金融App频“越界” 中国互联网金融协会发布典型违规案例

　　日前，中国互联网金融协会公布《移动金融客户端应用软件典型违规案例》，经梳理，这已是中国互联网金融协会年内第三次公布相关违规案例。

　　受访者普遍认为，移动金融App违规收集个人信息背后原因是机构在收集大量的用户信息以进行分析和挖掘时，在隐私保护方面存在欠缺，未遵循用户知情同意、目的限制原则和最小必要原则，导致违规问题频发。

　　违规收集个人信息

　　根据中国互联网金融协会公布内容来看，某移动金融App使用的第三方SDK收集用户“设备MAC地址、AndroidID、OAID”等个人信息，但未在App隐私政策中向用户告知上述第三方SDK（软件开发工具）收集个人信息情况。

　　其问题根源是，该移动金融App在使用第三方SDK前未进行SDK个人信息保护能力评估，对其使用的第三方SDK收集个人信息范围未全面掌握，造成所使用的第三方SDK私自收集个人信息。

　　事实上，此前监管部门对上述问题曾有过明确规定。《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》中要求App开发者加强软件开发工具（SDK）使用管理：使用SDK前对其进行个人信息保护能力评估，通过合同等形式明确约定各方权利和义务，确保个人信息处理依法合规；集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。

　　同时，《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》中明确整治任务包括违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。

　　“协会发布相关案例在业内具有警示作用，机构应全面了解第三方SDK收集个人信息范围，并在App自身隐私政策中完整向用户告知；同时，机构也应全面评估使用的第三方SDK是否存在风险，选择使用合规SDK。”中国（上海）自贸区研究院金融研究室主任刘斌对《证券日报》记者说。

　　年内已公布三期典型违规案例

　　经梳理，年内中国互联网金融协会已发布三期移动金融客户端应用软件典型违规案例。中国互联网金融协会在1月22日发布《移动金融客户端应用软件典型违规案例》第一期，某金融App申请连接使用蓝牙key功能，用户在同意“存储”权限申请告知后拒绝权限申请。App重新运行时，仍向用户弹窗申请该权限，且该权限与当前服务场景无关；3月5日发布《移动金融客户端应用软件典型违规案例》第二期，通报某移动金融App向其他个人信息处理者提供其处理的个人信息时，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意。

　　刘斌分析认为，从通报违规案例特点来看，一是对用户告知环节容易被忽视，导致在涉及第三方的信息共享环节中，未能主动向用户披露相关信息并获取明确授权。二是对“单独同意”机制理解执行不足。此外，内部管理机制的不完善也可能导致在信息共享环节缺乏必要的审核流程，使得信息在未经用户充分授权的情况下被提供给第三方。

　　在北京市社会科学院副研究员王鹏看来，金融机构应在以下几方面守护个人信息安全底线。第一，加强内部管理和培训。组织员工深入学习个人信息保护法律法规和监管要求，提高合规意识和法律意识。第二，提升技术手段和防护能力，加强对个人信息存储和传输环节的安全保护；第三，机构仍需关注用户隐私边界，建立数据泄露监测和响应机制，及时发现并应对数据泄露事件；第四，建立健全内部审核机制，对涉及第三方的信息共享行为进行严格管控，确保符合法律法规要求。

　　中国银行研究院研究员叶银丹对《证券日报》记者表示，机构应重点关注用户知情同意、目的限制原则和最小必要原则，完善数据安全规范管理。同时，金融机构及其合作伙伴需从数据采集、存储、加工、传输、披露等环节规范用户个人信息管理。同时可以建立全流程合规机制并细化权限管理，区分必要授权与非必要授权，对于重点和敏感信息应给予用户单独同意的权利。此外，要强化第三方合作管控，确保用户对银行与第三方的个人信息合作共享事项知情同意，与外部合作方签订数据安全协议，明确责任边界。同时，通过弹窗、视频等形式做好用户教育和特别提醒，避免“长篇条款”导致的用户忽视和反复询问带来的体验感下降。

（文章来源：证券日报）

(原标题：金融App频“越界” 中国互联网金融协会发布典型违规案例)

(责任编辑：137)