授权协议捆绑1292家公司，警惕过度借贷营销风险

“我就是办个贷款，为什么要同意这么多协议?”“只是点了下协议，怎么就授权了1000多家公司查询信息?”有过贷款经历的消费者，对相关协议的勾选环节一定不陌生，从注册到授信，再到支付，短则几百字、多则上万字的协议，消费者大都草草略过，事后才发现，很多坑其实就藏于其中。

3月14日，银保监会发布关于警惕过度借贷营销诱导的风险提示，也提到一些金融机构、互联网平台在开展相关业务或合作业务时，以默认同意、概括授权等方式获取授权，过度收集个人信息，侵害消费者个人信息安全权。

授权协议捆绑1292家公司

近日，北京商报记者在一互联网平台点击了一个贷款广告，经过层层导流和注册环节后，就发现了一份“内有玄机”的协议。

该协议出自一个名为“爱分期”的平台，其号称有4万元预估授信额度，参考年化利率36%。从操作流程来看，领取该额度需要点击同意爱分期注册协议和用户隐私协议。

根据相关协议，爱分期平台是一个移动金融智选平台，也就是业内俗称的助贷平台，其本身不从事放贷业务，展示的贷款产品将由合作的第三方机构或信贷经理提供。该平台由徐州维梦科技有限公司及其关联实体运营，并称相应服务主要是根据用户贷款申请情况，将用户个人信息与数据进行审核，通过审核之后再将信息提交至资金放款机构完成放款。

另据隐私协议，爱分期在撮合服务的过程中，用户需要主动提供姓名、身份证、手机号、信用情况、房产车产、社保公积金等个人信息，这些信息均属于敏感信息，如果用户拒绝提供，可能无法正常使用贷款产品申请的功能。

该隐私协议还提到，平台会将用户个人隐私信息与其他合作方进行信息共享。北京商报记者进一步点击爱分期贷款合作方列表发现：该平台一揽子信息共享的公司竟达1292家，机构类型除了一些小额贷款公司、消费金融公司、保险公司外，大部分是一些未持有金融牌照的信息科技公司、电子商务公司、商务咨询公司、金融外包公司等。

为何申请额度勾选协议竟一键授权上千家公司?用户个人隐私信息授权至非持牌金融机构又是何原因?对于多个问题，北京商报记者对爱分期平台方面进行采访，但截至发稿对方未给出相关回应。

“这一商业模式就是传统的平台助贷模式。”谈及爱分期这一信息授权操作，博通咨询金融业资深分析师王蓬博说道，“《个人信息保护法》有相关规定，收集信息要考虑最小必要和每个节点都要通知的原则，收集范围上连带社保公积金和房产车产，个人觉得这一信息收集明显过度。另外还有一个严重的问题是，其传播范围过广而且链条环节过多，涉及1292家机构，也就意味着链条上任何一个环节出现问题，个人信息隐私就可能被泄露”。

值得一提的是，自勾选授权后连续多天时间内，北京商报记者每天都收到了多个不知名贷款机构的电话骚扰，还有推销人员自称为某银行信贷审批人员，且已查看过记者的详细个人资料，获批额度数万元不等。

可能涉及侵权责任

类似捆绑授权、过度收集用户个人信息的乱象并不少见。之前就有不少消费者向北京商报记者反馈，在贷款过程中，有平台强制用户勾选购买“借款人意外伤害保险”协议，否则无法进行下一步操作。在这种情况下，借款人只能勾选确认。

此外，北京商报记者在多次调查中发现，有不少互联网平台导流的一些助贷公司或者小贷机构，在收集用户个人信息方面，勾选方式亦存在概括授权、捆绑授权等情况，一键授权多家机构的模式并不少见。

这也引起了监管的注意。3月14日，银保监会发布关于警惕过度借贷营销诱导的风险提示，其中就强调了过度收集个人信息，侵害消费者个人信息安全权的问题。银保监会称，一些金融机构、互联网平台在开展相关业务或合作业务时，对消费者个人信息保护不到位，比如以默认同意、概括授权等方式获取授权;未经消费者同意或违背消费者意愿将个人信息用于信用卡业务、消费信贷业务以外的用途;不当获取消费者外部信息等。

北京市中闻律师事务所律师李亚在接受北京商报记者采访时指出，《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。这样规定的目的在于保护公民个人信息的安全。在他看来，合作方信息授权一揽子捆绑多家公司，对于用户来说存在个人信息泄露等巨大风险。

“平台如果泄露用户私人信息的，民事责任层面，平台可能需要承担侵权责任;行政责任层面，根据具体情节，平台可能面临警告、罚款等行政处罚。”李亚说道。

易观分析金融行业高级分析师苏筱芮同样称，合作方信息授权一揽子捆绑的行为也不利于平台如实、详细对金融消费者披露各类信息，其中可能存在少披露、不披露等情形，会加剧个人信息面临的风险，也不符合“断直连”相关规范，在个人信息的采集、传输、共享方面存在漏洞。

数据安全是监管底线

其实，监管部门曾多次强调，未经申请和审批通过的任何单位和个人不得经营个人征信业务;此外，打着大数据公司、金融科技公司等旗号，未经批准擅自从事个人征信业务的行为，均属于违法行为。

2021年7月，监管就网络贷款业务再次强调，在助贷领域需实现个人信息与金融机构全面“断直连”，按照整改工作要求，需要遵循监管关于“断直连”的规定，在个人征信业务管理的整体框架下，按照“平台-征信机构-金融机构”的业务合作流程进行整改。

此外，最新公布的《金融产品网络营销管理办法(征求意见稿)》指出，数据安全是监管底线，平台应当采取必要的技术安全措施，与其合作的持牌金融机构共同保障数据传输的保密性、完整性。

对于市场机构相关行为，李亚指出，平台应该严格遵守《个人信息保护法》等相关法律规定及金融管理部门的政策规定。在个人信息处理过程中，应遵循合法、正当、必要原则，不得过度处理。

冰鉴科技研究院高级研究员王诗强则称，目前，个人隐私监管较为严格，处罚力度也越来越大，建议相关金融从业机构谨慎共享客户信息，即使需要共享也是一家一家单独授权、直接授权。此外建议相关金融机构不要与一些非持牌机构合作助贷导流业务，以防客户隐私泄露或者被高利贷平台拖累而被监管处罚。

银保监会则提醒消费者，在消费过程中提高保护自身合法权益的意识。认真阅读合同条款，不随意签字授权，注意保管好个人重要证件、账号密码、验证码、人脸识别等信息。不随意委托他人签订协议、授权他人办理金融业务，避免给不法分子可乘之机。一旦发现侵害自身合法权益行为，要及时选择合法途径维权。

关键词： 协议捆绑 过度借贷 营销风险 概括授权