中国《个人信息保护法》于2021年11月1日生效。该法界定了个人信息处理活动中的权利义务边界，以“告知-同意”为核心原则规范平台上的个人信息处理。

为了解企业对个人信息保护的落实情况，南方财经合规科技依据《个人信息保护法》相关规定和《App违法违规收集使用个人信息行为认定办法》，对平台个人信息保护合规性进行了一系列测评。测评包括告知、撤回同意、第三方处理器单独告知、个性化推荐、敏感个人信息、未成年人个人信息、数据可携带权、信息控制权、个人保护信息负责人等9个方面20个测评项，总分100分。

结合用户数量、功能差异等因素，20款消费金融app(包括持牌消费金融公司、互联网小贷公司、提供贷款服务的互联网公司等。)进行个人信息保护合规性评估。测评结果显示，花钱的人得80分，个人信息保护等级较高。万达普惠、中原消费金融、安易华、京东金融、招联金融、携程金融、新浪金融、支付宝等15款app得分在60到80分之间；苏宁金融、够花、好分期和捷信金融得分低于60分，个人信息保护有待加强。

撤回同意、个人敏感信息保护、个性化推荐、数据可移植、第三方处理器独立通知成为平台高频合规问题。好分期等6个app不能直接撤回同意，没有app撤回同意很方便。比如支付宝需要8步关闭授权。敏感个人信息的保护亟待加强。招联金融未经许可取得相册权利，众安小贷人脸识别未单独取得同意，未告知用户影响权益。个性化推荐的选择很难实现。很多app没有明确告知是否提供个性化推荐，也没有区分关闭个性化内容和广告推荐。只有四个应用程序可以方便地关闭。第三方SDK也是合规的重灾区，只有一个实现了个人信息处理的合规告知，一个获得了用户的单独同意。数据可移植性的实现也不尽如人意。9个app没有提到可以获得个人信息的副本，只有2个app明确提供个人信息转移服务。

6不能撤销申请中的同意，支付宝关闭授权需要8步。

撤回同意权已经成为个人信息保护立法的全球趋势和共识，《个人信息保护法》也对此做出了回应。第15条规定，个人有权撤回基于其同意处理个人信息的同意。个人信息处理者应该提供方便的方式来撤回他们的同意。

本次测评重点关注撤回同意是否在APP中提供了相关功能选项供用户自主撤回同意。根据测评，在20款消费金融app中，京东金融、捷信金融、安易华、中原消费金融等14款app可以在app中设置相关授权的提现同意或跳转到手机系统。

安装音乐提供系统权限管理。

招联金融、好分期、携程金融、众安小贷、万达普惠五款应用需要用户前往系统设置关闭授权。虽然有“系统设置”管理页面，但是足够消费不包括使用相册权限。在隐私政策的设备权限调用说明中列出就足够了。“访问照片”会在用户首次使用特定业务场景时弹出询问，比如更换头像，授权可以关闭。但在实际操作中，点击更改头像并不会弹出窗口询问是否授权。APP默认授权相册功能，授权不能关闭。

撤回同意的便利性值得注意。《个人信息保护法》第二稿对撤回同意的“便利性”要求，呼应了欧盟《一般数据保护条例》(GDPR)和《个人信息安全法》相关规定中“撤回同意应当像表示同意一样简单”的宗旨。

参照2019年11月国家网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定办法》，关于“隐私政策等收集使用规则难以获取，例如进入App主界面后， 需要4次以上点击才能访问”，评价会认为4次点击后打开APP后关闭相关授权不方便。

评测结果显示在提供关闭应用程序授权或跳转系统授权的消费金融app中，不方便且需要四个以上的操作步骤。以支付宝为例，关闭位置授权需要通过“我的-设置-隐私-系统权限管理-位置-管理位置权限-位置-关闭精确位置”的路径点击8次

个人敏感信息保护缺失，相册和人脸识别未单独审批。

《个人信息保护法》专设一节，对个人敏感信息的处理进行更严格的限制，明确个人敏感信息的定义、处理前提和监管要求。

根据法律规定，平台在处理个人敏感信息时，应当征得个人同意，并应当告知个人处理个人敏感信息的必要性及其对个人权益的影响。

根据敏感个人信息的定义，“一旦泄露或被非法使用，可能容易导致侵犯自然人人格尊严或危害人身、财产安全的个人信息，包括生物特征识别、宗教信仰、特定身份、医疗健康、财务账户、行踪等信息，以及14周岁以下未成年人的个人信息”，用户相册中很容易包含多种敏感个人信息，平台征得用户单独同意尤为重要。根据测评，部分app有访问相册的权限，但没有明确提示。

