TMT观察网_独特视角观察TMT行业

一鍵授權上百份協議，用戶既無時間逐一查閱，也無能力看出協議中潛藏的不利于自己的條款。這種方式便利了平臺，卻給用戶帶來法律風險。

文 | 陳曉娟

編輯 | 張   劍

5月12日，國家網絡安全通報中心發布《國家計算機病毒應急處理中心檢測發現65款違法違規收集使用個人信息的移動應用》。

其中，助貸平臺“極融借款”App被通報存在兩項違規：一是“未向用戶提供撤回同意收集個人信息的途徑、方式；個人信息處理者未提供便捷的撤回同意的方式?！?；二是“隱私政策未逐一列出App（包括委托的第三方或嵌入的第三方代碼、插件）收集使用個人信息的目的、方式、范圍等?！?/p>

極融借款App和你我貸APP的運營方為極融云科信息技術有限公司，母公司為美股上市公司嘉銀科技。

此前，極融借款和你我貸均被媒體披露存在過度收集個人信息問題。用戶在申請貸款時，表面上只授權了5份主協議，但實際觸發超過700份第三方授權文件，涉及近30家金融機構與20余個助貸平臺。

截至發稿時，極融借款App仍未對此做出調整。

通過一鍵點擊，一攬子授權幾百份用戶協議，這一方式被稱為“套娃式”協議?！癳看法”實測發現，存在“套娃式”協議的助貸APP不止極融借款一家。在方便機構的同時，卻給用戶帶來隱患。

業內專家對“e看法”表示，一鍵授權多家機構合同屬于行業通病，并不符合個人信息領域的“最小、必要”原則，涉嫌過度收集用戶個人信息，同時也加劇了金融消費者個人信息面臨的風險。

多個平臺均存在“套娃式”協議

“ｅ看法”下載極融借款App實測發現，在申請借款時，需勾選閱讀并同意《電子簽名委托授權協議》《風險告知書及個人信息授權書》《征信協議》《合作方借款及相關授權服務協議》共4項協議。

然而，實際上用戶勾選的并非僅僅4份協議，這幾份協議中“另有乾坤”。

借款頁面

點開《合作方借款及相關授權服務協議》，會出現極融借款各個合作方的相關協議，包括桔多多、豆豆錢、信用飛、哈啰等平臺，每個合作方又有相應的合作協議，包括征信查詢授權書、個人信息授權書等，據“e看法”不完全統計，該頁面內含73套協議。

豆豆錢涉及到的協議

而在該頁面的下一級頁面中，又暗嵌更多協議，如點擊此協議列表中的合作方“豆豆錢”的授信相關合同，會發現雖為一個內容較長的頁面，卻內含15份合同，其中涉及到用戶與豆豆錢的個人信息授權書、與包括融擔機構、保險機構等金融機構的個人信息授權書、個人征信授權書等。

風險告知書及個人信息授權書

此外，若點擊《風險告知書及個人信息授權書》，則會出現包含《個人信息授權書》《嘉喜融擔個人信息授權書》在內的6份協議。

粗略統計，用戶雖表面上僅勾選了4項協議，卻實際上“一鍵式”授權了上百份協議。

極融借款客服回應

對此，極融借款客服回應稱，此舉是授權平臺的合作方核實資質以便于用戶借款，僅在申請某具體合作方的借款時才會進行相關授權，且在用戶最終確認借款的界面也會再次讓用戶進行確認。

當“e看法”詢問客服“預先準備上百份協議是否考慮到用戶并無能力逐一閱讀，為何不在確認資金出借方時再與用戶進行相關授權”的問題，該客服則表示造成的不便還請見諒。

不僅如此，同為嘉銀科技旗下助貸平臺的你我貸亦同樣存在一攬子協議。此前，曾有媒體報道，用戶在你我貸平臺借款，須授權500多份協議，涉及到個人信息授權的各項協議內嵌在4份協議之中，不易被用戶發現。

“e看法”實測還發現，和極融借款存在合作關系的桔多多也存在一鍵授權上百份協議的問題。

協議內容

根據《用戶授權協議》，除姓名、手機號、身份證號照片等基本信息外，桔多多還會自行或委托關聯方向第三方共享用戶活體識別影像照、學歷信息、婚姻狀況、單位信息（單位名稱、單位地址、行業、單位電話、職務、職業）、車牌號簡稱、車牌號、車輛型號、所在（工作）城市以及購車方式、車輛是否有抵押/貸款、關聯企業信息等。

