證券時(shí)報(bào)記者 林煜

    近日，工信部官網(wǎng)披露最新一期侵害用戶(hù)權(quán)益行為的應(yīng)用軟件（APP）通報(bào)，其中廣東省通信管理局通報(bào)存在問(wèn)題的應(yīng)用軟件名單里，多家銀行APP在列。工信部等相關(guān)部門(mén)督促問(wèn)題APP在規(guī)定時(shí)間內(nèi)落實(shí)整改。

    數(shù)位受訪的業(yè)內(nèi)人士表示，從2019年開(kāi)始，監(jiān)管部門(mén)針對(duì)用戶(hù)個(gè)人信息安全屢出重拳，法規(guī)從推出到執(zhí)行，相關(guān)環(huán)節(jié)在逐步完善中，不僅僅是金融類(lèi)APP，甚至生活服務(wù)類(lèi)、游戲娛樂(lè)類(lèi)APP涉嫌違規(guī)采集甚至交易用戶(hù)個(gè)人信息的風(fēng)險(xiǎn)事件常有發(fā)生，這是必經(jīng)階段。而金融要素信息，往往涉敏且和個(gè)人財(cái)產(chǎn)安全高度相關(guān)，關(guān)注度更大，監(jiān)管部門(mén)對(duì)個(gè)人金融信息安全保護(hù)的要求等級(jí)也必然更高。

    數(shù)款A(yù)PP仍未整改？

    4月23日，由工信部官網(wǎng)披露《關(guān)于侵害用戶(hù)權(quán)益行為的APP通報(bào)（2021年第4批總第13批）》中，涵蓋生活社區(qū)、游戲娛樂(lè)、金融及科技等多個(gè)領(lǐng)域的93款A(yù)PP上了通報(bào)榜單。

    通告顯示，依據(jù)《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，按照《關(guān)于開(kāi)展縱深推進(jìn)APP侵害用戶(hù)權(quán)益專(zhuān)項(xiàng)整治行動(dòng)的通知》（工信部信管函〔2020〕164號(hào)）工作部署，工信部近期組織第三方檢測(cè)機(jī)構(gòu)對(duì)手機(jī)應(yīng)用軟件進(jìn)行檢查，重點(diǎn)督促游戲類(lèi)、工具類(lèi)存在問(wèn)題的企業(yè)進(jìn)行整改。

    截至目前，尚有93款A(yù)PP未完成整改。各通信管理局按工信部APP整治行動(dòng)部署，積極開(kāi)展手機(jī)應(yīng)用軟件監(jiān)督檢查，廣東省通信管理局檢查發(fā)現(xiàn)仍有45款A(yù)PP未完成整改。通告督促，上述APP應(yīng)在4月29日前完成整改落實(shí)工作，逾期不整改的，將被處置。

    證券時(shí)報(bào)記者注意到，在廣東省通信管理局通報(bào)存在問(wèn)題的應(yīng)用軟件名單中，廣州農(nóng)村商業(yè)銀行股份有限公司的珠江直銷(xiāo)銀行APP、廣東南粵銀行股份有限公司的廣東南粵銀行APP、深圳前海微眾銀行股份有限公司的微眾企業(yè)愛(ài)普APP在列。

    這些APP所涉問(wèn)題分別為違規(guī)收集個(gè)人信息；違規(guī)收集個(gè)人信息，APP強(qiáng)制、頻繁、過(guò)度索取權(quán)限；違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息。

    從通報(bào)情況看，一些手機(jī)應(yīng)用商店等平臺(tái)方的存量問(wèn)題整改并不徹底。

    工信部披露，在2021年第一季度檢測(cè)中，騰訊應(yīng)用寶、小米應(yīng)用商店、OPPO軟件商店、華為應(yīng)用市場(chǎng)和vivo應(yīng)用商店發(fā)現(xiàn)問(wèn)題數(shù)量分別占比14.22%、13.81%、12.80%、11.37%、11.17%，存在上架審核不嚴(yán)格、存量問(wèn)題清理不徹底、登記核驗(yàn)APP開(kāi)發(fā)運(yùn)營(yíng)者信息不準(zhǔn)確、誤導(dǎo)用戶(hù)下載等問(wèn)題。

    金融信息何以高關(guān)注？

    近兩年來(lái)，保護(hù)用戶(hù)個(gè)人信息尤其是金融信息安全備受重視，工信部多次披露APP違規(guī)獲取用戶(hù)信息的情況，而金融理財(cái)類(lèi)APP屢屢榜上有名。

    比如此次被通報(bào)的微眾銀行，去年其旗下的小鵝花錢(qián)已經(jīng)因私自收集個(gè)人信息、賬號(hào)注銷(xiāo)難等問(wèn)題遭到通報(bào)。

