近日(6月11日),中央网信办联合工业和信息化部、公安部发布《关于30款App个人信息收集使用问题的通报》。这是"2026年个人信息保护系列专项行动"的阶段性成果,依据《网络安全法》《个人信息保护法》《网络数据安全管理条例》以及《App违法违规收集使用个人信息行为认定方法》作出。
30款问题App被归入四个类别:
| 频繁索要非必要权限 | 4款 | |
4款"频繁索要非必要权限"的App中,3款是网贷产品——大象优品、信小花、逸小花。通报要求相关运营者在15个工作日内完成整改,中央网信办将会同有关部门核查后依法处置。
值得注意的是,就在通报前一个月(2026年5月13日),国家安全部曾专门发文提醒,部分App过度索取授权可能被境外间谍情报机构利用。两条信息同框,信号再清晰不过:App权限索取不是技术细节,是法律红线。
运营画像:自然人股东、"马甲矩阵"与地方小贷的影子
三款被通报网贷App的运营主体,结构高度一致:注册资本均仅100万元,均由自然人股东控股,旗下均备案多款同类借贷App。这是典型的"马甲矩阵"模式。
大象优品 — 海南驹度网络科技有限公司
其中,"优薪花"对外宣称"正规持牌机构运营,至高15万授信额度,年化利率5.9%—23.4%"。23.4%的上限已超过当前1年期LPR四倍的法定保护上限约12.4%,公开标称利率即已踩线。
幕后资金方:企查查信息显示,兴安县鸿源小额贷款有限责任公司(广西地方小贷公司,2013年成立)间接投资了海南驹度。而鸿源小贷旗下的"安心借款"和"兴安分期",曾在2025年12月因侵害用户权益被广西壮族自治区通信管理局通报。一家有违规前科的地方小贷公司,以间接持股方式藏在网贷App幕后。这种"资金方隐身"结构,为监管套利提供了天然屏障。
法律疑点:依据《个人信息保护法》第二十三条,向其他处理者提供个人信息,须告知接收方信息并取得"单独同意"。用户在前端授权的是"大象优品",但实际处理金融账户信息的可能是隐在幕后的鸿源小贷——这种"二元处理者"模式是否履行了告知义务?用户的"单独同意"是否覆盖了隐名资金方?
信小花 — 北京吉顺意科技有限公司
成立仅一年半,即快速铺开至少5款网贷品牌。
逸小花 — 海南丰逸科技有限公司
马甲矩阵的监管困境
三家主体共备案十余款借贷App,品牌均以"花""优品""用呗"等消费金融热词命名。这种"一套班子、多个马甲"的模式,目的明确:
早在2025年9月,中国互联网金融协会已发文,将助贷、引流类App列为个人信息保护检查重点。但三个月后的这份通报说明:行业乱象并未收敛,只是从"头部正规军"下沉到了"小微游击队"。
法律审视:当"频繁索权"成为收割链条的第一环
"频繁索要非必要权限"——六个字的通报定性,背后是一条从信息采集到暴力催收的完整灰色产业链。
"索权"何以"非必要"?
《个人信息保护法》第六条确立了最小必要原则:"收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。"
一款网贷App的核心功能是借贷撮合或信贷审批。其必要权限理应限于:身份认证(拍摄身份证)、基础设备信息(反欺诈)、以及用户主动授权的联系方式。
但当一款借贷App索要以下权限,性质就变了:
| 读取全部联系人列表 | ||
| 持续获取精确GPS轨迹 | ||
| 扫描全部照片和文件 | ||
| 读取全部短信内容 |
这些溢出权限一旦被获取,用户的社交关系、行动轨迹、消费记录、私人通信——全部进入平台数据库。而借贷场景下的用户,因急需资金,几无议价能力。
《个人信息保护法》第十六条:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。现实中,大量网贷App将"同意全部权限"设为使用前提——用户不同意,就无法进入下一步。这已构成对"告知—同意"机制的实质架空。
投诉数据的"沉默":为什么黑猫上搜不到这三家?
