先后踩雷“用户数据”,新金融企业隐私保护困局待解

作者: 张吉龙
支付宝、京东金融先后踩雷“用户数据”问题,一方面显示了企业对数据的渴求,另一方面也侧面印证了用户隐私意识的提升。在经历过无序、自由而野蛮的生长以后,新金融企业们需要在商业诉求和用户权益上进行平衡。

本文来自全天候科技,阅读更多请登陆www.awtmt.com或华尔街见闻APP。

作者 | 张吉龙 编辑 | 罗丽娟

一个用户偶然发现的一个问题,再度让外界对京东金融对用户的隐私保护力度充满质疑。

2019年的农历新年还没过去,有用户发现东金融App在后台运行的情况下,会“复制”用户截取的App截图以及用户拍摄的某些照片,其中甚至涉及敏感照片——比如银行App截图。

该问题在各大社交媒体上被曝光之后立刻引起了大量京东金融用户的强烈关注,纷纷担忧隐私泄露的问题。很快京东金融方面做出了回应,对其“窃取”用户隐私的说法喊冤,称这些图片只作为缓存图片存在在用户手机中,只要用户自己不主动上传,京东金融后台系统绝对看不到,不会侵犯用户隐私。

不过京东金融方面也承认,这是个技术方面的开发错误,称已经定位问题并下线修复。

如今,新金融企业对于大众的生产生活加速渗透,但由于行业特殊性,其带来的用户隐私保护的挑战也在加剧。

踩雷用户隐私问题的不仅仅是京东金融。2018年初,支付宝就因为发布的年度账单饱受舆论非议。当时有细心的网友发现,支付宝发布的年度账单功能被发现默认勾选允许支付宝收集用户信息包括在第三方保存的信息的“服务协议”。

根据协议,支付宝可以直接向第三方提供用户的相关信息,将用户的全部信息进行分析并推送给合作机构,而且有权不支持用户撤销第三方的信息查询授权,意味着即便是服务终止后,仍可继续保留用户的信息和数据。

对于汹涌而来的民意,支付宝方面很快发布了认错声明,并表示对于无意间“被开通”芝麻信用的用户,可通过技术回滚的手段让用户恢复到未开通的状态。

支付宝、京东金融等新金融巨头先后发生踩雷事件刺激大众神经的背后,显示出了日益觉醒的用户隐私保护意识和企业对用户信息收集诉求之间越来越强烈的冲突。对于事关用户钱袋子安全的新金融企业来说,如何平衡用户和商业利益,是个亟待解决的问题。

数据渴求

“主观上,京东金融App可能确实没有的恶意来窃取用户的照片的动机。”一位安卓开发的工程师对全天候科技表示,他自己测试软件代码时并没有发现恶意代码,猜测只是利用了开源代码来实现某些功能。

按照京东金融官方的回应,之所以会有bug其初衷完全是为了服务用户,“此功能的目的是,用户对京东金融App进行截屏时,本人可将京东金融App截屏发送给在线客服人员,以提高与在线客服的沟通效率。”

但是由于技术上出现了问题,在将京东金融App切换到后台之后该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能。

实际上,截屏反馈本是一个常见功能,只要App获得了相册的权限都可以进行该操作。上述开发人员称,不仅是京东金融,在软件打开的情况下当使用截图功能时,多款知名App比如支付宝、滴滴、美团等都会跳出截图反馈的选项,提示用户选择联系客服或者分享图片。

“截图或者图片出现在App文件夹内显然是一个低级的技术错误。”他表示,但是对于不懂技术的普通人来说,猜测用户隐私被窃取也是正常反应。

数据在成为了诸多新技术发展基石的同时,也成为越来越多企业和个体之间冲突的根源。

马云曾表示,未来30年数据将替代石油成为强大的能源,绝大多数企业都必须变得数据化。但是对于企业来说,在意识到数据的价值之后,还必须考虑数据从哪里来的问题。

答案之一就是用户所产生的数据,其中数据的来源之一就是手机的相机,小米董事长雷军在一次内部小范围的会议上称,“手机里有相机,这就使大家的相机成为了随身携带,意味着照片的量开始爆炸,意味着录像的量开始爆炸,意味着用户自主产生的数据量开始爆炸,我觉得这个数据量是极为恐怖的。”