    彼時(shí)，工信部通報(bào)2020年第三批侵害用戶(hù)權(quán)益的APP名單中區(qū)，共有12款理財(cái)、小貸APP名列其中，主要涉及的問(wèn)題包括私自、超范圍收集個(gè)人信息，過(guò)度索取權(quán)限，私自共享給第三方等情況。除了微眾銀行的小鵝花錢(qián)之外，還有天弘基金存在超范圍收集個(gè)人信息的問(wèn)題；展恒基金存在過(guò)度索取權(quán)限、賬號(hào)注銷(xiāo)難的問(wèn)題；匯添富基金旗下的現(xiàn)金寶存在過(guò)度索取權(quán)限的問(wèn)題；華夏基金管家存在私自收集個(gè)人信息、超范圍收集個(gè)人信息、私自共享給第三方的問(wèn)題；好買(mǎi)基金旗下儲(chǔ)蓄罐APP存在賬號(hào)注銷(xiāo)難的問(wèn)題；博時(shí)基金存在不給權(quán)限不讓用的問(wèn)題；小花錢(qián)包涉及私自收集個(gè)人信息、賬號(hào)注銷(xiāo)難的問(wèn)題；還唄存在私自共享給第三方的問(wèn)題；交行信用卡APP“買(mǎi)單吧”存在強(qiáng)制用戶(hù)使用定向推送功能、不給權(quán)限不讓使用、過(guò)度索取權(quán)限、賬號(hào)注銷(xiāo)難的問(wèn)題；和訊財(cái)經(jīng)、和訊期貨存在私自共享給第三方的問(wèn)題。

    今年3月12日，在工信部公布的《關(guān)于侵害用戶(hù)權(quán)益行為的APP通報(bào)》中，我來(lái)數(shù)科被通報(bào)原因是違規(guī)收集個(gè)人信息。而我來(lái)數(shù)科是創(chuàng)辦于香港的金融科技集團(tuán)WeLab旗下平臺(tái)，除了在內(nèi)地、香港、印尼等地為用戶(hù)提供消費(fèi)信貸及經(jīng)營(yíng)貸款等金融服務(wù)，WeLab還在中國(guó)香港擁有線上貸款平臺(tái)WeLend和虛擬銀行牌照WeLabBank。

    今年2月，廣東省通信管理局通報(bào)被責(zé)令限期整改的215款A(yù)PP中，金融理財(cái)類(lèi)有12款。而在此次通報(bào)中，有7款前期通報(bào)整改但未整改或整改不徹底的APP，包括小贏科技搖錢(qián)花、順豐金融、中郵錢(qián)包、萬(wàn)聯(lián)e萬(wàn)通等4款金融類(lèi)APP。

    2020年12月，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心在“凈網(wǎng)2020”專(zhuān)項(xiàng)行動(dòng)中，通過(guò)互聯(lián)網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)，興業(yè)銀行、內(nèi)蒙古農(nóng)信、內(nèi)蒙古銀行、海峽銀行、鄂爾多斯銀行等6家銀行的APP因“未向用戶(hù)明示申請(qǐng)的全部隱私權(quán)限，涉嫌隱私不合規(guī)”而被點(diǎn)名。

    “不是只有金融領(lǐng)域，不僅僅是金融類(lèi)APP，在整個(gè)互聯(lián)網(wǎng)行業(yè)，都經(jīng)常有金融類(lèi)、生活服務(wù)類(lèi)、游戲娛樂(lè)類(lèi)APP涉嫌違規(guī)采集甚至交易用戶(hù)個(gè)人信息的風(fēng)險(xiǎn)事件發(fā)生。從2019年開(kāi)始，監(jiān)管部門(mén)針對(duì)用戶(hù)個(gè)人信息安全屢出重拳，從定規(guī)矩、頒法令到落地執(zhí)行，這也是從法規(guī)到執(zhí)行層面逐步完善過(guò)程的必經(jīng)階段。”一家業(yè)內(nèi)知名反欺詐科技公司的資深安全產(chǎn)品經(jīng)理告訴證券時(shí)報(bào)記者。

    在他看來(lái)，相比其他信息，“用戶(hù)的金融要素信息，如身份證號(hào)、手機(jī)號(hào)、賬戶(hù)信息、財(cái)產(chǎn)信息等，不僅涉敏，而且往往和個(gè)人金融安全高度相關(guān)，如果被別有用心的不法分子盜用來(lái)作為交易資源的話(huà)，它的‘商業(yè)價(jià)值’是最高的，也因此會(huì)被重點(diǎn)關(guān)注。”

