本報(bào)記者 李冰
日前,中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)公布《移動(dòng)金融客戶(hù)端應(yīng)用軟件典型違規(guī)案例》����,經(jīng)梳理,這已是中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)年內(nèi)第三次公布相關(guān)違規(guī)案例��。
受訪(fǎng)者普遍認(rèn)為���,移動(dòng)金融App違規(guī)收集個(gè)人信息背后原因是機(jī)構(gòu)在收集大量的用戶(hù)信息以進(jìn)行分析和挖掘時(shí)���,在隱私保護(hù)方面存在欠缺,未遵循用戶(hù)知情同意�����、目的限制原則和最小必要原則��,導(dǎo)致違規(guī)問(wèn)題頻發(fā)���。
違規(guī)收集個(gè)人信息
根據(jù)中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)公布內(nèi)容來(lái)看��,某移動(dòng)金融App使用的第三方SDK收集用戶(hù)“設(shè)備MAC地址����、AndroidID����、OAID”等個(gè)人信息��,但未在App隱私政策中向用戶(hù)告知上述第三方SDK(軟件開(kāi)發(fā)工具)收集個(gè)人信息情況���。
其問(wèn)題根源是,該移動(dòng)金融App在使用第三方SDK前未進(jìn)行SDK個(gè)人信息保護(hù)能力評(píng)估���,對(duì)其使用的第三方SDK收集個(gè)人信息范圍未全面掌握�����,造成所使用的第三方SDK私自收集個(gè)人信息�。
事實(shí)上����,此前監(jiān)管部門(mén)對(duì)上述問(wèn)題曾有過(guò)明確規(guī)定?���!豆I(yè)和信息化部關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》中要求App開(kāi)發(fā)者加強(qiáng)軟件開(kāi)發(fā)工具(SDK)使用管理:使用SDK前對(duì)其進(jìn)行個(gè)人信息保護(hù)能力評(píng)估,通過(guò)合同等形式明確約定各方權(quán)利和義務(wù)�����,確保個(gè)人信息處理依法合規(guī);集中展示并及時(shí)更新嵌入的SDK名稱(chēng)��、功能及其處理個(gè)人信息的規(guī)則�����。
同時(shí)�,《工業(yè)和信息化部關(guān)于開(kāi)展縱深推進(jìn)App侵害用戶(hù)權(quán)益專(zhuān)項(xiàng)整治行動(dòng)的通知》中明確整治任務(wù)包括違規(guī)收集個(gè)人信息�����。重點(diǎn)整治App��、SDK未告知用戶(hù)收集個(gè)人信息的目的�����、方式����、范圍且未經(jīng)用戶(hù)同意,私自收集用戶(hù)個(gè)人信息的行為����。
“協(xié)會(huì)發(fā)布相關(guān)案例在業(yè)內(nèi)具有警示作用�,機(jī)構(gòu)應(yīng)全面了解第三方SDK收集個(gè)人信息范圍��,并在App自身隱私政策中完整向用戶(hù)告知���;同時(shí)����,機(jī)構(gòu)也應(yīng)全面評(píng)估使用的第三方SDK是否存在風(fēng)險(xiǎn)���,選擇使用合規(guī)SDK�。”中國(guó)(上海)自貿(mào)區(qū)研究院金融研究室主任劉斌對(duì)《證券日?qǐng)?bào)》記者說(shuō)�����。
年內(nèi)已公布三期典型違規(guī)案例
