导航菜单

APP专项治理进行中:整改难,不整改面临处置风险

  零壹财经昨天我要分享

  

  作者:徐大宇

  “哎,这要都按照监管要求整改APP功能,业务可咋开展啊。”黄旭这几天,与同事撕得厉害。

  黄旭所在的公司,在APP上通过给平安、宜信等大型企业引流,赚取差价以盈利。面对来势汹汹的《App违法违规收集使用个人信息自评估指南》(以下称《指南》)时,着实犯了难。

  改吧,先不说会影响转化率、甚至连业务都难以开展;不改,就连中国银行、春雨医生这种体量的APP,都遭到了监管点名,自己这种小作坊,如果不紧跟着政策步伐,还有什么生存希望?

  改还是不改,怎么改,这是摆在众多APP运营者面前的几道生死题。

  接近监管的人士近日向消金界称,包括App问题整改在内的个人信息保护,是网信办等监管部门近期的重点工作。

  

  01强制获取用户信息,借贷类APP频遭举报

  今年初,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。

  这是监管对APP侵犯用户隐私数据所烧的第一把火。

  市场反应非常迅速,其中一些头部机构,早早开始对自家APP的合规性进行了自查。

  张晓虹,一家头部金融导流机构的内审负责人,对消金界说:“《指南》出台之前,我们就将用户协议中的默认勾选,变成了主动勾选。”

  黄旭、张晓虹口中的《指南》,是由App专项治理工作组所编制的,App运营者可参照指南对其收集使用个人信息的情况进行自查自纠,提升个人信息保护水平。

  而APP专项治理工作组,是全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,在网信办等四部门的委托下所成立的。

  指南有以下几项具体评估内容:

  评估项1:隐私政策的独立性、易读性

  评估项2:清晰说明各项业务功能及所收集个人信息类型

  评估项3:清晰说明个?诵畔⒋砉嬖蚣坝没ㄒ姹U?

  评估项4:不应在隐私政策等文件中设置不合理条款

  评估项5:收集个人信息应明示收集目的、方式、范围

  评估项6:收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为

  评估项7:收集个人信息应满足必要性要求

  评估项8:支持用户注销账号、更正或删除个人信息

  评估项9:及时反馈用户申诉

  近些日子,国家开始正式加大处罚力度。

  7月11日,包括中国银行手机银行、春雨医生在内的一众头部APP,因为存在无隐私政策等问题,被监管点名。

  再往前推些日子,网易彩票、拼多多、翼支付等3款未按期完成整改的APP,也在监管约谈下,整改完毕。

  这其中,金融借款类App成为整改重灾区。

  消金界了解到,主要是这部分App遭举报次数过多。

  根据APP治理工作组统计,举报平台共收到网民举报信息6000余条,涉及1900余款App,其中与金融借贷类App相关的举报信息有1800余条,占比超过30%,涉及App达800余款。

  金融借贷类App“上榜”罪名包括:无隐私政策、无法注销账号、强制获取收集个人信息的系统权限(如通讯录)。与上述问题相关的举报信息约400余条,占比26%。

  02大公司船大难调头

  对于金融企业来说,改变谈何容易。

  大金融企业的难点在于,公司部门多,所涉利益纷繁复杂。

  “公司要整改APP,需要经过三个部门。内审部和法务部提出整改要求,产品团队具体落实。”张晓虹这样讲道。

  每个部门都必须要为自己的绩效负责。

  《指南》里的“评估项6”,成为大家争执的重点。

  里面是这样写的——

  根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能,开启或开始收集个人信息的条件。

  “我们内审部认为,在所有监管条例中,这是最重要的。个人信息保护的核心,就是用户的主动授权。”张晓虹表示。

  内审认为,最为合规的一种情况是,用户先填手机号,再输验证码,最后确认。

  确认完之后,页面会弹出“用户行为采集”协议,然后需要用户从上往下拉到最下面,每一个页面都要打勾。

  所有操作都完成后,点击“已经清楚条款内容”按钮,才能登陆注册成功。

  但这却让产品岗位感到压力。他们最清楚,并非所有用户都有足够的耐心,这样操作,会导致很大一部分用户流失。

  “默认勾选和主动弹窗操作,完全是两个级别的转化率。”某产品人士称。

  毕竟互联网产品设计的内核是:“把用户当成一个不愿意付钱、不愿付出任何精力,智商为0的傻子,你这个产品就设计成功了。”

