首頁
關於我們
專業領域
專業人員
新聞視點
辦公機構
社會責任

EN
×

打開手機,掃一掃二維碼
即可通過手機訪問網站

×

打開微信,掃一掃二維碼
訂閱我們的微信公衆號

×

全站搜索

搜索

手機銀行App採集個人金融信息的合規問題

2021-12-025716
近年來,受大數據產業快速發展的影響,個人信息在金融產業鏈中的應用場景和流轉範圍逐步突破傳統認知,在新科技助力金融發展的同時,移動互聯網應用程序(App)強制授權、過度索權、超範圍收集個人信息的問題現象也日益突出。金融業新業態下的金融消費者個人金融信息保護問題成爲立法和執法部門的關注重點,監管部門出臺了一系列政策新規並從不同維度開展了多項治理活動,本文將對手機銀行App採集個人金融信息的合規問題進行探討。


一、合規法律依據


taptap点点体育官方网站 (一)《網絡安全法》


2017年6月1日,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)正式施行。兩年來,《網絡安全法》發揮了重要的基礎性立法作用,爲大量的執法活動提供了有力依據,初步實現了維護我國網絡安全的既定目標。《網絡安全法》涵蓋行政法、民法、刑法、經濟法等多個法律部門,涉及網絡、資源、應用、產業等網絡各個物理架構層面,以往的網絡安全法律體系得以統籌,由這部基本法來全面統領。同時,《網絡安全法》實施後,還出臺和研究制定了一系列配套規定,涉及法律、行政法規、部門規章、地方性法規和政府規章、規範性文件等多個層級法律規範,包括網絡產品和服務、網絡安全審查、網絡信息服務、個人信息保護、數據安全、關鍵信息基礎設施保護等主要方面。《網絡安全法》實施以來,爲網絡法律體系建設提供了上位法基礎。

(二)《App違法違規收集使用個人信息行爲認定方法》

2019年11月28日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局四部門聯合發佈《App違法違規收集使用個人信息行爲認定方法》(以下簡稱《方法》),旨在爲監督管理部門認定App違法違規收集使用個人信息行爲提供參考,爲App運營者自查自糾和網民社會監督提供指引。《方法》具體規定如下:

1.以下行爲可被認定爲“未公開收集使用規則”

(1)在App中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則;

(2)在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則;

(3)隱私政策等收集使用規則難以訪問,如進入App主界面後,需多於4次點擊等操作才能訪問到;

(4)隱私政策等收集使用規則難以閱讀,如文字過小過密、顏色過淡、模糊不清,或未提供簡體中文版等。

2.以下行爲可被認定爲“未明示收集使用個人信息的目的、方式和範圍”

(1)未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等;

(2)收集使用個人信息的目的、方式、範圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則並提醒用戶閱讀等;

(3)在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解;

(4)有關收集使用規則的內容晦澀難懂、冗長繁瑣,用戶難以理解,如使用大量專業術語等。

3.以下行爲可被認定爲“未經用戶同意收集使用個人信息”

(1)徵得用戶同意前就開始收集個人信息或打開可收集個人信息的權限;

(2)用戶明確表示不同意後,仍收集個人信息或打開可收集個人信息的權限,或頻繁徵求用戶同意、幹擾用戶正常使用;

(3)實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍;

(4)以默認選擇同意隱私政策等非明示方式徵求用戶同意;

(5)未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢復到默認狀態;

(6)利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;

(7)以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺瞞、掩飾收集使用個人信息的真實目的;

(8)未向用戶提供撤回同意收集個人信息的途徑、方式;

(9)違反其所聲明的收集使用規則,收集使用個人信息。

4.以下行爲可被認定爲“違反必要原則,收集與其提供的服務無關的個人信息”

(1)收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;

(2)因用戶不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;

(3)App新增業務功能申請收集的個人信息超出用戶原有同意範圍,若用戶不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;

(4)收集個人信息的頻度等超出業務功能實際需要;

(5)僅以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等爲由,強制要求用戶同意收集個人信息;

(6)要求用戶一次性同意打開多個可收集個人信息的權限,用戶不同意則無法使用。

5.以下行爲可被認定爲“未經同意向他人提供個人信息”

