日前,錦程消費金融因違反信用信息采集、提供、查詢及相關管理規定,被央行成都分行罰款22.6萬元。
《財經》新媒體注意到,錦程消費金融公眾號的用戶隱私協議的更新時間還停留在2020年10月20日,而多數持牌消金機構的用戶隱私協議已更新至2022年以后的版本。從該份隱私協議內容來看,錦程消費金融通過3個核心業務功能和2個附加業務功能累計收集用戶具體數據維度超過40項。
不過,收集40項具體用戶信息并不罕見,由于金融風控等場景需求的特殊性,消費金融機構在收集用戶信息層面會比其他行業更為具體。
但從監管層面來看,要求卻日趨嚴格,對數據采集、使用、管理等方面都提出了具體要求。按照《個人信息保護法》《網絡數據安全條例(征求意見稿)》《常見類型移動互聯網應用程序必要個人信息范圍規定》等監管文件的規定,金融行業在開展業務活動中,應當遵循個人信息處理的合法、正當、必要、誠信原則與公開透明原則,確保個人信息的處理具有明確、合理目的,落實最小必要原則。
《財經》新媒體發現,部分消費金融機構在用戶信息采集、處理等方面或存有瑕疵,如采集用戶數據的具體維度含糊不清晰、采集數據維度的必要性存疑等。
在數據從業者看來,消費金融機構采集數據是為業務支撐,有用戶數據就可以一直挖掘用戶需求、精準獲客。不過,現在的數據采集和業務開展之間面臨著合規難題。
01數據強監管
因違反信用信息采集等數據相關問題被處罰的消費金融機構不只有錦程消金,僅2021年就有4家持牌消費金融機構因信息采集相關問題被監管通報,其中包括平安消金、中原消金、招聯金融等。
針對消費金融機構數據方面的處罰多集中在兩個方面:一是收集與其提供服務無關的個人信息;二是未經用戶同意收集使用個人信息等。早在2018年,種種關于金融用戶信息層面的監管趨于嚴格。
某金融機構數據從業者羅文娟表示,目前,很多應用市場都在篩查金融類App等線上產品的數據采集情況,一經發現存在不合規采集就會下架。
同時,不少金融機構都建立了專門的數據部門,并且設立首席安全官。羅文娟表示,“從數據安全角度而言,一定會有主責部門,很多金融機構都是科技信息部管數據安全,也有些機構放在科技相關部門。”
從實際采集的操作來看,消費金融機構收集用戶信息的場景可概括為:注冊及登錄、申請消費貸款等金融服務、貸款管理及逾期催收、還款、客服與反饋、其他服務、反欺詐和安全管理、與第三方合作、產品改進等。通常情況下,消費金融機構會在用戶首次打開其App時彈窗“用戶隱私協議”鏈接并且獲取用戶的授權。
“不點開鏈接,用戶看不到隱私協議的具體內容。實際上,很少用戶會仔細看用戶隱私協議,基本都是直接點同意”,羅文娟表示,可是在這些被用戶忽略的隱私協議隱藏著一些問題。
一是部分消費金融機構采集用戶信息的具體維度表述不清晰。
有消費金融機構的用戶隱私協議中,對部分場景采集與使用的信息并未指明信息的具體維度,只顯示“部分個人信息”。對此,數據安全資深工程師張喬認為,這樣表述明顯存在問題,用戶隱私協議太過粗略,根據相關的法規,機構數據采集要明確數據采集的范圍、頻度、類型、用途等。
(某持牌消費金融機構用戶隱私協議截圖)
實際上,為了用戶隱私協議更詳細,“大部分消費金融公司的用戶隱私協議都萬字起步,不僅有分支還會跳轉到其他頁面”,張喬表示。如招聯金融的用戶隱私協議字數在2.2萬字以上,中銀消費金融的用戶隱私協議也接近1.5萬字。
二是部分消費金融機構采集個人信息維度的必要性存疑。
張喬表示,因為風控等業務層面的需要,金融公司采集數據的維度會比其他類型公司多。不過,2021年5月1日正式施行的《常見類型移動互聯網應用程序必要個人信息范圍規定》要求,網絡借貸類App必要個人信息包括:注冊用戶移動電話號碼、借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。
《財經》新媒體對比5家消費金融公司的用戶隱私協議發現,目前,消費金融機構采集用戶數據的維度依舊非常豐富,除了姓名、手機號、證件類型、銀行卡號等網絡借貸類App必要個人信息,還包括設備信息、地址信息、安裝列表、Wi-Fi狀態等用戶信息,甚至在注冊與登錄場景就已采集了大部分的用戶信息。
如中銀消費金融在注冊與登錄環節就收集了手機號碼、地理位置信息、電子設備信息等,其中電子設備信息囊括了用戶的移動設備、網頁瀏覽器或用于接入其服務的其他程序所提供的配置信息、IP地址、無線網絡接入信息和移動設備的版本和設備識別碼、設備型號、操作系統等十余項具體數據維度。蒙商消費金融也在注冊與登錄場景采集了用戶的安裝軟件列表(安卓版本)等多個數據維度。
張喬表示,地址信息在大部分的風控場景都會用到,用來防范賬號被盜用后的異地登錄,安裝列表則是為了觀察用戶是否裝了很多同類APP,“但這些都不是必要的信息采集,因為它們并不是唯一的風控方式,對機構而言只是多了個依據。”
02挑戰與機遇
多位數據從業者告訴《財經》新媒體,不是公司不想減少采集用戶信息維度,“這件事影響較大,一方面,改動原有App的采集功能成本太高,基本要把代碼重新寫一遍;另一方面,數據采集本質是服務于業務經營,通過數據平臺可搭建模型,更好的洞察客戶需求并進行精準營銷與獲客以及服務等。”
羅文娟表示,很多機構在用戶訪問其產品時,會收集頁面停留時間、設備品牌、型號、廠商、屏幕規格、操作系統版本、CPU和電池使用情況等大量個人信息來推送或改進服務及產品。
張喬認為,很多業務的用戶畫像也依靠數據預測,在缺少數據源或者數據源不準的情況下,用戶畫像也不準確了。“從2021年年中開始,不少機構業務受限,尤其是營銷、廣告層面。”
數據從業者普遍認為,新用戶數據是一個壁壘,有用戶數據就可以挖掘用戶需求,有數據的持續供應就可以一直挖掘,越挖越多,也就是強者恒強,換句話說沒有數據很難挖掘用戶需求。
在羅文娟看來,數據安全不是簡單的選擇題,企業需要在發展和安全中間尋求平衡,“當然,與數據安全發展沖突時,寧可不做業務也要保證安全,但除此之外的大多時候金融機構還是想發展業務。”
一位接近監管人士告訴《財經》新媒體,從這兩年的立法來看,國家對于數據保護的重視程度越來越高。實際上,中國的數據保護標準高于歐洲的一般數據通用保護條例,這對于金融機構提升、改進信息收集水平提出了更高的要求。
(羅文娟、張喬均為化名)