  再不愿意,胳膊也拧不过大腿。在明知转化率会大大降低的情况下,张晓虹所在的团队,还是改进了这一功能,让用户去主动勾选。

  除此以外,有一些条款模糊不清,也让张晓虹团队颇为烦恼——什么叫“收集个人信息应满足必要性要求”?再具体点,什么是“必要的信息”?

  举个例子,很多人可能认为,对于金融借贷类APP来说,“位置信息”没那么重要。

  你一借款的,要人家位置干嘛?

  “举个例子,纯线上业务还好,有一些APP,会有一些线下产品,比如银行的一些贷款类产品,后续是需要FacetoFace形式的面审的,所以必须要同城的,如果没有位置信息,最后会产生非常多的无效订单”。张晓虹这样解释。

  甚至还有人认为,手机号是一个私密信息,我为什么要给你。

  “但没有手机号的话,我们不仅无法面审,甚至连后续的催收环节都无法开展。”张晓虹无奈地讲道。

  03小企业缺钱省成本

  如果说大公司改进APP的难点在于内耗,那么小企业所面临的难题在于人手不够。

  “哎,我们可没有那么多的钱,去开内审、法务这两个部门,帮产品一起合规化自家APP。”黄旭无奈地笑着说。

  就连请一个专门的法务都难。

  黄旭说道:“给其缴纳社保公积金,再加上工资支出,一个法务一年的人力成本,怎么算也得10万以上了。”

  这些初创公司的做法,往往求助于第三方律师事务所的帮助。

  一家好的律师事务所,会把注册、下载、申请等所有环节都合规化,价格从5万到7万不等。

  “我们前几天都是在去见这些律师团队,服务的内容都差不多,过一遍合同,梳理一遍产品流程。”黄旭最后说道。

  和张晓虹类似,黄旭也面临着“条款解读模糊不清”的苦恼。

  评估项6里,这样明确地写道:

  “不应通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。”

  “什么叫捆绑多项功能。”黄旭丈二和尚摸不着头脑,他说表示,做引流服务的,在信息流媒体处获取用户线索(手机号)后,会首先把用户推给平安,万一被拒了,会再次把其推向其他平台。

  “至少也要推3家,要不我们根本拿不到利润。”黄旭说道。

  这样“一个用户推3家的行为”,是否属于监管所说的“捆绑”呢?团队研究后,并没有得出结论。

  “此外,据我所知,目前市面上很有名的小黑鱼,用户缴纳费用成为付费会员后,公司也会把其推给合作方商家,”黄旭讲道,“该行为,属于捆绑吗?”

  据消金界了解,黄旭所讲的这种“被动式”获客,在市场上占据主导部分。万一被禁了,对整个消费金融市场影响很大。

  04舆情汹涌

  隐私整改的背后,是用户对于自己数据隐私权越来越重视,和互联网科技高速发展之间,有着天然的冲突。

  包括BAT在内的互联网巨头,需要数据信息来了解潜在客户的偏好,根据这些数据流来设计产品和销售策略,甚至通过搜索记录、交易习惯、互动区域,更加精确地为客户推送商品与信息。

  数据越多、维度越是丰富,所能提供的服务自然就会更加细致。服务商认为,这让可以更好为客户服务。

  当然,他们的商业回报也会更加丰厚。

  回到金融科技企业这边,在风控服务中,企业所掌握的数据越是丰富,能够提供的风控质量就越高。

  但若是连用户的位置和号码都无法获取,风控究竟要如何做呢?

