人的通讯录,但是不能将已收集的通讯录信息用于向借款人以外的其他联系人进行贷后催收,否则就属于超范围使用。
今年5月,中国互联网金融协会发布《互联网金融贷后催收业务指引》,从实操层面对催收行业提出诸多要求。例如在信息保护层面,“爆通讯录”的行为被明令禁止,金融机构和第三方催收机构应只向债务人催收,不应向联系人催收。
但是,第三方投诉数据显示,直接或间接“爆”通讯录的情况不容乐观。
《中国金融消费者投诉指数(第二期)》显示,前三季度数据安全相关投诉量达到7.3万笔,直接与“爆通讯录”或骚扰家人、朋友有关的投诉超过1万笔,其中约73.4%的投诉同时提到了恶意催收。
最新数据也显示,2024年1—10月,北京市互联网金融行业协会投诉平台的投诉信息中,约有10%的投诉直接表示被“爆”通讯录,加上骚扰朋友、家人等内容,占比高达25.5%。
在投诉量超过100笔的平台中,被“爆”通讯录的比例普遍较高,其中借呗超过40%;从绝对投诉量来看,被“爆”通讯录最多的为京东金融,其次是好分期、桔多多和分期乐。
数据来源:北京市互联网金融行业协会投诉平台
今年3.15期间,中国网财经记者针对天星金融APP在开通服务过程中读取用户通讯录的行为展开了调查。记者发现,主流金融借贷APP存在的主要问题包括“过度索取权限”和“不给权限不让用”,天星金融《隐私政策》中明确写到“本应用使用期间,需要联网、定位、拍照、读写外部存储空间、读取通讯录……”。
对此,北京鼎权律师事务所李昌锁律师表示,网络借贷类APP的必要个人信息中,并不包括通讯录、电话状态等数据,天星金融APP获取的数据超出了规定的必要范围。
投诉“灾区”
据零壹智库统计,今年1-10月,在北京市互联网金融行业协会投诉平台中,直接 “爆”通讯录的投诉有1876条,其中多条投诉信息显示,被爆的除了手机通讯录外还涉及支付宝、抖音、快手等社交账号的通讯录。
投诉人A表示,借呗给亲朋好友及工作单位打电话,投诉详情为“让平台方删除已获取的我的通讯录信息,停止给除我本人外任何亲朋好友今后工作单位打电话的行为;未经我允许私自爆我支付宝通讯录,淘宝收件人信息,饿了么收货人信息,给我支付宝通讯录以及淘宝收件地址的亲朋好友打电话,跟平台客服已经投诉过无果,依旧爆通讯录……” 。
投诉人B表示,微博借钱通过抖音和快手“爆”通讯录,发私信威胁,投诉详情为“停止随意乱发个人照片,停止在抖音平台发私信给朋友亲戚和快手私信威胁话语,暴(爆)通讯录;在抖音发个人照片侮辱人,给朋友亲戚发私信泄露个人信息,在快手发威胁私信……” 。
投诉人C表示,滴滴金融逾期第二天即委托第三方催收公司联系家人,投诉详情为“停止催收,减免利息;之前在滴滴金融申请了三笔借款,年化利率约为36%,到期还款因为个人原因暂时无法还款,但是也有积极配合还款,已还了一笔,从逾期第二天开始,滴滴金融委托了第三方催收,每天20-30个电话轰炸我,各种短信威胁我,由于工作原因无法接听,随后催收爆我通讯录联系了我的家人……。”
投诉人D表示,抖音放心借给最近频繁的联系人打电话进行催收,投诉详情为“逾期,在协商,就开始委托不合规第3方公司不断打电话发信息,爆通讯录,联系最近频繁联系的联系人,发信息打电话给我的家人和朋友,严重影响正常生活”
投诉人E表示,好分期“平台存在暴力催收,第三方曝光当事人通讯录,给当事人同事、朋友打电话,态度恶劣,给当事人造成了极大的伤害,希望平台得到严惩”。
而在黑猫投诉平台中,直接 “爆”通讯录的投诉比例较低,约为3%,但绝对量很大,超过9600条。
投诉人F表示,京东白条委托第三方催收机构对亲朋进行信息轰炸,投诉详情为“因个人债务资金问题,有京东金融旗下金条白条欠款逾期,之前一直有还款,最近实在周转不开,目前金条白条欠款共计一千多元。京东金融委托第三方催款机构对我个人及亲属朋友,实行电话及短信轰炸……”
