南都个人信息保护研究中心测评18家互联网金融独角兽企业旗下APP隐私政策透明度，发现近半数几无任何数据共享风险防控机制

　　近日，科技部火炬中心发布《2017年中国独角兽企业发展报告》，共有164家企业入选。独角兽企业需要满足几个基本标准：中国境内注册、成立时间不超过10年，获得P E投资的非上市企业，且估值超过(含)10亿美元。在估值超过100亿美元的10家“超级独角兽”企业中，有3家来自互联网金融行业。

　　随着互联网金融行业的飞速发展，越来越多用户个人信息在各类金融平台聚集，其中大部分是与个人财产相关的敏感信息。在个人信息泄露事件频发的严峻现状下，互联网金融平台对用户信息是否有足够的保护力度？“脸书”(Facebook)5000万用户信息外泄的事件，是否也可能在国内上演？

　　南都个人信息保护研究中心继前不久公布200家互联网金融类APP的测评结果之后，又交叉比对了164家独角兽企业中的18家互联网金融企业，对它们旗下APP的隐私政策透明度、尤其是数据共享条款进行了测评。

　　测评结果显示，近半数APP几乎无任何数据共享的风险防控机制，用户数据的共享安全毫无保障，存在发生类似“脸书”事件的风险隐患。

　　超半数隐私政策不及格

　　“隐私政策”，是企业与用户之间关于如何处理和保护个人信息达成的协议，包括用户个人信息如何被收集、使用或与第三方共享等内容。南都个人信息保护研究中心遵循测评标准为18款APP的隐私政策打分，并根据得分划分为透明度高、透明度较高、透明度中等、透明度较低、透明度低等5个层级。

　　从测评结果看，在用户注册前，18款APP均能做到主动提供隐私条款，但是透明度差异明显。隐私政策透明度高的仅有支付宝和京东金融；而未达到“及格线”、处在较低和低层级的超过半数，共有11款，包括微众银行、陆金所、51信用卡、团贷网、有利网等。

　　前不久，南都个人信息保护研究中心发布了《移动金融用户个人信息安全测评报告》，对200款互联网金融类A PP进行了系列测评，其中14款也在此次测评之列。值得一提的是，有2家企业在两次测评报告发布期间修订了隐私政策，在此次测评中跃入前五。

　　比如借贷宝在隐私政策中增加了摘要、重要条款加粗、退订商业推广的具体操作步骤等，达到透明度较高的层级；点融网则将隐私政策从用户协议中独立出来并加以完善，得分从原来的透明度低层级升至中等。

　　除了用户的基本个人信息，互联网金融类A PP还会收集身份证号、银行卡信息等个人敏感信息。《个人信息安全规范》明确规定，收集个人敏感信息时，应取得个人信息主体的明示同意。即个人信息主体通过书面声明或主动做出肯定性动作，后者包括主动勾选、主动点击“同意”等。

　　然而，18款A PP中，有12款均未在收集用户银行卡或身份证信息的页面提供任何协议。即便有少数A P P提供了相关协议，也存在“不可勾选”和“已默认勾选”的问题，未能给予用户充分的选择权。

　　以“51信用卡”A PP为例，当用户选择开通银行存管账户时，相关页面自动跳出风险提示书，并显示《信息授权服务协议》。虽然在告知用户注意相关协议方面，做法较为合规，但是给予用户的选择权较弱。

　　富途证券旗下的“富途牛牛”APP是相对符合合规要求，未默认勾选相关协议，较好地保障了用户的知情权和选择权。

　　7家企业用户数据共享安全无保障

　　上周，“脸书”由于第三方共享的风险防控问题被舆论推上了“审判台”，因此南都个人信息保护研究中心还特别对这18款A PP的用户数据共享机制进行了测评。

　　测评将共享的情况分为三种：

　　第一种是经过用户授权同意才共享，或者只会应司法、政府、学术等需要共享，以及通过共享才能实现上下游业务的情况，这类共享风险被认为是直接关联或可控的；

　　第二种是可能会将用户信息提供给关联公司，或者由于兼并重组产生的共享，这类共享可以通过安全测评或签订保密协议控制，但本身与用户获得服务没有直接联系，被认为部分可控；

　　第三种是不经过用户同意，将信息共享给非业务需要的第三方，或者在隐私政策里要求用户一揽子同意不合理的共享条款，尽管在形式上获得了用户同意，但实际上暗藏霸王条款，这类共享被认为风险不可控。此外，没有共享数据相关条款的也被归为最后一种情况。