(1)既未經用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;

(2)既未經用戶同意,也未做匿名化處理,數據傳輸至App後臺服務器後,向第三方提供其收集的個人信息;

(3)App接入第三方應用,未經用戶同意,向第三方應用提供個人信息。

6.以下行爲可被認定爲“未按法律規定提供刪除或更正個人信息功能”或“未公佈投訴、舉報方式等信息”

(1)未提供有效的更正、刪除個人信息及註銷用戶賬號功能;

(2)爲更正、刪除個人信息或註銷用戶賬號設置不必要或不合理條件;

(3)雖提供了更正、刪除個人信息及註銷用戶賬號功能,但未及時響應用戶相應操作,需人工處理的,未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日爲限)完成覈查和處理;

(4)更正、刪除個人信息或註銷用戶賬號等用戶操作已執行完畢,但App後臺並未完成的;

(5)未建立並公佈個人信息安全投訴、舉報渠道,或未在承諾時限內(承諾時限不得超過15個工作日,無承諾時限的,以15個工作日爲限)受理並處理的。

(三)《個人金融信息保護技術規範》(JR/T 0171—2020)

央行和全國金融標準化技術委員會通過《中國人民銀行關於發佈金融行業標準做好個人金融信息保護技術管理工作的通知》(銀髮〔2020〕45號)於2020年2月13日發佈了《個人金融信息保護技術規範》(以下簡稱《規範》)。《規範》規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷燬等生命週期各環節的安全防護要求,從安全技術和安全管理兩個方面,對個人金融信息保護提出了規範性要求。

《規範》適用於提供金融產品和服務的金融業機構,併爲安全評估機構開展安全檢查與評估工作提供參考。從效力上看,《規範》屬於推薦性行業標準,本質上屬於對本行業企業在個人金融信息保護方面的建議。但在實踐中,不排除《規範》會成爲監管機構在監督檢查或開展執法活動時的重要參考依據,因此,《規範》對有關金融機構仍然具有較強的指導意義。根據《規範》,“金融業機構”是指由國家金融管理部門監督管理的持牌金融機構,以及涉及個人金融信息處理的相關機構。“個人金融信息”則是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息,包括賬戶信息、鑑別信息、金融交易信息、個人身份信息、財產信息、借貸信息及其他反映特定個人某些情況的信息。

根據信息遭到未經授權的查看或未經授權的變更後所產生的影響和危害,《規範》將個人金融信息按敏感程度從高到低分爲C3、C2、C1三個類別。具體如下:

微信圖片_20211202095139.jpg


個人金融信息主體因業務需要(如貸款)主動提供的有關家庭成員信息(如身份證號碼、手機號碼、財產信息等),應依據C3、C2、C1敏感程度類別進行分類,並實施針對性的保護措施。兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析後可能產生高敏感程度的信息。同一信息在不同的服務場景中可能處於不同的類別,應依據服務場景以及該信息在其中的作用對信息的類別進行識別,並實施針對性的保護措施。

個人金融信息收集的方式包括但不限於通過櫃面、信息系統、金融自助設備、受理終端、客戶端應用軟件等渠道獲取。金融業機構應遵循合法、正當、必要的原則,向個人金融信息主體明示收集與使用個人金融信息的目的、方式、範圍和規則等,獲得個人金融信息主體的授權同意,並滿足以下要求:

微信圖片_20211202095216.jpg


(四)《常見類型移動互聯網應用程序必要個人信息範圍規定》

2021年3月12日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局四部門聯合發佈《常見類型移動互聯網應用程序必要個人信息範圍規定》(以下簡稱《規定》),旨在落實《網絡安全法》關於個人信息收集合法、正當、必要的原則,規範移動互聯網應用程序(App)個人信息收集行爲,保障公民個人信息安全。隨着移動互聯網快速發展,各類應用程序迅速普及應用,在促進經濟社會發展、服務民生等方面發揮了重要作用。但同時,App超範圍收集用戶個人信息問題十分突出。特別是大量App通過捆綁功能服務一攬子索取個人信息授權,用戶拒絕授權就無法使用App基本功能服務,變相強制用戶授權。爲聚焦解決App超範圍收集個人信息問題,規範收集個人信息活動,四部門聯合制定實施該《規定》。同時四部門要求,各省、自治區、直轄市及新疆生產建設兵團網信辦、通信管理局、公安廳(局)、市場監管局(廳、委)指導督促本地區App運營者抓緊落實《規定》要求,加強監督檢查,及時調查、處理違法違規收集使用個人信息行爲,切實維護公民在網絡空間的合法權益。

