蒋琳

汤维建

　　2019全国两会·热话题

　　2019年3月15日，第六届金融3·15高峰论坛在中国人民大学举行。第十三届全国政协委员、原中国保监会副主席周延礼，第十三届全国人大代表、陕西省律协副会长方燕，第十三届全国政协委员、中国人民大学法学院教授汤维建，中国人民大学法学院院长、未来法治研究院院长王轶，中国人民大学法学院副院长、中国人民大学金融科技与互联网安全研究中心主任杨东等专家学者和业界代表出席了论坛。

　　在论坛上，南都个人信息保护研究中心与中国人民大学未来法治研究院、中国人民大学金融科技与互联网安全研究中心共同发布了《100款金融App隐私保护测评报告》。据悉，此次论坛后，中国人民大学未来法治研究院将会持续发布消费者保护相关的季度研究报告。2020年3月14日，主办方还将举办第七届金融3·15高峰论坛，并于3月15日举办金融3·15国际论坛。

　　《报告》显示，移动金融类A pp的隐私政策透明度整体上相较于2018年有所提升，但是近八成App隐私政策透明度不及格，有六成A pp未向用户披露个人敏感信息收集规则，甚至还出现了明文传输短信、公积金账号密码等信息的行为。

　　近八成App隐私政策透明度不及格

　　在昨日“2019第六届金融3·15高峰论坛”上，南都个人信息保护研究中心副主任蒋琳对《报告》进行了具体分析。

　　根据测评标准，隐私政策透明度划分为高、较高、中等、较低、低五个层级。透明度越高，意味着隐私条款中关于企业如何收集、使用、存储和保护个人信息越全面。

　　测评结果显示，在100款App中，没有一款App达到隐私政策透明度高的层级；11款App透明度较高，13款透明度中等，19款透明度较低；透明度低的App共57款，其中7款App没有任何隐私条款。

　　透明度较高的11款App多数为知名度较高的App，且多为大公司旗下的产品或服务。然而，57款透明度低的App的知名度虽没那么高，但也有一些人们耳熟能详的A pp，比如陆金所、积木盒子、同花顺等。

　　将本次测评与2018年《移动金融用户个人信息安全测评报告》对比发现，尽管2019年的测评标准更加严格，但从透明度高的App数量和平均分来看，2019年的表现都优于2018年，整体平均分提高了7分左右，透明度上低和较低的App占比也较2018年减少了11个百分点。

　　不过，这并不意味着移动金融类App在隐私政策透明度已经做得很好。《报告》强调，虽然100款移动金融类A pp的隐私政策透明度大幅度提升，但是平均分仅为40.42分。相较于其他行业，移动金融类A pp的隐私政策透明度仍处在较低水平。

　　强制、过度收集

　　用户个人信息现象严重

　　随着越来越多的用户使用互联网金融平台，与财产相关的个人敏感信息也被大量存储在这些平台上，但是，安全性却没有得到保障。多份报告显示，金融理财类诈骗居各类诈骗案件之首。显然，这与金融平台对个人信息的重视程度和保护力度不够息息相关。

　　《报告》显示，在100款移动金融类App中，只有9款区分了个人信息和个人敏感信息；仅有13款在收集个人敏感信息前，提供了收集、使用规则并获取用户的明示同意，逾六成未披露任何相关条款，甚至还有个别App先收集再显示相关条款，比如招联金融。

　　“对于收集大量个人敏感信息的移动金融行业，区分个人信息和个人敏感信息、披露个人敏感信息的收集及使用规则，对考察一款A pp是否能够妥善保护用户的个人敏感信息至关重要。”《报告》指出，移动金融类A pp对用户个人信息保护的重视程度远未达到监管要求，甚至连行业平均水平都没有达到。

　　此外，100款A pp中一揽子强制授权、过度收集用户个人信息、强制要求与不明第三方共享用户个人敏感信息的现象非常普遍。比如，盈盈有钱在隐私政策中表示，将“获取您最近6个月的信息记录，包括但不限于通话、短信、流量记录、运营商报告等”。

　　虽然一些A pp已经在隐私政策中明确告知用户收集和使用个人信息的情况，并称会保障用户的选择权，但是，实际上还存在强制或过度收集用户个人信息的情况。对用户来说，却难以知晓。因此，南都个人信息保护研究中心利用技术手段分析了部分App的iOS客户端和Android客户端个人信息收集情况。

　　检测发现，不少App通过捆绑甚至强制获取的方式，要求用户一次性同意多项敏感权限。一款名叫榕树贷款的App强制要求获取通讯录、通话记录、定位、相机权限，不同意就无法使用。

