一鍵授權1292家公司 誰在網貸協議里“裸奔”

“我就是辦個貸款，為什么要同意這么多協議？”“只是點了下協議，怎么就授權了1000多家公司查詢信息？”有過貸款經歷的消費者，對相關協議的勾選環節一定不陌生，從注冊到授信，再到支付，短則幾百字、多則上萬字的協議，消費者大都草草略過，事后才發現，很多坑其實就藏于其中。

3月14日，銀保監會發布關于警惕過度借貸營銷誘導的風險提示，也提到一些金融機構、互聯網平臺在開展相關業務或合作業務時，以默認同意、概括授權等方式獲取授權，過度收集個人信息，侵害消費者個人信息安全權。

授權協議捆綁1292家公司

近日，北京商報記者在一互聯網平臺點擊了一個貸款廣告，經過層層導流和注冊環節后，就發現了一份“內有玄機”的協議。

該協議出自一個名為“愛分期”的平臺，其號稱有4萬元預估授信額度，參考年化利率36%。從操作流程來看，領取該額度需要點擊同意愛分期注冊協議和用戶隱私協議。

根據相關協議，愛分期平臺是一個移動金融智選平臺，也就是業內俗稱的助貸平臺，其本身不從事放貸業務，展示的貸款產品將由合作的第三方機構或信貸經理提供。該平臺由徐州維夢科技有限公司及其關聯實體運營，并稱相應服務主要是根據用戶貸款申請情況，將用戶個人信息與數據進行審核，通過審核之后再將信息提交至資金放款機構完成放款。

另據隱私協議，愛分期在撮合服務的過程中，用戶需要主動提供姓名、身份證、手機號、信用情況、房產車產、社保公積金等個人信息，這些信息均屬于敏感信息，如果用戶拒絕提供，可能無法正常使用貸款產品申請的功能。

該隱私協議還提到，平臺會將用戶個人隱私信息與其他合作方進行信息共享。北京商報記者進一步點擊愛分期貸款合作方列表發現：該平臺一攬子信息共享的公司竟達1292家，機構類型除了一些小額貸款公司、消費金融公司、保險公司外，大部分是一些未持有金融牌照的信息科技公司、電子商務公司、商務咨詢公司、金融外包公司等。

為何申請額度勾選協議竟一鍵授權上千家公司？用戶個人隱私信息授權至非持牌金融機構又是何原因？對于多個問題，北京商報記者對愛分期平臺方面進行采訪，但截至發稿對方未給出相關回應。

“這一商業模式就是傳統的平臺助貸模式。”談及愛分期這一信息授權操作，博通咨詢金融業資深分析師王蓬博說道，“《個人信息保護法》有相關規定，收集信息要考慮最小必要和每個節點都要通知的原則，收集范圍上連帶社保公積金和房產車產，個人覺得這一信息收集明顯過度。另外還有一個嚴重的問題是，其傳播范圍過廣而且鏈條環節過多，涉及1292家機構，也就意味著鏈條上任何一個環節出現問題，個人信息隱私就可能被泄露”。

值得一提的是，自勾選授權后連續多天時間內，北京商報記者每天都收到了多個不知名貸款機構的電話騷擾，還有推銷人員自稱為某銀行信貸審批人員，且已查看過記者的詳細個人資料，獲批額度數萬元不等。

可能涉及侵權責任

類似捆綁授權、過度收集用戶個人信息的亂象并不少見。之前就有不少消費者向北京商報記者反饋，在貸款過程中，有平臺強制用戶勾選購買“借款人意外傷害保險”協議，否則無法進行下一步操作。在這種情況下，借款人只能勾選確認。

此外，北京商報記者在多次調查中發現，有不少互聯網平臺導流的一些助貸公司或者小貸機構，在收集用戶個人信息方面，勾選方式亦存在概括授權、捆綁授權等情況，一鍵授權多家機構的模式并不少見。

這也引起了監管的注意。3月14日，銀保監會發布關于警惕過度借貸營銷誘導的風險提示，其中就強調了過度收集個人信息，侵害消費者個人信息安全權的問題。銀保監會稱，一些金融機構、互聯網平臺在開展相關業務或合作業務時，對消費者個人信息保護不到位，比如以默認同意、概括授權等方式獲取授權；未經消費者同意或違背消費者意愿將個人信息用于信用卡業務、消費信貸業務以外的用途；不當獲取消費者外部信息等。

北京市中聞律師事務所律師李亞在接受北京商報記者采訪時指出，《個人信息保護法》第二十三條規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。這樣規定的目的在于保護公民個人信息的安全。在他看來，合作方信息授權一攬子捆綁多家公司，對于用戶來說存在個人信息泄露等巨大風險。

“平臺如果泄露用戶私人信息的，民事責任層面，平臺可能需要承擔侵權責任；行政責任層面，根據具體情節，平臺可能面臨警告、罰款等行政處罰。”李亞說道。

易觀分析金融行業高級分析師蘇筱芮同樣稱，合作方信息授權一攬子捆綁的行為也不利于平臺如實、詳細對金融消費者披露各類信息，其中可能存在少披露、不披露等情形，會加劇個人信息面臨的風險，也不符合“斷直連”相關規范，在個人信息的采集、傳輸、共享方面存在漏洞。

數據安全是監管底線

其實，監管部門曾多次強調，未經申請和審批通過的任何單位和個人不得經營個人征信業務；此外，打著大數據公司、金融科技公司等旗號，未經批準擅自從事個人征信業務的行為，均屬于違法行為。

2021年7月，監管就網絡貸款業務再次強調，在助貸領域需實現個人信息與金融機構全面“斷直連”，按照整改工作要求，需要遵循監管關于“斷直連”的規定，在個人征信業務管理的整體框架下，按照“平臺-征信機構-金融機構”的業務合作流程進行整改。

此外，最新公布的《金融產品網絡營銷管理辦法（征求意見稿）》指出，數據安全是監管底線，平臺應當采取必要的技術安全措施，與其合作的持牌金融機構共同保障數據傳輸的保密性、完整性。

對于市場機構相關行為，李亞指出，平臺應該嚴格遵守《個人信息保護法》等相關法律規定及金融管理部門的政策規定。在個人信息處理過程中，應遵循合法、正當、必要原則，不得過度處理。

冰鑒科技研究院高級研究員王詩強則稱，目前，個人隱私監管較為嚴格，處罰力度也越來越大，建議相關金融從業機構謹慎共享客戶信息，即使需要共享也是一家一家單獨授權、直接授權。此外建議相關金融機構不要與一些非持牌機構合作助貸導流業務，以防客戶隱私泄露或者被高利貸平臺拖累而被監管處罰。

銀保監會則提醒消費者，在消費過程中提高保護自身合法權益的意識。認真閱讀合同條款，不隨意簽字授權，注意保管好個人重要證件、賬號密碼、驗證碼、人臉識別等信息。不隨意委托他人簽訂協議、授權他人辦理金融業務，避免給不法分子可乘之機。一旦發現侵害自身合法權益行為，要及時選擇合法途徑維權。

北京商報記者 劉四紅