至于所謂的第三方，桔多多的表述為“包括但不限于金融機構或/及其合作平臺”，并不十分明確。

套娃式協議

在《用戶授權協議》的最下方有一名為《借款相關協議》的附件。點擊后可以看到，這里面包含長銀消費金融、中郵消費金融、藍海銀行、百信銀行等數十家資金方，涉及到的協議有幾十份。

無獨有偶， 2024年，有媒體報道，喜馬拉雅先前上線的“聽小貝”借錢服務亦存在此類問題，于該入口借款時，其要求用戶同意簽署授信申請授權、個人信息處理授權等相關協議。雖協議從表面上看是一鍵簽署四份協議，而實際上點開授權協議可發現，內嵌的借貸平臺多達17家，授權協議超80份。

此外，手機品牌推出的助貸平臺也有一鍵授權之舉。曾有媒體報道，vivo旗下助貸平臺豐融借錢也存在“套娃式”協議，用戶在該平臺借錢時，“一鍵”簽署了包括身份信息、財產信息、代扣服務、融資擔保、征信查詢等各類用戶授權及相關協議，根據不完全統計，在豐融借錢上，諸如此類協議達60份。

由此可見，極融借款、你我貸、桔多多的問題已是行業普遍現象。借款時，用戶很難注意到這些授權協議中“內有乾坤”，縱然用戶注意到了這一攬子協議，閱讀上百份相關協議也存在一定困難，且對用戶的個人信息保護存在隱患。

浙江省法學會網絡法治研究會理事、北京觀韜（杭州）律師事務所律師盧鑫認為，該行為屬于典型的“概括授權”操作，其本質是通過協議嵌套技術手段規避《個人信息保護法》要求的“單獨同意”原則。從法律角度看，助貸平臺通過“套娃式”協議設計實現“一鍵授權”上百份協議的行為，涉嫌違反《個人信息保護法》、《網絡安全法》的核心原則，尤其是知情同意原則和最小必要原則。

“一鍵授權”侵犯個人信息安全

然而，“一鍵授權”的風險不止于此。

素喜智研高級研究員蘇筱芮向“e看法”表示，一鍵授權多家機構合同除了不符合個人信息領域的“最小、必要”原則，涉嫌過度收集用戶個人信息，同時也加劇了金融消費者個人信息面臨的風險。

蘇筱芮分析，“一鍵授權”等問題為行業通病，主要是由于互聯網貸款領域存在“資金路由”模式，由助貸方對接多個放款方，但每家準入門檻、風控模式均存在差異，因此“資金路由”會根據客戶屬性、借款要素、地域、渠道等屬性，自動匹配出符合借款用戶最優質的資金方，從而在減少用戶感知的同時提升放款效率，但該模式顯然以犧牲用戶個人隱私為代價，涉嫌侵犯金融消費者的知情權與選擇權。

蘇筱芮指出，此類問題高發于互聯網助貸領域，以本次案例來看，助貸方為嘉銀科技，長銀消費金融、中郵消費金融等為持牌放款方。從近年來的監管風向看，個人信息、合作機構管理成為持牌金融機構“踩坑”的高發區。

談及“一鍵式”授權行為對行業造成的負面影響，盧鑫認為，其將在一定程度上破壞市場秩序與監管公信力：超百家機構的交叉授權鏈條極大增加信息泄露風險，形成“數據黑市”；平臺通過降低用戶授權門檻獲取競爭優勢，可能引發行業“劣幣驅逐良幣”效應；個人信息濫用可能誘發詐騙、騷擾等下游犯罪，甚至影響金融信貸市場穩定性；隱蔽的協議設計增加執法成本，導致違法行為難以及時查處。

此前，針對“套娃式”授權合同問題，監管層面就曾發布過相關警示。

2022年3月14日，銀保監會發布關于警惕過度借貸營銷誘導的風險提示，也提到一些金融機構、互聯網平臺在開展相關業務或合作業務時，以默認同意、概括授權等方式獲取授權，過度收集個人信息，侵害消費者個人信息安全權。

在行業加速洗牌的當下，諸如此類的合規問題都應得到整改，才能讓企業形成良性發展。蘇筱芮建議，基于助貸新規中的持牌機構主體責任，后續持牌機構一方面需要審選擇助貸合作方，對于獲客質量不佳、合規性低下的助貸機構及時清理出合作名單；另一方面也需要厘清與助貸機構就個人信息保護的各項權責。而從助貸機構角度看，需要在把控客群質量的同時，做好助貸領域合規以及金融消保工作，從源頭防范被持牌機構踢出合作名單。