  除了风控,催收环节也受到了波及。

  一位业内催收人员这样对消金界表示,头部平台催收时都不让打通讯录了,只能打紧急联系人。

  在合肥,若是强行打通讯录,客户报警的话,是要被抓进去的。

  数据驱动的业务与隐私保护之间的矛盾,一时之间,较为剧烈。当前的舆情环境,也加剧着这种冲突。

  比如,从业者认为,用户的号码和位置信息是必须的;但在一些不明真相的吃瓜群众眼里,这些都是自己的隐私数据,不能外泄。

  再经过媒体的一番宣传、渲染、发酵,后果越传越严重。很多人抱着“宁可信其有,不可信其无”的态度,对暴露一些基础数据愈发抵制。

  此外,大众也会把头部平台收集用户隐私的数据情况,作为一杆标尺,用以衡量其他企业。

  APP专项治理工作小组,曾对“百款App中,申请与收集个人信息相关权限的数量,做过如下统计”。

  

  根据以上数据,绝大部分App(74%)申请10个(含)以下“与收集个人信息相关权限”即可满足需要。从“百款常用App申请收集使用个人信息权限列表”中看出,作为用户量超8亿的“支付宝”平台级应用,其申请“收集个人信息相关权限”数为10个,处于“中等水平”,而功能相当于单一的“WiFi万能钥匙”、“百度网盘”、“汽车之家”“铃声多多”等申请“与收集个人信息相关权限”数大于10个。

  网友曾留言称,连支付宝这种体量的公司,都只需要收集10种与我个人相关的数据,你又为何要收集那么多数据呢?

  小结

  目前用户数据隐私保护确实到了不得不改的地方。

  “大数据取之于民、用之于民”的口号,是企业惯用的宣传手段,只是在这一口号下,究竟有多少是为了人民福祉,又有多少是不择手段的谋利呢?

  因为隐私问题,全球互联网社交巨头Facebook遭了殃,被罚50亿美元,中国银行APP也受到了监管的点名批评。

  “原有合规性需要调整,这是我们这一代的任务。”独立研究人士郭大刚这样说道。

  只是,大众、监管和行业,三方肯定会有一个互相磨合、调整的过程。

  技术驱动和用户隐私保护这一矛盾,究竟如何曲折上升,恐怕只有时间才能给出答案。

  精彩文章推荐

  收藏举报投诉

  

  作者:徐大宇

  “哎,这要都按照监管要求整改APP功能,业务可咋开展啊。”黄旭这几天,与同事撕得厉害。

  黄旭所在的公司,在APP上通过给平安、宜信等大型企业引流,赚取差价以盈利。面对来势汹汹的《App违法违规收集使用个人信息自评估指南》(以下称《指南》)时,着实犯了难。

  改吧,先不说会影响转化率、甚至连业务都难以开展;不改,就连中国银行、春雨医生这种体量的APP,都遭到了监管点名,自己这种小作坊,如果不紧跟着政策步伐,还有什么生存希望?

  改还是不改,怎么改,这是摆在众多APP运营者面前的几道生死题。

  接近监管的人士近日向消金界称,包括App问题整改在内的个人信息保护,是网信办等监管部门近期的重点工作。

  

  01强制获取用户信息,借贷类APP频遭举报

  今年初,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。

  这是监管对APP侵犯用户隐私数据所烧的第一把火。

  市场反应非常迅速,其中一些头部机构,早早开始对自家APP的合规性进行了自查。

  张晓虹,一家头部金融导流机构的内审负责人,对消金界说:“《指南》出台之前,我们就将用户协议中的默认勾选,变成了主动勾选。”

  黄旭、张晓虹口中的《指南》,是由App专项治理工作组所编制的,App运营者可参照指南对其收集使用个人信息的情况进行自查自纠,提升个人信息保护水平。

  而APP专项治理工作组,是全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,在网信办等四部门的委托下所成立的。

  指南有以下几项具体评估内容:

