原標題：個人信息保護合規測評⑥丨20款消費金融類APP：支付寶點擊8次關閉位置授權，衆安小貸人臉識別未獲單獨同意

我國《個人信息保護法》於2021年11月1日起施行。法律明確了個人信息處理活動中的權利義務邊界，以“告知—同意”爲核心原則對平臺進行個人信息處理予以規範。

爲了解企業在個人信息保護方面的落實情況，南方財經合規科技研究院基於《個人信息保護法》與《App違法違規收集使用個人信息行爲認定方法》的相關條款，對平臺的個人信息保護合規進行系列測評。測評含告知、撤回同意、第三方處理者單獨告知、個性化推薦、敏感個人信息、未成年人個人信息、數據可攜帶權、信息控制權、個人保護信息負責人這9大方面共20個測評項，測評總分爲100分。

結合用戶量與功能差異等因素，測評選取了20款消費金融類APP（含持牌消費金融公司、互聯網小貸公司和提供貸款服務的互聯網公司等）進行個人信息保護合規實測。測評結果顯示，有錢花得分80分，個人信息保護等級較高；萬達普惠、中原消費金融、安逸花、京東金融、招聯金融、攜程金融、新浪金融、支付寶等15款APP得分在60分至80分；蘇寧金融、夠花、好分期、捷信金融得分不足60分，個人信息保護有待加強。

撤回同意、敏感個人信息保護、個性化推薦、數據可攜帶權、第三方處理者單獨告知，成爲平臺的高頻合規問題。好分期等6款APP無法直接撤回同意，無APP撤回同意便捷，如支付寶需經8個步驟關閉授權。敏感個人信息保護亟待加強，招聯金融未經同意獲取相冊權限，衆安小貸人臉識別未獲單獨同意且未告知用戶權益影響。個性化推薦的選擇權難實現，多款APP未明確告知是否提供個性化推薦，且未區分關閉個性化內容及廣告推薦，僅4款APP可便捷關閉。第三方SDK同是合規重災區，僅1款實現個人信息處理的合規告知，1款APP獲取用戶的單獨同意。數據可攜帶權的實現也不盡如人意，9款APP未提可獲取個人信息副本，僅2款APP明示可提供個人信息的轉移服務。

6款無法應用內撤回同意，支付寶關閉授權需8步

撤回同意權已成爲全球個人信息保護立法的趨勢與共識，《個人信息保護法》中也對此進行了回應。第十五條規定，基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

此次測評對撤回同意聚焦於APP內是否提供了用戶自主撤回同意的相關功能選項。測評發現，20款消費金融類APP中，京東金融、捷信金融、安逸花、中原消費金融等14款能夠在APP內或跳轉至手機系統設置對相關授權撤回同意。

分期樂提供系統權限管理

招聯金融、好分期、攜程金融、衆安小貸、萬達普惠5款應用需要用戶自行前往系統設置中關閉授權，夠花雖有“系統設置”管理頁面，但未包含對相冊權限的使用。夠花在隱私政策的設備權限調用說明中列舉，“訪問照片”會在用戶首次使用具體業務場景下彈窗詢問，例如更改頭像，且可以關閉授權。但在實際操作中，點擊更換頭像並未彈窗詢問是否授權，APP默認用戶授權相冊功能，且無法關閉該授權。

撤回同意的便捷性值得關注。《個人信息保護法》二審稿中對撤回同意增加“便捷”的要求，與歐盟《通用數據保護條例》（GDPR）“撤回同意應當和表示同意一樣簡單”的宗旨以及《個人信息安全規範》等相關規定相呼應。

參照國家網信辦、工信部、公安部、市場監管總局2019年11月聯合制定的《App違法違規收集使用個人信息行爲認定方法》中，關於“隱私政策等收集使用規則難以訪問，如進入App主界面後，需多於4次點擊等操作才能訪問到”的規定，測評將打開APP後如經過4次點擊仍無法關閉相關授權，視爲不便捷。

測評結果顯示，在提供應用內部關閉授權或跳轉系統關閉授權的消費金融類APP中，均不便捷，需超過4次操作步驟。以支付寶爲例，關閉位置授權需要通過“我的-設置-隱私-系統權限管理-位置-管理位置權限-位置-關閉精確位置”路徑進行8次點擊。

敏感個人信息保護缺失，相冊、人臉識別未獲單獨同意

《個人信息保護法》設專節對處理敏感個人信息作出更嚴格的限制，明確敏感個人信息的定義、處理前提和監管要求等。

依據法律，平臺處理敏感個人信息應取得個人的單獨同意，並應向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

