劍指App違規收集個人資訊!央行排查移動金融App風險

  來源:21世紀經濟報道

  原標題:劍指App收集個人資訊! 排查App等 應用風險

  21世紀經濟報道記者瞭解到,此次摸排中,移動金融App和背後的金融資料安全是重中之重。

  隨著移動網際網路快速發展,移動金融App已成為目前國內金融業務最廣泛、最直接、最便捷的入口。

  7月16日晚,央視“3·15”晚會再次提到手機App違規收集個人資訊問題,在其提到的50多個違規收集資訊的App中,金融類就超過40個。

  這些App在後臺讀取電話號碼、通訊錄、簡訊記錄、應用列表等資訊的同時,上傳聯絡人、交易驗證碼等資料到第三方伺服器。並且,第三方SDK除了收集使用者手機號碼、裝置資訊之外,還會收集使用者手機通訊錄、簡訊資訊、感測器資訊等使用者隱私資訊,在採集之後還會發送至指定伺服器進行儲存。

  對此,工信部官網釋出公告稱,第一時間組織第三方檢測機構對央視曝光的使用上述兩家SDK的50餘款App進行技術檢測,對存在問題的App第一時間啟動下架程式。工信部稱,自去年11月工信部啟動App侵害使用者權益專項整治行動以來,共檢測超過8萬餘款App,推動8000餘款App自查整改,對478家存在問題的企業下發整改函。

  儘管監管一再強調個人隱私保護,但在現實中依然屢見不鮮。

  在此背景下, 21世紀經濟報道記者獲悉,央行也在今年上半年啟動了全面摸排金融科技應用風險工作,移動金融客戶端應用軟體成為摸排重點之一,移動金融App及其背後金融資料安全則是重中之重。

  如何判定收集資訊的合法性?

  金融App過度收集讀取並使用收集使用者資訊是否構成侵犯公民個人資訊犯罪?分歧是存在的。

  中國銀行法學研究會理事肖颯7月21日對21世紀經濟報道記者表示,一種觀點認為不構成侵犯公民個人資訊罪。因為App讀取該類資訊系經過使用者同意的,資訊使用在使用者承諾範圍內,且企業並沒有將資訊轉手給他人,僅是用於金融公司貸款審批、催債使用。

  但另一種觀點認為,該使用者同意並非真實使用者意思表示,使用者若不同意則無法使用金融App,雖然資訊沒有外流,但是通過讀取的手機通訊錄並給親友打電話催債的行為,給使用者造成了較大困擾,已然突破合理合法邊界。

  而在司法實踐中,判斷的一個關鍵點在於是否明示資訊使用用途。企業在獲取使用者資訊時,是否明示收集的手機通訊錄資訊將被用於貸款審批及債務催收,如果沒有明示,卻在收集後用於該用途,會被認定為非法獲取。

  網路安全法第41條規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。

  就收集者同意而言,隱私協議本是為了獲得使用者資訊授權,但金融App中多是內建協議,提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的,根據我國合同法第四十條,該條款無效。

  “在實際案例中,將由法官結合協議內容、業務邏輯實質等予以判斷。一旦法院認定授權無效的,手機App獲取使用者資訊的行為將徹底喪失合法性依據。”肖颯表示,即使在隱私協議授權條款有效的基礎上,資訊收集還需遵循必要性原則,也即,金融App只能處理滿足個人資訊主體授權同意目的所需的最少個人資訊型別和數量。如此,借貸審批是否需要全部獲知使用者通訊錄等,便存在合法性疑問。

  與此同時,在7月17日釋出的《商業銀行網際網路貸款管理暫行辦法》中也提到,商業銀行如果需要從合作機構獲取借款人風險資料,應通過適當方式確認合作機構的資料來源合法合規、真實有效,對外提供資料不違反法律法規要求,並已獲得資訊主體本人的明確授權。商業銀行不得與違規收集和使用個人資訊的第三方開展資料合作。

  央行摸排移動金融App的核心是金融資料安全

  央行今年上半年釋出了《關於開展金融科技應用風險專項摸排工作的通知》(以下簡稱“45號文”)。

  “45號文”出臺的背景是加強金融科技應用風險防控,切實保障使用者的資訊和資金安全,人民銀行要求各分支機構於2020 年10月31日前報送摸排的書面報告。

  自2019年9月《中國人民銀行關於釋出金融行業標準加強移動金融客戶端應用軟體安全管理的通知》(銀髮〔2019〕237號)釋出以來,移動金融客戶端應用軟體備案工作正在進行中。

  21世紀經濟報道記者瞭解到,此次摸排中,移動金融App和背後的金融資料安全是重中之重。本次摸排工作對App的安全要求繼承了銀髮〔2019〕237號文的要求,並結合當前App偽冒等問題對監控要求進行了細化,幫助央行更好地推進統一風險監控平臺的建設。

  對於摸排的主要內容,覆蓋了人工智慧、大資料、區塊鏈、物聯網等新技術在金融領域的應用,表現出對技術風險的前瞻性。

  另外,摸排還特別關注了金融業務交易安全和金融核心的處理要素——金融資料,貫穿金融交易的資料流和個人金融資訊保護的生命週期。

  根據45號文中的工作安排,相關金融機構在2020年5月至7月要完成自評工作,依據《金融科技應用風險專項摸排列表》逐項進行自評,及時提交報告。對發現的問題,建立清單管控和動態跟蹤機制,視情況採取必要的風險補救或補償措施。

  摸排列表包括個人金融資訊保護、交易安全、仿冒漏洞、技術使用安全以及內控管理五大方面,涵蓋40個具體摸排項,123個摸排要點,覆蓋App、系統以及API等。

  移動金融客戶端應用軟體、應用程式程式設計介面、資訊系統等都是重點摸排物件,從技術層面來講主要涉及人工智慧、大資料、區塊鏈、物聯網等新技術金融應用風險,包括個人金融資訊保護、交易安全、仿冒漏洞、技術使用安全、內控管理等5個方面的風險情況。

  21世紀經濟報道記者瞭解到,45號文一方面對前期各金融機構在金融科技應用方面所做的風險合規工作進行階段性驗收,或將幫助人民銀行了解目前金融科技發展現狀,進行查漏補缺,避免再次出現表外業務氾濫、同業業務異化等行業亂象,進行有效監管。另一方面也是為後續的金融科技監管方向提供實際的資料支撐,摸排情況可能會決定新的監管政策動態。

  (作者:包慧 編輯:李伊琳)

喜歡這篇文章嗎?立刻分享出去讓更多人知道~

相關文章