根據《規定》要求,移動智能終端上運行的App存在收集用戶個人信息行爲的,應當遵守本規定。法律、行政法規、部門規章和規範性文件另有規定的,依照其規定。“App”包括移動智能終端預置、下載安裝的應用軟件,基於應用軟件開放平臺接口開發的、用戶無需安裝即可使用的小程序。《規定》所稱必要個人信息,是指保障App基本功能服務正常運行所必需的個人信息,缺少該信息App即無法實現基本功能服務。App不得因爲用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能服務。

《規定》對常見三十九種類型的App的必要個人信息範圍採用列舉方式進行規定。其中第二十四類手機銀行類,基本功能服務爲“通過手機等移動智能終端設備進行銀行賬戶管理、信息查詢、轉賬匯款等服務”,必要個人信息包括:

1.註冊用戶移動電話號碼;

2.用戶姓名、證件類型和號碼、證件有效期限、證件影印件、銀行卡號碼、銀行預留移動電話號碼;

3.轉賬時需提供收款人姓名、銀行卡號碼、開戶銀行信息。

二、手機銀行App應避免的常見類型違法違規採集和使用個人信息行爲


(一)自啓動/關聯啓動

自啓動/關聯啓動即指打開一個App的時候會啓動、喚醒其他App。App爲了保證被用戶繼續使用,就要儘可能多的“刷存在感”,否則久而久之用戶就會棄之不用,甚至卸載。如果App開發者選擇了採用聯合喚醒的機制或者其他類似機制來“保活”,這就可能導致大量的服務進程在後臺被喚醒、駐留,從而造成不同應用之間的交叉喚醒、關聯啓動的現象。

《App違法違規收集使用個人信息行爲認定方法》第四條第3點指出,收集個人信息的頻度等超出業務功能實際需要,可認定爲“違反必要原則,收集與其提供的服務無關的個人信息”。

JR/T0171—2020《個人金融信息保護技術規範》標準中指出:“收集個人金融信息應遵循最小化要求,收集個人金融信息的目的應與實現和優化金融產品或服務、防範金融產品或服務的風險有直接關聯。直接關聯是指無該個人金融信息參與無法實現前述目的。”

基於上述技術規範內容分析,App通過自啓動、關聯啓動等方式喚醒後,如果存在通過權限等機制收集個人信息的行爲,且並未在隱私政策等規則中明確指出具體的目的的,其收集個人信息的頻度則涉嫌超出了業務功能實際需要。

(二)刷臉

就人臉識別而言,對“撤回授權”的理解與實踐存在一定的複雜性。如果用戶計劃以後不再使用人臉識別功能,而又無渠道和機制向App運營者反饋其意願,App運營者則可能以其不清楚用戶是否還會再次使用爲由,長期保留用戶的人臉特徵信息。而事實上,所保留的這些信息已經超出達成前期的處理目的需要,有不符合最短期限內存儲原則的嫌疑,增加了泄露、濫用的隱患。

對此,相關方應逐步完善用戶對其人臉信息的自主控制權,比如支持查詢收集使用情況,撤回對收集人臉信息的同意,以及查詢是否還繼續持續留存人臉信息等。

隨着人臉識別技術廣泛應用於各App及生活場景下,人臉信息的保護成爲個人信息保護工作中的重中之重,必須高度重視對此類信息的收集使用行爲,保障用戶知情權和選擇權,確保各環節安全。


稅率降了,企業應收賬款怎麼收

法定數字貨幣(DCEP)及其背景下的商業銀行合規
作者:李萍

相關標籤

銀行與金融

  • 打開微信,掃一掃二維碼
    訂閱我們的微信公衆號

taptap点点体育官方网站 版權所有 | 免責聲明|私隱保護聲明||