以招联金融为例，其隐私政策显示，当用户使用IOS系统时，APP可能会申请访问照片库的权限，以便用户修改自己的头像和其他可以上传照片或视频的相关服务。授权被拒绝后，上述功能或服务可能不可用。但是在使用招联金融更换用户头像时，APP并没有弹出申请权限获取相册的窗口，可以直接进入相册页面选择照片。

人脸信息作为生物特征信息，也应该受到更高强度的保护。很多金融消费类app都为人脸识别功能提供了单独的授权页面，设置了专属规则，比如杜小曼的人脸验证支付协议、支付宝的生物识别服务通用规则、分期乐的个人敏感信息授权等。

获取支付宝的人脸识别页面

部分app将人脸识别的个人同意设置为与拍照功能相同的授权，人脸识别的保护机制有待加强。比如众安小贷在隐私政策中提到，在额度评估过程中，身份认证和人脸识别功能需要使用摄像头，使用时会唤起摄像头权限。据实测，众安小贷在获得摄像头权限后，采集人脸信息时未获得用户单独同意，直接进入人脸识别流程。同时，众安小贷在隐私政策中仅提及人脸识别的必要性和主要用途，并未显示对个人权益的影响。

个性化内容和广告推荐关闭不清晰，只有4项方便关闭。

《个人信息保护法》从初稿到成文，都在不断加强对自动决策的规范。第二十四条要求，通过自动化决策向个人进行信息推送和商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。个人有权通过自动化决策要求个人信息处理者对对个人权益有重大影响的决策进行说明，有权拒绝个人信息处理者仅通过自动化决策进行决策。

对于消费金融应用，收集用户的浏览记录、搜索记录、交易信息等。，并分析算法的自动决策机制，形成间接的用户画像，从而为用户提供更个性化的内容或广告服务。

对于个性化推荐，平台是否设置了关闭个性化内容推荐和个性化广告推荐的功能，是否提供便捷的拒绝方式，关闭个性化推荐是否会影响产品的使用成为合规的重点。

20款消费金融应用提供不同的个性化推荐服务。在明确提到将提供个性化内容和个性化广告推荐的应用中，京东金融、携程金融和支付宝分别在应用中提供了两个推荐的关闭按钮。

京东金融分别提供个性化内容和广告推荐管理。

其他很多应用在功能设置上并没有明确区分关闭个性化广告推荐和关闭个性化内容推荐。比如好分期、足够花、分期乐等app，需要通过系统设置的“通知”选项关闭。苏宁金融只提供个性化内容和广告推荐的统一关闭按钮。

在只提供个性化内容或广告作为推荐服务的应用中，许多应用都提供了明确的关闭按钮。比如捷信金融有关闭个性化广告的功能，天行金融提供关闭个性化内容推荐的选项。一些应用程序关闭选项不清楚。比如国美电子卡的隐私管理，就包含了“非定向推送信息权限”的管理，表示可以禁止平台使用某类信息向用户展示更多的相关推送。但是，该选项不显示“关闭”按钮，只显示“进入设置”和“允许”。点击“进入设置”不显示“已关闭”或跳转到其他页面关闭，无法判断是否已关闭。

新浪财经、招联金融、拍拍贷、众安小贷、中邮钱包的隐私政策中并未提及会收集用户个人信息进行个性化推荐，也没有个性化关闭按钮。

苏宁金融提供个性化推荐的应用场景和功能列表。

在“是否提供便利的拒绝方式”方面，评价也参考了App非法收集、使用个人信息行为的认定方法。如果打开APP后4次点击仍无法关闭个性化推荐，则视为不方便。

结果显示在15个提供个性化推荐的app中，只有4个app的点击次数不到4次就可以关闭，包括国美易卡、中原消费金融、游钱华和万达普惠。

第三方SDK没有完全告知我们，只单独批了一项。

《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息时，应当告知个人接收人的姓名、联系方式、处理目的、处理方式和个人信息的种类，并征得个人同意。接收方应在上述个人信息处理目的、处理方式和类型的范围内处理个人信息。

APP中通常会接入很多SDK(软件开发工具包)，利用SDK技术为用户提供各种服务。目前测试的20款消费金融app都在隐私政策中明确标明了访问相关合作伙伴SDK的目录，但由于细节不同，存在一些合规性问题。