    涉敏金融信息有哪些？

    北京大學(xué)數(shù)字金融研究中心副主任黃卓告訴證券時(shí)報(bào)記者，關(guān)于數(shù)據(jù)使用的邊界，不光是中國(guó)數(shù)字金融發(fā)展的問(wèn)題，也是全世界都非常關(guān)注的重要問(wèn)題。相對(duì)來(lái)說(shuō)，在發(fā)達(dá)國(guó)家或者歐美市場(chǎng)，相關(guān)立法和政策規(guī)定相對(duì)完善一點(diǎn)。但是，在大數(shù)據(jù)的使用中，把數(shù)據(jù)作為資產(chǎn)進(jìn)行交易，涉及到的數(shù)據(jù)所有權(quán)、采集合規(guī)、利益分配等問(wèn)題，是全世界正在探索中卻尚無(wú)定論的問(wèn)題。

    在業(yè)內(nèi)人士看來(lái)，金融行業(yè)APP關(guān)于信息使用的安全規(guī)范并非一朝一夕之事，需監(jiān)管方、各類(lèi)APP應(yīng)用商店運(yùn)營(yíng)者、APP運(yùn)營(yíng)方及機(jī)構(gòu)多方參與治理。但也要看到，監(jiān)管層對(duì)于個(gè)人信息安全的保護(hù)力度正在不斷加強(qiáng)，尤其是個(gè)人金融信息保護(hù)領(lǐng)域，經(jīng)歷過(guò)去兩年的金融科技大數(shù)據(jù)公司整頓風(fēng)暴之后，相關(guān)信息保護(hù)法規(guī)正在完善。

    此前，央行就對(duì)移動(dòng)金融APP安全問(wèn)題發(fā)文，從提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律等五個(gè)方面進(jìn)行了管理規(guī)范，并對(duì)備受關(guān)注的個(gè)人金融信息保護(hù)劃定了四大紅線。

    央行在發(fā)布《商業(yè)銀行法（修改建議稿）》并公開(kāi)征求意見(jiàn)時(shí)，新增了“客戶(hù)權(quán)益保護(hù)”章節(jié)，對(duì)商業(yè)銀行營(yíng)銷(xiāo)、信息披露、風(fēng)險(xiǎn)分級(jí)與適當(dāng)性管理、個(gè)人信息保護(hù)、收費(fèi)管理等客戶(hù)保護(hù)規(guī)范作出了具體規(guī)定。比如，“商業(yè)銀行不得收集與業(yè)務(wù)無(wú)關(guān)的個(gè)人信息或者采取不正當(dāng)方式收集個(gè)人信息，不得篡改、倒賣(mài)、違法使用個(gè)人信息。”同時(shí)，“商業(yè)銀行應(yīng)當(dāng)保障個(gè)人信息安全，防止個(gè)人信息泄露和濫用。商業(yè)銀行將個(gè)人信息處理外包給第三方的，應(yīng)當(dāng)確保第三方遵守個(gè)人信息保護(hù)規(guī)定，并采取有效措施保障個(gè)人信息安全。”

    對(duì)于個(gè)人金融信息的保護(hù)，在《個(gè)人信息保護(hù)法》草案的通用性規(guī)定之外，2019年年底施行的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》，以及去年初出臺(tái)的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》都規(guī)定了個(gè)人金融信息保護(hù)的特殊之處。

    “個(gè)人金融信息保護(hù)技術(shù)規(guī)范的擴(kuò)大適用，除了持牌金融機(jī)構(gòu)，對(duì)于‘涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)’，比如金融機(jī)構(gòu)委托處理個(gè)人信息的科技公司也需要受到規(guī)制。”中國(guó)銀行法學(xué)研究會(huì)理事肖颯介紹，C3類(lèi)別+C2類(lèi)別信息均為敏感信息。

    這之中，C3類(lèi)別信息主要為用戶(hù)鑒別信息，包括銀行卡芯片有效信息、卡片有效期、銀行卡密碼、網(wǎng)銀交易密碼、查詢(xún)密碼、交易密碼、登錄密碼、個(gè)人生物識(shí)別信息；所謂C2類(lèi)別信息則主要為可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息，包括支付賬號(hào)、手機(jī)號(hào)、證件類(lèi)識(shí)別信息、登錄用戶(hù)名、動(dòng)態(tài)口令、短信驗(yàn)證碼、密碼提示問(wèn)題、個(gè)人財(cái)產(chǎn)信息、借貸信息、交易信息、KYC過(guò)程中留存的照片、音頻視頻、家庭住址等。

    肖颯介紹，根據(jù)個(gè)人信息保護(hù)法要求，“敏感信息處理更嚴(yán)格，要求取得個(gè)人單獨(dú)授權(quán)或書(shū)面同意，還應(yīng)當(dāng)告知信息被采集人敏感信息對(duì)個(gè)人的影響”。