信息安全标委会规范数据收集 金融类APP或迎强监管

　　近日，全国信息安全标准化技术委员会在官网对外发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》（下文简称“规范”），对各品类APP的数据采集和业务功能进行规范。

　　依据个人信息收集最少够用原则，《规范》界定了金融借贷、网络约车、短视频等16类常用移动APP收集用户必要信息的范围，例如，金融借贷类APP基本业务功能不应强制读取用户通讯录，设备信息只能用于安全目的等。

　　财经网注意到，在《规范》中明确指出，本文件的出台是针对当前移动互联网应用存在的超范围收集、强制授权、过度索权等个人信息安全问题，为互联网应用提供实践指引。《规范》还表示，本规范同样适用于主管监管部门对个人信息收集行为进行监督、管理和评估。

　　值得注意的是，在过去的两年里，因为数据安全问题曾导致多个巨头公司被推上风口浪尖。Facebook泄露用户数据；暗网兜售华住酒店5亿用户信息；Google因数据泄露关闭Google+服务，诸如此类的事件可以说是层出不穷。

　　尤其在近两年，金融科技爆发的同时，也引发了不少对于金融科技公司滥用数据的讨论。在21CN聚投诉网站上可以发现，关于钱站、捷信金融、闪银Wecash、马上消费金融、玖富等公司的投诉中均会出现“泄露个人信息”“恶意骚扰联系人”等投诉。

　　在去年中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》中显示，金融理财类App平均分仅为28.91分，在10个大类中排名垫底，其中中小型App的问题更为突出。

　　而在本次信息安全标委会发布的规范中，对金融借贷类和支付类APP的信息收集更是做出了明确限制：

　　有业内人士表示，为了方便进行贷前风控审核，基本上所有的金融借贷类APP都会要求用户开通读取联系人、读取手机内存等权限，此举可以通过获取联系人信息等手段来对用户身份、工作等必要信息进行核验。

　　以乐信旗下的分期乐APP为例，分期乐在其用户信息授权书中收集的信息包括：用户姓名、证件号码、手机号等个人信息、授信额度、借款、逾期、电子账单等交易信息、设备信息及其他个人数据和信用信息。

　　授权书中还显示，无论用户是否交易成功，已授权的个人数据信息不得撤回，但分期乐与开展合作的必要第三方均会采取行业标准进行保护。

　　上述业内人士认为，如果在后续的监管过程中，监管机构按照《规范》进行监管，金融科技机构可能会迎来一波致命的打击，“这次规范的发布极有可能是为未来的监管做准备”他说，“后续最好的出路，可能就是与银行合作。”

　　也有人不这么想，有风控行业人士李明（化名）认为，即便按照《规范》要求不通过APP获取数据对行业的整体影响也比较有限。他认为，如果按照规范来实施，在未来一段时间里人行征信、同盾、融都等征信和风控机构的价值会进一步提高。

　　“就算没有即时数据，也可以通过历史数据进行对比，或是去找大数据公司购买数据”李明对财经网表示。

　　随后，财经网对多款中小型金融理财类App进行测评，测评后发现，“闪银”在APP界面中并没有明确的注销账户入口，且与客服沟通销户后，公司也将继续保存用户信息；“小米金融”则在《隐私政策》中称，其还可能收集其他各类与个人无关联的匿名信息。

　　而这些与刚刚发布的《规范》都存在相悖的情况。

　　中国信通院工业和信息化法律服务中心副主任许长帅曾建议，未来个人信息保护立法应设计把个人信息保护推荐性国家标准转化为具有法律约束力要求的制度。他表示，如果企业没有做到，那么除了民事责任以外，还要承担行政法上的责任，这样可能更有利于企业的良好经营。