　　部分App明文传输短信、公积金账号密码等信息

　　除了一揽子强制用户授权外，移动金融类App还存在令用户完全意想不到的行为。

　　检测结果显示，榕树贷款(Android3.3.3)可将用户的公积金账号、密码发送至其业务服务器，由后台代为查询，且使用的是明文传输。这意味着，黑客可以通过网络嗅探和劫持的方法获取这些信息，存在巨大的安全风险。除此之外，榕树贷款还被捕捉到有调用系统接口获取通话记录、联系人信息、短信记录等行为，并在数据流量中发现上述信息，代码中明文可见用户手机里的“老板该给我涨工资了”的短信内容。

　　值得注意的是，《报告》还发现，100款A pp隐私政策文本雷同的现象非常严重。比如，创客金融和京东金融分别隶属于不同的公司，但其隐私政策文本相似度高达75%。还有谊入贷和安逸花的隐私政策文本框架和表述顺序也是大同小异，文本重复率高达70%。

　　“尽管移动金融类A pp的功能有很多相似的地方，但各自的管理制度、业务分工和人员规模都有很大差异，文本相似度如此之高，难免被怀疑有抄袭的成分。”《报告》认为，企业在满足合规要求的基础上，可以保留自己的特色，并根据实际业务需要撰写隐私政策文本，充分告知用户其权利和义务。

　　对此，中国人民大学法学院副院长、中国人民大学金融科技与互联网安全研究中心主任杨东表示，金融消费者保护问题不仅仅是个人信息的保护问题，还有涉及到国家安全、金融安全的可能性。对外经贸大学数字经济与法律创新研究中心执行主任许可表示，在保护个人数据安全的前提下，应尽可能促进个人数据的流通、共享以及发挥个人数据的公共价值。

　　声音

　　商家损害消费者权益只需三倍赔偿？

　　全国政协委员汤维建：力度不够

　　3月15日，由中国人民大学法学院未来法治研究院主办的第六届金融3·15高峰论坛在北京举行。全国政协委员、中国人民大学法学院教授汤维建在会上指出，消费者权益受损后，往往因诉讼成本高等问题遭遇维权困境。他认为，未来可通过公益诉讼、团体诉讼等办法，完善消费者的司法维权渠道。

　　2014年3月15日，修改后的《中华人民共和国消费者权益保护法》(以下简称“新消法”)施行。在汤维建看来，新消法中的一些规定已经不适合当前的社会需要，应作出进一步调整和完善。

　　汤维建举例说，新消法规定，消费公益诉讼，只能由中国消费者协会以及省、自治区、直辖市设立的消费者协会提起。“现在由消协提起的消费公益诉讼，数量较少。”他认为，对于消协级别的限制，影响了消费者维权。目前全国各级消协已经发展得比较成熟，具备提起公益诉讼的条件。

　　新消法确立了“退一赔三”制度，要求商家出现欺诈行为时三倍赔偿消费者损失。如消费者消费额不超过50 0元，则最高赔偿额为500元。这条新规的惩罚力度虽然大于此前消法中的“退一赔一”，但在汤维建看来，还是力度偏低。

　　此外，汤维建指出，目前消费者的集体诉讼权，没有得到有效的法律保障。他说，消费者遇到的损害以分散、小额为特征，如果每个消费者分别去法院诉讼，往往面临诉讼成本高的问题，所以很多消费者放弃了维权的努力。

　　他认为，消费者应有权推选代表人进行诉讼。但目前，法院基于方方面面的考虑，在群体纠纷案件中基本上采取拆分案件、分别立案、分别审理等方式，较少受理代表人诉讼。在这方面，司法机关还应“迈出更大步伐”。

　　汤维建表示，接下来要进一步完善消费者的司法维权的渠道。一方面，要加大检察机关提起消费公益诉讼的力度，并且要加大提起行政公益诉讼的力度。“目前检察机关提起的消费公益诉讼，偏重于民事公益诉讼，针对的是侵害消费者权益的企业或个人。针对监管机关执法不力、失职渎职行为提起行政公益诉讼，是有必要的。”他说。

　　另一方面，汤维建认为，要探索建立消费者的团体诉讼制度，特别是团体私益诉讼。他解释说，目前的法律规定仅支持公益诉讼，原告只能要求被告停止侵害，而不能要求损害赔偿。应该完善相关法规，为消费者提供更有力的司法保障。

　　采写：南方报业全媒体记者、南都记者 钱柳君 冯群星 蒋琳

　　摄影：实习生 潘颖欣