携程金融App被通报背后:用户信息“一键同意”后被共享超百家合作方,包括多家线下无牌信贷中介
近日,国家计算机病毒应急处理中心对67款移动应用存在违法违规收集使用个人信息情况进行通报,其中携程金融、众安贷、捷信金融等多款金融类APP被点名。
在此次通报中,涉及携程金融的违法违规情形有两项:
一、“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;App客户端向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息,未做匿名化处理。”
二、“处理敏感个人信息未取得个人的单独同意;个人信息处理者处理敏感个人信息的,未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。”
本次检测是依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求而展开的。
消金社注意到,其实早在2023年8月,上海网信办曾指导携程金融等多款金融理财类App运营企业,要求其遵循“最小、必要原则”保护用户信息,但目前来看携程金融并未按照指导建议进行彻底整改。
协议暗藏玄机 用户信息授权迷雾重重
通过携程金融 App 申请贷款,用户看似仅需签署同意3项协议(《用户服务协议》《隐私政策》《信用贷用户协议及授权书》)即可。
但实际上,仅在携程金融·信用贷《信用贷协议及信息授权》中又涵盖了9项协议(《个人信息使用授权书》、《个人信息对外提供授权书》、《敏感个人信息授权书》、《尚诚消金个人信息查询及使用授权书》、《重庆携程小贷个人信息使用授权书》等),若用户不点开该协议仔细查看,则会一键默认选择,后点击同意。
展开全文
在《个人信息使用授权书》中,有条款显示“本人充分理解并同意,为联合合作金融机构向本人提供信用贷款服务,信用贷款服务运营商需要收集、存储、使用、传输及提供本人的个人信息。”这里所指的“合作金融机构”多达41家,包括北京中关村银行、宁波银行、盛银消金、新网银行、兴业消金、北银消金、中银消金、哈银消金、招联消金、晋商消金、中原消金、小米消金、平安消金、宁银消金等。
这意味着,若用户签署了这份《信用贷协议及信息授权》,则同意携程金融将该用户信息授权给上述41家“合作金融机构”。
在《信用贷款用户服务协议》条款中提及“单笔贷款的服务方可能为一家或多家机构。如您在贷款时同时使用融资担保服务,则“服务方”还包括为您提供融资担保服务的融资担保公司。”换言之,借款用户可能会被匹配给其中的任意一家或多家机构来获得最终放款。
而用户信息则可能授权给北京互金新融科技有限公司及其关联公司、商业银行、消费金融公司、小额贷款公司以及融资担保公司、携程网、去哪儿网、携程金融APP及信用贷款服务运营商合作的其他平台、应用程序。而此处的“其他平台、应用程序”并未明确。
在携程金融的《隐私协议》中,携程金融表明可能会向合作伙伴等第三方共享用户的订单信息、账广信息、设备信息以及位置信息。此外,在《隐私协议》中还嵌入了《第三方共享个人信息清单》(简称:清单),涉及第三方公司/产品超100家/个,包含共享SDK至56家/个;共享用户姓名、手机号、身份证号等给41家金融机构(小贷、消金、银行等)、5家支付公司、1家基金公司(上海好买基金销售有限公司)。也就是说,若用户签署了《隐私协议》,则默认同意将个人相关信息不同程度地授权给“清单”中的公司/产品使用。
携程金融在未显著明确告知用户的情况下,将用户人脸照片、设备信息等数据传输至合作方。在收集用户借贷记录、身份证号等敏感信息时,也未单独取得用户授权。用户对自己的信息被如何使用、具体共享给了谁并不清楚,用户无法有效控制个人信息的去向,可能在不知情的情况下面临个人信息被滥用的风险。
“大额好借”为多家线下无牌照贷款中介导流
打开携程旅行APP ——“我的”——“我的钱包”入口,用户可以直接进入携程金融。生意人贷、拿去花、信用贷、联名卡排在显著位置,点击进入详情后显示「借款优选」最高可借20万元,信用贷最高可借30万元。
在其贷款超市——「借款优选」内,携程金融为拿去花、度小满、北银消金e点贷、京东金条、中银消金-钱包,以及大额信用贷、车抵贷、房抵贷、企业贷(后四款产品统称“大额好借”)等产品导流。
“大额好借”是携程金融与合作机构联合推出的大额融资服务产品。
《个人信息使用授权书》显示,用户需要同意携程金融相关运营主体将上述个人信息提供给第三方贷款服务方,同时授权服务方收集本人上述信息。
消金社注意到,授权书中以蓝色字体标注“第三方贷款服务方”,但未直接公示贷款服务方名单,需用户填写城市信息后方显示。
消金社以借款人身份申请“大额好借”后发现,携程金融为诸多贷款中介导流。所谓的“第三方贷款服务方”中不乏多家无金融资质的线下贷款中介。
消金社测试后发现,目前“大额好借”服务方包括:杭州欢融商务咨询有限公司、杭州联营房产信息咨询有限公司、四川御顺金融外包服务有限公司、北京碧航洲暨信息技术有限公司、中津融汇普惠(天津)服务外包有限公司、新疆万兴信息科技有限公司、四川新网银行股份有限公司、恒昌众鼎融资租赁有限公司、中津融汇普惠(天津)服务外包有限公司、广州泛融信息科技有限公司、南宁开旺信息科技有限公司等。
企查查显示,杭州欢融旗下设立了14家分支机构,经营范围包括代理记账、信息咨询服务等,无任何金融相关牌照。中津融汇普惠(天津)服务外包有限公司也没有金融牌照,经营范围包含“接受金融机构委托从事金融信息技术外包服务”,旗下却设有51家分支机构。
四川御顺金融外包服务有限公司、北京碧杭洲暨信息技术有限公司、南宁开旺信息科技有限公司、杭州联营房产信息咨询有限公司、广州泛融信息科技有限公司均无金融牌照;新疆万兴信息科技有限公司无直接放贷资质。
“大额好借”的业务流程是:用户在携程金融的借贷服务页面提交贷款申请后,与携程金融合作的“第三方贷款服务方”会主动与用户联系,提供贷款服务方案,并进行线下业务办理。
因此,在“大额好借”业务环节中,携程金融的角色是在获取用户信息资料和需求后,导流匹配给“第三方贷款服务方”,由“第三方贷款服务方”提供放款服务。虽然,不少“第三方贷款服务方”并无放贷资质。
公开资料显示:携程金融是头部OTA携程集团(TCOM)旗下金融平台,金融类牌照较为齐全。产品上,从消费分期、现金贷、分期商城到贷超导流,携程金融均有布局。
此次通报还显示《众安贷》、《捷信金融》隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。不难发现,金融类App已成个人信息泄露重灾区。
在通过携程金融借款的环节中,用户须同意携程金融将个人信息共享给合作金融机构,合作金融机构包括消费金融公司、商业银行、小额贷款公司等。
而携程金融在协议中通过“第三方贷款服务方”模糊表述,概括性授权方式,让用户无感作出信息使用授权。
业内人士提醒广大消费者保护好个人信息,避免个人信息被不法分子获取后滥用,进行更有针对性的诈骗,造成自身利益的损害。
来源:消金社
作者:魏魏
声明:本文仅作为知识分享,只为传递更多信息!本文不构成任何投资建议,任何人据此做出投资决策,风险自担。
评论