来源:南方都市报
作者:蒋琳 卜羽勤
全国首个警民联动的网络诈骗信息举报平台猎网发布的《2017年上半年网络诈骗数据研究报告》指出,上半年“金融理财”类诈骗举报数量达1414起,涉案金额则高达6450.9万元,远高于其他诈骗类型,超过总数的50%。这与互金平台个人信息保护不力不无关系。
因此,南都选取200家常用金融类网站和APP,对其隐私政策透明度进行测评。结果显示,互金平台的隐私政策透明度整体偏低,超过9成集中在较低或低的层级,甚至有22家没有提供隐私条款。且条款本身存在文本雷同、安全保护措施缺失等问题。
分低在哪——隐私条款简略、文本雷同
基于网站和APP的不同特点,测评标准采用了两个版本,在具体标准和分数比重设置上都略有不同,满分均为100。按照总分,200个平台根据所属得分区间,被划分为透明度高、透明度较高、透明度中等、透明度较低、透明度低等5个层级。
测评结果显示,仅有京东金融、支付宝、招财宝和娱乐宝四家平台的隐私政策透明度高;小米金融、口碑掌柜、银联商务紧随其后,透明度较高;而透明度较低和透明度低的平台加起来达到182家,超过总数的90%.这也直接导致200家互金平台的平均分仅为32.5。
事实上,在今年5月南都曾测评了1000家网站和APP的隐私政策,其中就包括100家常用的互联网金融平台。当时的平均分也只有37.3,与此次相差不大,与其他9大行业相比排在中等位置。
值得注意的是,在此次参评的200家互金平台当中,绝大多数的隐私条款都不是独立于用户协议列出,而是作为一个章节存在于用户协议之中,除了内容和结构相对简略,文本也非常雷同。
比如提及对用户个人信息的保护,绝大部分处于透明度较低以下层级的平台使用的说法都是“将采用行业标准惯例以保护您的个人资料,但鉴于技术限制,不能确保您的个人资料不会通过本协议中未列明的途径泄露出去”。但是,对于什么是“行业标准”却再无详细定义。
而在解释隐形网络追踪技术Cookies的时候,上述平台的通用模板是“‘Cookies’是设置在您的硬盘上的小档案,以协助我们为您提供度身订造的服务。‘Cookies’使您能够在某段期间内减少输入密码的次数,还可以协助我们提供专门针对您的兴趣而提供的资料”。除此之外,并未明确告知用户阻止或拒绝使用Cookies的操作指引。
分高在哪——4家平台近日更新隐私政策
相较于此前南都做过的数次测评,此次测评结果的一大亮点在于,透明度高的层级不再是空缺,而是有4家平台进入最高层级。
南都记者注意到,这4家平台均是大型互联网企业旗下产品,京东金融是京东集团旗下子集团的金融产品,招财宝是蚂蚁金服旗下的金融信息服务平台,娱乐宝则是由阿里巴巴数字娱乐事业群联合金融机构打造的增值服务平台,与支付宝同属阿里旗下。
而京东、淘宝、支付宝都是首批参与中央网信办、工信部、公安部、国家标准委等四部门评审的网络产品和服务。从这4家平台的隐私政策里,南都记者了解到,四部门7月26日宣布联合开展隐私条款专项工作后,它们均更新了隐私政策,相较此前版本,结构更加合理,条款更加规范,内容更加全面。
比如,淘宝隐私权政策的第八项“本隐私权政策如何更新”里,给出了发布更新公告以及旧版本政策的链接。用户不仅可以看到2015年4月24日之后所有版本的隐私政策,还能清楚知晓更新了哪些内容。京东商城也在新版隐私条款伊始,简要描述了更新内容,并在末尾附上了上一版隐私政策全文。
支付宝则在隐私政策页面右下角新增“目录”链接,点击“目录”,右侧即滑出个人信息的收集和使用,如何共享、转让、公开披露用户个人信息,以及怎样保护个人信息等11个板块,点击即可跳转至相应板块。
问题在哪——仅9家平台承诺对泄露“善后”
由于互金平台收集的用户信息除了基本的个人信息比如姓名、手机号码以外,还可能要求用户填写身份证号、收入、投资风险偏好等敏感信息,按理说个人信息保护力度和范围都应该比较大。然而,测评结果并非如此。
在200家平台中,只有9家平台明确界定什么是“个人信息”和“个人敏感信息”;而将隐私条款中涉及收集敏感信息的部分单独列出或重点标识的,也仅有19家平台。绝大多数平台的隐私条款都只是概括性的描述为“注册时填写的个人资料”,但事实上,一旦用户使用平台服务,被收集的信息会远远大于平台声明收集的范围。
在网贷天眼统计的3372个问题平台中,“提现困难”和“终止运营”两种情况约占总数的29%。针对企业进行合并、分立、破产清算或控制权变更的情形,平台有必要告知用户后续处置用户个人信息的措施。南都测评结果显示,仅有10家平台在隐私政策中针对该问题有明确的处置措施。
针对发生或可能发生的个人信息泄漏、毁损、丢失事件,仅有9家平台承诺安全事件发生后,将采取及时通知受到影响的用户、启动应急预案、向政府相关主管部门报告等补救措施。基于存储在互金平台上的用户信息极其敏感度,一旦发生泄漏事件,后果不堪设想。
此外,不少平台还存在强制用户接受商业推送信息的问题。这些平台在隐私政策里明确告知用户将推送广告信息,但是却并未告知如何退订,导致用户虽然不堪其扰却无法取消。
.