　　经过测评发现，这18家独角兽企业中，大部分企业的用户个人信息第三方共享机制堪称“千疮百孔”。根据它们的隐私政策，大量用户数据目前很有可能已经流入到了一些安全技术能力不确定的第三方合作企业或机构手中，存在发生类似“脸书”事件的风险隐患。

　　在18家金融类的独角兽企业中，数据共享风险防控机制较为完善的有2家，分别为蚂蚁金服旗下的支付宝与51信用卡；基本合理的有4家，包括京东金融、借贷宝、点融网与微众银行，它们一方面承诺不经用户同意不会与第三方共享用户数据，另一方面对于共享数据的第三方有严格的要求，如政府、司法机关需要使用数据时，或者承诺会在共享前对第三方的信息保护能力做出评测。

　　令人担忧的是，18家金融类独角兽企业中，有7家的数据共享风险防控机制极差。如团贷网、陆金所等，它们的隐私政策中明文写道：“平台无需用户同意即可向第三方转让与平台有关的全部或部分权利和义务”；还有的企业根本没有与共享数据相关隐私条款，如有利网。

　　值得注意的是，在这18家金融类独角兽企业中，一种常见的规避责任的方式是，运营商在用户协议中要求用户一揽子同意一些敏感信息的收集与共享要求，例如“随手科技”的隐私政策中提到：“您授权并同意我们通过与第三方机构合作的方式，使用摄像头以及通过技术手段获取您的个人信息和设备信息。”或“您授权并同意随手科技与第三方机构合作(如芝麻信用、白骑士、旷世科技等)通过向其提供本协议第二条约定的个人信息的方式，采集、查询您的信用信息……”

　　一方面，用户常常不会仔细查看就点击注册，糊里糊涂授权平台收集大量本不需要的个人信息，甚至允许平台把个人信息随手共享给任意第三方，而不用考虑个人信息的安全性。另一方面，数据一旦泄露，面对用户维权，平台就可以搬出注册时的一揽子协议向用户表示，“你曾经已经授权并同意我们这样做了”，使用户投诉维权无门。

　　《网络安全法》第四十二条规定：未经被收集者同意，不得向他人提供个人信息。将于今年5月1日实施的《个人信息安全规范》则要求，在共享用户敏感信息时，需要事先对用户进行二次提醒，并获得用户的授权同意。因此，握有身份证信息、银行卡信息等大量用户敏感数据的APP通过一揽子获得授权的办法，是无法保护用户个人信息的，可以说发生用户信息通过第三方泄露的风险极大，毫无安全保障。

　　“李彦宏称中国用户愿意用隐私换效率”引争议

　　百度回应：

　　不会利用用户隐私数据做出损害用户的事情

　　南都讯　3月26日，中国发展高层论坛在北京举行。据媒体报道，百度董事长兼首席执行官李彦宏在论坛上表示，中国人对隐私问题没那么敏感，很多情况下愿意用隐私交换便捷性。“李彦宏称中国用户愿意用隐私换效率”随之登上众多媒体头条，引发争议。

　　据了解，李彦宏是在参与论坛讨论时发表相关言论的。谈到数据利用时，他说，百度非常重视隐私问题。在过去几年中，中国也越来越认识到这一问题的重要性。但是在这个过程中，中国人更加开放或者说对隐私问题没那么敏感，很多情况下愿意用隐私来交换便捷性或者效率。他同时强调，百度在这一过程中要遵循一系列原则，如果百度认为使用某一数据会让所有者受益，所有者也愿意让百度使用的话，百度就会去用。

　　南都记者注意到，“李彦宏称中国用户愿意用隐私换效率”的相关报道招致了大量网友的不满。“是因为被你们绑架了好吗，效率和隐私是矛盾的吗！”“我们不愿意泄露隐私，隐私和效率同步并不冲突，提高效率的同时为什么不能保护隐私。”一些微博评论道。

　　针对此事，百度相关人士向南都记者表示，李彦宏说中国用户愿用隐私换效率，并不是说隐私不重要。“从任何角度，百度不可能赞同侵犯别人隐私的行为。李彦宏是想表达，在遵循一系列的数据保护原则，如何更合理更有效率使用数据，让社会、企业和用户都比现在更受益。”该人士说。

　　上述人士表示，非常理解网民对于个人隐私问题的焦虑。在享受互联网产品或者服务时，用户需要授权使用相关隐私信息来提升服务体验。我们不会利用用户的隐私数据，做出损害用户的事情。”他强调，百度很注重隐私问题。