据了解,2014年,仅小米一家公司一天新增加的数据就高达380t,而且此后每年都会在前一年的基础上增长数倍。

对于一般的科技公司来说,庞大的用户数据可以用于支持智能技术的发展,尤其是各种模型都需要用数据来喂养和修正。

对网贷、消费金融等新金融企业来说,收集用户的数据还有一个特别的原因,出于风控的目的。

目前智能风控成为行业新的技术争夺点,而智能风控离不开海量数据的浇灌,某网贷平台CEO透露,其所属的平台利用借款人的基础信息对用户进行信用评估。其数据的纬度除了传统金融机构也采用的常规数据之外,还包括了一些互联网上的碎片化数据,比如微博、论坛的发言等等。“粉丝数量、发布内容、社交网络等都被纳入了风险评估模型中。”

而另一家位于北京的持牌消费金融机构CTO也表示,用户使用手机号时间的长短也是他们的风控纬度之一,“就算用户其他各项信用表现的很好,但是如果手机号使用时间太短,我们也可能不会放款。”

“通讯记录中得到的信息远比人们想象得多”,他表示通过一个人的通话频率、通讯录数量等数据,可以得出其联络网络大小和稳定性,推测其社交关系。而通话时定位的实时地理位置,则是金融机构催收部门最需要的信息。

另外上述消费金融机构CTO透露,有些消费金融公司会通过短信来了解用户的收入情况和贷款情况,主要识别是不是有网贷平台和银行短信。

在数据渴求的驱动下,许多金融类App对于用户数据的索取变得越来越多。越来越多的App在下载之后,都必须注册才能使用,而注册时手机号码成为必须要填写的选项。除了手机号码,诸多App还要求获得通讯录、相册、地理定位等方面的权限,而且这些权限无法拒绝,否则用户也无法使用。

根据2018年中消协发布的100款App个人信息收集与隐私政策测评报告,发现在所有类型的App中,金融理财类App在信息采集类型和隐私政策方面得分最低,包括中国工商银行、捷信快贷、随手记、同花顺、马上到账贷款、悟空理财等多款金融理财类App仅获得一星评分。

(10款金融理财类App星级评价,来源:中消协官网)

中消协方面指出,App们对于用户信息存在过度收集和使用的嫌疑,大量收集与所提供服务无关联信息。很多App都要求获得用户的财务信息,甚至是工作单位,家庭住址等敏感信息。

在某些论坛上,有网友声称某些App偷用户资料的行为,具体方式是诱导用户填写资料信息以评估申请贷款的额度,一旦提交资料就被秒拒。

隐私边界

小米手机用户何东经常发现自己的手机开始莫名其妙的收到了发自小米金融和度小满金融的贷款营销短信,而他自己从未专门注册过这些平台的账号,也没有向这些平台提出过贷款请求。

具体他的个人信息是如何被小米金融和度小满金融获得的,他也是一头雾水。其猜测,这些数据可能来自百度或者小米,因为他在这两个平台上都有注册账号。

京东金融集团CEO陈生强曾经表示,京东集团所积累的大量数据是京东金融的基础优势,“京东金融背靠京东集团,本身拥有极大的用户基础”,他提到,这其中包含用户数据、商户数据、物流数据、产品数据等等,数据规模大,且维度广。

除了平台内部之间倒腾数据,随着网贷、现金贷行业的发展,买卖用户数据成为一个黑色利益链,不同的平台也会通过数据倒卖的方式进行牟利。

“互金企业的用户信息商业价值更加直接,已成为盗取、倒卖用户信息不法分子伸手的重地,并已形成黑色利益链。”广州互联网金融协会会长方颂表示,我国互联网金融用户人数已经超过5亿,这5亿的用户信息除了自然人姓名、出生日期、身份证件号码、住址等,还涉及到用户手机、银行账号、资金流转的个人关键财务信息。