按照敏感個人信息的定義“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”，用戶的相冊中極易包含多類敏感個人信息，平臺是否獲取用戶的單獨同意尤爲重要。測評發現，部分APP存在獲取相冊權限但並未明確提示的現象。

以招聯金融爲例，其隱私政策顯示，在用戶使用IOS系統時，APP可能會申請權限訪問照片庫，以便用戶使用修改頭像及其他會上傳照片或視頻的相關服務。拒絕授權後，前述功能或服務可能無法使用。但在使用招聯金融更換用戶頭像時，APP並未彈窗申請獲取相冊權限，即可直接進入相冊頁面選擇照片。

人臉信息作爲生物識別信息也應得到更高強度的保護。不少金融消費類APP均爲人臉識別功能提供單獨授權頁面並設專有規則，如度小滿提供《面容驗證支付協議》、支付寶提供《生物識別服務通用規則》、分期樂提供《個人敏感信息授權書》等。

支付寶獲取人臉識別頁面

部分APP則將人臉識別的單獨同意與相機功能設爲同一授權，在人臉識別的保護機制上有待加強。例如，衆安小貸在隱私政策中提到，在額度評估流程內，身份認證及人臉識別功能需使用相機，使用時會喚起相機權限。實測發現，衆安小貸在獲得相機權限後，收集人臉信息時並未獲得用戶的單獨同意，直接進入人臉識別環節。同時，衆安小貸在隱私政策中僅提及進行人臉識別的必要性和主要用途，但未表明對個人權益的影響。

個性化內容及廣告推薦關閉不明晰，僅4款關閉便捷

《個人信息保護法》從一審稿到成文，在不斷強化對自動化決策的規制。第二十四條要求，通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

對於消費金融類應用而言，收集用戶的瀏覽記錄、搜索記錄、交易信息等進行算法的自動化決策機制分析形成間接用戶畫像，用以爲用戶提供更具有個性化需求的內容或廣告服務。

針對個性化推薦，平臺是否設置了關閉個性化內容推薦及個性化廣告推薦的功能、是否提供便捷的拒絕方式、關閉個性化推薦後是否會影響產品使用，這三項內容成爲合規焦點。

20款消費金融類APP提供的個性化推薦服務不一。在明確提到會提供個性化內容與個性化廣告推薦的應用中，京東金融、攜程金融、支付寶3款在應用內對兩種推薦分別提供關閉按鈕。

京東金融提供分別提供個性化內容、廣告推薦管理

其他多款應用未在功能設置上未對關閉個性化廣告推薦和關閉個性化內容推薦進行明確區分，如好分期、夠花、分期樂等APP需通過系統設置的“通知”選項等進行關閉，蘇寧金融僅提供“個性化內容和廣告推薦”的統一關閉按鈕。

在僅提供個性化內容或廣告一種推薦服務的應用中，不少APP提供明確關閉按鈕，如捷信金融有關閉個性化廣告功能，天星金融提供個性化內容推薦關閉選項。有APP的關閉選項不太明確，如國美易卡的隱私管理中包含“非定向推送信息權限”的管理，提示可以禁止平臺使用某些類別的信息向用戶展示更相關的推送，但此選項沒有顯示“關閉” 的按鈕，只有“去設置”和“已允許”，點擊“去設置”也未顯示“已關閉”或跳轉至其他頁面關閉，無法判斷是否已關閉該權限。

新浪金融、招聯金融、拍拍貸貸款、衆安小貸、中郵錢包5款APP的隱私政策中均未提及會收集用戶個人信息用於個性化推薦的相關內容，無個性化關閉按鈕。

蘇寧金融爲個性化推薦提供應用場景及功能列表

在“是否提供便捷的拒絕方式”上，測評同樣參照《App違法違規收集使用個人信息行爲認定方法》，打開APP後如經過4次點擊仍無法關閉個性化推薦，則視爲不便捷。

結果顯示，在提供個性化推薦的15款APP中僅4款APP在所提供的推薦服務上完全實現了不超過4次點擊即可關閉，包括國美易卡、中原消費金融、有錢花、萬達普惠。

第三方SDK告知不全，僅1款獲單獨同意

《個人信息保護法》第二十三條規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。

APP內通常會接入多個SDK（軟件開發工具包），利用SDK技術爲用戶提供多樣化的服務。目前，所測20款消費金融類APP都在隱私政策中明示了接入相關合作方SDK的目錄，但因詳細度不同而存在一定合規問題。