　　观察

　　“愿用隐私换效率”某种程度上是令人尴尬的事实

　　互联网已渗透到生活的每个角落，从订餐、出行到支付、社交，甚至连传统意义上最为隐私的居家场所都有智能设备的身影。人们的言行无时无刻不在被记录和传输，便捷性大大提高的同时，隐私泄露的风险也如影随行。

　　李彦宏表示，中国人对隐私问题没那么敏感，很多情况下愿意用隐私交换便捷性。这一言论引来一片声讨，但在某种程度上是令人尴尬的事实。

　　在强势的企业面前，民众的选择权非常有限

　　互联网行业的发展以数据为基础，用户想使用互联网服务就需要交出部分数据。在这一过程中，企业应与用户达成协议，并对用户数据采取有效的保护。用户如果不同意企业提供的方案，可以不使用该企业的服务，转而选择别家的服务。

　　但实际情况往往没有那么理想。纵观互联网行业，基本上每个领域内都已形成一家独大之势，领头羊也不过两三家。在强势的企业面前，民众的选择权非常有限。据南都记者调查，目前绝大多数网站和APP都有隐私政策，用户不同意就无法使用。

　　“虽然法律明确规定用户享有选择权，但选择权在哪？比如我所有的同事和朋友都用微信，甚至我的工作都离不开微信，那我只能同意企业的隐私政策才能使用微信。未来互联网服务提供方肯定会越来越集中，消费者的选择权也就会慢慢消失。”北京玺泽律师事务所高级合伙人刘新焱指出。

　　测评结果显示隐私政策合规度高的平台极少

　　事实上，就算用户有充分的选择权，国内的隐私保护现状也不容乐观。南都记者曾经测评过共计1550家网站和APP，结果显示，隐私政策合规度高的平台极少，合规度低的超过总数的80%。互联网金融类和购物类的合规度低的网站和APP占比甚至高于90%。

　　合规度低，意味着企业无法为用户数据提供充分保护。一方面，数据流动的问题非常复杂，一些企业确实能力有限，无法应对来自黑客的网络攻击，这属于“心有余而力不足”型。

　　但另一方面，许多企业根本不愿意为用户数据保护付出成本，属于“漠视”型。这类企业中甚至不乏一些知名度较高的企业。南都记者在回顾测评中发现，麦包包、美囤妈妈等17家互联网产品遭到曝光后仍然“我行我素”，没有任何个人信息保护相关的隐私政策。

　　隐私与个人信息边界划分非常艰难

　　互联网时代的隐私保护的另一个难点，即边界问题。每个人对隐私的理解不同，愿意让渡隐私的边界也不尽相同。例如，一些人认为手机号码是隐私，另一些人却不这么认为，因此，隐私常常是一个相对私人的抉择，制定出一个适用于所有人的规则并非易事。

　　在学术界，隐私与个人信息也不能完全等同，这其中的边界划分却非常艰难。享受互联网服务，通常需要用户让渡部分个人信息，但是在多大范围内让渡？其中的平衡点在哪里？用户不知道，企业似乎也很头疼。

　　因此，当用户遇到相关问题时，除非是出现了人身和财产的重大损失，否则一般很难维权。大多数情况下，面对隐私泄露带来的骚扰和诈骗，公众处于求告无门的尴尬境地，除了亲友之间互相提醒谨防上当，也没有什么更好的解决办法。

　　有用户在蝇头小利面前交出自己的隐私

　　此外，不少用户拥抱互联网带来的便利，却没有注意到其中的风险。他们不重视隐私保护，在便捷性甚至是一些蝇头小利面前交出了自己的隐私。

　　南都个人信息保护研究中心曾在北京举办一次体验活动，观察体验者是否愿意用隐私信息交换帽衫、充电宝等礼品。让人哭笑不得的是，一位男士一边念叨着自己曾因电话号码泄露遭遇电信诈骗，一边毫不犹豫地用电话号码换走了帽衫。现实中类似这位男士的用户，估计还不在少数。

　　技术进步的过程中一定会出现利益的撕扯，用户隐私和数据整合便是典型。为了技术和社会的发展进步，隐私保护固然应该保持在适当限度，但企业绝不能漠视用户的选择权。用户到底是真的不敏感，还是被逼得不再敏感？这是一个值得思考的问题。而就用户本身来说，也不能把隐私保护的责任全部推给企业，必要时需要站出来，勇敢维护自己的权益。

　　采写：南都记者 李玲娜 迪娅 蒋琳 冯群星 实习生 尤一炜