日前,锦程消费金融因违反信用信息采集、提供、查询及相关管理规定,被央行成都分行罚款22.6万元。
《财经》新媒体注意到,锦程消费金融公众号的用户隐私协议的更新时间还停留在2020年10月20日,而多数持牌消金机构的用户隐私协议已更新至2022年以后的版本。从该份隐私协议内容来看,锦程消费金融通过3个核心业务功能和2个附加业务功能累计收集用户具体数据维度超过40项。
不过,收集40项具体用户信息并不罕见,由于金融风控等场景需求的特殊性,消费金融机构在收集用户信息层面会比其他行业更为具体。
但从监管层面来看,要求却日趋严格,对数据采集、使用、管理等方面都提出了具体要求。按照《个人信息保护法》《网络数据安全条例(征求意见稿)》《常见类型移动互联网应用程序必要个人信息范围规定》等监管文件的规定,金融行业在开展业务活动中,应当遵循个人信息处理的合法、正当、必要、诚信原则与公开透明原则,确保个人信息的处理具有明确、合理目的,落实最小必要原则。
《财经》新媒体发现,部分消费金融机构在用户信息采集、处理等方面或存有瑕疵,如采集用户数据的具体维度含糊不清晰、采集数据维度的必要性存疑等。
在数据从业者看来,消费金融机构采集数据是为业务支撑,有用户数据就可以一直挖掘用户需求、精准获客。不过,现在的数据采集和业务开展之间面临着合规难题。
01 数据强监管
因违反信用信息采集等数据相关问题被处罚的消费金融机构不只有锦程消金,仅2021年就有4家持牌消费金融机构因信息采集相关问题被监管通报,其中包括平安消金、中原消金、招联金融等。
针对消费金融机构数据方面的处罚多集中在两个方面:一是收集与其提供服务无关的个人信息;二是未经用户同意收集使用个人信息等。早在2018年,种种关于金融用户信息层面的监管趋于严格。
某金融机构数据从业者罗文娟表示,目前,很多应用市场都在筛查金融类App等线上产品的数据采集情况,一经发现存在不合规采集就会下架。
同时,不少金融机构都建立了专门的数据部门,并且设立首席安全官。罗文娟表示,“从数据安全角度而言,一定会有主责部门,很多金融机构都是科技信息部管数据安全,也有些机构放在科技相关部门。”
从实际采集的操作来看,消费金融机构收集用户信息的场景可概括为:注册及登录、申请消费贷款等金融服务、贷款管理及逾期催收、还款、客服与反馈、其他服务、反欺诈和安全管理、与第三方合作、产品改进等。通常情况下,消费金融机构会在用户首次打开其App时弹窗“用户隐私协议”链接并且获取用户的授权。
“不点开链接,用户看不到隐私协议的具体内容。实际上,很少用户会仔细看用户隐私协议,基本都是直接点同意”,罗文娟表示,可是在这些被用户忽略的隐私协议隐藏着一些问题。
一是部分消费金融机构采集用户信息的具体维度表述不清晰。
有消费金融机构的用户隐私协议中,对部分场景采集与使用的信息并未指明信息的具体维度,只显示“部分个人信息”。对此,数据安全资深工程师张乔认为,这样表述明显存在问题,用户隐私协议太过粗略,根据相关的法规,机构数据采集要明确数据采集的范围、频度、类型、用途等。
(某持牌消费金融机构用户隐私协议截图)
实际上,为了用户隐私协议更详细,“大部分消费金融公司的用户隐私协议都万字起步,不仅有分支还会跳转到其他页面”,张乔表示。如招联金融的用户隐私协议字数在2.2万字以上,中银消费金融的用户隐私协议也接近1.5万字。
二是部分消费金融机构采集个人信息维度的必要性存疑。
张乔表示,因为风控等业务层面的需要,金融公司采集数据的维度会比其他类型公司多。不过,2021年5月1日正式施行的《常见类型移动互联网应用程序必要个人信息范围规定》要求,网络借贷类App必要个人信息包括:注册用户移动电话号码、借款人姓名、证件类型和号码、证件有效期限、银行卡号码。
《财经》新媒体对比5家消费金融公司的用户隐私协议发现,目前,消费金融机构采集用户数据的维度依旧非常丰富,除了姓名、手机号、证件类型、银行卡号等网络借贷类App必要个人信息,还包括设备信息、地址信息、安装列表、Wi-Fi状态等用户信息,甚至在注册与登录场景就已采集了大部分的用户信息。
如中银消费金融在注册与登录环节就收集了手机号码、地理位置信息、电子设备信息等,其中电子设备信息囊括了用户的移动设备、网页浏览器或用于接入其服务的其他程序所提供的配置信息、IP地址、无线网络接入信息和移动设备的版本和设备识别码、设备型号、操作系统等十余项具体数据维度。蒙商消费金融也在注册与登录场景采集了用户的安装软件列表(安卓版本)等多个数据维度。
张乔表示,地址信息在大部分的风控场景都会用到,用来防范账号被盗用后的异地登录,安装列表则是为了观察用户是否装了很多同类APP,“但这些都不是必要的信息采集,因为它们并不是唯一的风控方式,对机构而言只是多了个依据。”
02 挑战与机遇
多位数据从业者告诉《财经》新媒体,不是公司不想减少采集用户信息维度,“这件事影响较大,一方面,改动原有App的采集功能成本太高,基本要把代码重新写一遍;另一方面,数据采集本质是服务于业务经营,通过数据平台可搭建模型,更好的洞察客户需求并进行精准营销与获客以及服务等。”
罗文娟表示,很多机构在用户访问其产品时,会收集页面停留时间、设备品牌、型号、厂商、屏幕规格、操作系统版本、CPU和电池使用情况等大量个人信息来推送或改进服务及产品。
张乔认为,很多业务的用户画像也依靠数据预测,在缺少数据源或者数据源不准的情况下,用户画像也不准确了。“从2021年年中开始,不少机构业务受限,尤其是营销、广告层面。”
数据从业者普遍认为,新用户数据是一个壁垒,有用户数据就可以挖掘用户需求,有数据的持续供应就可以一直挖掘,越挖越多,也就是强者恒强,换句话说没有数据很难挖掘用户需求。
在罗文娟看来,数据安全不是简单的选择题,企业需要在发展和安全中间寻求平衡,“当然,与数据安全发展冲突时,宁可不做业务也要保证安全,但除此之外的大多时候金融机构还是想发展业务。”
一位接近监管人士告诉《财经》新媒体,从这两年的立法来看,国家对于数据保护的重视程度越来越高。实际上,中国的数据保护标准高于欧洲的一般数据通用保护条例,这对于金融机构提升、改进信息收集水平提出了更高的要求。
(罗文娟、张乔均为化名)
凡本网注明“来源:XXX(非中国财经消费)”的内容,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
如有侵权等问题,请及时联系本网,本网将在第一时间删除:gkjnet@qq.com