根据法律要求，APP应当告知个人第三方的“姓名或者名称、联系方式、处理目的、处理方式、个人信息类型”。根据测评，只有分期乐实现了合规告知，15个app没有告知第三方SDK如何处理个人信息，9个app没有告知第三方SDK的联系方式。

只有万达普惠的第三方SDK实现了“获得个人同意”，下载应用后的第一个弹窗包含了对外部SDK的简要介绍。

万达普惠个人弹窗第三方SDK简介

虽然很多app在第一个弹窗中提到“未经您的授权和同意，我们不会将上述信息分享给第三方或用于未经您授权的其他用途”，但第三方SDK的详细内容需要在app中的隐私管理中查阅。

第9款没有提到复制个人信息的权利，只有第2款规定了个人信息的转让。

数据便携性是个人信息保护法三审新增的一项权利。第四十五条规定:“个人有权从个人信息处理者处查阅、复制其个人信息；但本法第十八条第一款和第三十五条规定的情形除外。”

携带权分为两个维度:一是个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供，即个人可以获得其个人信息的副本；二是个人请求将其个人信息转移到其指定的个人信息处理者，且符合国家网信部门规定条件的，个人信息处理者应当提供转移方式。

根据测评，9个app没有明确提到可以提供个人信息复制服务，只有京东金融、好分期、安易华、中邮钱包、万达普惠、众安小贷、够花、分期花、钱花、360借条、招联金融11个app可以提供个人信息的复制。【/s2/】以京东金融为例，获取个人信息复印件，可以拨打客服热线，人工客服进行身份验证后将个人信息复印件提交给用户。

然而，便携性的另一个维度——个人信息转移服务的实施情况却不容乐观。只有安意华和携程金融两个app提到用户“转移个人信息”的权利是有保障的，可以通过联系平台实现。

南财合规建议

1.用于撤回授权的许可，如照相机、位置信息、麦克风等。，可以在APP中设置权限管理专区，明确在什么场景下，出于什么目的等等。为方便起见，关闭授权的点击步骤不应超过4次，建议在应用中直接关闭授权。

2.消费金融app往往会收集和处理敏感的个人信息，例如通过人脸识别提供远程开户、绑定卡、账户登录、分期购物、人脸支付等服务。它们应提供相关场景下的专有协议或规则，告知使用及可能存在的风险，明确取得用户的单独同意，保障用户的知情权和选择权。同时，当用户不想继续授权使用其人脸数据时，APP必须提供“退出”或“删除”通道，以保证用户的删除权。

3.在个性化推荐问题上，除了个人信息保护法，企业还应参考《互联网信息服务算法推荐管理规定(征求意见稿)》等关于算法机制的要求。在隐私政策中，应明确告知用户是否进行了个性化内容推荐和个性化广告推荐，体现了收集信息的类型、目的和意图、运行机制等。如果既有个性化内容，又有广告推荐，则应该为用户提供单独的关闭按钮，并告知关闭后的影响。为了实现用户方便的关闭，开启或关闭选项应设置在APP“设置”页面的显著位置，步骤点击不超过4次。

4.对于第三方单独告知问题，目前大部分app都提供了单独的第三方SDK信息采集列表，并应明确告知目前未实现的联系方式和处理方式。对于个人同意，可以在APP刚打开时的弹窗中设计。

5.对于用户的个人信息携带权，APP应在隐私政策中明确列出《个人信息保护法》赋予用户的权利，并提供实现路径。企业应为此提供专门的联系方式或在APP中设计直接访问导出按钮。

补充评估说明

测评时间:11月18日至25日。

应用程序的测量版本(括号内为隐私政策的更新或生效日期):

IOS版:京东金融6 . 2 . 50(2021年10月4日)、捷信金融34 . 24 . 1(2021年8月24日)、招联金融6 . 1 . 0(2021年11月10日)、V7.3.1 (2021年)携程金融2 . 4 . 10(2021年10月31日)、万达普惠4 . 1 . 9(2021年8月9日)、钱够3 . 6 . 4(2021年5月31日

安卓版:中原消费金融4 . 0 . 1(2021年10月28日)、中邮钱包2 . 9 . 26 Build 336(P1)(2021年11月18日)、天星金融v . 4.0(2021年10月29日)、苏宁金融6.8.5

监制:南方财经学院合规技术

协调人:曹

研究员:，，，子，[/s2/]郭

更多信息请下载21金融APP。