近日,國家互聯(lián)網(wǎng)信息辦公室等四部門聯(lián)合印發(fā)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》的通知(以下簡稱《規(guī)定》),明確移動互聯(lián)網(wǎng)應(yīng)用程序(App)運(yùn)營者不得因用戶不同意收集非必要個人信息,并將自今年5月1日起施行。
《規(guī)定》明確了39種常見類型App的必要個人信息范圍。其中對網(wǎng)絡(luò)支付、網(wǎng)絡(luò)借貸、投資理財和手機(jī)銀行四種金融類App可收集的個人信息范圍作出了明確界定。
小花科技研究院高級研究員蘇筱芮對《證券日報》記者表示,“去年12月份,監(jiān)管部門曾下發(fā)《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序(App)必要個人信息范圍(征求意見稿)》,彼時App有38類,此次定稿不但增添了演出票務(wù)類,而且在具體應(yīng)用場景方面也有所擴(kuò)展,例如實(shí)用工具類中新增星座性格測試等,總體看,文件對常見39類App的必要個人信息范圍提出規(guī)范要求,既有助于明晰監(jiān)管思路,也便于機(jī)構(gòu)后續(xù)依規(guī)遵照執(zhí)行。”
規(guī)范金融類App收集范圍
未包括位置信息、通訊錄等方面
近年來,移動互聯(lián)網(wǎng)應(yīng)用程序(App)得到廣泛應(yīng)用,在促進(jìn)經(jīng)濟(jì)社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。同時,App超范圍收集、強(qiáng)制收集用戶個人信息普遍存在,用戶如果拒絕分享個人信息就無法安裝使用。
零壹研究院院長于百程對《證券日報》表示,“隨著個人用戶對App頻繁使用,個人隱私保護(hù)問題愈發(fā)嚴(yán)重。其中,App超范圍收集個人信息比較普遍,違反必要原則、強(qiáng)制收集與業(yè)務(wù)無關(guān)的個人信息事件層出不窮,出臺相關(guān)監(jiān)管政策十分有必要。”
值得關(guān)注的是,《規(guī)定》中網(wǎng)絡(luò)支付、網(wǎng)絡(luò)借貸、投資理財?shù)冉鹑陬怉pp必要個人信息的收集范圍均未包括通訊錄、位置信息、相機(jī)等方面。此前,網(wǎng)絡(luò)借貸App用戶曾因通訊錄等信息暴露,被暴力催收所擾。
具體來看,網(wǎng)絡(luò)借貸類基本功能服務(wù)為“通過互聯(lián)網(wǎng)平臺實(shí)現(xiàn)的用于消費(fèi)、日常生產(chǎn)經(jīng)營周轉(zhuǎn)等的個人申貸服務(wù)”,必要個人信息包括:注冊用戶移動電話號碼;借款人姓名、證件類型和號碼、證件有效期限、銀行卡號碼。投資理財類基本功能服務(wù)為“股票、期貨、基金、債券等相關(guān)投資理財服務(wù)”,必要個人信息包括:注冊用戶移動電話號碼;投資理財用戶姓名、證件類型和號碼、證件有效期限、證件影印件;投資理財用戶資金賬戶、銀行卡號碼或支付賬號。
網(wǎng)絡(luò)支付類的必要個人信息包括:注冊用戶移動電話號碼;注冊用戶姓名、證件類型和號碼、證件有效期限、銀行卡號碼。
于百程指出,“在金融類App中,網(wǎng)絡(luò)支付和網(wǎng)絡(luò)借貸在業(yè)務(wù)中所需收集的必要個人信息是不同的,因為二者業(yè)務(wù)不同。”
監(jiān)管力度正在加大
事實(shí)上,App過度收集用戶隱私信息,侵害了個人的合法權(quán)益,如果違規(guī)使用、買賣或信息泄露,個人用戶輕則被垃圾信息和電話騷擾,重則被冒名辦理業(yè)務(wù),甚至被詐騙,引發(fā)財產(chǎn)損失和安全性問題。同時,App強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象大量存在,違法違規(guī)使用個人信息的問題也較為突出。
早在2020年11月份,廣東省通信管理局就曾發(fā)布通報稱,加強(qiáng)對屬地App的監(jiān)督檢查,建設(shè)App監(jiān)管平臺,并委托第三方專業(yè)機(jī)構(gòu)進(jìn)行檢測,累計檢測5千余款A(yù)pp,共發(fā)現(xiàn)疑似存在問題App237款,經(jīng)核驗確定問題App88款。其中包含多款支付機(jī)構(gòu)等金融App。
根據(jù)通報,被查處的App存在兩方面問題,一是App及其后臺服務(wù)器存在“明文存儲密碼”“反編譯”“SQL注入”等數(shù)據(jù)安全隱患問題;二是違反用戶個人信息保護(hù)規(guī)定,包括“未公開明示收集規(guī)則”“默認(rèn)勾選同意隱私協(xié)議”“未列明所集成SDK及其采集信息”“為注銷賬號、刪除個人信息設(shè)置障礙”“未經(jīng)用戶同意共享給第三方”等侵犯用戶對其個人信息處理享有的知情權(quán)、決定權(quán),以及違反最小必要原則超前、超需、超頻索取權(quán)限或采集信息,甚至不給必需權(quán)限不讓用等強(qiáng)迫行為。
博通咨詢金融行業(yè)資深分析師王蓬博對《證券日報》記者表示,目前監(jiān)管部門對App通報及處罰監(jiān)管力度正在加大。他對《證券日報》記者表示,“一方面,我國相關(guān)的法律法規(guī)正在不斷完善,對于App的合規(guī)標(biāo)準(zhǔn)在不斷提高;另一方面,為了保障消費(fèi)者的合法權(quán)益,監(jiān)管在處罰及通報力度上也在不斷加強(qiáng)力度。”
蘇筱芮表示,種種監(jiān)管信號表明,未來監(jiān)管部門將加大對數(shù)據(jù)方面違法行為的整治及處罰力度,從源頭上杜絕潛在風(fēng)險,保護(hù)客戶合法權(quán)益。(本報記者 李冰)