在黑猫投诉、啄木鸟投诉等主流平台上,以"大象优品""信小花""逸小花"为关键词的投诉记录极为有限。但这恰恰不是"干净"的信号,而是马甲矩阵的结构性优势:
投诉记录少,不是"没出事",而是出事后有人替你擦掉了痕迹。这正是监管需要穿透马甲矩阵、直达幕后实体的根本原因。
灰色产业链拆解(一):利率 — 以"合规"之名行"高利"之实
法律底线:《民法典》第六百八十条首款——"禁止高利放贷"。最高人民法院《关于审理民间借贷案件适用法律若干问题的规定》(2020年第二次修正)第二十五条——利率超过合同成立时一年期LPR四倍的部分,人民法院不予支持。以当前1年期LPR约3.1%为基准,法定保护上限约为12.4%。
行业现实:大量网贷产品通过"服务费""担保费""咨询费""会员费"等名目,将实际借款成本推高至年化50%甚至100%以上。"优薪花"公开标称的23.4%上限,已远超LPR四倍红线——这还不算各种隐藏收费。
与"索权"的关联:平台为什么需要你的通讯录、位置、短信数据?不是为了验证身份——身份证和人脸识别足以。真正目的是精准画像和差异化定价:通讯录质量(联系人职业分布、社交圈层)映射还款能力,位置轨迹映射工作和居住稳定性,短信内容映射其他借贷行为。画像越精准,"杀熟"空间越大——越缺钱的用户,被收取的利率越高。
灰色产业链拆解(二):暴力催收 — 三层法律追责
同类网贷产品投诉中,暴力催收是最高频问题:
- 爆通讯录
逐一联系借款人亲友、同事、单位领导,披露债务细节 - 威胁恐吓
冒充律师、法院人员发送虚假法律文书和诉讼威胁 - 侮辱诽谤
通过短信、社交平台对借款人及其亲友进行人格侮辱
这些行为同时触发三层法律责任:
| 行政违法 | ||
| 民事侵权 | ||
| 刑事风险 |
没有前端App违规索取的通讯录数据,就没有后续"爆通讯录"式的催收。"索权"和"催收"不是两个独立问题——它们是同一条违规产业链的首尾两端。
灰色产业链拆解(三):"马甲矩阵"的法律归责困境
这是本案最值得深究的问题。谁才是真正的"个人信息处理者"?
《个人信息保护法》第七十三条将"个人信息处理者"定义为"在个人信息处理活动中自主决定处理目的、处理方式的组织、个人"。按此标准,"马甲矩阵"架构下存在三重归责困境:
这种"前台获客→中台放款→后台催收"的分工链中,每一环都在收集和使用个人信息,但没有任何一环主动承担《个人信息保护法》项下处理者的完整法律义务。当用户想行使查询权、更正权、删除权(第四十四条至第四十七条)时,面对的是一张找不到责任主体的模糊网络。
本次通报的核心价值正在于此:与其在催收、放贷、数据倒卖等各个环节逐取证(难度极大),不如从"索要非必要权限"这个入口端切断信息违规采集管住了"索权",就掐住了后续所有违规链条的总阀门。
3.灰色产业链拆解(四):隐私泄露 — 敏感信息的"次生灾害"
《个人信息保护法》第二十八条将金融账户信息列为"敏感个人信息"——一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害。
三家运营主体均为注册资本100万元的轻资产公司。其数据安全防护能力能否保障海量用户的金融账户信息?在"马甲矩阵"模式下,A品牌获取的用户数据是否在B品牌、C品牌之间被共享?用户是否知情同意?这些问题在当前信息披露框架下几乎无解。
《个人信息保护法》第六十六条规定,情节严重的违法行为,可处五千万元以下或者上一年度营业额百分之五以下罚款,并可责令暂停业务、停业整顿、吊销许可;对直接责任人处十万元以上一百万元以下罚款,并可禁止其在一定期限内担任相关企业高管。此次通报的"15个工作日整改"是第一步。整改期满后,监管是否会启用实质性处罚工具,将直接决定《个人信息保护法》从纸面走向执行的成色。
总结:一次通报,三重信号
仅这三家被通报的企业,名下即控制了十余个借贷App品牌——而这不过是"马甲矩阵"灰色地带的冰山一角。此次通报释放了三重明确信号:
第一,监管靶心下沉。从盯着头部平台跑,转向围堵"游击队式"的分散违规者。大平台在合规压力下收敛了数据采集,大量小微主体正以"多马甲、小体量、快迭代"的方式填补灰色空间。监管能否跑赢马甲的上线速度,是下一阶段的真正考验。
第二,"索权"是七寸。从违规索权到精准画像,从差异化定价到暴力催收——这不是零散的违规行为,而是一条完整的灰色产业链。监管部门已经认识到:管住"索权"这个入口,就掐断了后续所有环节的总阀门。
第三,15个工作日整改期的含金量。过往通报中,整改流于形式、处罚蜻蜓点水的问题曾被舆论反复追问。《个人信息保护法》第六十六条赋予了最高5000万元或营收5%的罚款、暂停业务甚至吊销许可的权力。整改期满后,监管是否动用这些"杀手锏",将直接检验这部法律的执行力。
对普通用户而言,这次通报是一记警钟,也是一条实用判断标准:一个借钱软件如果要读你的通讯录、翻你的短信、扫你的相册——它不是想了解你,是想拿捏你。
对行业而言,当网信办、工信部、公安部三部门联合出手,当《个人信息保护法》的处罚条款不再沉睡——留给"马甲矩阵"们的窗口期,正在倒数。
声明:本文内容旨在进行政策研究与行业分析,所载观点仅为作者基于公开信息的个人理解与评论,不代表任何机构立场,也不构成任何投资或操作建议。笔者力求内容准确、客观,但疏漏之处在所难免,敬请读者批判性参考。本账号主体非新闻媒体机构。转载请联系作者,并请注明出处。
美分割线

温馨提示:由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推文!如果你还想每天看到我们的文章,请将金融帮
设为星标或每次看完后点击一下页面下端的“在看”“点赞”,谢谢大家。
扫码添加小编微信
加入金融行业群
商业合作/投稿
夜雨聆风