超范圍收集個人信息 8000萬用戶平臺卡牛信用管家被通報

自《中華人民共和國個人信息保護法》施行以來，個人信息處理方持續(xù)面臨嚴監(jiān)管。

近期，深圳市卡牛科技有限公司（以下簡稱“卡牛科技”）旗下卡牛信用管家因實際收集的個人信息超出相關功能的必要范圍被國家網(wǎng)絡安全中心通報。

2025年8月底，卡牛科技官網(wǎng)介紹，卡牛信用管家App累計用戶規(guī)模超過8000萬，業(yè)務涵蓋智能賬單管理、信用卡信息服務、信用科技服務三大板塊。

卡牛信用管家方面告訴《中國經(jīng)營報》記者，針對通報所涉及問題，公司高度重視，已經(jīng)第一時間啟動全面核查，對現(xiàn)有用戶數(shù)據(jù)保護體系中存在疏漏的進一步加固與完善。在本次事件中未發(fā)生用戶數(shù)據(jù)泄露也未造成實際用戶損失。

對于被通報細節(jié)，卡牛信用管家透露，公司與檢測中心工作人員取得聯(lián)系，發(fā)現(xiàn)問題根源為“剪貼板”使用授權不充分。

多次被通報

8月底，國家網(wǎng)絡安全中心通報，經(jīng)公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心檢測，38款移動應用存在違法違規(guī)收集使用個人信息情況，其中卡牛信用管家（9.2.2，應用寶）涉及實際收集的個人信息超出相關功能的必要范圍。

公開資料顯示，2012年，卡牛信用管家上線，歷經(jīng)一年用戶超過2000萬，并于同年獲得紅杉資本A+輪融資，累計獲投千萬美元。根據(jù)卡牛科技官網(wǎng)，公司2012年創(chuàng)立以來，以“財務管理工具+大數(shù)據(jù)智能服務+金融產(chǎn)品超市”的平臺模式展業(yè)。并與大型銀行、持牌金融機構、金融科技公司合作。不過，前述簡介目前已不可見。

卡牛信用管家App目前分為三大板塊，依次為賬單、借錢、報告。其中賬單功能為信用卡、貸款賬單管理，借錢功能為提供借款服務的卡牛臻享，報告則是個人風險報告服務。

企查查顯示，卡牛科技曾屬于深圳市隨手科技有限公司（以下簡稱“深圳隨手科技”），在2020年，深圳隨手科技退出卡牛科技股東行列。不過2025年9月，記者撥打卡牛科技客服熱線時，電話中卡牛科技仍表示“歡迎致電隨手客服中心”。

值得注意的是，卡牛科技曾因信息安全問題多次受到關注。

2021年6月8日，廣東省通信管理局通報，5月共監(jiān)測發(fā)現(xiàn)160款App存在侵害用戶權益和安全隱患問題，及時發(fā)出《違法違規(guī)App處置通知》責令App運營者限期整改并通知相關應用商店督促整改。截至要求的整改期限，尚有40款App未完成整改或未反饋整改報告，其中卡牛科技旗下卡牛瑞貸在列。

2022年12月24日，深圳市公安局南山分局對深圳市卡牛科技有限公司進行罰款1000元的行政處罰，根據(jù)公示違法事實為網(wǎng)絡運營者侵害個人信息。

“剪貼板”問題引關注

針對卡牛科技提到違規(guī)的“剪貼板”使用問題，記者注意到，此前也有其他機構也曾因剪貼板問題引發(fā)過關注。

廣州互聯(lián)網(wǎng)法院發(fā)布個人信息保護典型案例曾指出，用戶手機存儲空間屬于個人隱私范疇，手機剪貼板作為手機存儲空間的一部分，亦屬于個人隱私。App未經(jīng)許可檢測、讀取手機剪貼板的行為屬于侵犯隱私權的行為。互聯(lián)網(wǎng)平臺、手機App作為個人信息處理者，應當按照隱私政策，以用戶知情同意為前提，嚴格根據(jù)法律規(guī)定收集和使用個人信息，主動告知收集的個人信息種類，切實保護用戶的個人信息權益。

前述典型案例為，李某某在使用某公司運營的App時發(fā)現(xiàn)，該App存在未經(jīng)用戶同意監(jiān)測、收集手機剪貼板信息的情形。李某某認為剪貼板可以存儲身份證號、手機號、照片等涉及隱私的個人信息，但該App的《隱私政策》沒有包括將收集手機用戶剪貼板信息的說明，也未履行告知提醒義務征得用戶同意，某公司的行為侵害其個人信息權益以及隱私權。

法院生效判決認為，案涉App在其《隱私政策》中對App擬收集的用戶信息進行了列舉，但用戶剪貼板信息并未列舉其中。在成功安裝App后，手機頁面顯示的App權限內容也未包含剪貼板信息，結合鑒定意見和某公司的答辯情況，可以確認某公司未經(jīng)李某某許可，對其剪貼板信息進行監(jiān)測和讀取。案涉App未經(jīng)許可監(jiān)測、讀取李某某手機剪貼板信息的行為侵害了李某某的隱私權。

卡牛信用管家對記者表示：“待復測通過后會更新合規(guī)的新版本應用。公司將繼續(xù)嚴格落實個人信息保護的主體責任，為用戶提供安全優(yōu)質的服務。”

信息保護持續(xù)治理

今年上半年，國家計算機病毒應急處理中心多次發(fā)布違法違規(guī)移動應用，其中不乏一些借款軟件。

根據(jù)記者不完全統(tǒng)計，2025年以來，國家計算機病毒應急處理中心的違法違規(guī)收集使用個人信息的移動應用，涉及銀行、消費金融機構以及助貸平臺超過20家。

有華中地區(qū)持牌金融機構相關負責人告訴記者，金融機構在收集和使用個人信息時，用戶授權環(huán)節(jié)可能會存在超范圍收集、隱私政策不透明、告知不清晰、使用范圍不明確、過度授權等問題，導致消費者對其個人信息的處理缺乏了解。

“若金融機構管理不當，不僅會侵犯消費者信息保護權益，還會增加個人信息泄露和違規(guī)使用的風險。因此，金融機構應當嚴格遵循《中華人民共和國個人信息保護法》，堅持合法、正當、必要的原則，避免過度采集數(shù)據(jù)，并明確限定使用場景。同時，可通過優(yōu)化授權流程，如在協(xié)議中顯著標識關鍵條款、設置強制閱讀等方式，切實保障消費者的知情權和自主選擇權，平衡服務便利性與隱私保護的關系。”前述負責人建議道。

在前述機構負責人看來，在信用信息保護方面，金融機構在信息收集、處理、存儲及傳輸?shù)拳h(huán)節(jié)有待加強。作為市場經(jīng)濟運行的關鍵要素和金融機構風險管理的核心依據(jù)，信用信息的有效管理至關重要。當前，金融機構在信息共享方面仍需提升透明度與精細化水平。

記者注意到，卡牛信用管家開屏廣告中，目前推出了檢測個人風險100%領取紅包，最高可得6500元活動。對于風險報告查詢業(yè)務的開展考慮，截至發(fā)稿前，卡牛信用管家暫未回應。

有律師向記者表示，在使用風險監(jiān)測服務過程中，用戶應該防范信息泄露，應盡可能選擇加密傳輸、匿名化處理等技術保障措施完善的平臺，避免個人信息被濫用。