依據法律要求，APP應向個人告知第三方的“名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類”。測評發現，僅分期樂實現了合規告知，15款APP未告知第三方SDK對個人信息的處理方式，9款APP未告知第三方SDK的聯繫方式。

僅萬達普惠的第三方SDK實現了“取得個人的單獨同意”，在下載應用後的首次彈窗中，包含對外部SDK的簡介。

萬達普惠單獨彈窗第三方SDK的簡介

多款APP雖在首次彈窗中提到“未經您的授權同意，我們不會將上述信息共享給第三方或用於您未授權的其他用途”，但第三方SDK的詳細信息需要APP內的隱私管理中查閱。

9款未提個人信息複製權，僅2款提供個人信息轉移

數據可攜帶權是《個人信息保護法》三審新增的一項權利。第四十五條規定：“個人有權向個人信息處理者查閱、複製其個人信息；有本法第十八條第一款、第三十五條規定情形的除外。”

可攜帶權分爲兩個維度：其一，個人請求查閱、複製其個人信息的，個人信息處理者應當及時提供，即個人可獲得個人信息副本；其二，個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

測評發現，9款APP未明確提及可提供個人信息複製服務，僅京東金融、好分期、安逸花、中郵錢包、萬達普惠、衆安小貸、夠花、分期花、有錢花、360借條、招聯金融11款APP可以提供個人信息的副本。以京東金融爲例，獲取個人信息副本，可以通過撥打客服熱線，人工客服進行身份覈驗後，可將個人信息副本提交給用戶。

但可攜帶權的另一維度——個人信息的轉移服務，執行的情況則不容樂觀。僅安逸花、攜程金融2款APP提到了用戶“轉移個人信息”的權利受到保障，可以通過聯繫平臺方實現。

南財合規建議

1、對於相機、位置信息、麥克風等授權的撤回同意，APP內可設權限管理專區，並明確在何種場景下使用及用以哪些目的等。爲實現便捷性的要求，關閉授權的點擊步驟不應超過4次，建議在應用內可直接關閉。

2、消費金融類APP常見對敏感個人信息的收集處理，如通過人臉識別提供遠程開戶、綁卡核身、賬戶登錄、分期購物、人臉支付等服務，應在相關場景提供專有協議或規則，告知用途和可能風險，並明確獲得用戶單獨同意，保障用戶知情權與選擇權。同時，當用戶不想再繼續授權使用其人臉數據時，APP必須提供“退出”或“刪除”渠道，確保用戶的刪除權。

3、在個性化推薦問題上，企業除了《個人信息保護法》，還應參照《互聯網信息服務算法推薦管理規定（徵求意見稿）》等關於算法機制的要求。在隱私政策中，應明確告知用戶是否進行了個性化內容推薦與個性化廣告推薦，體現是收集的信息類型、目的意圖、運行機制等。如個性化內容與廣告推薦均有，則應爲用戶分別提供單獨的關閉按鈕，並告知關閉後的影響。爲實現用戶的便捷關閉，應將開啓或關閉選項設於APP“設置”頁面的顯著位置，點擊步驟不應超過4次。

4、第三方單獨告知問題方面，目前大多數APP提供了第三方SDK信息收集的單獨列表，應對當前未落實的聯繫方式、處理方式進行明確告知。在取得個人的單獨同意上，可在首次開啓APP的彈窗中設計。

5、對於用戶的個人信息可攜帶權，APP應在隱私政策明確列明《個人信息保護法》中賦予用戶的權利，並提供實現路徑。企業應爲此提供專門的聯繫方式獲取或在APP內設計直接獲取導出按鈕。

測評補充說明

測評時間：11月18日至25日

APP所測版本（括號內爲隱私政策更新或生效時間）：

IOS版：京東金融6.2.50（2021.10.04），捷信金融34.24.1（2021.8.24），招聯金融6.1.0（2021.11.10），好分期v7.3.1（2021.9.29），安逸花3.4.57（2021.11.12），支付寶10.2.36（2021.3.8），攜程金融2.4.10（2021.10.31），萬達普惠4.1.9（2021.8.9），夠花3.6.4（2021.5.31），國美易卡5.3.3（2021.11.17），分期樂6.11.0_6（2021.11.1），有錢花5.5.0（2021.10.28）

Android版：中原消費金融4.0.1（2021.10.28），中郵錢包2.9.26build336（P1）（2021.11.18），天星金融v.4.0（2021.10.29），蘇寧金融6.8.5（2021.11.28），新浪金融3.9.25（2021.11），360借條1.9.9（2021.11.18），拍拍貸借款9.10.4（2021.11.1），衆安小貸1.9.4（2021.8.22）