方颂称不少互金机构习惯于通过网络平台向房产、金融、保险、等渠道获取个人信息,亦有互金机构本身从事客户信息出售、转售的行为。

此前有多家媒体报道,在各种聊天软件上,有贷款机构的员工以低廉的价格卖用户数据。2017年底,黑市上出现一份趣店数据,称是“趣店学生用户数据”。该数据维度极细,除学生借款金额、滞纳金等金融数据外,甚至还包括学生父母电话、男女朋友电话、学信网账号密码等隐私信息。

用户资料被泄露的风险不仅仅是被骚扰。许多人也担心陷入电话诈骗当中,或者遭受其他类型的金融损失。

一位京东金融的用户表示,京东金融的App复制用户图片,虽然没有主动上传,但也给用户造成了风险隐患,“万一其他App读取该文件夹的数据呢?”

从无序到有序

2月13日,来自荷兰的GDI基金会发现,深圳的一家人工智能公司深网视界(SenseNets)对于其人脸识别数据库没有密码保护,导致大量人脸数据直接暴露在网上。该人脸识别数据库有超过250万用户信息,包括身份证号码、地址、出生日期、识别其身份的位置等。

在网络上有很多人对此表达不解,一个人脸识别公司获取身份证干什么?

企业对用户数据的需求和用户隐私之间经常会存在矛盾,法律法规则充当协调员的角色。

2017年,我国最新的《网络安全法》开始实施,该法案对于加强用户的隐私保护进行了新的规定,确立了“谁收集”“谁保护”的原则,——“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”

而在网贷领域,2018年8月由全国网贷整治办制定,向各地网贷整治办和中国互金协会下发的《关于开展网络借贷机构合规检查工作的通知》以及《网络借贷信息中介机构合规检查问题清单》,明确禁止网贷网贷平台以“大数据”为名窃取、滥用用户隐私信息。

“以前大家还把网络搜集用户资料的能力作为风控的一个实力,对外宣扬,现在越来越不敢这样说了”,某网贷平台技术负责人表示,现在企业也意识到了隐私保护的问题。

法律法规的约束加强,使得新金融企业的压力也在变大。某消费金融公司工作人员诉苦,他们也在两难之间,一方面,出于安全的考虑,需要的用户数据越来越多,但是用户却不愿意上传这么多资料,也担心资料的泄露,这对企业来说形成了一个难题。

比如以前用户申请贷款,只需要用户上传身份证、填写银行卡资料就可以了,现在确定是用户本人,减少纠纷,会要求上传更多纬度的数据。

但是也有业内人士认为,企业对相关政策法规的不适应是暂时的,过去用户数据获取和使用处于无序的状态,但现在要求更多规范,预防更多的风险。

在全球范围看,自移动互联网时代起,关于用户隐私的意识都在提升,各国政府也都在加强对用户的保护。

2018年5月25日,号称史上最严个人数据保护法案“欧盟通用数据保护条例”(General Data Protection Regulation,简称GDPR)开始生效,该条例对于互联网企业获得用户数据进行了严格的规定。其核心是将数据的所有权和控制权交还给用户,用户可以掌控企业如何获得用户数据,如何使用用户数据,以及可以要求其删除用户数据。对于违反GDPR的公司,将会处以全球年营业额的4%或者2000万欧元的罚款的高额处罚。

近期根据美国政府审计部门撰写的一份独立报告,应效仿GDPR建议美国国会制定互联网数据隐私立法,以加强对消费者的保护。

为了平衡用户数据和企业需求的关系,目前中国也有一些新的尝试正在进行之中,其做法就是尝试将部分敏感数据统一到某一个机构。

2018年5月,百行征信有限公司正式挂牌,取代了原定由八家个人征信公司各自开业的局面。当时多位互金行业业内人士表示,此举有望破除数据孤岛和用户数据过度采集、不当加工和非法使用的问题。

5条评论
收藏
qrcode
写评论

icon-emoji表情
5 条评论
Asset 仲雍

京东金融,不是 东金融。谢谢😁

0
回复
上帝视角

侵犯用户权益无小事,对不道德企业斩草除根

0
回复

学习了

0
回复
特兰克斯

作者名字好熟悉

0
回复
Psyche

隐私问题真微妙

0
回复