  评估项1:隐私政策的独立性、易读性

  评估项2:清晰说明各项业务功能及所收集个人信息类型

  评估项3:清晰说明个人信息处理规则及用户权益保障

  评估项4:不应在隐私政策等文件中设置不合理条款

  评估项5:收集个人信息应明示收集目的、方式、范围

  评估项6:收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为

  评估项7:收集个人信息应满足必要性要求

  评估项8:支持用户注销账号、更正或删除个人信息

  评估项9:及时反馈用户申诉

  近些日子,国家开始正式加大处罚力度。

  7月11日,包括中国银行手机银行、春雨医生在内的一众头部APP,因为存在无隐私政策等问题,被监管点名。

  再往前推些日子,网易彩票、拼多多、翼支付等3款未按期完成整改的APP,也在监管约谈下,整改完毕。

  这其中,金融借款类App成为整改重灾区。

  消金界了解到,主要是这部分App遭举报次数过多。

  根据APP治理工作组统计,举报平台共收到网民举报信息6000余条,涉及1900余款App,其中与金融借贷类App相关的举报信息有1800余条,占比超过30%,涉及App达800余款。

  金融借贷类App“上榜”罪名包括:无隐私政策、无法注销账号、强制获取收集个人信息的系统权限(如通讯录)。与上述问题相关的举报信息约400余条,占比26%。

  02大公司船大难调头

  对于金融企业来说,改变谈何容易。

  大金融企业的难点在于,公司部门多,所涉利益纷繁复杂。

  “公司要整改APP,需要经过三个部门。内审部和法务部提出整改要求,产品团队具体落实。”张晓虹这样讲道。

  每个部门都必须要为自己的绩效负责。

  《指南》里的“评估项6”,成为大家争执的重点。

  里面是这样写的——

  根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能,开启或开始收集个人信息的条件。

  “我们内审部认为,在所有监管条例中,这是最重要的。个人信息保护的核心,就是用户的主动授权。”张晓虹表示。

  内审认为,最为合规的一种情况是,用户先填手机号,再输验证码,最后确认。

  确认完之后,页面会弹出“用户行为采集”协议,然后需要用户从上往下拉到最下面,每一个页面都要打勾。

  所有操作都完成后,点击“已经清楚条款内容”按钮,才能登陆注册成功。

  但这却让产品岗位感到压力。他们最清楚,并非所有用户都有足够的耐心,这样操作,会导致很大一部分用户流失。

  “默认勾选和主动弹窗操作,完全是两个级别的转化率。”某产品人士称。

  毕竟互联网产品设计的内核是:“把用户当成一个不愿意付钱、不愿付出任何精力,智商为0的傻子,你这个产品就设计成功了。”

  再不愿意,胳膊也拧不过大腿。在明知转化率会大大降低的情况下,张晓虹所在的团队,还是改进了这一功能,让用户去主动勾选。

  除此以外,有一些条款模糊不清,也让张晓虹团队颇为烦恼——什么叫“收集个人信息应满足必要性要求”?再具体点,什么是“必要的信息”?

  举个例子,很多人可能认为,对于金融借贷类APP来说,“位置信息”没那么重要。

  你一借款的,要人家位置干嘛?

  “举个例子,纯线上业务还好,有一些APP,会有一些线下产品,比如银行的一些贷款类产品,后续是需要FacetoFace形式的面审的,所以必须要同城的,如果没有位置信息,最后会产生非常多的无效订单”。张晓虹这样解释。

  甚至还有人认为,手机号是一个私密信息,我为什么要给你。

  “但没有手机号的话,我们不仅无法面审,甚至连后续的催收环节都无法开展。”张晓虹无奈地讲道。

  03小企业缺钱省成本

  如果说大公司改进APP的难点在于内耗,那么小企业所面临的难题在于人手不够。

  “哎,我们可没有那么多的钱,去开内审、法务这两个部门,帮产品一起合规化自家APP。”黄旭无奈地笑着说。

  就连请一个专门的法务都难。

  黄旭说道:“给其缴纳社保公积金,再加上工资支出,一个法务一年的人力成本,怎么算也得10万以上了。”

  这些初创公司的做法,往往求助于第三方律师事务所的帮助。

  一家好的律师事务所,会把注册、下载、申请等所有环节都合规化,价格从5万到7万不等。

  “我们前几天都是在去见这些律师团队,服务的内容都差不多,过一遍合同,梳理一遍产品流程。”黄旭最后说道。

  和张晓虹类似,黄旭也面临着“条款解读模糊不清”的苦恼。

  评估项6里,这样明确地写道:

