多款金融类APP被通报 “隐私不合规”顽疾因何难治

　　天津农商银行APP和捷信金融APP由于存在隐私不合规行为，日前被国家计算机病毒应急处理中心点名。强制收集非必要个人信息，隐私政策内容不完整，强制、频繁、过度索取权限……近年来，金融机构旗下APP因隐私合规问题广受诟病。

　　业内人士认为，金融行业对数据具有很强的依赖性，手机APP已成为金融机构针对个人和企业客户展业的重要载体。由于缺乏有效监管和法规约束，以及客户往往难以完全理解其中的法律风险等因素，隐私不合规问题成为金融业“顽疾”。对此，监管部门正出台相关办法，引导金融机构加强个人信息保护，明确数据治理边界。

　　● 本报记者 张佳琳

　　两款金融APP被点名

　　近期，国家计算机病毒应急处理中心通过互联网监测发现，14款移动APP存在隐私不合规行为，其中包括捷信金融APP和天津农商银行APP。

　　捷信金融APP被通报的原因是，个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则，涉嫌隐私不合规。

　　天津农商银行APP被通报的原因有两点：一是隐私政策未逐一列出收集使用个人信息的目的、方式、范围等，涉嫌隐私不合规；二是频繁自启动和关联启动。

　　天津农商银行回应称，该事件主要原因，一是对客隐私协议中部分条款文字表述不够明确；二是为实时监测客户网络状态，进行弱网环境提示，保持服务流畅，该行远程视频银行控件后台运行时，会持续进行网络状态的获取。

　　“在国家计算机病毒应急处理中心指导下，已修订完善了用户隐私条款并更新，对手机银行客户端程序进行了优化，相关问题已整改。”天津农商行公告称。

　　此外，记者注意到，捷信消金于3月25日更新了捷信金融APP隐私政策。

　　问题由来已久

　　近年来包括交通银行、浙江泰隆商业银行、重庆银行、吉林银行、山西银行、晋商银行等多家银行APP因存在隐私不合规问题，侵害用户权益行为被通报。

　　例如，2023年，交通银行买单吧APP由于强制收集非必要个人信息、隐私政策内容不完整、超范围收集个人信息等原因被上海市网信办通报；浙江泰隆商业银行泰惠收APP因违规收集个人信息以及APP强制、频繁、过度索取权限被工信部通报。

　　“这反映出银行等金融机构在通过手机银行APP收集客户个人信息时，存在对个人明确告知工作不到位，违规使用个人信息，并且存在信息收集过多，没有有效做好信息保护等问题。”邮储银行研究员娄飞鹏告诉记者。

　　在娄飞鹏看来，金融机构在提供金融服务时，对个人信息保护的重要性认识有待提升；在充分利用个人信息和做好信息保护方面，需要有更多的技术支持。

　　业内人士告诉记者，手机APP已成为金融机构针对个人和企业客户展业的重要载体。搜集个人信息，利用大数据技术分析客户的使用习惯、金融需求等，往往能更为精准地开展客户服务、营销推送等。

　　谈及金融类APP个人信息保护困境，某银行信息科技部人士表示：“尽管银行采集个人信息时，需经过客户本人同意方能实施。但实际操作中存在过度采集情况，主要是相关法律大多是原则性规定，对于数据治理的边界尚不明确。并且，APP收集信息隐私政策/协议告知后，个人信息主体通常不阅读条款，即便阅读也难以完全理解法律风险，存在信息不对称等问题。”

　　加强法律法规可操作性

　　“我们身处大数据时代。”在招联首席研究员董希淼看来，金融行业对数据具有很强的依赖性，保障数据安全，引导数据向善，是必须要面对的重要课题。

　　“应将所有涉金融APP纳入备案管理范围，实现全覆盖市场治理。”针对金融类APP存在隐私不合规行为，在北京德和衡律师事务所联席执行主任裴虹博看来，应加强相关法律法规的可操作性，从顶层制度方面对银行机构的数据安全工作提出更为明确和细致要求，引导金融机构充分重视数据安全工作，从制度规范角度，将合规主线贯穿在业务的前中后全流程中。

　　此外，裴虹博认为，可建立用户投诉渠道，及时处理用户隐私相关问题，并建立监督机制监测APP的合规情况；向用户公开APP收集、使用和保护个人信息的方式和目的，及时通知用户任何与其隐私有关的变更；邀请第三方机构对APP的隐私保护措施进行审计，确保符合相关法规要求。

　　金融监管总局日前就《银行保险机构数据安全管理办法》征求意见，拟规定健全数据安全技术保护体系。要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境下的数据安全技术保护体系，建立数据安全技术架构，明确数据保护策略方法，采取技术手段保障数据安全。

　　《办法》拟要求银行保险机构在处理个人信息时，应按照“明确告知、授权同意”的原则实施，并履行必要的告知义务；收集个人信息应限于实现金融业务处理目的的最小范围，不得过度收集；共享和对外提供个人信息时，应取得个人同意。

　　娄飞鹏对记者表示，这有助于让个人用户明确银行收集的信息范围，让银行根据经营管理或者业务发展需要合理收集信息，防止银行过度收集或者过度使用个人信息，提高数据信息的使用效率，也有助于更好保障个人信息安全。

　　在董希淼看来，金融机构应从三方面加以努力：高度重视客户信息保护，建立个人信息数据库分级授权管理制度，加强个人金融信息安全保护的宣传教育。

海量资讯、精准解读，尽在新浪财经APP