对于金融类App违规收集个人信息行为,监管正持续亮剑。近日,工信部通报了最新一批侵害用户权益行为的App名单,其中,包括畅捷通、广州农商行、广东南粤银行、微众银行等多家涉及金融类App被点名存在侵害用户权益且未及时完成整改。工信部强调,违规机构应在4月29日前完成整改落实。
与此同时,4月26日,工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见,强调从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
距离“最后通牒”仅剩三日,目前,多家金融机构App整改情况如何?金融机构违规收集用户信息乱象缘何屡禁不止?后续金融App治理又将是何走向?
整而未改遭通报
多款违规金融App这样回应
App违规收集使用个人信息问题仍屡禁不止。4月23日,工信部官网通报,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)工作部署,工信部近期组织第三方检测机构对手机应用软件进行检查,截至目前,尚有93款App未完成整改;另据广东省通信管理局检查发现,仍有45款App未完成整改。
从工信部披露的违规企业名单来看,大多为游戏类、工具类App,不过也有数家金融类App被点名。北京商报记者注意到,93款未完成整改名单中,由畅捷通信息技术股份有限公司开发的“好生意”App名列其中。另在45款未完成整改App中,广州农商行开发的“珠江直销银行”App,被点名存在违规收集个人信息;广东南粤银行开发的App,存在违规收集个人信息,App强制、频繁、过度索取权限情形;而微众银行开发的“微众企业爱普”,也存在“违规收集个人信息、超范围收集个人信息”问题。
对于前述违规App,工信部也下了“最后通牒”,强调机构应在4月29日前完成整改落实工作。逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。
就最新整改情况,北京商报记者对前述企业进行了一一采访。其中,微众银行回应称,获悉广东省通信管理局提出的整改意见后,微众银行第一时间与相关部门进行情况了解和紧急沟通,并对存在问题立即进行了认真整改,微众银行将依法合规坚决、用心维护用户个人信息安全及其合法权益;此外,广东南粤银行亦回应称,目前该行已经按照工信部要求进行整改,新的App版本已经上架,用户可以更新下载新的App版本。
不过,关于广州农商行、畅捷通App整改情况,截至发稿,北京商报记者未收到进一步回应。
针对金融App违规收集个人信息且部分“整而未改”等问题,金融科技专家苏筱芮告诉北京商报记者,一方面,主要是因部分机构合规意识淡薄,尚未建立起个人信息保护、数据安全相关的专业技术团队;另一方面,部分机构在个人信息保护的工作方面水平低下,对整改内容理解不透彻、不到位,因此影响到后续的整改效果。
屡禁不止
违规收集信息有“苦衷”?
App侵害用户权益问题由来已久,其中,金融类App安全问题尤引业内关注。一知情人士向北京商报记者说道,“金融理财借贷类用户价值比较高,用户的个人信息也成为平台进行客户运营或者风控的依据,因此,平台会倾向于尽可能收集个人信息,甚至出现过度收集的情况。”
事实上,根据北京商报记者多期评测以及相关部门通报来看,目前,确实有不少机构脚踩红线,其中一大痼疾就是违规收集个人信息。
例如,用户在金融App上申请信贷的过程中,就不乏有超范围收集信息的情况,甚至通过捆绑概括、捆绑式授权勾选,违规向第三方共享用户个人信息;此外,还有在用户明确表示不同意收集某类个人信息的情况下,仍有App通过其他途径违规收集,或干扰用户正常使用的情况。
此外,前述知情人士也提到,目前,金融领域信息安全、隐私保护领域仍存乱象,例如违规收集与使用信息,强制、频繁、过度索取用户权限,超范围收集信息,欺骗误导用户主体下载App等。尽管金融机构保护个人信息的意识正在逐渐增强,但仍存在超范围收集个人信息、未按规定使用和储存个人信息等问题。
为何金融App规范个人信息收集如此之难?北京市中闻律师事务所律师李亚告诉北京商报记者,“目前,侵犯用户个人信息保护权益且不完成整改,很大程度是由于违规成本比不上违规产生的收益,许多平台正是基于其过度收集的个人信息来进行用户画像和精准营销,用这种运营方式使其获利,相关机构在接受‘重击’之前自然不肯轻易放弃。”
针对个人金融信息收集成为金融机构违规高发区问题,苏宁金融研究院金融科技研究中心主任孙扬同样称,一是因为侵害用户权益获得用户数据可以用于营销,金融机构不愿放弃这个营销数据来源;二是机构很多贷款风控决策可能这些数据相关,如果获取不到这些数据,将影响风控决策;三是也不乏有机构目前还不具备专业人才来根据法律规定,有效进行全行的数据治理。
多管齐下
违规收集乱象当休矣
不过,随着金融App治理逐步进入深水区,在多方监管加码及法律武器的有力震慑下,后续金融违规收集信息乱象有望进一步改善。
其中两大法律利器就是个人信息保护法、数据安全法。4月26-29日,十三届全国人大常委会第二十八次会议在京举行。4月22日,全国人大常委会法制工作委员会举行记者会,发言人臧铁伟介绍,提请本次常委会会议继续审议的法律案有9件,其中,个人信息保护法草案、数据安全法草案将提请二审。
个人信息保护法草案拟设专节对处理敏感个人信息做出更严格的限制,针对当前个人信息过度收集使用等突出问题进行了完善防范,并增加死者个人信息保护规定;同时,数据安全法草案完善数据分级分类和重要数据保护制度,并充实了数据出境安全管理规定。
“根据《立法法》第二十九条规定,列入常务委员会会议议程的法律案,一般应当经三次常务委员会会议审议后再交付表决。本次二审说明,个人信息保护法、数据安全法的出台正在稳步推进。”李亚解释道。
在苏筱芮看来,个人信息保护法草案、数据安全法草案将迎二审,表明国内信息保护、数据安全相关的法律法规完善的进度在持续提速,从修改内容来看,有助于金融行业个人信息保护建立基本框架,便于金融机构按照要求搭建起信息保护的“防火墙”,切实维护金融消费者的合法权益。
另外,App监管方面,继此前央行发布《个人金融信息保护技术规范》之后,4月26日,工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见,其中界定了适用范围和监管主体,确立了“知情同意”“最小必要”两项重要原则。并强调从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
如今,个人信息保护法、数据安全法出台在即,App个人信息保护也迎来进一步规范,对于金融机构来说,后续又该如何整治顽疾?
李亚称,金融机构应当充分重视个人信息保护和数据规范使用,在制度制定、规范执行和自我监督等多层面进行落实,严格遵守“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”的安全基本原则。
苏筱芮则指出,个人信息保护的工作完善流程并非一蹴而就,各金融机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,对于其中的不规范信息管理行为及时纠偏。此外,相关法律法规的审核修订是一个与时俱进的过程,机构需要保持对监管要求的最新关注与跟进,安排专人开展研究并及时做出业务方面的合规调整。
(记者岳品瑜刘四红)