  “不应通过捆绑App多项业务功能的方式,要求用户一次性接受并授权同意多项业务功能收集个人信息的请求。”

  “什么叫捆绑多项功能。”黄旭丈二和尚摸不着头脑,他说表示,做引流服务的,在信息流媒体处获取用户线索(手机号)后,会首先把用户推给平安,万一被拒了,会再次把其推向其他平台。

  “至少也要推3家,要不我们根本拿不到利润。”黄旭说道。

  这样“一个用户推3家的行为”,是否属于监管所说的“捆绑”呢?团队研究后,并没有得出结论。

  “此外,据我所知,目前市面上很有名的小黑鱼,用户缴纳费用成为付费会员后,公司也会把其推给合作方商家,”黄旭讲道,“该行为,属于捆绑吗?”

  据消金界了解,黄旭所讲的这种“被动式”获客,在市场上占据主导部分。万一被禁了,对整个消费金融市场影响很大。

  04舆情汹涌

  隐私整改的背后,是用户对于自己数据隐私权越来越重视,和互联网科技高速发展之间,有着天然的冲突。

  包括BAT在内的互联网巨头,需要数据信息来了解潜在客户的偏好,根据这些数据流来设计产品和销售策略,甚至通过搜索记录、交易习惯、互动区域,更加精确地为客户推送商品与信息。

  数据越多、维度越是丰富,所能提供的服务自然就会更加细致。服务商认为,这让可以更好为客户服务。

  当然,他们的商业回报也会更加丰厚。

  回到金融科技企业这边,在风控服务中,企业所掌握的数据越是丰富,能够提供的风控质量就越高。

  但若是连用户的位置和号码都无法获取,风控究竟要如何做呢?

  除了风控,催收环节也受到了波及。

  一位业内催收人员这样对消金界表示,头部平台催收时都不让打通讯录了,只能打紧急联系人。

  在合肥,若是强行打通讯录,客户报警的话,是要被抓进去的。

  数据驱动的业务与隐私保护之间的矛盾,一时之间,较为剧烈。当前的舆情环境,也加剧着这种冲突。

  比如,从业者认为,用户的号码和位置信息是必须的;但在一些不明真相的吃瓜群众眼里,这些都是自己的隐私数据,不能外泄。

  再经过媒体的一番宣传、渲染、发酵,后果越传越严重。很多人抱着“宁可信其有,不可信其无”的态度,对暴露一些基础数据愈发抵制。

  此外,大众也会把头部平台收集用户隐私的数据情况,作为一杆标尺,用以衡量其他企业。

  APP专项治理工作小组,曾对“百款App中,申请与收集个人信息相关权限的数量,做过如下统计”。

  

  根据以上数据,绝大部分App(74%)申请10个(含)以下“与收集个人信息相关权限”即可满足需要。从“百款常用App申请收集使用个人信息权限列表”中看出,作为用户量超8亿的“支付宝”平台级应用,其申请“收集个人信息相关权限”数为10个,处于“中等水平”,而功能相当于单一的“WiFi万能钥匙”、“百度网盘”、“汽车之家”“铃声多多”等申请“与收集个人信息相关权限”数大于10个。

  网友曾留言称,连支付宝这种体量的公司,都只需要收集10种与我个人相关的数据,你又为何要收集那么多数据呢?

  小结

  目前用户数据隐私保护确实到了不得不改的地方。

  “大数据取之于民、用之于民”的口号,是企业惯用的宣传手段,只是在这一口号下,究竟有多少是为了人民福祉,又有多少是不择手段的谋利呢?

  因为隐私问题,全球互联网社交巨头Facebook遭了殃,被罚50亿美元,中国银行APP也受到了监管的点名批评。

  “原有合规性需要调整,这是我们这一代的任务。”独立研究人士郭大刚这样说道。

  只是,大众、监管和行业,三方肯定会有一个互相磨合、调整的过程。

  技术驱动和用户隐私保护这一矛盾,究竟如何曲折上升,恐怕只有时间才能给出答案。

  精彩文章推荐