投诉人G表示,桔多多因扣款失误导致个人逾期而轰炸通讯录,投诉详情为“本人在桔多多借款2笔,每个月5号一笔,7号一笔,5号的已经顺利还款成功,结果到7号的,500多块,只扣了2笔20多块钱的,还有450块没扣,我钱已经存在银行卡了,结果不扣款,导致我逾期。被轰炸通讯录,发短信恐吓……”
投诉人H表示,你我贷暴力催收,“已经向平台反馈本人会尽快还款,第三方催收一直打我电话联系我身边朋友家人,严重给我带来了精神压力。”
《中国金融消费者投诉指数(第二期)》还提到了一个例子:被投诉对象“普惠金融”未匹配到具体的商家名称,但根据投诉详情可判断是一家或多家第三方外包催收公司。
投诉者表示,该平台以大量虚拟号码发送催收短信或通过电话骚扰自己、家人、朋友、同事等,但并未说明是哪个借款平台,甚至自己没有任何网络借贷,也会收到催收信息。显然,消费者的通讯录被泄露并被违法使用。
据南方都市报报道,某平台技术人员介绍了两种获得用户通讯录数据的方式:一是在相关整体授权协议中添加许可条款,用户勾选同意该协议后,直接开启权限;二是在填写紧急联系人时,弹窗提醒用户是否授权提供通讯录信息。
随着相关法规的完善、个人信息保护意识的提高以及监管的加强,第一种情况已经非常少见,大多数平台隐私协议相关条款已经更新。但有些平台仍然通过模棱两可的表述,“暗中”获得用户通讯录信息。
零壹财经查阅了几家助贷平台的隐私或个人信息保护相关政策,包括拍拍贷、分期乐、小赢卡贷、你我贷和还呗,发现各平台多将通讯录列入“非必需/须信息”,借款人在申请过程中可拒绝调用通讯录权限。但也有个别平台的通讯录为必需信息,包括还呗。
资料来源:公开渠道
还呗在《用户个人信息保护政策》中强调,“为了方便您快速、准确地填写联系人信息、联系方式,在您填写联系人信息时,我们会以弹窗的形式告知您,需要您开启通讯录权限,请您放心,获取通讯录权限仅为优化您的操作体验,正常情况下我们不会联系您预留的联系人,仅会在您产生借款逾期且无法联系您本人的前提下,联系您预留的联系人以便协助提醒还款”。
然而,有报道指出该平台发生了法院干警因不认识的老乡欠款,接到数百个催收电话、短信的事件,表明通讯录信息可能被不当使用。
南方都市报在报道中举例,恒小花在《隐私政策》中提到,如果用户同意提供通讯录及联系人信息,可以通过开启通讯录授权向平台提供信息。尽管在填写紧急联系人时,用户可以选择不授权通讯录信息,但仍有借款人表示逾期后,非紧急联系人的通讯录好友频繁收到催款短信。
此外,借款过程中往往会遇到大量的授权协议,在平台未有明显提示的情况下,借款人很容易将信息授权给第三方或多家机构。笔者对此做过测评,发现有两点需要特别注意:
一是打包或交叉授权,多发生在正式申请借款的时候。比如携程金融借款需一次性同意至少10-20个协议,滴滴金融需同意450多个协议:进行到“同意协议并借款”这一步骤后,新页面涉及多达100个协议;点击“个人信息查询授权书”时,页面显示为“个人信息查询及使用授权书列表”,包含350个协议。
如此多的协议,借款人不可能逐一阅读,这时候要么放弃,要么一键同意,个人信息就不知不觉泄露出去。
二是导流至第三方服务平台(再匹配贷款机构),比如滴滴金融借款合同隐藏着通过小赢卡贷向中银消金或者锡商银行等机构贷款的信息。这中间的协议和授权也相当复杂。
据法制日报报道,有专家指出,暴力催收乱象频发背后,是网贷平台违规、过度收集用户信息,特别是借款人的通讯录信息;建议监管机构严格落实现行相关规定中关于网络借贷类APP需要获取的必要个人信息范围。
前述专家高洁特别强调,在行政监管中引入合规激励机制,重视源头治理。她呼吁,可以通过司法解释等方式,明确对借贷人通讯录内人员进行骚扰等行为在何种情况下构成犯罪、构成何种犯罪,从而对暴力催收产生震慑作用。
同时,行业自律与社会监督也是不可或缺的一环。比如,在行业协会的组织下,倡导企业积极落实主体责任,主动适应个人信息保护和数据管理新形势新要求,严格遵守个人信息收集使用规定。通过白名单、负面清单、第三方投诉等方式,督促相关机构做好信息保护。
分析师姚丽对本文亦有贡献
