日前,多款银行旗下App违规收集使用个人信息被网信办点名。
5月10日,网信办对84款App违法违规收集使用个人信息的情况进行了点名通报,其中涉及36款安全管理类App、48款网络借贷类App。所涉违法违规行为包括未经用户同意收集使用个人信息,收集与其提供服务无关的个人信息等。
值得注意的是,在被通报的网络借贷类App中,平安贷款App、招贷App两款直属平安银行、招商银行的平台;此外,还有招联消金、马上消金、中原消金等多家持牌机构及大型企业旗下的App也在名单之列。
近日,多位业内人士向券商中国记者表示,针对用户个人信息安全保护,监管近年频频重拳出击,从颁法令到落地执行的逐步完善过程中,包括金融、生活服务类等App违规采集、使用、交易个人信息被通告整改时有发生,这是个人信息保护走向规范的必经阶段。
不过,涉及到金融类App,金融要素信息更加敏感,而且和个人财产安全高度相关,受市场关注度更大,监管对个人金融信息安全保护要求也必然等级更高。
招行、平安等银行App被通报整改
5月10日,网信办发布通报称,在近期对安全管理、网络借贷等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测,发现共有84款App存在违法违规收集使用个人信息等问题。
在本次被通报的App中,网络借贷类App涉及48款,其中,360借条、平安好贷、平安消费金融、中原消费金融等18款App未经用户同意收集使用个人信息;招联消费金融、滴滴金融等平台也涉及收集与其提供的服务无关的个人信息等违规行为。
值得注意的是,此次通报的平台包括两款银行类App,即平安银行旗下的平安贷款和招商银行旗下的招贷。具体来看,平安贷款和招贷这两款App存在的主要问题均涉及“违反必要原则,收集与其提供的服务无关的个人信息等。”
券商中国记者从平安贷款App的《用户隐私政策》上看到,平台收集的“服务基本业务功能所需的个人信息”除了证件类型、号码、姓名等基本信息外,还包括SIM卡号、人脸识别信息、OCR上传证件信息等,甚至包括App的浏览信息、屏幕信息、访问时间、页面点击频次、广告点击情况等。
与类似平安贷款的是,招行旗下的招贷App也收集了用户的个人上网记录,包括用户操作记录、软件的使用和点击记录等,还收集个人财产信息,包括银行账户、鉴别信息、房产信息信贷记录、征信信息、信贷记录和交易信息等。
根据央行去年2月发布的《个人金融信息保护技术规范》,个人金融信息类别根据可危害程度及敏感程度分为C3、C2、C1三个类别。C3主要包括用户鉴别信息,即银行卡磁道数据、银行卡密码、网络支付交易密码、账户密码等,以及用于鉴别的个人生物识别信息。
上述文件指出,C3类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。
金融类App侵害个人信息现象屡禁不止
实际上,近期监管部门对违规App的整治行动中,多家银行等金融机构的“正规军”网络应用存在较多侵害用户权益的行为。
4月23日,由工信部官网披露《关于侵害用户权益行为的App通报(2021年第4批总第13批)》中,涵盖生活社区、游戏娱乐、金融及科技等过个领域的93款App上了通报榜单。之后,在广东省通信管理局的检查中发现,仍有45款App未完成整改,包括多家银行App。
名单显示,广州农商行的珠江直销银行App、广东南粤银行App、微众银行的微众企业爱普App在列。所涉问题分别为违规收集个人信息;违规收集个人信息、App强制、频繁、过度索取权限;违规收集个人信息、超范围收集个人信息。
2020年12月,国家计算机病毒应急处理中心在“净网2020”专项行动中通过互联网监测发现,兴业银行、内蒙古农信、内蒙古银行、海峡银行、鄂尔多斯银行6家银行App因“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”被点名。
此前,一家业内知名反欺诈科技公司资深安全产品经理告诉券商中国记者,相比其他信息,“用户的金融要素信息,如身份证号、手机号、证件信息、账户信息、财产信息等,涉敏,而且往往和个人金融安全高度相关,若被有心分子盗用作为交易资源的话,它的‘商业价值’是最高的,所以会被重点关注。”
四部门联合颁布新规,5月已正式实施
近期,为规范App个人信息处理活动,由网信办统筹指导下,工信部、公安部、市场监管总局四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(下称《规定》),并于5月1正式实施。
网信办相关人员在答记者问时表示,App超范围收集个人信息、强制授权、过度索权等现象大量存在,违法违规使用个人信息问题十分突出,广大网民对此反映强烈。《规定》明确要求,App运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本功能服务。
同时,《规定》明确指出,“个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。”
此前,央行在发布《商业银行法(修改建议稿)》并公开征求意见时,新增了“客户权益保护”章节,对商业银行营销、信息披露、风险分级与适当性管理、个人信息保护、收费管理等客户保护规范作出具体规定。
其中包括:“商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息,不得篡改、倒卖、违法使用个人信息。”同时,“商业银行应当保障个人信息安全,防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的,应当确保第三方遵守个人信息保护规定,并采取有效措施保障个人信息安全。”
对于个人金融信息的保护,在《个人信息保护法》草案的通用性规定之外,2019年年底施行的《中国人民银行金融消费者权益保护实施办法》,以及去年初出台的《个人金融信息保护技术规范》都规定了个人金融信息保护的特殊之处。
中国银行法学研究会理事肖飒介绍,“个人金融信息保护技术规范的扩大适用,除了持牌金融机构,对于‘涉及个人金融信息处理的相关机构’,比如金融机构委托处理个人信息的科技公司也需要受到规制。”
对于C3类别和C2类别等敏感信息,肖飒介绍,根据个人信息保护法要求,“敏感信息处理更严格,要求取得个人单独授权或书面同意,还应当告知信息被采集人敏感信息对个人的影响。”