經(jīng)梳理�����,年內(nèi)中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)已發(fā)布三期移動(dòng)金融客戶(hù)端應(yīng)用軟件典型違規(guī)案例���。中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)在1月22日發(fā)布《移動(dòng)金融客戶(hù)端應(yīng)用軟件典型違規(guī)案例》第一期���,某金融App申請(qǐng)連接使用藍(lán)牙key功能��,用戶(hù)在同意“存儲(chǔ)”權(quán)限申請(qǐng)告知后拒絕權(quán)限申請(qǐng)����。App重新運(yùn)行時(shí)����,仍向用戶(hù)彈窗申請(qǐng)?jiān)摍?quán)限����,且該權(quán)限與當(dāng)前服務(wù)場(chǎng)景無(wú)關(guān);3月5日發(fā)布《移動(dòng)金融客戶(hù)端應(yīng)用軟件典型違規(guī)案例》第二期�,通報(bào)某移動(dòng)金融App向其他個(gè)人信息處理者提供其處理的個(gè)人信息時(shí),未向個(gè)人告知接收方的名稱(chēng)或者姓名��、聯(lián)系方式�����、處理目的���、處理方式和個(gè)人信息的種類(lèi)�����,未取得個(gè)人的單獨(dú)同意�����。
劉斌分析認(rèn)為�����,從通報(bào)違規(guī)案例特點(diǎn)來(lái)看��,一是對(duì)用戶(hù)告知環(huán)節(jié)容易被忽視���,導(dǎo)致在涉及第三方的信息共享環(huán)節(jié)中�����,未能主動(dòng)向用戶(hù)披露相關(guān)信息并獲取明確授權(quán)��。二是對(duì)“單獨(dú)同意”機(jī)制理解執(zhí)行不足���。此外,內(nèi)部管理機(jī)制的不完善也可能導(dǎo)致在信息共享環(huán)節(jié)缺乏必要的審核流程����,使得信息在未經(jīng)用戶(hù)充分授權(quán)的情況下被提供給第三方�。
在北京市社會(huì)科學(xué)院副研究員王鵬看來(lái)���,金融機(jī)構(gòu)應(yīng)在以下幾方面守護(hù)個(gè)人信息安全底線(xiàn)����。第一�����,加強(qiáng)內(nèi)部管理和培訓(xùn)����。組織員工深入學(xué)習(xí)個(gè)人信息保護(hù)法律法規(guī)和監(jiān)管要求�����,提高合規(guī)意識(shí)和法律意識(shí)�。第二,提升技術(shù)手段和防護(hù)能力�,加強(qiáng)對(duì)個(gè)人信息存儲(chǔ)和傳輸環(huán)節(jié)的安全保護(hù);第三�,機(jī)構(gòu)仍需關(guān)注用戶(hù)隱私邊界,建立數(shù)據(jù)泄露監(jiān)測(cè)和響應(yīng)機(jī)制,及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)數(shù)據(jù)泄露事件��;第四�,建立健全內(nèi)部審核機(jī)制,對(duì)涉及第三方的信息共享行為進(jìn)行嚴(yán)格管控��,確保符合法律法規(guī)要求����。
中國(guó)銀行研究院研究員葉銀丹對(duì)《證券日?qǐng)?bào)》記者表示,機(jī)構(gòu)應(yīng)重點(diǎn)關(guān)注用戶(hù)知情同意��、目的限制原則和最小必要原則����,完善數(shù)據(jù)安全規(guī)范管理。同時(shí)����,金融機(jī)構(gòu)及其合作伙伴需從數(shù)據(jù)采集、存儲(chǔ)�����、加工�、傳輸��、披露等環(huán)節(jié)規(guī)范用戶(hù)個(gè)人信息管理��。同時(shí)可以建立全流程合規(guī)機(jī)制并細(xì)化權(quán)限管理���,區(qū)分必要授權(quán)與非必要授權(quán),對(duì)于重點(diǎn)和敏感信息應(yīng)給予用戶(hù)單獨(dú)同意的權(quán)利�。此外,要強(qiáng)化第三方合作管控���,確保用戶(hù)對(duì)銀行與第三方的個(gè)人信息合作共享事項(xiàng)知情同意��,與外部合作方簽訂數(shù)據(jù)安全協(xié)議����,明確責(zé)任邊界����。同時(shí)��,通過(guò)彈窗�����、視頻等形式做好用戶(hù)教育和特別提醒,避免“長(zhǎng)篇條款”導(dǎo)致的用戶(hù)忽視和反復(fù)詢(xún)問(wèn)帶來(lái)的體驗(yàn)感下降�����。
(編輯 孫倩)
京公網(wǎng)安備 11010602201377號(hào)京ICP備19002521號(hào)